Re: AW: VPN FreeBSD <--> [whatever]

From: Oliver Brandmueller <ob(at)sauerbruch.evk-koeln.de>
Date: Wed, 26 Jan 2000 08:41:29 +0100 (CET)

Hallochen,

On 25 Jan, Schmalzbauer, Harald wrote:
> als Authentifizierung würde ich keinesfalls die IP-Adresse verwenden,
> da diese sehr leicht zu fälschen ist.

Ja und nein. Ich hatte noch überlegt, ob ich Anführungszeichen drum
setze. Seien es Samba, Pop, Imap, ftp etc. machen alle noch eine
Paßwort-Auth. Wenn man aber nur Connects von best. IP-Adressen (nämlich
internen!) zuläßt, wird ein Angriff schon bei weitem schwerer. Da die
Kiste selbst das Inet-GW ist, kann ich auch recht effektiv mit ipfw
Pakete von außen an diese Ports ausschließen und den Satz an "trusted
IPs" natürlich auch wegfiltern, da die ja nur von intern kommen können.
Wenn die von extern kommen, dann über ein anderes Interface (eben das
VPN-Interface), wo ich dann aber alle anderen IPs abblocke.

Einigen wir uns also auf eine "Vorselektion", OK?

> Ich nutze hier OpenSSH zur Authentifizierung. Läuft perfekt. IPSec
> kenne ich mich zu wenig aus. Für ftp gibt es sftp (FTP in SSH), Samba
> würde sich auch über einen Wrapper lösen lassen. Wie sich allerdings
> Windos Kisten via SMB identifizieren sollten, weiss ich auch nicht.

Klar, ich sagte ja, es gibt für alles möglich natürlich extra Clients.
Aber der Witz an so einem VPN wäre eben, daß ich mit nahezu beliebigen
Clients arbeiten kann und dennoch den Vorteil einer verschlüsselten und
ggf. sogar komprimierten Verbindung genieße. Wie gesagt, wir nehmen mal
einen Windows-Client an: Wenn der Benutzer nicht Netscape oder Outlook
als Mailprogramm benutzen will (die beide IMAP über SSL können),
sondern mir Eudora oder Pegasus oder wie sie heißen mögen arbeiten
will, dann muß ich meine Paßwörter unverschlüsselt durchs Netz blasen.
Schön daß es sftp (auch für Windows???) gibt, aber tausende Benutzer
nehmen eben gerne WSFTP unter Windows. Nicht jedes Terminalprogramm,
daß eine brauchbare Emulation liefert und dabei noch vertretbare
Ressourcen verbraucht bietet ssh unter Windows. Klar, für unsereins
sind das dann eben K.O.-Kriterien für so ein Programm, aber wenn Du
eine sichere Verbindung brauchst (und das vielleicht auch noch unter
Samba!), dann ist der geringste Aufwand sicher, die Sicherheit auf die
Transportebene zu verlagern, anstatt sie bei jedem einzelnen
Progrämmchen über die Protokollebene zu stülpen. (Meine Meinung, ich
weiß, daß viele das anders sehen und akzeptiere das auch). Wenn ich
einem Benutzer jetzt aber für seine Windows-Gurke nur noch einmal
erklären muß, wie er den VPN-Kram einrichtet, dann brauch ich mich
nicht wegen jedes einzelnen Programms, was er benutzen will, mit ihm zu
streiten.

Und bei SMTP-Einlieferung von Mails kann ich mir den whoson-Server mit
gepatchtem imapd ersparen ;)

Gruß, Olli

To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Wed 26 Jan 2000 - 08:45:34 CET

search this site