[OT] Externer Zugriff auf CV: Wie absichern

[greentux]

Tschuldigung.
Dann machs doch. Sowas ist doch allerorten im Netz für den Webserver Deiner Wahl beschrieben.

[ctr]

Zitat von henfri User und Pass kann ich mir merken

Aber nicht nur Du, auch Tante Hilde's Browser-History oder die vom Internetcafe-PC.

(Die Fragestellung ob die komplette URL verschlüsselt wird lautete "niemand in der Mitte". Am Anfangs- und Endpunkt sieht man die URL natürlich im Klartext, ja nach Browsereinstellungen mindestens in der Adresszeile und der History, ggf. auch noch im Cache (wenn nicht für https deaktiviert) und diversen "Sicherheitstools" di als transparenter Proxy / Webfilter arbeiten und dafür ggf. die URL sogar an einen Onlinedienst überträgt um die "Reputation" zu überprüfen...)

Von dieser Variante würde ich explizit abraten...

[henfri]

Zitat von ctr Aber nicht nur Du, auch Tante Hilde's Browser-History oder die vom Internetcafe-PC.

Tante Hilde vertraue ich. Internetcafe: da wird's dann eben ohne PW in der URL gemacht. Ich vermute, dass das sicher ist, oder?

Und was wäre die Alternative im Internetcafe? Zertifikat? OpenSSL? Beides wohl nicht.

Gruß,
Hendrik

[makki]

Zitat von henfri Was spricht also dagegen (ggf. zusätzlich) https vorzukonfigurieren?

Etwas ganz einfaches: es ist komplexer als der gemeine Anwender denkt.
In der Einrichtug (Namen müssen stimmen), in der richtigen Anwendung, im Support und letztlich Fehlerträchtig..
Wenn jemand Zertifikate bei Tante Hilde hinterlässt, verstehen die meisten intuitiv das das dazu führen kann das Tante Hilde eben...

Letztlich ist es aber ja technisch einfach möglich und hier sogar beschrieben, darf ja jeder machen.
Vorkonfiguriert und sicher beisst sich aber da bzw. sprengt ganz einfach den Rahmen bei einem Gerät für 357.- EUR deutlich.. Als individuelle Dienstleistung/Beratung kann man das einkaufen

Makki

[Tru]

Zitat von henfri Was spricht also dagegen (ggf. zusätzlich) https vorzukonfigurieren?

Interessante Diskussion. Gestattet mir, dass ich meine Meinung auch noch einbringe.

Um einen einzelnen Service übers Internet zugänglich zu machen, zumal für Endgeräte ausserhalb meiner Kontrolle, würde ich kein VPN nutzen. Warum sollte ich dafür mein ganzes Netz resp alle Ports öffnen? Bei einem eigenen Endgerät mit umfassender Nutzungsbreite hingegen ist ein VPN das richtige Zugriffsverfahren.

Den direkten Zugriff auf einen internen Webserver übers Internet würde ich keinesfalls zulassen. Vielmehr würd ich einen ReverseProxy mit SSL-Terminierung und Authentisierung davor schalten (z.B ein AP mit OpenWrt und Apache in meinem Fall). Daran können Angreifer dann rütteln ohne dass mein interner Webserver etwas davon merkt. Reicht dafür eine Username/Passwort-Authentisierung nicht aus, könnte man eventuell OneTimePassword mit skey einbinden.

Die Verwendung von Username/Passwort im HTTP(s)-URL ist weder empfehlenswert noch RFC-konform (Für FTP-URL ist es konform). Browser, welche die URL-Eingabe überhaupt akzeptieren, wandeln die Authentisierung in einen Authentication-Header um, welcher im Fall von SSL unterwegs natürlich nicht sichtbar ist.

Gruss, Othmar

[makki]

Sogar auch der Reverse-SSL-Proxy, VPN mit Bridge uvm. ist bereits alles hier im Forum beschrieben: "man kann" ja!
Aber man kann das nicht aufrichtig behaupten, das individuell jedem mit allen Risiken&Nebenwirkungen erklären zu können..

Mein Prinzip als Hersteller ist da: gescheit oder garnicht.

Makki

[luigi4711]

Mal wieder schlechte Nachrichten bzgl. PPTP:

Microsoft warnt vor PPTP und MS-CHAP | heise online

Ist diese Konstellation so auch bei der hier beschriebenen Anleitung gegeben?
Zugegeben, es bedarf immer noch einem gewissen Aufwand und kostet etwas, es müsste jemand also schon absichtlich Interesse an einer bestimmten Person/ Haus haben. Script Kiddies sind noch aussen vor.

[makki]

Weiter zum Thema PPTP hier..

Aber noch ein Wort zur herrlichen Sicherheit und Erklärungsbedürftigkeit von SSL:
- Wie erklärt man dem Anwender, das er zwar immer ein "untrusted" Zertifikat zu bestätigen hat, aber bitte nicht wenns grad ein MITM Angriff ist?
- Oder dem Betreiber/Admin das er mind. alle 2J einen mords-heckmeck machen muss und mid. 100 Steine für das Zertifikat brennen, damit das wirklich sauber ist (Wenn sich dann nicht grad eine von den ach so tollen CA's hat hacken lassen oder eine andere komische Spiele treibt)

Da brauchen wir garnicht über die Sicherheit von PPTP zu diskutieren, mit entsprechendem Aufwand macht der richtige Angreifer das per gängigem Rootkit einfach auf dem PC selbst (deswegen ist der USB-Stick zum booten, wenn mans wirklich ernst meint, bei Tante Hilde garnicht so falsch)

Makki

[henfri]

Hallo,

Zitat von makki - Wie erklärt man dem Anwender, das er zwar immer ein "untrusted" Zertifikat zu bestätigen hat, aber bitte nicht wenns grad ein MITM Angriff ist?

Besteht das Problem bei VPN nicht?

Gruß,
Hendrik

[makki]

Nein, bei OpenVPN (und IPSec was jedoch way to kompliziert ist) weil jedes packerl unabhängig von AuthZ nur verarbeitet wird so die - ich nenne es mal - äussere Signatur stimmt.

Ich zitiere mal aus der OpenVPN-Doku:

Code:

The tls-auth directive adds an additional HMAC signature to all SSL/TLS handshake packets for integrity verification. Any UDP packet not bearing the correct HMAC signature can be dropped without further processing. The tls-auth HMAC signature provides an additional level of security above and beyond that provided by SSL/TLS. It can protect against:

    DoS attacks or port flooding on the OpenVPN UDP port.
    Port scanning to determine which server UDP ports are in a listening state.
    Buffer overflow vulnerabilities in the SSL/TLS implementation.
    SSL/TLS handshake initiations from unauthorized machines (while such handshakes would ultimately fail to authenticate, tls-auth can cut them off at a much earlier point).

Makki