Re: IPSec <> L2TP/IPSEC

On Sat, 1 Oct 2005 19:55:35 +0200, Werner Heise <werner.heise@xxxxxxx>
wrote:

>nicht sicher was die höchste Verschlüsselung ist. Der Router bietet
>folgende Modi:
>
>- PPTP
>- IPSec Tunnel
>- L2TP und IPSec Einwahl

Davon ist die letzte Variante die im Volksmund irrtümlich als
"sicherste" bezeichnete. Wobei das dann IPSEC over L2TP heisst. Siehe
dazu <http://de.wikipedia.org/wiki/L2TP>.

Der Unterschied zwischen IPSEC und L2TP/IPSEC ist, dass IPSEC nicht
über NAT <http://de.wikipedia.org/wiki/Network_Address_Translation>
läuft weil die Package-Header zerstört werden (irgendwo muss NAT ja
die Informationen ablegen). Dafür wird es in einen L2TP-Tunnel
gepackt, denn damit passiert den Headern nicht. Sicherer wird es
dadurch aber nicht, nur eben über NAT-Grenzen transportierbar.

Je nachdem was Du für eine Verbindung brauchst und wie lange diese
jeweils steht kann man in bestimmten Situationen auch vollkommen
problemlos PPTP verwenden. Hier hängt die Sicherheit des Tunnels enorm
davon ab wie lang das Passwort gewählt wird, je länger es ist, desto
länger hält der Tunnel stand -- klingt komisch, is' aber so ;-)

Informationen zu PPTP und der genauen Funktion und seinen
Schwachpunkten finden sich bspw. in dem Whitepaper von Bruce Schneier
unter <http://www.schneier.com/paper-pptp.pdf>. An den dortigen
Zeitangaben dürfte sich nicht viel geändert haben. Bei Kennwörtern
unter 13 Zeichen schafft L0phtCrack es immer noch in knapp 40 Minuten
um den Tunnel zu öffnen. Darüber hinaus steigt der Rechenaufwand dann
mit jedem weiteren Zeichen sehr stark an.


>Bei dem IPSec-Tunnel habe ich 3DES und SHA1 und wollte nun wissen, ob das
>die optimale Sicherheit bietet oder ob L2TP/IPSec besser ist.

"3DES with Authentication" heisst das bei Draytek und ist das maximal
mögliche. Die Geschwindigkeit leidet ein bisschen darunter, ist aber
in den meisten Anwendungsfällen zu vernachlässigen.


Die Frage ist halt, was Du genau vorhast... Willst Du Dich mit einem
Trabanten in den Router einwählen? Oder möchtest Du zwei Router
miteinander verbinden? Bei ersterem ist die Konfiguration von L2TP
resp. IPSEC (bei PSK, Pre Shared Keys. Die Draytek router sind keine
Certificate Authority und können keine eigenen Schlüsselpaare
erzeugen. Das gibt es in dem Preissegment nicht) unter Windows alles
andere als trivial, daher ist in diesem Fall für einen Laien auf jeden
Fall das VPN-Tool von Draytek empfohlen. Windows 2K beispielsweise
kann kein PSK-Verfahren und muss erst durch ein paar Änderungen an der
Registry dazu bewegt werden.

Werden zwei Netze miteinander verkoppelt, so nimm IPSEC oder
L2TP/IPSEC, 3DES und diese Kombination wird ohne jegliche Probleme
einfach nur funktionieren.


Wenn Du noch mehr Infos zu den vigor-Routern suchst (Konfiguration,
Anwendung), könnte <http://www.vigor-users.de> vielleicht interessant
sein.


Bis denne,

Pascal
.

Relevant Pages

  • Re: VPN server
    ... You have to choose either/both PPTP or L2TP (which uses IPSec) for the ... (Dial-in tab even though this is VPN) ...
    (microsoft.public.windows.server.active_directory)
  • Re: VPN protocols
    ... Go for PPTP or L2TP ... Must: IPSec or SSL ...
    (Security-Basics)
  • VPN: Design-Probleme
    ... Dazu habe ich einen DSL-Router besorgt, der die verschiedenen VPN-Protokolle (PPTP, L2TP, IPSec, L2TP over IPSec) kann. ... Der Router soll alle VPN-Verbindungen von außen an eine bestimmte Netzwerkkarte am Windows-Domain-Server leiten ...
    (microsoft.public.de.german.windows.server.networking)
  • Re: How safe us my wireless network
    ... -) I've set an obscure password for the router. ... because the payload isn't encrypted anymore. ... IPSec works on Layer IP your tcp packet is encrypted and if you use AH ...
    (comp.security.firewalls)
  • Re: VPN aus Netz nach extern
    ... >Abhängig, ob PPTP oder L2TP erlaubt werden soll, sind die ... >Bei PPTP ist es der Port upd/1723 und das Protokoll! ... da L2TP IPSec als Verschlüsselung nutzt ... kann IPSec over NAT Traversal benutzt ...
    (microsoft.public.de.german.isaserver)