Ein neuer VPN-Server muss her !

Zunächst listen wir die Fakten des alten VPN-Servers auf.

Zertifikate sind mit SHA1 signiert.
TLS 1.0 für Control Channel.
Verschlüsselung mit AES-128.
SHA1 (160bit) für HMAC, Digest und Auth (weak).

Und hier der neue VPN-Einwahlserver:

Umstellung auf SHA256-signierte Zertifikate.
Einführung von Perfect Forward Secrecy.
Ausschließlich TLS 1.2-Verschlüsselung für den Control Channel
(DHE-RSA-AES256-GCM-SHA384).
Verschlüsselung Nutzdaten mit AES-256.
Durchgängige Verwendung von SHA256.
Einführung HMAC-„Firewall“
(Eingehende Pakete müssen speziell signiert sein).
Absicherung gegen Man-in-the-Middle-Attacken
(Prüfung Zertifikat-Name und Verwendungszweck).
Wechsel der Verschlüsselung alle 2 Stunden (unterbrechungsfrei).

Umgesetzt wurden die Empfehlungen des BSI (Bundesamt für Sicherheit in der IT)
BSI TR-02102 Kryptographische Verfahren: Empfehlungen und Schlüssellängen
(sodas lt. BSI die Sicherheit der Verschlüsselung bis 2021+ gegeben ist).

Ergänzend wurden die Vorschläge der betterCrypto-Initiative umgesetzt.
(falls sie restriktiver als die BSI-Vorgaben waren).

 

Ein neuer VPN-Server muss her !

Snowden und die NSA-Affaire sind auch an uns nicht spurlos vorübergegangen,
und dabei fiel uns auf:

Unser VPN-Server ist ein wenig in die Jahre gekommen.

Die Hard- und Software ist jetzt über 5 Jahre alt.
Es wurde nie etwas geändert/aktualisiert, weil … es funktioniert ja klaglos.

Allerdings ist auch die Verschlüsselung auf dem Stand von vor 5 Jahren.

In der Zwischenzeit wurden viele kleine Sicherheitslücken/Probleme gefunden,
die in den kryptographischen Algorithmen und Protokollen stecken.

Darum beauftragten wir unser Systemhaus uns einen neuen VPN-Server anzubieten und die Vorteile dazulegen.

Wichtig ist uns dabei:

– Aktuelle Verschlüsselung
– Einfache Clientinstallation (lauffähig unter Windows 7 bis 10)
– Kostengünstige Lösung (durch Verwendung von Open Source Software)
– Energieeffizienz des Servers

( siehe nächster Artikel )

Home

RELAX – Alles andere ist unnötig + uncool !

Fragen, Bitten, Wünsche oder vielleicht Anträge ?
Sie erreichen mich unter RELAX@IllfixIT.de

Die weitere Ausrichtung dieser Webseite ist noch nicht ganz klar….

  • Entweder poste ich hier einige Sucess-Storys
  • Oder ich verkaufe die EMail-Adressen
    ( z.B. IT-, security-, hardware-, …@illfixit.de )
  • Oder ich verkaufe die Domain
  • Oder … Ach … Keine Ahnung

    PS : wellfixit.de sowie willfixit.de gehören auch mir.