Hackerboard WikiHaboBlog

[HaBo]

 
(In)security allgemein Sicherheit, Anonymität im Netz. Schutz und Maßnahmen. Prävention und Konzepte. Sicherheitsarchitekturen allgemein und auf der Netzwerkebene.

IPSEC vs. SSL/TLS

Diskussion: IPSEC vs. SSL/TLS im Forum (In)security allgemein, in der Kategorie Security Area; hi leute, wie der titel schon sagt, ich suche vergleiche, vor- und nachteile der jeweiligen lösung, praxiserfahrungen etc. leider findet ...
Antwort
Themen-Optionen Ansicht
   
Alt 25.02.10, 10:55   #1 (permalink)
 
Registriert seit: 17.12.09
nimrod Leistung: Facit NTK
Likes: 0
Standard IPSEC vs. SSL/TLS


hi leute,
wie der titel schon sagt, ich suche vergleiche, vor- und nachteile der jeweiligen lösung, praxiserfahrungen etc.
leider findet sich im internet kaum eine direkte gegenüberstellung.
bin über jeden link, dokumente usw dankbar.

mfg

nimrod

nimrod ist offline   Mit Zitat antworten
Alt 25.02.10, 11:28   #2 (permalink)
 
Benutzerbild von Dresko
 
Registriert seit: 30.01.10
Dresko Leistung: 8086Dresko Leistung: 8086
Likes: 1
Standard
Du wirst keinen direkten Vergleich finden, da IPSec und SSL/TLS grundsätzlich anders arbeiten und daher auch für verschieden Zwecke eingesetzt werden.

SSL/TLS arbeitet auf Layer 6 und ummantelt dabei quasi das eigentliche Anwendungs-Protokoll (HTTP z.B.), während IPSec viel weiter unten ansetzt (Layer 3) und quasi das IP-Protokoll um Sicherheitsfunktionen erweitert.

http://de.wikipedia.org/wiki/Transport_Layer_Security
http://de.wikipedia.org/wiki/IPsec
__________________
Programming today is a race between software engineers striving to build bigger and better idiot-proof programs, and the Universe trying to produce bigger and better idiots. So far, the Universe is winning.
- Rick Cook -
Dresko ist offline   Mit Zitat antworten
   
HaBOT
 

Werbung ist gerade online    
Alt 25.02.10, 12:35   #3 (permalink)
Themenstarter
 
Registriert seit: 17.12.09
nimrod Leistung: Facit NTK
Likes: 0
Standard
ok ich hab mich falsch ausgedrückt.
mir geht es darum das ich die entscheidung finden muss ob ich openvpn oder openswan/strongswan einsetzte. es geht um reinen roadwarriorbetrieb mit windows xp kisten. die unterschiede der protokolle sind mir schon bewusst. nur nicht wie das sich in der praxis auswirkt bezgl. sicherheitslücken usw.
ich hab den shrewsoft vpn client im auge und tendier zu ipsec mit ikev1 aber hätte halt gerne ein paar meinungen von leuten mit mehr erfahrung / wissen. thx
nimrod ist offline   Mit Zitat antworten
Alt 25.02.10, 12:53   #4 (permalink)
 
Benutzerbild von Dresko
 
Registriert seit: 30.01.10
Dresko Leistung: 8086Dresko Leistung: 8086
Likes: 1
Standard
Das kommt auf den speziellen Fall an.
Grundsätzlich ist OpenVPN einfacher einzurichten und zu administrieren. Dafür ist es nicht so flexibel.
IPSec bedeutet mehr Aufwand wegen dem komplexeren Setup. Dafür kannst du damit bspw. ein verteiltes VPN aufziehen, mit mehreren Gateways, zertifikatsbasierender Authentifizierung, usw. IPSec ist da wesentlich flexibler und lässt sich besser anpassen.
Wenn du aber nur einen bzw. mehrere Tunnel von Punkt A zu Punkt B brauchst (z.B. für Notebooks in offenen WLAN's zu schützen), würde ich dir OpenVPN empfehlen, da es einfacher umzusetzen ist.
Von der Sicherheit nehmen/geben sich beide Varianten nicht viel. Der IKE- und SSL-Handshake sind fast identisch und die jeweilige Paketverschlüsselung hängt letzendlich vom gewählten Algorithmus ab. Ansonsten bietet IPSec durch AH und ESP afaik eine bessere Authentizität und höhere Integrität der Daten. Außerdem läuft IPSec im Kernelspace während OpenVPN im Userspace läuft und somit angreifbarer durch andere Programme ist.
__________________
Programming today is a race between software engineers striving to build bigger and better idiot-proof programs, and the Universe trying to produce bigger and better idiots. So far, the Universe is winning.
- Rick Cook -
Geändert von Dresko (25.02.10 um 12:58 Uhr)
Dresko ist offline   Mit Zitat antworten
Alt 25.02.10, 14:15   #5 (permalink)
Themenstarter
 
Registriert seit: 17.12.09
nimrod Leistung: Facit NTK
Likes: 0
Standard
Zitat:
IPSec bedeutet mehr Aufwand wegen dem komplexeren Setup
das schreckt mich erstmal nicht ab
Ich brauch halt ein Gateway das für mehrere Roadwarrior einen Zugang zu einem lokalen Netz herstellt. Früher war anscheinend NAT-T ein Problem bei IPSEC und deshalb wurde oft auf OpenVPN verwiesen (eben weil die Pakete erst ab Layer 6 verändert werden) aber mittlerweile scheint es gut zu funktionieren (UDP encapsulation), ich konnte bei meinen Tests bis jetzt auch keine Probleme feststellen.

Auch meiner Meinung nach ist die Authentizität und Integrität bei IPSEC robuster weil ein komplett neues IP Paket mit dem ursprünglichen IP-Paket als Payload gebildet wird. Aber mir fehlen leider konkrete Beispiele / Angriffsmöglichkeiten im Vergleich zu TLS die das belegen. Sowas such ich den so gut bin ich auch wieder nicht das ich mir das selbst ausmalen könnte.

Läuft IPSEC nicht nur im Kernelspace wenn ich es direkt in den Kernel reinkompiliere, sprich den Kernel neu übersetzte mit den entsprechenden Modulen? Ich dachte immer: Direkt im Kernel: Kernelspace, als Kernelmodul: Userspace.
Danke
nimrod
nimrod ist offline   Mit Zitat antworten
Alt 25.02.10, 14:25   #6 (permalink)
Moderator
 
Registriert seit: 30.06.08
Chromatin Leistung: K 6-3Chromatin Leistung: K 6-3Chromatin Leistung: K 6-3
Likes: 167
Standard
IPSec. Gateway einrichten auf OpenBSD (30 minuten), fertig.
Die Zeiten wo IPSec sehr kompliziert einzurichten war, sind definitiv vorbei.
__________________
Wenn ein Gesetz nicht gerecht ist, dann geht die Gerechtigkeit vor dem Gesetz!

Habo Blog - http://blog.hackerboard.de/
Chromatin ist offline   Mit Zitat antworten
Alt 25.02.10, 14:46   #7 (permalink)
Themenstarter
 
Registriert seit: 17.12.09
nimrod Leistung: Facit NTK
Likes: 0
Standard
Zitat:
Zitat von Chromatin Beitrag anzeigen
IPSec. Gateway einrichten auf OpenBSD (30 minuten), fertig.
Die Zeiten wo IPSec sehr kompliziert einzurichten war, sind definitiv vorbei.
Jap so kommts mir auch vor. Aber ich brauche Fakten.
nimrod ist offline   Mit Zitat antworten
Alt 25.02.10, 16:07   #8 (permalink)
 
Benutzerbild von Dresko
 
Registriert seit: 30.01.10
Dresko Leistung: 8086Dresko Leistung: 8086
Likes: 1
Standard
Zitat:
Zitat von nimrod Beitrag anzeigen
das schreckt mich erstmal nicht ab
Ich brauch halt ein Gateway das für mehrere Roadwarrior einen Zugang zu einem lokalen Netz herstellt. Früher war anscheinend NAT-T ein Problem bei IPSEC und deshalb wurde oft auf OpenVPN verwiesen (eben weil die Pakete erst ab Layer 6 verändert werden) aber mittlerweile scheint es gut zu funktionieren (UDP encapsulation), ich konnte bei meinen Tests bis jetzt auch keine Probleme feststellen.

Auch meiner Meinung nach ist die Authentizität und Integrität bei IPSEC robuster weil ein komplett neues IP Paket mit dem ursprünglichen IP-Paket als Payload gebildet wird. Aber mir fehlen leider konkrete Beispiele / Angriffsmöglichkeiten im Vergleich zu TLS die das belegen. Sowas such ich den so gut bin ich auch wieder nicht das ich mir das selbst ausmalen könnte.
Eine genaue Sicherheitsanalyse von IPSec kann ich dir leider nicht liefern, aber vielleicht hast du diesen Link noch nicht gefunden. Der Bericht stammt allerdings aus dem Jahre 2003.

Zitat:
Läuft IPSEC nicht nur im Kernelspace wenn ich es direkt in den Kernel reinkompiliere, sprich den Kernel neu übersetzte mit den entsprechenden Modulen? Ich dachte immer: Direkt im Kernel: Kernelspace, als Kernelmodul: Userspace.
Alles was in irgendeiner Art und Weise Zugriff auf Hardware brauch, muss im Kontext des Kernels ausgeführt werden, da er als Supervisor einzig dafür die entsprechende Rechte hat. Kernel-Module laufen also grundsätzlich auch im Kernelspace.
Wenn ein Benutzerprogramm, das im Userspace läuft, Interrupts oder Systemaufrufe absetzen muss, wird "einfach" vom Userspace in den Kernelspace gewechselt.
Hier ist das etwas ausführlicher erklärt: http://www.oreilly.de/german/freeboo.../building.html
__________________
Programming today is a race between software engineers striving to build bigger and better idiot-proof programs, and the Universe trying to produce bigger and better idiots. So far, the Universe is winning.
- Rick Cook -
Dresko ist offline   Mit Zitat antworten
Alt 25.02.10, 18:00   #9 (permalink)
Moderator
 
Registriert seit: 30.06.08
Chromatin Leistung: K 6-3Chromatin Leistung: K 6-3Chromatin Leistung: K 6-3
Likes: 167
Standard
Zitat:
Zitat:
Zitat von Chromatin
IPSec. Gateway einrichten auf OpenBSD (30 minuten), fertig.
Die Zeiten wo IPSec sehr kompliziert einzurichten war, sind definitiv vorbei.

Jap so kommts mir auch vor. Aber ich brauche Fakten.
Was die Einrichtung angeht, so muss man das einfach mal aufsetzen und sich selbst ein Bild machen ob man das managen kann/will.

Sicherheitstechnisch ist mir kein Angriff bekannt, auszer die Geschichte mit dem Schluesselaustausch.

Aber fuer deine Zwecke kann ich ein solches OpenBSD Gateway mit beliebigen clients (greenBow, oder windows' native Ipsec implementierung) nur waermstens empfehlen.
__________________
Wenn ein Gesetz nicht gerecht ist, dann geht die Gerechtigkeit vor dem Gesetz!

Habo Blog - http://blog.hackerboard.de/
Chromatin ist offline   Mit Zitat antworten
Alt 26.02.10, 08:17   #10 (permalink)
Themenstarter
 
Registriert seit: 17.12.09
nimrod Leistung: Facit NTK
Likes: 0
Standard
Ich danke euch beiden!
Die Links sind super Dresko.

Ich hab auch noch einen ganz interesanten Link falls es jemanden interesiert.

Internet Key Exchange (IKE) protocol vulnerability risks:
http://www.netlab.tkk.fi/opetus/s383...ari_180504.ppt

Wenn ich noch sowas in Richting TLS find werd ichs auch noch posten.

Natürlich wär ein IPSEC mit ikev2 der Hit aber da gibts leider nur teure kommerzielle Clients für WinXP.



Schönen Freitag
nimrod ist offline   Mit Zitat antworten
Alt 26.02.10, 10:02   #11 (permalink)
Moderator
 
Registriert seit: 30.06.08
Chromatin Leistung: K 6-3Chromatin Leistung: K 6-3Chromatin Leistung: K 6-3
Likes: 167
Standard
Es gibt zusatzsoftware von MS fuer Windows, welche IPSec beinhaltet.
Afaik supportet Windows ab Vista nativ IPSec.
__________________
Wenn ein Gesetz nicht gerecht ist, dann geht die Gerechtigkeit vor dem Gesetz!

Habo Blog - http://blog.hackerboard.de/
Chromatin ist offline   Mit Zitat antworten
Alt 26.02.10, 11:07   #12 (permalink)
Themenstarter
 
Registriert seit: 17.12.09
nimrod Leistung: Facit NTK
Likes: 0
Standard
Zitat:
Zitat von Chromatin Beitrag anzeigen
Es gibt zusatzsoftware von MS fuer Windows, welche IPSec beinhaltet.
Afaik supportet Windows ab Vista nativ IPSec.
Mag sein ich weis von Win7 dass es nativ IPSEC mit IKEv2 supported aber ich brauch ne Lösung für XP.

Bei Windows XP mit Boardmitteln ist IPSEC aber ein ziemliches gefrickel und funktioniert auch nur mit IPSEC over L2TP. Wen ich falsch liege bitte korregiert mich.


Dieser Client macht nen ordentlichen Eindruck und ist bei meinen Tests auch gut gelaufen allerdings nur IKEv1:
http://www.shrew.net/
nimrod ist offline   Mit Zitat antworten
Antwort
   

Werbung ist gerade online    

[HaBo] » Security Area » (In)security allgemein » IPSEC vs. SSL/TLS
« Vorheriges Thema | Nächstes Thema »
Themen-Optionen
Ansicht
Linear-Darstellung Linear-Darstellung

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.
BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks sind aus
Pingbacks sind aus
Refbacks sind aus

Alle Zeitangaben in WEZ +1. Es ist jetzt 07:50 Uhr.
vBulletin® v3.8.7, Copyright ©2000-2012, vBulletin Solutions, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61