Ankündigung

Einklappen
Keine Ankündigung bisher.

IT Experten - Sicherheit VPN je nach Variante/Server

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • IT Experten - Sicherheit VPN je nach Variante/Server

    Hi,

    vielleicht sind hier ja auch IT-Experten unterwegs
    Das VPN im Prinzip sicherer ist und mehr Möglichkeiten bietet wie eine Portfreigabe ist mir klar. Jedoch stelle ich mir die Frage ob es unter den einzelnen VPN Servern (Fritzbox, UNIFI USG, Barracuda Firewall, ...) wirklich so eklatante Unterschiede gibt die ein monatliches Abomodell rechtfertigen. Es ginge konkret "nur" um den sicheren Zugang zum Netzwerk (von unterwegs) in dem sich auch ein NAS mit Daten befindet...
    Smarthome: Überläufer vom KNX Lager --> Loxone Fan der ersten Stunde --> Loxone killed the KNX star
    DvD: Diverse KNX und Loxone Mischinstallationen, aber auch Loxone "Exclusive" Projekte im Freundeskreis und Zuhause
    Netzwerk: Ubiquiti / Unify Fan (USG, Cloud Key, ...)
    Audio/Video: Heimkino FAN -- Leinwand, Beamer, Dolby Atmos, Multiroom (alles von Focal)

  • #2
    Ich glaub du müsstest konkret auf deine Auswahlmöglichkeiten eingehen, weil in deiner Liste (Fritzbox, UNIFI USG, Barracuda Firewall, ...) sind nur Produkte mit 1x Kosten, also kein Abomodell.
    Aus meiner Sicht sollte man immer nur die Produkte einsetzen, die man auch versteht. D.h. es bringt nichts die beste Hardware/Software zu kaufen, wenn man dann später um ein Problem zu lösen die falsche Anleitung nimmt und die Konsequenzen nicht kennt. Deshalb hätte ich die FritzBox Lösung empfohlen.

    Kommentar


    • #3
      Ich würde die Cloudanbieter als unsicherer einstufen, wenn es da mal ein passwortleak gibt kann das ungünstig sein

      Sowas wie Wireguard würde ich auch ein wenig herabstufen da die Entwicklung noch nicht fertig ist (ich nutze es aber trotzdem)

      Kommentar


      • #4
        Was ist denn ein Abomodell? Meinst du damit ein VPN Service aus dem App Store?
        Ich würde es immer selbst machen - mit einem aktuellen Protokoll (ipsec/openvpn/l2tp).

        Kommentar


        • #5
          VPN kostet grundsätzlich erstmal nichts, da muss man sich auch nichts von kommerziellen Anbietern erzählen lassen.
          Ein Problem ist dein Internetanschluss zuhause. Der wechselt je nach Anbieter des Öfteren die Adresse, so dass dein mobiles Gerät nicht mehr weiß, zu welcher Adresse es sich verbinden soll.
          Hier helfen DynDNS-Anbieter (die auch in der FritzBox konfigurierbar sind). Ich kenne die Marktlage grad nicht, bin mir aber sicher, dass es hier auch noch den ein oder anderen kostenfreien Dienst gibt.

          Ein größeres Problem hast du, wenn dein Internetanbieter nur noch IPv4-Light, also CGN (Carrier-Grade-NAT) anbietet. Damit teilst du dir eine öffentliche Adresse mit vielen anderen Kunden und ein eingehendes VPN ist damit nicht möglich (Port-Weiterleitungen übrigens auch nicht).

          Ich persönlich setze gerne auf diese Lösung:
          Mit entsprechenden Kenntnissen vorausgesetzt, kann man sich für ein paar Pfennige im Monat einen virtuellen Server anmieten. Der dient dann als Zielpunkt für sämtliche VPN-Tunnel, da dieser über (mindestens) eine statische Adresse verfügt. Dein Zuhause baut einen Tunnel dorthin auf sowie auch deine mobilen Geräte unterwegs, ja sogar das Netzwerk der Schwiegereltern, damit man im Supportfall ein Argument hat, dort nicht immer hinfahren zu müssen

          Das löst das Problem mit CGN und auch die Fummelei mit DynDNS.

          Kommentar


          • #6
            Teurer heisst ja nicht automatisch sicherer. In der von Dir aufgeführten Liste sind verschiedene VPN Lösungen enthalten bzw. konfigurierbar: SSL VPN, IPSec VPN unterschiedliche Verschlüsselungs- und Hashmethoden. Es gibt sicherlich Unterschiede im Detail und neuere Verfahren wie SHA256 sind wahrscheinlich sicherer als SHA1, allerdings kann man das nicht beweisen. Neben den einzelnen Verfahren ist für das Endergebnis sicherlich die Gesamtlösung entscheidend. Dazu gehören Fragen wie: wie schnell werden Sicherheitslücken behoben? Wie flexibel ist die Lösung? Wie ist die Unterstützung einer Community? Wie verbreitet ist die Lösung? Möchte ich mich selbst mit der Konfiguration beschäftigen? Wie viel möchte ich

            Beruflich würde ich keinem (Geschäfts-)Kunden eine Fritzbox empfehlen, sondern eher eine FortiGate mit Webfilter Subscription, aber privat nutze ich die. Dafür muss ich mir aber auch die VPN-on-Demand Konfiguration zusammenbasteln und hoffen, dass die nicht mit einem iOS Update (oder Fritzbox Update) unbrauchbar wird, denn offiziell wird eine On-Demand Konfiguration nur mit Zertifikaten unterstützt. Ich habe aber auch nur einen Standort und muss nicht mehrere Standorte untereinander per VPN verbinden.

            Ich weiß nicht genau, welche Abomodelle Du meinst, aber bei Cloud-basierten VPNs vertraust Du dem Anbieter - im anderen Fall dem Produkt und der Konfiguration.
            Miniserver v10.0.9.24, 2x Ext., 2x Relay Ext., 2x Dimmer Ext., DMX Ext., 1-Wire Ext., Gira KNX Tastsensor 3 Komfort, Gira KNX Präsenzmelder, Fenster- und Türkontakte, Loxone Regen- und Windsensor, Gira Dual Q Rauchmelder vernetzt mit 1x Relais-Modul
            Loxberry: SmartMeter, MS Backup, CamConnect, Weather4Lox
            Lüftung: Helios KWL EC 370W ET mit Modbus TCP - via Pico-C
            Heizung: Stiebel Eltron WPF 5 cool (Sole-Wasser WP) mit ISG, FB-Heizung mit 18 Kreisen, Erdsonde - via modifiziertem ISG

            Kommentar


            • #7
              Hi Leute, ich habe ebenfalls eine Frage zum Thema VPN-Verbindung:

              Falls man im Homeoffice am heimischen Computer vergessen hat die VPN-Verbindung zum Arbeitgeber (also dass man quasi auf den Server des Arbeitgebers zugreifen kann) zu beenden, kann dann der Arbeitgeber einsehen, auf welchen Webseiten man unterwegs war? Man ist ja eigentlich über den eigenen Internetanbieter mit dem Internet verbunden, man hat ja nur Zugriffsrechte zum Server des Arbeitgebers oder?

              Über eine Antwort würde ich mich freuen!

              Danke im Voraus!

              Viele Grüße Wutzi

              Kommentar


              • #8
                Das hängt von deiner Konfiguration des VPNs ab.
                Wenn du den gesamten Traffic über das VPN Gateway schickst, dann ja. Wenn nur die Firmennetze darüber geroutet werden, dann nicht.
                Verbinde dich mit dem VPN und gehe auf wieistmeineip.de - kommt da nicht deine "private" Internet IP raus, schickst du alles über die Firma.

                Kommentar


                • #9
                  danke für die schnelle Antwort. Ich werde das prüfen.

                  Angenommen, er kann das theoretisch einsehen. Wird dem Arbeitgeber das dann automatisch angezeigt, oder muss er sich die Mühe machen, das zu prüfen??? Danke

                  Kommentar


                  • #10
                    Habe es überprüft. Mir wird bei bestehender VPN-Verbindung trotzdem meine ursprüngliche ip (also meine eigene) angezeigt. Kann ich jetzt also ganz sicher davon ausgehen, dass meine Internetaktivitäten nicht von meinem Arbeitgeber eingesehen werden können?

                    Aber vlt. trotzdem nochmal die Frage. Angenommen, er könnte es theoretisch trotzdem einsehen. Bedarf es dann einer genauen Prüfung? also müsste der Arbeitgeber sich erst die Mühe machen oder wird ihm das auf offenem Tablett präsentiert?

                    Kommentar


                    • #11
                      In der Regel - so ist es jedenfalls bei uns - wird durch das Verbinden zum VPN jeglicher Zugriff aufs lokale Netzwerk abgedreht. Das ist konfigurierbar, aber vom Arbeitgeber in der Regel so eingestellt.
                      Ich kann beispielsweise, wenn ich mit dem Fiemen-VPN verbunden bin, daheim nichts mehr ausdrucken 😜.

                      Wenn das auch bei deinem Arbeitgeber so ist, läuft jegliche Internet-Kommunikation auch über das Firmennetzwerk. Dort ist dann vielleicht ein Proxy oder Firewall, die die Verbindungen protokollieren könnten.

                      War es eine https-Verbindung, ist auch der URL verschlüsselt. Lediglich die IP-Adresse und ggf. der Hostname des DNS-Requests könnten protokolliert sein.
                      Also wüsste der Arbeitgeber nicht, ob du www.Fotos.com/nicepussycats oder www.Fotos.com/technischeZeichnungen abgerufen hast, aber er könnte wissen, dass du auf www.Fotos.com warst.

                      Die Einsicht und Aufbewahrung von Protokollen aus nicht technischen Gründen ist auch intern rein rechtlich ein DSGVO-Verstoß, in der Regel lässt dich aber gleich vorweg der Arbeitgeber eine Betriebsvereinbarung unterschrieben, die ihm das protokollieren erlaubt.

                      Wenn du - hypothetisch gesprochen - eine strafbare Handlung über die Internetverbindung vollzogen hast, ist der Arbeitgeber verpflichtet, nach Ermächtigung eines Gerichts, die Protokolle auszuhändigen.

                      lg, Christian
                      LoxBerry/Plugin Support: Wenn du einen Begriff in meiner Antwort nicht auf Anhieb verstehst, bitte nicht gleich rückfragen, sondern erst die Suche im LoxWiki und bei Google bemühen.
                      PN/PM: Ich bevorzuge die Beantwortung von Fragen in öffentlichen Threads, wo andere mithelfen und mitprofitieren können. Herzlichen Dank!

                      Kommentar


                      • #12
                        Hi Christian, danke für deine schnelle Antwort. Ich habe es eben überprüft. Ich kann bei bestehender VPN-Verbindung ganz normal mit meinem Drucker (über mein W-Lan) drucken. Wie gesagt, meine ip-Adresse ist auch immer dieselbe, ob mit oder ohne VPN-Verbindung zum Arbeitgeber.

                        Wir nutzen das nur, um auf unserem Server Dateien ablegen zu können.

                        Kann ich also davon ausgehen, dass mein Arbeitgeber meine privaten Verläufe nicht einsehen kann?

                        Danke und LG

                        Kommentar


                        • #13
                          Du kannst dir nicht sicher sein, nein. Es ist davon auszugehen, ja - aber ohne das man einen Einblick in deine VPN Konfiguration bekommt bleibt das alles nur Mutmaßung und Vermutung.

                          Kommentar


                          • #14
                            Kann ich denn einen Einblick in meine VPN-Konfiguration erhalten? Oder ginge das nur vonseiten des Admins?

                            Falls ja, wie mache ich das?

                            Kommentar


                            • #15
                              Ja, es sind alles nur Vermutungen. Aber wenn Du Deine eigene öffentliche IP-Adresse z.B. bei "wieistmeineip.de" siehst oder lokal drucken kannst, heisst das nicht, dass Dein AG NICHT sehen kann, auf welchem Webserver Du surfst. Es könnte eine Personal-FW auf Deinem PC installiert sein, die dubiose Zugriffe erkennt und zumindest protokolliert. Evtl. läuft bei bestehender VPN Verbindung die DNS Namensauflösung über den DNS Server der Firma. Mit DNS kann er aber nicht jede URL sehen, sondern nur den FQDN.
                              Miniserver v10.0.9.24, 2x Ext., 2x Relay Ext., 2x Dimmer Ext., DMX Ext., 1-Wire Ext., Gira KNX Tastsensor 3 Komfort, Gira KNX Präsenzmelder, Fenster- und Türkontakte, Loxone Regen- und Windsensor, Gira Dual Q Rauchmelder vernetzt mit 1x Relais-Modul
                              Loxberry: SmartMeter, MS Backup, CamConnect, Weather4Lox
                              Lüftung: Helios KWL EC 370W ET mit Modbus TCP - via Pico-C
                              Heizung: Stiebel Eltron WPF 5 cool (Sole-Wasser WP) mit ISG, FB-Heizung mit 18 Kreisen, Erdsonde - via modifiziertem ISG

                              Kommentar

                              Lädt...
                              X