PeterPawn
IPPF-Urgestein
- Mitglied seit
- 10 Mai 2006
- Beiträge
- 15,283
- Punkte für Reaktionen
- 1,755
- Punkte
- 113
Ich würde mich - in Abhängigkeit von den eingestellten/verhandelten Parametern der VPN-Verbindung - noch nicht allzu früh freuen.Ich weiß nicht, ob das schon mal jemandem aufgefallen ist und ob es nur an der FritzBox liegt, aber ich hab mitterweile über 2:30h eine stabile VPN Verbindung mit meinem HTC One auf Android 5.0.2.
Vorsicht, es folgt wieder mal eine "off-topic"-Einlassung/-Meinung, aber immer noch mit Bezug auf diese konkrete Labor-Version, denn die zitierten Einstellungen stammen alle aus dem Image für diese Version.
AVM hat (ob freundlicherweise oder nicht, muß jeder selbst entscheiden) weitere Profile mit einer Schlüssellebensdauer von 8 Stunden in der ipsec.cfg definiert, diese "Sets" hören auf die Namen "LT8h/esp-all-all/ah-none/comp-all/pfs" und "LT8h/esp-all-all/ah-none/comp-all/no-pfs". Solange eines dieser Profile in der FRITZ!Box ausgewählt ist und die Gegenstelle nichts dagegen hat (keine Ahnung, was da bei Android-Geräten Standard ist), bleibt der für eine VPN-Verbindung verwendete Schlüssel also 8 Stunden gültig, unabhängig von der damit bereits verschlüsselten Datenmenge.
Code:
name = "LT8h/esp-all-all/ah-none/comp-all/no-pfs";
comment = "Alle Algorithmen, ohne AH, ohne PFS";
pfs = no;
life_dur_sec = 8h;
life_dur_kb = 0;
proposals {
[...]
}
Code:
[...]
} {
comp = comp_lzjh;
ah = ah_none;
esp {
typ = esp_des;
enc_key_length = 0;
hash = md5;
}
} {
comp = comp_deflate;
ah = ah_none;
esp {
typ = esp_des;
enc_key_length = 0;
hash = md5;
}
} {
comp = comp_none;
ah = ah_none;
esp {
typ = esp_des;
enc_key_length = 0;
hash = md5;
}
}
dann ist das eigentlich nicht mehr richtig lustig. Bleibt also nur noch, auf der Gegenseite entsprechende Gegenmaßnahmen zu treffen ...
Ob und wann AVM diese "LT8h"-Sets jetzt in ihrem VPN-Assistenten automatisch verwendet, will ich gar nicht testen ... der normale Benutzer würde das gar nicht bemerken, solange er nicht die resultierende vpn.cfg (z.B. in einer Export-Datei) überprüft.
Wenn einem aber (im schlechtesten Fall) diese schwache Verschlüsselung über 8 Stunden tatsächlich reicht, ist man auf der "sicheren Seite", wenigstens funktioniert die VPN-Verbindung. :blonk:
Nur so am Rande: Viele der Angriffe auf Verschlüsselung der letzten Zeit, u.a. auch FREAK, basieren auf dem Downgrade einer eigentlich sicher konfigurierten Verbindung (was hier nicht einmal der Fall ist, die Verbindung könnte sicher ausgehandelt werden, sie muß es aber nicht) auf einen leichter angreifbaren Algorithmus. Bei FREAK sogar auf die ehemalig von den USA auch für den Export zugelassenen Verschlüsselungen ... kleiner Hinweis zum Schluß: DES/MD5 gehörte zu den dort zugelassenen Algorithmen, möge sich nun jeder einen eigenen Reim darauf machen (und hoffentlich Konsequenzen ziehen oder wenigstens bei AVM insistieren, solange man die Algorithmen nicht einstellen kann - bei vielen anderen VPN-fähigen Routern eine Basisfunktion).
Die Tatsache, daß man eine VPN-Verbindung aufbaut, sagt leider noch rein gar nichts über deren Sicherheit ... und der alte Slogan: "Besser eine schlechte Verschlüsselung als gar keine ..." kann auch schnell in die falsche Richtung (z.B. nach hinten) losgehen, wenn man sich dieser Randbedingungen gar nicht bewußt ist.