Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 2 subscribers
  • Views 1960 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

PPTP with NAT? Will it cause any security issue?

SHREK
I'm using Astaro 3.217 to handle inbound PPTP connection. Then using NAT to change source: "PPTP-Pool" to "eth0" (internal nic). Such that PPTP clients can connect the internal servers even those internal servers are not using Astaro as their default gateway... (since, there is another gateway is using, and the Astaro machine is under testing!)

But, will it cause any security issue? 

 [:S] 


This thread was automatically locked due to age.
Parents
  • 0
    I think the only issue that you may have is that you are now maquerading all of your PPTP VPNs behind a single IP, so when you are looking at server logs you will never know which VPN client is connecting to a machine, because they will all be using the same IP address.

    Other than that, I do not think you are opening any security holes.  It should not be less secure than allowing your PPTP_Pool to have full access to your internal network.  
  • 0 in reply to Moby
    Is it possible for someone in the internet spoof as a user inside the PPTP-Pool?
     [:S]  
  • 0 in reply to SHREK
    You cannot "spoof" a PPTP user.  You either have the username and password, or you don't.  There is always a chance that someone can figure out a user's password; either because it is a weak password that can be easily guessed, or perhaps just a brute force attack will eventually let someone figure it out.

    That is why I was saying that I do not think that masquerading PPTP connection IPs will cause any more security risk than using PPTP at all.  As I mentioned in the last post, it may reduce your ability to figure out which PPTP pool IPs are connecting to internal servers, but the masquerading itself should not open any security holes (at least not that I can see). 

    Given enough time and effort, someone will always be able to break through your security.  The goal is to make it hard enough that an attacker will move onto someone else that is an easier target.  I'm sorry I can't give a definitive "No.  You are perfectly safe.", but you never know what new attack someone will come up with, and I am by no means an expert at breaking through firewalls.  

    Also, when I said in my previous post that "It is not any more dangerous than letting PPTP_Pool full access to your internal network", I was making the assumption that you would have created a rule allowing PPTP_Pool full access to your internal network.  The masquerading shouldn't allow any access by itself.  I'm sure you had to create a rule allowing "Internal_Interface" access to internal hosts (right?).
Reply
  • 0 in reply to SHREK
    You cannot "spoof" a PPTP user.  You either have the username and password, or you don't.  There is always a chance that someone can figure out a user's password; either because it is a weak password that can be easily guessed, or perhaps just a brute force attack will eventually let someone figure it out.

    That is why I was saying that I do not think that masquerading PPTP connection IPs will cause any more security risk than using PPTP at all.  As I mentioned in the last post, it may reduce your ability to figure out which PPTP pool IPs are connecting to internal servers, but the masquerading itself should not open any security holes (at least not that I can see). 

    Given enough time and effort, someone will always be able to break through your security.  The goal is to make it hard enough that an attacker will move onto someone else that is an easier target.  I'm sorry I can't give a definitive "No.  You are perfectly safe.", but you never know what new attack someone will come up with, and I am by no means an expert at breaking through firewalls.  

    Also, when I said in my previous post that "It is not any more dangerous than letting PPTP_Pool full access to your internal network", I was making the assumption that you would have created a rule allowing PPTP_Pool full access to your internal network.  The masquerading shouldn't allow any access by itself.  I'm sure you had to create a rule allowing "Internal_Interface" access to internal hosts (right?).
Children
  • 0 in reply to Moby
       Thanks for your valuable comments and suggestions.
    But… the last paragraph, I don’t quite understand…
    Since, I have a rule like this:

    Rules
    =====
    From: PPTP-Pool
    Service: Any 
    To (Server): eth0_Network__

    NAT rule
    ========
    Source: PPTP-Pool 
    Destination: eth0_Network__ 
    Service: No match
    Change source to: eth0_Interface__

     [:S]  
  • 0 in reply to SHREK
    Personally, I'd only allow the services you need from PPTP connections through to your internal network. Multiple layers of security and all that.

    Cheers,

    Karl 
  • 0 in reply to SHREK
    Sorry about the confusion.  I think I was over-explaining my thoughts.

    Like kd suggested, you can make the VPNs more secure by only allowing the PPTP_Pool to the specific servers and ports it needs to access.  That way if someone does manage to guess a password and connect through a VPN they won't have complete open access to your network.  Doing this may require multiple rules.

    I do not use Astaro 3.2, so I can't test the exact behavior when using this NAT, but I do not think this should cause you any security problems.    
  • 0 in reply to Moby
    I don't (yet) have it configured on my 4.002 box, but I used it on 3.2 with no problems. Basically, PPTP from an XP client through to the PPTP Pool, which in turn could access a restricted set of services on either the main internal network, or more often the dmz. IIRC, I had to additional rules to allow traffic between the different PPTP clients. I used the PPTP connectivity in order to put a collection of friends together on the same network for a gaming session, but had to create a rule so they could see each other.....

    Cheers,

    Karl