Interessanter Artikkel mit div. Links zum Thema

Einbruch ins VPN
Nachlässige Konfigurationen führen zu unsicheren VPNs

Die IP-Erweiterung IPSec gilt gemeinhin als die sicherste VPN-Technik. Doch auch sie hat ihre Schwachstellen, die sich mit speziellen Tools finden und ausnutzen lassen. Umsichtige Administratoren testen deshalb ihr eigenes Netz -- bevor es die Einbrecher tun.

Virtuelle Private Netze (VPNs) bieten ein hohes Einsparpotenzial, indem sie statt teurer Standleitungen das Internet als Transportnetz benutzen. Die Vertraulichkeit der über öffentliche Netze gesendeten Daten gewährleisten dabei moderne Verschlüsselungs- und Authentifizierungsverfahren [1]. Das wichtigste Protokoll für die Implementierung von VPNs ist mittlerweile IPSec, allerdings ist es auch das komplexeste. Mit Hilfe von IPSec lassen sich nicht nur komplette Unternehmensnetzwerke über das Internet koppeln, auch mobile Benutzer können sich darüber mit dem Mail- und Datenbank-Server in der Firma verbinden.

Weiter unter: http://www.heise.de/security/artikel/52767

GRs Jürg

Interessanter Artikel. Allerdings wird immer von der Annahme ausgegangen, dass sämtliche Komponenten "weak" sind. So lässt sich z.B. mit Cain und Abel oder LC5 kein komplexes Passwort innerhalb einiger Tage knacken. Schon mein Versuch das Passwort = P@ssw0rd zu knacken habe ich nach 3 Tagen aufgegeben.

Es reicht halt häufig, dass EINE Komponente "weak" ist. Oft ist es auch so, dass es bei der Firma nicht bei einer bleibt, sondern noch weitere Punkte dazukommen.
Wie häufig treffe ich an, dass "123abc", "tt" oder "geheim" nicht nur als Passwörter von Usern, sondern auch als Adminpassword beim Server verwendet werden!

Ich richte oft einen Dienst (für unsere Software) an Servern ein. Dabei ist immer ein Admin bei mir und meldet sich am Server an; ich drehe mich, während er tippt generell immer von ihm weg, sodass die Möglichkeit das Passwort mitzubekommen auch gar nicht existiert.
Viele sind dann aber irritiert und fragen mich, warum ich mich zur Seite drehe, schliesslich sei das Adminpasswort in der Firma so gut wie jedem bekannt. "Die müssen ab und zu an den Server, um ihn bei Bedarf neu starten zu können. Falls sie das Passwort nochmal benötigen, es lautet "love"."

Mich schauderts!

bis bald
Kermit

love??? geheim??? was kommt als nächstes Gott??? das sollen laut dem Film HACKERS ja die meist benutzten Passwörter sein naja, frag mich natürlich auch stäntid warum die User so nachlässig mit solchen sachen umgehen! eine Schulung bringt da auch nichts mehr! Und schliesslich ist eine Kette immer nur so stark wie das schwächste glied, in diesem fal der User! Die grösste sicherheitslücke an einem System ist meinermeinung nach immer noch der User und seine nicht sonderlich gut gewählten Passwörter! aber ja...

Das erinnert mich doch an was, was mir mal jemand gesagt hat:

Der grösste Fehler eines Computers ist zwischen Tastatur und Stuhl.

Aber mal ehrlich: Wozu braucht man überhaupt VPN? Wenn man in der Firma richtig plant, nimmt man alle Dokumente schon von beginn an mit nach Hause.

Als ich damals frisch meine Stelle als Netzwerkverwalter angetreten habe, da hab ich so ziemlich als erstes das bestehende VPN dermassen manipuliert, dass der Zugriff immer langsamer wurde, bis ich irgendwann abgeschalten habe.

Der Admin muss nicht den Wünschen der Nutzer gleichkommen, sondern die Nutzer erziehen! Wenn mir ein Nutzer ein Dokument ins falsche Verzeichnis speichert, wird es gelöscht! Da lernt sogar die sturste Chefsekretärin richtig abspeichern... (Ich hab ihr ein 60-Seitiges Protokoll, das sie aus Faulheit in der Root abgespeichert hat, gelöscht. Seit dem konnte sie auf einmal richtig ihren Mist ablegen!?!)

Ich weiss nicht ob du es mit dieser Einstellung weit bringst.

Unsere Außendienstler wären verloren ohne VPN ( bei manchen ists sowieso vergeblich ..... )

@ DarkAngel

in meiner Abteilung wärst Du schon geschichte, bist vielleicht im falschen Beruf

@DarkAngel
Darf ich dich mal fragen welche Aus-,Weiterbildung Du absolviert hast?

Ich hoffe für dich dein Chef findet nie das ib und liest diesen Thread.

grz zer00

@DarkAngel
Du hast in deinem Posting doch hoffentlich die Ironie oder Joke-Tags vergessen, oder lieg ich da falsch?

bis bald
Kermit

@darkangel:

administration ist nicht selbstzweck. wir it-ler müssen zuallererst dienstleistung bieten. wir sind da um probleme zu lösen, nicht um mitarbeiter zu erziehen. das musst du schon technisch lösen, das die liebe sekretärin ihre dokumente nicht in den root speichert. deshalb bist du ja der admin. nur weil du offenbar nicht die fähigkeit hast, gekonnt deine maschinen zu administrieren, muss deshalb nicht der user darunter leiden.

tja, darkangel, wenn du bei mir arbeiten würdest, wärst du jetzt wohl gefeuert...

vielleicht versuchst du es mal in einer anderen branche, hausabwart oder strassenwischer wären eventuell geeignet...

gruss, merlin

Das ist genau der Wundepunkt an der ganzen Sache! Als Informatiker hast du dich verpflichtet Dienstleistungen zu erbringen und nicht sie zu fordern. Am Schluss geht es nur um das Wohl des Users. Jedoch kann man mit reden schon einiges bewerkstelligen. Bsp. dass im AD alle 3 Monate die User aufgefordert werden das Passwort zu ändern usw.

Das ist keine "Einstellung" sondern eher "Erfahrung". Ich habe 5 Jahre lang die IT eines amerikanischen Grosskonzerns geschmissen, und doch das ein- oder andere erlebt.

Ich weiss, dass Ihr das nicht versteht, aber ich werde nie mit der europäischen Mentalität zusammen arbeiten.

Der einzige Grund, warum ich wieder hier bin, ist, dass ich abgeschoben wurde... Naja das ist nebensache.

Vielleicht ist hier auch ein bisschen Verbitterung im Spiel...

@Trainer
Naja ich weiss es nicht. Sooo schlimm bin ich auch nicht (mehr)

@Wolfen
Zum 1. Teil: OK 1:0 für Dich, wir hatten keine Aussendienstler, nur verwönte Manager
Zum 2. Teil: Ich denke nicht, dass ich unter einer anderen IT-Fachperson arbeiten könnte (Während meiner ganzen "Karriere" auf der IT hatte ich nur einen technischen Chef, und der hat aus verzweiflung gekündigt)

@zer00
Weiterbildung: noch keine, in Ausbildung
Ausbildung: habe während meines USA-Aufenthalts studiert, musste aber das Studium unterbrechen, wegen meiner Ausweisung. In der Schweiz hab ich eine Leere als Schwachstrom-Fachkraft (Elekroniker/in) gemacht, und auch mal bestanden. Hab ne Zeit lang in der Autobranche unter dem Auto gearbeitet. Mal n C64 gekauft, Basic und ASM gelernt, dann nen PC gekauft, Delphi gelernt, angefangen mit Linux zu arbeiten, C gelernt, kurz zur Fachhochschule, mit Java rumgeschlagen, dann ein Job in den USA bekommen und übergesiedelt (Vitamin B). Dort für einen grossen Konzern gearbeitet in der IT-Führung, nebenbei eine IT-Firma aufgebaut, mich mit DEC, HP PARISC und AS/400 beschäftigt, Firma verkauft (Die ist letztes jahr pleite gegangen), ein Jahr später ausgewiesen, weil ich mich nicht als Einwanderer gemolden habe. Seit drei Jahren hier und arbeitslos (arbeite nebenbei in einer kleinen Softwarefirma), und erst in 2 Jahren darf ich wieder in die USA einreisen.

@kermit
Wie gesagt, so schlimm bin ich nicht...

@merlin
Das hat nicht mir einer angespielten Unfähigkeit zu tun. Ich will die Kontrolle über die Nutzer haben, nicht die Nutzer über mich. Und als guter Admin muss man die Balance zwischen erziehen und dienstleisten finden. Und das hat ganz gut geklappt. Und dass Du mich als