Re: [OT] Externer Zugriff auf CV: Wie absichern
richtig
-
Hallo,
nur weil ich grade über das Thema gestoplert bin und mir irgendwie eine Info in der ganzen Diskussion fehlt.
Wenn ich ein verschlüsseltes WLAN habe interessiert mich doch die ganze Diskussion nicht, oder?
Das ganze hat doch nur Bedeutung wenn ich irgendeinen Zugang öffne, damit ich aus der Arbeit die Zimmertemperaturen bei mir zu Hause checken kann, richtig?
RenéEinen Kommentar schreiben:
-
Naja, ich auch aber ob das teure und angeblich sichere Zertifikat (wir hatten das Thema jünst..) nun aus USA, Südafrika oder Israel kommt ist IMHO auch schon wurscht.
Korrekterweise müsste man eine eigene CA betrieben, mit offline-Root-CA und Subordinate CA, keys auf Smartcard (machen wir übrigens), das ist nur für normalsterbliche IT-ler und schon garnicht fürs private Smarthome zu bewerkstelligen, daher der Hinweis zu einem praktikablen und fair bezahlbaren Ersatz..
Aber deswegen wird auf dem WG fürs vorinstallierte VPN eine eigene, übrigens beim Kunden erstellte CA betrieben von der wir keine Kopie haben. Wir versuchen es halt Anwendertauglich und trotzdem sicher zu gestalten, wenn man es anders machen will steht einem das frei aber dann muss man echt wissen was man tut damit es sicher bleibt.
MakkiEinen Kommentar schreiben:
-
Es gibt sicherlich auch viele andere Anbieter
Bei IT-Sicherheit und Israel hab ich immer etwas Bedenken.
Aber nun, kann jeder selber entscheiden.Einen Kommentar schreiben:
-
Im Kontext SSL/TLS Zertifikate möchte ich übrigens nochmal https://cert.startcom.org/?lang=de
empfehlen, wenn man es wirklich ernst meint..
MakkiEinen Kommentar schreiben:
-
Genaues zu Man-in-the-Middle bei OpenVPN ist verlässlich hier zu finden.
HOWTO
Im Großen und Ganzen liegt es also daran, welches Zertifikat Du Deinem Server geben würdest henfri.
Makkis Argument ist:
Beim Webserver nimmt man selfsigned und dann meldet der Browser "aaarrrgh, untrusted, und so weiter". Bei OpenVPN kommen Client und Server Zertifikate halt aus der gleichen CA, damit akzeptieren die das gegenseitig.
Du kannst also auch einfach das Root-CA Zertifikat Deiner eigenen CA auch in deinen Browser importieren und er wird nicht meckern und alles ist gut. Im Ergebnis kein großer Unterschied. TLS ist TLS. Da Du jetzt aber nix installieren willst, willst Du vermutlich auch nicht das eigene Root-CA-Cert importieren.
Da hilft dann nur noch, sich ein eigenes Zertifikat bei der CA des geringsten Misstrauens zu holen...Einen Kommentar schreiben:
-
Nein, bei OpenVPN (und IPSec was jedoch way to kompliziert ist) weil jedes packerl unabhängig von AuthZ nur verarbeitet wird so die - ich nenne es mal - äussere Signatur stimmt.
Ich zitiere mal aus der OpenVPN-Doku:
MakkiCode:The tls-auth directive adds an additional HMAC signature to all SSL/TLS handshake packets for integrity verification. Any UDP packet not bearing the correct HMAC signature can be dropped without further processing. The tls-auth HMAC signature provides an additional level of security above and beyond that provided by SSL/TLS. It can protect against: DoS attacks or port flooding on the OpenVPN UDP port. Port scanning to determine which server UDP ports are in a listening state. Buffer overflow vulnerabilities in the SSL/TLS implementation. SSL/TLS handshake initiations from unauthorized machines (while such handshakes would ultimately fail to authenticate, tls-auth can cut them off at a much earlier point).Einen Kommentar schreiben:
-
Einen Kommentar schreiben:
-
Weiter zum Thema PPTP hier..
Aber noch ein Wort zur herrlichen Sicherheit und Erklärungsbedürftigkeit von SSL:
- Wie erklärt man dem Anwender, das er zwar immer ein "untrusted" Zertifikat zu bestätigen hat, aber bitte nicht wenns grad ein MITM Angriff ist?
- Oder dem Betreiber/Admin das er mind. alle 2J einen mords-heckmeck machen muss und mid. 100 Steine für das Zertifikat brennen, damit das wirklich sauber ist (Wenn sich dann nicht grad eine von den ach so tollen CA's hat hacken lassen oder eine andere komische Spiele treibt)
Da brauchen wir garnicht über die Sicherheit von PPTP zu diskutieren, mit entsprechendem Aufwand macht der richtige Angreifer das per gängigem Rootkit einfach auf dem PC selbst (deswegen ist der USB-Stick zum booten, wenn mans wirklich ernst meint, bei Tante Hilde garnicht so falsch)
MakkiEinen Kommentar schreiben:
-
Mal wieder schlechte Nachrichten bzgl. PPTP:
Microsoft warnt vor PPTP und MS-CHAP | heise online
Ist diese Konstellation so auch bei der hier beschriebenen Anleitung gegeben?
Zugegeben, es bedarf immer noch einem gewissen Aufwand und kostet etwas, es müsste jemand also schon absichtlich Interesse an einer bestimmten Person/ Haus haben. Script Kiddies sind noch aussen vor.Einen Kommentar schreiben:
-
Sogar auch der Reverse-SSL-Proxy, VPN mit Bridge uvm. ist bereits alles hier im Forum beschrieben: "man kann" ja!
Aber man kann das nicht aufrichtig behaupten, das individuell jedem mit allen Risiken&Nebenwirkungen erklären zu können..
Mein Prinzip als Hersteller ist da: gescheit oder garnicht.
MakkiEinen Kommentar schreiben:
-
Interessante Diskussion. Gestattet mir, dass ich meine Meinung auch noch einbringe.Zitat von henfri Beitrag anzeigen
Um einen einzelnen Service übers Internet zugänglich zu machen, zumal für Endgeräte ausserhalb meiner Kontrolle, würde ich kein VPN nutzen. Warum sollte ich dafür mein ganzes Netz resp alle Ports öffnen? Bei einem eigenen Endgerät mit umfassender Nutzungsbreite hingegen ist ein VPN das richtige Zugriffsverfahren.
Den direkten Zugriff auf einen internen Webserver übers Internet würde ich keinesfalls zulassen. Vielmehr würd ich einen ReverseProxy mit SSL-Terminierung und Authentisierung davor schalten (z.B ein AP mit OpenWrt und Apache in meinem Fall). Daran können Angreifer dann rütteln ohne dass mein interner Webserver etwas davon merkt. Reicht dafür eine Username/Passwort-Authentisierung nicht aus, könnte man eventuell OneTimePassword mit skey einbinden.
Die Verwendung von Username/Passwort im HTTP(s)-URL ist weder empfehlenswert noch RFC-konform (Für FTP-URL ist es konform). Browser, welche die URL-Eingabe überhaupt akzeptieren, wandeln die Authentisierung in einen Authentication-Header um, welcher im Fall von SSL unterwegs natürlich nicht sichtbar ist.
Gruss, OthmarEinen Kommentar schreiben:
-
Etwas ganz einfaches: es ist komplexer als der gemeine Anwender denkt.Zitat von henfri Beitrag anzeigen
In der Einrichtug (Namen müssen stimmen), in der richtigen Anwendung, im Support und letztlich Fehlerträchtig..
Wenn jemand Zertifikate bei Tante Hilde hinterlässt, verstehen die meisten intuitiv das das dazu führen kann das Tante Hilde eben...
Letztlich ist es aber ja technisch einfach möglich und hier sogar beschrieben, darf ja jeder machen.
Vorkonfiguriert und sicher beisst sich aber da bzw. sprengt ganz einfach den Rahmen bei einem Gerät für 357.- EUR deutlich.. Als individuelle Dienstleistung/Beratung kann man das einkaufen
MakkiEinen Kommentar schreiben:
-
Tante Hilde vertraue ich. Internetcafe: da wird's dann eben ohne PW in der URL gemacht. Ich vermute, dass das sicher ist, oder?Zitat von ctr Beitrag anzeigen
Und was wäre die Alternative im Internetcafe? Zertifikat? OpenSSL? Beides wohl nicht.
Gruß,
HendrikEinen Kommentar schreiben:
-
Aber nicht nur Du, auch Tante Hilde's Browser-History oder die vom Internetcafe-PC.Zitat von henfri Beitrag anzeigen
(Die Fragestellung ob die komplette URL verschlüsselt wird lautete "niemand in der Mitte". Am Anfangs- und Endpunkt sieht man die URL natürlich im Klartext, ja nach Browsereinstellungen mindestens in der Adresszeile und der History, ggf. auch noch im Cache (wenn nicht für https deaktiviert) und diversen "Sicherheitstools" di als transparenter Proxy / Webfilter arbeiten und dafür ggf. die URL sogar an einen Onlinedienst überträgt um die "Reputation" zu überprüfen...)
Von dieser Variante würde ich explizit abraten...Einen Kommentar schreiben:
Einen Kommentar schreiben: