OpenVPN ist doch nicht kompliziert?

Aber für IT-Fremde und Mausschubser ist der Preis "ganz okay" für die "Einstecken und läuft" -Kiste ;-)

Hi Nils,

ich hab bei mir ne ENA am laufen....

ggf. kann dir Michi eine "freischalten" ansonsten könnte ich auch eine in ein "Play V-lan" legen damit du da was "testen" kannst...

Da die ENA jetzt erstmal ganz frisch "geschlüpft" ist gibts dazu aktuell noch keine direkte Info.
Ich denke jedoch dass es wird von Enertex garantiert eine gute Lösung geben wird....
Momentan ist es so dass du über die Webgui einfach ein Firmwareupdate machst und damit ist die "Zauberkiste" aktuell.

Da weiß ich nicht wie der Stand ist, aber ich behaupte mal dass die Jungs von Enertex das Kistchen schon sicher gemacht haben, aber die Frage kann dir Enertex am besten selbst beantworten.

Das ist ja gerade das Problem, wenn es läuft guckt ja keiner mehr. Daher sollte sich sowas automatisch aktualisieren.
EDIT (selbstverständlich NUR mit Sicherheits und nicht mit Feature Updates)
Das hat sogar AVM gemerkt.

Du kannst ja mal deinen ENA gegen https://www.ssllabs.com/ssltest/analyze.html laufen lassen und gucken was das sagt. Falls du da ein "F" für self signed bekommst kannst du das ignorieren. Die anderen Ratings und Warnungen sind aber wichtig.

Heartbleed und Poddle Tests MÜSSEN bestanden sein.

Wenn du die Kiste dafür erst in ein anderes VLAN schieben musst ... dann traust du denen ja wirklich sehr.

Ich trau dem Ding komplett ich wusste ja nicht was du genau von aussen vor hast...

Am besten mal mit Michi darüber sprechen...

Mit den Updates war die Idee dass die ENA selbst ne Mail an den Besitzer schickt dass wichtige Updates zu Verfügung stehen, und man dann per Hand ein Update durchführt. Auto Updates ist noch auf der Roadmap.....

Das weiß man bei den "realen" Angreifern auch nicht, sonst müsste man ja nicht SOO paranoid sein.

Bin net paranoid ich hab bisher den ssl reverese Proxy bisher bei mir nicht am laufen gehabt....

Hi Nils,

hier das Ergebnis von den Test

Hi,

wenn Enertex so was selbst anbietet, kann ich ihnen nur raten hier:

CVE security vulnerability database. Security vulnerabilities, exploits, references and more

ständig den eigenen OEM Stack proaktiv im Auge zu behalten.

Man kann dort auch mit json abfragen --> siehe rotes Fenster.

Also man kann das auch automatisieren.

Viele Erfolg

Tbi

Das ist schön für dich , solange es das Thema Routerzwang gibt, müssen Menschen wie ich die süße, schnuckelige Fritzbox verwenden ....mein Ex Lancom Router setzt Staub an ...

Ansonsten wirklich saubere Lösung mit ENA!

Servus,

ich find das ENA eine sehr gute Lösung weil
- quasi out of the Box eine sichere Lösung für Kunden für den eigenen und Zugriff des Eli/SI Support (unterstellend das man per GA unterschiedliche Zugänge freischalten kann). Das kann auch die Mama bedienen.
- VPN on demand eine geile Sache ist, die bestimmt noch nicht viele selbst probieren konnten. Hatte das mal mit Junipers Junos Pulse. Sehr genial, sobald eine bestimmte IP Range aufgerufen wird, öffnet sich im Hintergrund wieder das VPN. Der Kunde muss nicht drauf achten das er erst das VPN auf und danach wieder zu macht (zieht ja sonst unnötig mehr Akku), geht voll transparent.
- ich für verschiedene Zwecke verschiedene Zugänge realisieren kann über bis zu 4 DynDNS Auflösungen.

Allerdings wären regelmäßige Überprüfungen von Security Experten und entsprechende Updates zwingend. JEDE Lösung hat Lücken, sie müssen nur gefunden werden. Und das werden sie, früher oder später. Dafür muss eine Profi Lösung her die sich kümmert.
Enertex könnte einen (kleinen) Preis für gefundene Lücken ausloben.

cheers
Sepp

du kennst schon die 0-day Preise so im allgemeinen oder?
Es wird ja auch sicherlich kein eigener SSL/TLS Stack sein, sondern warscheinlich einer aus dem BSD lizensierten Bereich.

deshalb schrieb ich 'kleinen', gell :-)

Ich glaube es ist oft auch eine Frage der Implementierung wie die 'sicheren' Elemente dann in der gesamten Lösung wirken. Die tollste Firewall bringt nix wenn jemand an der Seite die Tür auflässt (mitgebrachte WLAN Access etc.) um nur ein Beispiel zu nennen.

Vielen (nicht Security Experten) wäre geholfen mit einer einfachen, sicheren Lösung die auch vernünftig betreibbar ist. Die Alternative sind (außer bei den Profis oder sehr engagierten) dann offene Ports und Elis etc. die jederzeit zugreifen können.
Aber wenn jemand was besseres für eine breitere Anwendung kennt, dann immer her damit. Ich spar auch gerne 600€.
Derweil werde ich noch mit dem Fritzbox VPN leben und ENA beobachten.

cheers Sepp

Klar, das Hauptproblem wird sicher auf Layer 8 (PEBCAC) zu finden sein.

Mit wildem Portforwarding auf irgendwelche Ports. Nur der Name "Elektronische Netzabwehr" hört sich ähnlich unschön gewählt an wie das CyberAbwehrzentrum unseres Landes. Die wehren nämlich auch rein gar nichts ab.

Da ist man mal eine Nacht nicht online...

Ich sammle mal die Themen und antworte mal gesammelt:

Kosten/RasPI Vergleiche etc
Grundsätzlich darf ja jeder machen, was er will. Was die Kosten und "das kann das RasPI auch" betrifft, kann ich sagen: Natürlich, das kann auch mein Linuxserver oder NAS nebenbei.
Einfach
Die Zielrichtung hier ist aber: Ich will da nicht mit dem VI auf der Konsole rumeiern, Dienste und Pakete installieren müssen, Konfig manuell erstellen.
Das spart sicher alleine mehr als eine Stunde.
KNX Verbindungen
Dann, via KNX Verbindungen freigeben, Status abfragen: Naja dann brauch ich schon mal einen eibd und igrendein Logikskript. Da gehen 16 Verbindungen mit KNX Adressen für EIN/AUS pro User und ONLINE/OFFLINE pro User. Das geht natürlich nicht in "einer Stunde". Weil ich schon Unkenrufen höre: Wir haben keinen eibd sondern eine abgespeckte und speziell konfigurierte EibPC Firmware auf der ENA. Da kann ich dem Kunden oder der Frau auch mal schnell sagen: "Drücken Sie auf der Visu oder auf den Schalter" und nicht etwa "Loggen Sie sich mit dem ADMIN auf der FB ein, Gehen Sie zu Reiter usw. usw". Das ist sicher Luxus, als Profi wird man das zu schätzen wissen.
ON-Demand.
Wir haben ein Programm entwicklet, das die openvpn-Konfiguration vorbereitet. Will man ondemand verbinden, kann man 16 Adressen vorgeben, die das ipHone dann automatisch erkennt, wenn man von extern sich verbinden will. Ich drücke auf meine APP und schon wird der VPN Tunnel automatisch aufgebaut. Luxus halt.
Bei iOS müsste man ohne die ENA mit iTunes und dem iPhone-Konfigurator arbeiten. Bei der ENA macht man mit dem Safari den Webserver der ENA auf, drückt auf iOS Konfig, und das wars (man muss noch die Passwörter des Telephones und einmalig des Zugangs eingeben/kennen). Das spart sicher alleine mehr als eine Stunde,v.a. wenn das zum ersten Mal gemacht wurde
Security
Finde ich auch ein schönes Features. Wenn ich extern mit dem Handy unterwegs bin, surfe ich via ENA und VPN über mein Heimnetzwerk
Update
Definitiv kommt das was und zwar in Kürze. Es soll so gemacht werden, dass die ENA dann eine mail über einen Enertex Zugang schickt. Das würde die Konfig einfach machen, weil nur eine Zieladresse anzugeben ist. Die Alternative des automatischen Updates, wäre auch zu überlegen, aber das disktuieren wir dann im Betabereich.

Wer behauptet, dass er diese ganze Funktionalität beim ersten Mal - selbst wenn er nicht gerade als Linuxneuling gelten mag - in einer Stunde hinkriegt, mit Konsole, VI, iPhone Konfigurator, iTunes etc. : Bitte eine PN an mich...
Ich selbst bin kein IT-Experte, aber wohl Linux-affin, aber ich hätte das nicht geschafft. Und ein prof. KNX SI ist da wohl auch sehr froh, dass es so einfach geht. Ein privater Anwender mit Linuxerfahrung, naja, der könnte es selber machen wollen - Freizeit kostet halt nix und mancher sieht es als Hobby. Der EibPC hat diese Möglichkeit (OpenVPN und KNX) ja schon eingebaut und wesentlich vereinfacht konfigurierbar als z.B. via eibd, Konsole, VPN-Konfig, aber dennoch übertrifft ihm da seine Schwester ENA bei weitem im Einrichtungskomfort, behaupte ich mal.