It is currently 30.05.2017 03:32


All times are UTC




Post new topic Reply to topic  [ 9 posts ] 
Author Message
 Post subject: SSL-VPN, IPsec-VPN, PPTP VPN, Remote Access VPN blablabla
PostPosted: 31.05.2006 08:43 
DES
DES

Joined: 31.05.2006 08:26
Posts: 5
Location: Würzburg
Hallo Leute,

ich bin ein absoluter Neuling hier und habe auch schon Bücher gewälzt. Nur irgendwie weiß ich mit einem VPN nicht wirklich was anzufangen. In der Firma, bei der ich gerade arbeite, nutzen die Kollegen den Terminaldienst Client, um angeblich ein VPN einzurichten. Ist das eigentlich ein VPN? In den Büchern steht das immer so schön theoretisch drinnen, aber wirklich praktisch wird dazu kaum etwas gesagt.
Dann was ist eigentlich ein SSL-VPN? Dasselbe wie normales SSL mit https, wie man es vom oninebanking und co. kennt?

Dazu kann man dann noch Remote VPN´s (End-to-Site) einrichten, um von irgendeinen Client (sagen wir mal einen Außendienstler Laptop) auf das Firmennetz zuzugreifen. Ist das nun auch nur ein Terminaldienstclient mit Verschlüsselung?

Extranet VPN (End-to-End) ist dann nur mit einer DMZ möglich, oder wie?

Das Ganze ist so ein Wirrwar und wird dann durch die verschiedenen Bezeichnungen auch nicht besser.

Total gefrustet, Matthias


Top
Offline Profile  
Reply with quote  
 Post subject: Eine kleine Antwort von mir selbst
PostPosted: 31.05.2006 09:44 
DES
DES

Joined: 31.05.2006 08:26
Posts: 5
Location: Würzburg
Also ich habe nochmal recherchiert und bin auf folgenden Artikel gestoßen.
http://www.free-it.org/archiv/talks/pap ... /paper.pdf

Hier wird gesagt, dass SSL/TLS eine Art von VPN ist.

Wie jedoch ein Terminaldienstclient als VPN genutzt werden kann, weiß ich immer noch nicht.

_________________
Matthias


Top
Offline Profile  
Reply with quote  
 Post subject:
PostPosted: 31.05.2006 10:36 
openvpn.eu Admin
openvpn.eu Admin
User avatar

Joined: 23.01.2006 08:05
Posts: 3321
Location: near Vienna
SSL-VPN ist wie du bereits gesagt hast, einfach eine SSL Verbindung die auf TLS basiert. Genauso wie bei Onlinebanking (auch das ist TLS). Da der Browser TLS spricht, kann er damit eine gesicherte Verbindung zum anderen Ende aufbauen und Daten austauschen. TLS alleine macht aber noch kein VPN. Genauso ist nicht jedes VPN TLS-basierend.

VPN-Lösungen gibt es viele:

IPsec: sehr bekannt, oft verwendet in kommerzieller Anwendung. Es ist eine Erweiterung des IP-Stacks, dadurch extrem lowlevel, da es die IP-Pakete direkt modifiziert. Wahrscheinlich das schnellste VPN. Sehr schwer zu konfigurieren für Anfänger. Auch ist es schwer durch NAT-Firewalls durchzubringen. Host<->Net, Host<->Host und Net<->Net

PPTP: Microsofts Standardlösung. Leicht zu konfigurieren (meistens), leicht zu usen als Client. (Bestandteil von Windows ab NT oder so) Schwerer durch NATs durchzubringen, da es das GRE Protokoll verwendet (GRE != IP), es hat keine Ports, daher tun sich NAT-Firewalls schwerer. Host<->Net, Host<->Host, kein Net<->Net

OpenVPN: Open-Source SSL-VPN. Mittelschwer zu konfigurieren, Clients haben so ihre Tücken unter Windows XP SP2. Sollte aber trotzdem klappen. Sowohl ist Paketweiterleitung auf Layer 2 (IP, IPX, ...) als auch Layer 3 (pures IP) möglich. Basiert auf der OpenSSL-Library, daher weitgehend als "sicher" zu bewerten. Alle Algos aus der Lib können verwendet werden zur Verschlüsselung. Host<->Host, Host<->Net, Net<->Net

Was du mit Extranet VPN angesprochen hast ist eine einfache Host <-> Host Verbindung, wo man also nicht in das ferne Netzwerk kommt. Extranet Anwendungen können z.B. für Kunden sein um die aktuellen Bestellungen sehen zu können, oder andere Daten die nicht durchs Internet fliegen sollen.

Ein Terminalclient alleine bringt noch kein VPN, ein VPN ist eine netzwerktechnisch, weitgehend transparente, aber abgesicherte Verbindung zwischen 2 Hosts oder 1 Host und 1 Netzwerk oder 2 Netzwerken.

Oftmals wird der Ausdruck SSL-VPN dazu missbraucht, um einen Terminalserver oder ähnliches (Citrix,...) auf dem TCP Port 443 laufen zu lassen. Dadurch kommt man durch fast alle Proxies durch die normale HTTPS Verbindungen erlauben.
Fakt ist, dass man beliebige Dienste durch Proxies durch verwenden kann, hauptsache Port 443/TCP. Der Proxy sieht keinen Unterschied und kann auch nicht erkennen was SSL ist und was nicht.

_________________
regards,
note
Please take a look at our rules. Besucht mal unsere Wiki !


Top
Offline Profile  
Reply with quote  
 Post subject: Danke
PostPosted: 31.05.2006 15:57 
DES
DES

Joined: 31.05.2006 08:26
Posts: 5
Location: Würzburg
Danke für die verständliche Antwort. :)
Habe jetzt mal einen Kollegen in der Firma gefragt, und er meinte, dass die Remote-Desktop-Verbindungen (RD) bzw. die Terminaldienstclient-Verbindungen (TDC) nur mit einem VPN, der über die Firewalls unserer Firma und der des Kunden eingerichtet wurde, funktionieren.
Also erst VPN zwischen den Firewalls (eine Art Extranet VPN) und dann kann man sich über die RD und TDC verbinden. Wobei das Extranet-VPN erst geöffnet wird, wenn man bedarf hat, also on demand.
Citrix-Server sind auch im Einsatz, die ja auch so etwas ähnliches wie VPN´s sind, aber noch flexibler in den Anwendungmöglichkeiten.
Werde mich da auch mal schlau machen müssen. :idea:
Ist schon erstaunlich, was alles technisch möglich ist. In diesem Bereich sind ja noch lange nicht alle Potenziale ausgeschöpft, denke ich... :!:

_________________
Matthias


Top
Offline Profile  
Reply with quote  
 Post subject:
PostPosted: 08.06.2006 12:08 
DES
DES

Joined: 31.05.2006 08:26
Posts: 5
Location: Würzburg
Hallo,

ich hab nochmal ne dumme Frage. Wenn man einen Client im Netzwerk A einen Zugriff auf einen Webserver in Netzwerk B gewähren möchte, gleichzeitig aber der Webserver (in Netzwerk B) noch einen weiteren Server (z.B. im Netzwerk B) nutzt, um eine weiter Applikation zu starten, wie sollte da am besten den Webserver und Applikationsserver bereitstellen?
Muss man da eine DMZ oder screened subnet nutzen, oder ist das eh immer nur optional?
Host und Server kommunizieren aber über Port 2407 und nicht über 80 oder 443 wie es Client und Webserver tun. Die Kommunikation zum Client (in Netzwerk A) muss demnach auch über Port 2407 möglich gemacht werden. Das ist dann nur mit einem VPN mit Remote Procedure Call möglich?
Oder geht das auch über eine VPN-SSL mit Port 443?

Fragen über Fragen...

_________________
Matthias


Top
Offline Profile  
Reply with quote  
 Post subject:
PostPosted: 08.06.2006 14:05 
openvpn.eu Admin
openvpn.eu Admin
User avatar

Joined: 23.01.2006 08:05
Posts: 3321
Location: near Vienna
Jede erwähnte VPN kann IP-technisch komplett auf den fernen Host zugreifen, also auch jeden Dienst nutzen. Bei OpenVPN kannst du dir sogar aussuchen über welchen Port der Tunnel laufen soll, es ist also sehr flexibel wenn Firewalls im "Weg" stehen.

Was dein Szenario betrifft: Sofern der VPN-Client nur mit dem Webserver arbeiten muss, kannst du den VPN-Server auf den Webserver installieren und von der Firewall weiterleiten. In diesem Fall ist OpenVPN wohl die beste Lösung, aber theoretisch gehts mit jeder nativen VPN-Lösung wie oben erwähnt.
Unter VPN bekommt der VPN-Server und Client eine eigene separate IP Adresse über die sie miteinander kommunizieren können, die Applikation muss lediglich die virutelle IP kennen.

_________________
regards,
note
Please take a look at our rules. Besucht mal unsere Wiki !


Top
Offline Profile  
Reply with quote  
 Post subject: Wo setzt das VPN-Gateway auf?
PostPosted: 13.06.2006 12:43 
DES
DES

Joined: 31.05.2006 08:26
Posts: 5
Location: Würzburg
Hallo,

die vorangegangen Posts waren schon sehr hilfreich, dankeschön!
Jetzt habe ich nur das Problem, dass es ja verschiedene Möglichkeiten gibt, das VPN-Gateway (eigentlich die VPN Software) zu installieren. Manchmal ist es im Router installiert, an der Firewall oder am PC selber. Sind die Mögichkeiten wirklich so variantenreich? Was ist gängig, wenn man einen Client mit einem Netz verbinden will?
Normalerweise ein Remote-VPN-Zugriff, denke ich. Also eine zeitlich begrenzte VPN mit manuellem Einwahlvorgang. Wo ist eigentlich das VPN-Gateway im LAN B, wo der Server steht, installiert?
Am Client ist es natürlich am Rechner selber, oder kann es auch im eigenen LAN (LAN A) an der Firewall installiert werden?
Eine weitere Möglichkeit ist die Installation am Router, wobei ja Firewalls auch oft in Routern installiert sind. Also dann doch wieder die Firewall.
Was ist eigentlich am praktikabelsten für einen Zugriff von einem Client auf 2 Servern in einem anderen Netz?
- Firewall - Firewall VPN (Site to Site oder auch LAN to LAN)
- Client - Firewall VPN (End to Site)
- Client - Server VPN (Server hat wiederum Zugriff auf 2.Server) End to End
- Firewall - Server VPN (Server hat wiederum Zugriff auf 2.Server) gibt´s das überhaupt?

Die Kombinationsmöglichkeiten scheinen hier unendlich zu sein...

_________________
Matthias


Top
Offline Profile  
Reply with quote  
 Post subject:
PostPosted: 13.06.2006 15:13 
openvpn.eu Admin
openvpn.eu Admin
User avatar

Joined: 05.03.2006 15:16
Posts: 962
Location: Nähe Nürnberg
Hallo,

die VPN-Gegenstellen kannst Du rein theoretisch auf jedem PC im LAN installieren. Je nach den Firewall- und Routing-Einstellungen kann dann der Roadwarrior auch auf jeden PC im Server-LAN zugreifen. Anders herum gilt das gleiche. Du kannst quasi auch beide Netzwerke miteinander koppeln, dann können alle PCs in beiden Netzen miteinander "reden".

Vorteilhaft finde ich jedoch, den VPN-Server mit auf der Firewall laufen zu lassen (Zerina mit IPCop). Dann kannst Du dich mit Deinem Roadwarrior dorthin verbinden und mit den PCs im Server-LAN Daten austauschen.

_________________
mein Google+
OpenVPN e.V.
Satzung - Mitglied werden


Top
Offline Profile  
Reply with quote  
 Post subject: SSL VPNs and OpenVPN: A lot of lies and a shred of truth
PostPosted: 16.05.2007 23:10 
AES 192 bit
AES 192 bit
User avatar

Joined: 02.04.2006 10:44
Posts: 101
Hi!
Ich hab hier einen alten aber interessanten Artikel gefunden und wollte ihn einfach mal hier im Forum verewigen und hier in diesem Post denke ich, das es reinpasst.

Thema ist: SSL VPNs and OpenVPN: A lot of lies and a shred of truth
I wanted to write an article on the strengths of OpenVPN, but I just can't get the message out without first talking about the serious insecurities I see in the rest of the SSL Virtual Private Network (VPN) space. The SSL VPN market has blossomed in the last five years in response to dissatisfaction with the traditional VPN technologies, namely the insecure Point-to-Point Tunneling Protocol (PPTP), and the complex and intrusive IP Security (IPsec) standard. SSL VPNs have roared into the VPN space with the claim of high security, ease of use, and robust feature sets that eclipse the existing technologies. Whenever I hear that combination of claims, my brow furrows and I see that it's time to start digging.

..... http://software.newsforge.com/article.p ... &pagenum=1

vielleicht interessierts...
ApPzLaNd


Top
Offline Profile  
Reply with quote  
Display posts from previous:  Sort by  
Post new topic Reply to topic  [ 9 posts ]  Moderator: Moderators

All times are UTC


Who is online

Users browsing this forum: No registered users and 2 guests


You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot post attachments in this forum

Search for:
Jump to:  
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Theme created StylerBB.net