November 7th, 2007 by Ruediger
Nach langem Überlegen habe ich sie mir endlich gekauft: Die SSL-VPN-Appliance für Zuhause. Was bringt es? Sicherer, verschlüsselter Zugriff von extern auf die Ressourcen (z. B. NAS) im privaten LAN- von überall, von jedem PC. Keine Fast keine Software-Installation (sprich: keinen IPSec-Client), etc. Braucht man es unbedingt? Nein, aber es vereinfacht sehr vieles… Grund genug, mir in meinem Urlaub das Thema SSL-VPN genauer anzusehen.
Grundsätzlich: Was ist ein VPN? Ein VPN (Virtual Private Network) ist ein Netzwerk, um private Daten SICHER über ein öffentliches Netz (z. B. Internet) zu übertragen. Mit “sicher” ist hier der Schutz vor Mitlesen und/oder Ändern der Daten durch Dritte gemeint, nicht sicher im Sinne von garantierter Zustellung (so wird “sicher” im Zusammenhang mit TCP interpretiert). VPNs kann man grundsätzlich in die drei Arten Site-to-Site, End-to-Site und End-to-End unterteilen. Ein Site-to-Site-Tunnel wird meist zwischen 2 Firmenfirewalls aufgebaut, ein End-to-Site, oder auch Mobile-Tunnel, wird von einem mobilen Endgerät zu einem festen Endgerät (Initiator ist zwingend der Mobile User) aufgebaut. Einfaches Beispiel für einen End-to-End-Tunnel ist SSH.
Die Grafik zeigt ein Site-to-Site-VPN zwischen 2 Firmen und deren Kommunikation:
Die folgende Grafik zeigt einen Mobile-User, der sich mit dem Firmennetz oder einem Heimnetzwerk mit einem Mobile-Client verbindet:
IPSec ist Stand der Dinge, wenn es um VPN geht. Ursprünglich (vor mittlerweile fast 8 Jahren) entwickelt mit den Hauptzielen Vertraulichkeit, Authentizität und Integrität, ist es seit Jahren der De facto-Standart für Site-to-Site-Tunnel. IPSec hat allerdings Schwächen im Hinblick auf Mobile-User (Benutzer, die mithilfe von VPN-Clients arbeiten), die ins Netz möchten. Um als Mobile-user eine Verbindung ins Firmen-/Home-LAN zu bekommen, sind mehrere Dinge erforderlich:
- Auf dem Mobilen Gerät muss ein VPN-Client installiert sein bzw. der Benutzer benötigt Admin-Rechte, um ihn selbst zu installieren.
- Die Personal Firewall auf dem Client muss IPSec-Pakete durchlassen (z. B. UDP 500, ESP, AH), bzw. der Benutzer hat wiederum das Recht, diese Regeln anzupassen.
- Jegliche sonstige Firewall (z. B. Firmefirewall oder Internet-Cafe) zwischen Mobile-User und Ziel-Firewall lässt die soeben genannten Protokolle und Ports ebenfalls durch.
Wenn diese Voraussetzungen alle erfüllt sind, kann der Mobile User einen transparenten Tunnel aufbauen und kann somit Vollzugriff auf das LAN (fast ohne Einschränkungen) bekommen. Aufgrund dieser notwendigen Voraussetzungen kommt seit einiger Zeit SSL-VPN immer mehr ins Gespräch. Auch SSL-VPN baut einen Tunnel zwischen 2 Kommunikationspartnern auf, der verschlüsselt wird. Ein großer Vorteil von SSL-VPN liegt in der Verwendung von TCP Port 443 (HTTPS) zur Kommunikation. Port 443 wird auch bei vielen Webseiten verwendet, ist ein gängiges Protokoll und ist daher auf den meisten Firewalls erlaubt (Personal Firewalls wie auch Firmenfirewalls). Alleine aus diesem Grund ist Punkt 2 und Punkt 3 der oben genannten Liste weitgehendst hinfällig.
Details zu SSL-VPN und der Sonicwall im nächsten Teil.
Tags bei Technorati: ipsec, sonicwall, ssl, ssl-vpn, vpn
November 5th, 2007 by Ruediger
Nachdem ich die letzten 3 Nächte meinen v-server neu aufgesetzt habe und meine Blog- und Galleriesoftware neu hochgezogen habe, ist das jetzt soweit abgeschlossen. Ich habe mein altes Coppermine rausgeschmissen und die Bilder ebenfalls in Wordpress auf einer site hinterlegt. Es hat mich schon immer gestört, dass ich (für diese paar Fotos) eine eigene Software verwende. Jetzt werde ich noch an ein paar Kleinigkeiten rumschrauben.
