...wie funktioniert VPN...???

[echo]

ola...

ich brüte grade eine lösung aus, wie unserer mitarbeiter von zu hause aus auf einem SQL server zugreifen könne, der in der firma steht.

das problem ist, das der SQL server keine öffentliche IP hat und somit nicht vom internet aus erreichbar ist.

in diesem zusammenhang ist der begriff VPN aufgetaucht, aber ich habe da einige verständnissprobleme.

um einen VPN tunnel zu öffnen müssten doch beide standorte eine öffentliche IP haben - oder...??? unsere firma verfügt über eine standleitung mit einer festen öffentlichen IP, aber der mitarbeiter der sich von zu hause aus im firmennetz anmelden will, bekommt seine (öffentliche) IP vom ISP dynamisch zugewiesen und hat somit immer eine andere.

ist das möglich so einen host einen zugang zu verschaffen, oder ist dies nur dann realisierbar, wenn er immer die gleiche IP hat - und somit auch eine standleitung bräuchte.

unsere firewall im firmennetz würde VPN unterstützen, aber der mitarbeiter von zu hause...???

was wäre an hardware oder software nötig um diesen leuten zugang zu verschaffen...???

wäre VPN der richtige lösungsansatz für das problem...???

gibt es altenativen...???

alo echo...

[DevilDawn]

Ich kenne Momentan nur 2 VPN Lösungen, FreeS/WAN unter Linux und die Kombination Checkpoint FW-1 mit SecuRemote.

FreeS/WAN erlaubt das Szenario Feste IP <-> IP Pool, nennt sich "Road Warrior" IIRC. Aber das ist halt Linux, vermutlich nicht das was du brauchst (wenn auch das, was du willst )

SecuRemote funktioniert Wunderbar auf IP-Basis von jedem Host im Internet ins private LAN. Probleme gibts momentan nur mit NetBIOS over IP und der Domainanmeldung...

[echo]

ola devil...

den SQL server auf Linux aufzusetzen seh ich nicht als das problem, wir sind noch in der "denkerphase" und somit unabhängiger. eine domänenanmeldung wäre wünschenswert...

aber das du ansprichst und mit linux meinst, denke ich ist das gateway ins internet, oder...???

dazu setzten wir eine hardwarefirewall (watchguard)ein, welche, so wie die config aussieht, auch auf linux oder unix aufbaut und einen cisco hardwarerouter ein.

der weg wäre dann folgender:

LAN -> firewall -> cisco router -> internet

auf welcher dieser komponenten müsste dann das VPN eingerichtet werden...???

korregieren muß ich meine obige aussage, das die firewall VPN unterstützen würde -> ich hab das mit DMZ verwechselt und dazu bräuchte ich, lt manual, zwei öffentliche IP's. und die haben wir nicht...

also hier nochmal die frage:

würde der SQL server auf linux ausreichen, oder hat das nichts damit zu tun...???

alo echo...

[DevilDawn]

Das hat nichts damit zu tun. Das Gateway muß in der Lage sein, Ausgehende Packete zu encrypten.

LAN -> GW -> VPN-Tunnel -> GW -> LAN

Natürlich könnte auch der SQL-Server schon das IPSec fahren, die Firewall müßte dann aber IP-Protokoll 50 durchlassen, und vermutlich noch ein paar mehr für die Authentifizierung. Aber das ist alles eine Frage des Routings. Gateway-Gateway Tunnel sind am flexibelsten und erlauben IPSec-Usern das Arbeiten als wenn sie lokal wären.

[Para]

Hi!

Hmm also das mit dem VPN würd ich mir nochmal überlegen. Das ganze ist nämlich recht unsicher, da es standardisiert über das PPTP läuft. Die Daten werden also UNVERSCHLÜSSELT übers Internet übertragen. Natürlich kann man das ganze auch verschlüsselt fahren, aber wenn ich ehrlich bin, kommt mir die ganze Sache noch Recht unausgereift vor. Ausserdem eröffnet ein schlecht konfiguriertes VPN unautorisierten Zugriff zu eurem Intranet.

Wie wärs denn mit einem RAS Zugang auf euren SQL-Server? Den Zugang kannst du eigentlich ziemlich "sicher" einrichten. Jedoch muss dann euer Mitarbeiter immer die Telefongebühren zahlen, wenn er sich einwählt.

Aber ich glaub die Daten in eurer Firma sind doch ein bisschen wichtiger, als die paar Mark die durch den Remote Access entstehen.

[DevilDawn]

Original erstellt von Para:

<STRONG>Hmm also das mit dem VPN würd ich mir nochmal überlegen. Das ganze ist nämlich recht unsicher, da es standardisiert über das PPTP läuft. Die Daten werden also UNVERSCHLÜSSELT übers Internet übertragen.

</STRONG>

PPTP (Point-to-Point Tunneling Protocol) ist, wie der Name sagt, zum Tunneln. VPNs werden immer verschlüsselt gefahren, sonst währen sie Public, nicht Private...

<STRONG>

Natürlich kann man das ganze auch verschlüsselt fahren, aber wenn ich ehrlich bin, kommt mir die ganze Sache noch Recht unausgereift vor. Ausserdem eröffnet ein schlecht konfiguriertes VPN unautorisierten Zugriff zu eurem Intranet.</STRONG>

Ja, eine schlecht Konfigurierte Firewall auch. Also besser keine Firewall? :confused:

<STRONG>

Wie wärs denn mit einem RAS Zugang auf euren SQL-Server? Den Zugang kannst du eigentlich ziemlich "sicher" einrichten. Jedoch muss dann euer Mitarbeiter immer die Telefongebühren zahlen, wenn er sich einwählt.

Aber ich glaub die Daten in eurer Firma sind doch ein bisschen wichtiger, als die paar Mark die durch den Remote Access entstehen.</STRONG>

RAS ist genau das, was die meisten Securitykonzepte aushebelt: Ein Einwahlzugang an der Firewall vorbei. Da muß man weit mehr aufpassen und hat wieder eine zusätzliche Stelle wo Konfiguration nötig ist und Logfiles anfallen.

Snoop mal eine Linux<->Linux IPSec Verbindung mit... da ist nichts zu sehen. Und wenn man sich nicht sicher ist ob man das Konfigurieren kann, läßt man das von Profis machen. Mit Security treibt man keine Witze.

[Para]

Hi Dev,

Jap, du hast schon recht, die Daten werden schon verschlüsselt übertragen. Aber das ganze ist wirklich noch recht unausgereift. Erst wenn sich IPv6 im ganzen Inet etabliert hat, dann greift ISAKMP (IPSEC-Standard). Dann ist auch eine wirklich sichere Verschlüsslung gewährleistet.

Und bevor ich eine Firewall/VPN o.ä. in Betrieb nehme, muss natürlich vorher ein bis ins kleinste Detail ausgearbeitetes Sicherheitskonzept erstellt werden.

Tja, selber wird man sowas als "Amateur" sicher nicht hinbekommen. Also, wie du schon richtig schreibst, muss man da Profis beauftragen. Das hat dann sicher seinen Preis. Aber die Sicherheit sollte immer im Mittelpunkt stehen.

< RAS ist genau das, was die meisten

< Securitykonzepte aushebelt: Ein

< Einwahlzugang an der Firewall vorbei.

Genau richtig Aber es wäre eine Möglichkeit. Evtl. kann man dies ja doch irgendwie recht gut absichern, leider hatte ich bis jetzt mit RAS Zugängen noch nich viel zu tun Z.b. Authorisierung über Benutzer Login und extra noch mit übertragener MSN (kann man doch eigentlich fast nicht mehr faken heutztage oder)?

Also ich muss auch ehrlich sagen, dass das ganze VPN Thema wirklich komplex ist. Und wenn man kaum damit zu tun hat und eigentlich nur theoret. Wissen besitzt, dann kommt einem das ganze manchmal wie ein Buch mit sieben Siegeln vor )

[McL]

hi,

ein wenig lang gedauert aber ich hab zwei links fuer dich

http://aixmita1.urz.uni-heidelberg.de/Netzdienste/modemisdn/vpn/vpnserver.html

http://www.lrz-muenchen.de/services/netz/mobil/vpn/

cu

McL

[Para]

@McL

Da findet man leider nur wie man die Clients konfiguriert. Zum Thema "Wie konfiguriere ich einen VPN-Server" habe ich im Internet leider nix gefunden. Aber empfehlen kann ich die c´t 8/98 und 16/99. Da findet man ein bisschen was zum Thema. U.a. auch FreeS/WAN, was Dev schon mal ansprach.

[JensT]

Mithörschutz

Einrichtung der freien VPN-Lösung FreeS/WAN

praxis

iX 12/00, Seite 161

Linux-Magazin 10/2000

Know-how: VPN mit Linux, Teil 2: Praxis (Teil 1 ?)

mfg

jens

[McL]

Original erstellt von Para:

Jedoch muss dann euer Mitarbeiter immer die Telefongebühren zahlen, wenn er sich einwählt.

ja aber nur zur kurzen einwahl

ich kann ras ja so einrichten, dass er den benutzer zurueckruft und so werden die kosten vom arbeitgeber bezahlt

Original erstellt von Para:

Da findet man leider nur wie man die Clients konfiguriert.

ja, leider aber hier

Original erstellt von echo:

ist das möglich so einen host einen zugang zu verschaffen, oder ist dies nur dann realisierbar, wenn er immer die gleiche IP hat - und somit auch eine standleitung bräuchte.

ging es ja auch um die einwahl der user

werde das thema sehr aufmerksam vervolgen, da bei uns bald eine anbindung der altenheime an der basis bevorsteht und ich mal gespannt bin wie das geloest wird

cu

McL

[ 01. April 2001: Beitrag editiert von: McL ]

[DevilDawn]

Original erstellt von Para:

<STRONG>Erst wenn sich IPv6 im ganzen Inet etabliert hat, dann greift ISAKMP (IPSEC-Standard). Dann ist auch eine wirklich sichere Verschlüsslung gewährleistet.

</STRONG>

Da darf man aber noch ziemlich lange warten

<STRONG>

Tja, selber wird man sowas als "Amateur" sicher nicht hinbekommen. Also, wie du schon richtig schreibst, muss man da Profis beauftragen. Das hat dann sicher seinen Preis. Aber die Sicherheit sollte immer im Mittelpunkt stehen.

</STRONG>

Wenn man das know-how sowieso im Hause braucht sollte man jetzt spätestens damit Anfangen

Ich habe sehr zufriedenstellende Tests mit dem Gespann Linux / FreeS/WAN gemacht (allerdings nicht im "Road Warrior" Modus), war auch nicht übermäßig komplex einzurichten. Die professionellere Lösung (lies: teuer! ) teste ich aktuell gerade: Anmeldung über SecuRemote an eine Checkpoint Firewall-1. Das gibts auch für Windows mit netten grafischen Logon.

<STRONG>

Z.b. Authorisierung über Benutzer Login und extra noch mit übertragener MSN (kann man doch eigentlich fast nicht mehr faken heutztage oder)?

</STRONG>

Wird dann aber auch beliebig kompliziert. Sicher wäre: CLI (Caller Line Identification) und dann Callback auf genau diese Rufnummer. Aber da wird meist der Sinn der Sache zerstört: Einwahl von Mitarbeitern extern unterwegs sind und sich irgendwie über Internet einklinken wollen.

Wie gut das für Unix-Maschinen die gute ssh reicht...

[echo]

ola...

wow - ich muß das ganze erstmal verdauen - ich merk schon, ich hab keinen blassen schimmer...

ein buch wird da wohl abhilfe schaffen - kennt jemand eines...??? so nach dem motto "VPN für dummies"

nein im ernst, ich kann im moment überhaupt nicht meht mitreden...

alo echo...

----------------------------

der zunächst ratlose...

[PSI-X]

http://www.suicidal.de/doc/pruefungen/daniel_kuehne_ap_fisi/projektdoku.pdf

Kuck Dir die mal an, hilft Dir evtl. weiter mit den Basics und den weiterführenden Verweisen.

PSI-X

[McL]

@PSI-X

nicht schlecht! so etwas ist sehr gut um sich mal nen eindruck zu machen.

hab ich vergelich danach gesucht

cu

McL

[echo]

Original erstellt von PSI-X:

<STRONG>http://www.suicidal.de/doc/pruefungen/daniel_kuehne_ap_fisi/projektdoku.pdf

Kuck Dir die mal an, hilft Dir evtl. weiter mit den Basics und den weiterführenden Verweisen.

PSI-X</STRONG>

ola psi-x...

guter link - danke - zumindest weis ich jetzt um was es bei VPN eigendlich geht und einige für mich neue protokolle, die hier schon erwähnt wurden, sind zugeordnet...

das passt...

alo echo...

[ 02. April 2001: Beitrag editiert von: echo ]

[souse]

VPNs werden immer verschlüsselt gefahren, sonst währen sie Public, nicht Private...

ist so nicht ganz richtig:

ipsec nutzt zwei protokolle: ah und esp die zwischen verbindungs und transport-schicht angesiedelt sind.

ah (authentication header) ist wie der name fast sagt nur der authentifizierung dienlich.

vpn's die nur ah nutzen sind durchaus ohne verschlüsselung aber mit authentifizierung zu realisieren, indem man nur ah nutzt und esp ganz weg lässt.

Aber das ganze ist wirklich noch recht unausgereift. Erst wenn sich IPv6 im ganzen Inet etabliert hat, dann greift ISAKMP (IPSEC-Standard). Dann ist auch eine wirklich sichere Verschlüsslung gewährleistet.

da muss ich leider auch wiedersprechen

1. ist es nicht unausgereift sondern funktioniert zumindest mit der software die ich dafür einsetze sauber.

2.Die Verschlüsselung hat nicht direkt Sec und IPv4 bzw. IPv6 zu tun da:

a. IPSec kein Verschlüsselungsalgorithmus ist, sondern lediglich die implementation eines solchen zulässt.

b. IPv6 anders mit IPSec umgeht, da AH und ESP bereist in IPv6 als Erweiterungsheader vorgesehen ist.

ein buch wird da wohl abhilfe schaffen - kennt jemand eines...??? so nach dem motto "VPN für dummies"

IPSec

Der neue Sicherheitsstandard für das Internet, Intranets und virtuelle private Netze. (Informationssicherheit)

Doraswamy, Naganand; Harkins, Dan;

3-8273-1634-0, Addison-Wesley, München, 2000, gebunden

-> ist leider nicht gerade einfach geschrieben, aber danach weisst du mehr über IPSec als du brauchst, um es zu nutzen

[DevilDawn]

<STRONG>ist so nicht ganz richtig:

ipsec nutzt zwei protokolle: ah und esp die zwischen verbindungs und transport-schicht angesiedelt sind.

ah (authentication header) ist wie der name fast sagt nur der authentifizierung dienlich.

vpn's die nur ah nutzen sind durchaus ohne verschlüsselung aber mit authentifizierung zu realisieren, indem man nur ah nutzt und esp ganz weg lässt.

</STRONG>

Ja IPSec erlaubt die Möglichkeit, weil die RFCs ein NULL SA erfordern. Dient eigentlich eher dem Debugging

Aber wenn man nur mit Authentifizierung arbeitet (quasi seine Pakete signiert), ist das rein von der Bezeichnung her kein VPN. VPN != IPSec, Mit IPSec kann man VPNs bilden.

Meines Erachtens wird AH/ESP auch nicht zwischen Schicht 3 und 4 angesiedelt. IPSec erfordert beides, und ist dann als IP-Ersatz/Erweiterung anzusehen, operiert also auf Schicht 3.

[souse]

Meines Erachtens wird AH/ESP auch nicht zwischen Schicht 3 und 4 angesiedelt. IPSec erfordert beides, und ist dann als IP-Ersatz/Erweiterung anzusehen, operiert also auf Schicht 3.

Ersatz auf keinen Fall, da weder ESP noch AH

für die vermittlung von IP-Paketen zuständig ist.

Und mit zwischen den Schichten ist gemeint, dass sich IPSec entsprechend seiner SA's die Pakete vor der TCP-Schicht abgreift und diese nach verarbeitung an eben diese übergibt.

[echo]

ola...

ich versteh nur noch bahnhof :confused: :confused: :confused:

ich hab mir ein buch geholt und lass euch weiter fachsimpeln

alo echo...