VPN: L2TP vs. SSL

omo · 11. November 2019 um 10:02

Moin allerseits,

ich möchte ein paar Kollegen die Möglichkeit geben, von außerhalb per VPN auf unser Netzwerk zuzugreifen. Unsere UTM stellt dafür verschiedene Möglichkeit bereit, u.a.

L2TP über IPsec. Dies kann auf den Clients direkt im WIndows als VPN-Verbindung angelegt werden.
SSL. Hierfür kann dann ein vorkonfigurierter Open-VPN Client heruntergeladen werden.

Zu welcher Lösung raten mir denn die Experten hier im Forum - und warum? Gibt es noch Tricks oder Hinweise, die ich beachten sollte?

Wichtig ist natürlich vor allem die Sicherheit.

Vielen Dank und beste Grüße

0

Lorgarn_bd1220 · 11. November 2019 um 10:02

L2TP über IPsec. Dies kann auf den Clients direkt im
WIndows als VPN-Verbindung angelegt werden.

L2TP bietet ein paar schicke Funktionalitäten von denen ich nicht beurteilen kann, ob Du sie braucht. Über IPSec hat Bruche Schneier (DER Sicherheits Guru überhaupt) gesagt, daß das zwar alles ganz nett ist, aber er sich in Anbetracht der Zeit, die die Entwicklung gebraucht hat und wie viele kompetente Köpfe daran beteilig waren, viel mehr von versprochen hätte.

SSL. Hierfür kann dann ein vorkonfigurierter Open-VPN
Client heruntergeladen werden.

OpenVPN ist toll, weil es plattformunabhängig. SSL ist ne ziemliche Hürde. Vermutlich einen Tick sicherer als IPSec.

Die größte Sicherheitslücke tritt vermutlich dardurch aus, daß Du ‚fremde‘ Rechner Deiner Mitarbeiter in dein Firmen LAN holst durch den Tunnel, und nicht weiß, was auf den Kisten möglicherweise abgeht.

Thomas_Fischbach_ac0842 · 11. November 2019 um 10:03

Hallo,

auch auf die Gefahr, mich bei anderen Experten unbeliebt zu machen:

IPSEC ist - vor allem auch in Verbindung mit L2TP - von der Konfiguration her nicht ganz ohne. Obwohl IPSEC als außerordentlich sicher gilt, spricht im Regelfall m.E. nichts gegen den Einsatz von SSH.

Das SSH-Protokoll hat natürlich einige Jährchen auf dem Buckel, kann aber als hinreichend sicher gelten. Nett ist in diesem Zusammenhang ja auch stunnel, das beliebige Dienste in einen SSH-abgesichterten „Tunnel“ verpackt.

Entscheidend ist - wie ja bei jeder Anwendung - auch die Sicherheit des Clients.

Zusätzlich würde ich auch einmal über TLS nachdenken.

mfg, tf

herrmann_59614f · 11. November 2019 um 10:03

Entscheidend ist - wie ja bei jeder Anwendung - auch die
Sicherheit des Clients.

Zusätzlich würde ich auch einmal über TLS nachdenken.

Er setzt halt 'ne Appliance ein (deren Namen er hier vornehm verschweigt) und ist offenbar auf die Möglichkeiten beschränkt, die diese bietet. Die Sicherheit aber hängt ganz entscheidend nicht davon ab, ob er OpenVPN oder l2tp/ipsec einsetzt, sondern wie sauber diese Protokolle in der Appliance implementiert sind und wie gut diese mit Sicherheitsupdates versorgt wird.

Gruß

Sebastian · 11. November 2019 um 10:13

Hallo,

IPSEC ist - vor allem auch in Verbindung mit L2TP - von der
Konfiguration her nicht ganz ohne. Obwohl IPSEC als
außerordentlich sicher gilt,

Ja.

spricht im Regelfall m.E. nichts
gegen den Einsatz von SSH.

Mit SSH wirfst Du Neues in die Diskussion. Oder meinst Du SSL?

Das SSH-Protokoll hat natürlich einige Jährchen auf dem
Buckel, kann aber als hinreichend sicher gelten. Nett ist in
diesem Zusammenhang ja auch stunnel, das beliebige Dienste in
einen SSH-abgesichterten „Tunnel“ verpackt.

Man kann mit SSH Tunnel machen, jawohl. stunnel macht aber SSL. Irgendwie erscheint es mir aber krude, mit stunnel ein VPN zu bauen.

Entscheidend ist - wie ja bei jeder Anwendung - auch die
Sicherheit des Clients.

Ja.

Zusätzlich würde ich auch einmal über TLS nachdenken.

OpenVPN (und Open-SSL) kann auch TLS. Huch!

Gruß,

Sebastian