It is currently 20.11.2017 00:07


All times are UTC




Post new topic Reply to topic  [ 11 posts ] 
Author Message
 Post subject: [Sicheres OpenVPN] Firewall nicht vergessen!
PostPosted: 14.09.2006 09:12 
AES 256 bit
AES 256 bit

Joined: 26.07.2006 12:09
Posts: 343
Location: München
Servus, Leute!
Ich lese ziemlich oft hier im Forum, dass manche Benutzer Firewall deaktivieren, um Zeit bei den Einstellungen vom OpenVPN zu sparen. Wie oft habe ich schon gelesen: ".....Firewall habe ich erstmals deaktiviert....."
Das ist doch keine Lösung des Problems!!!
Heute habe ich auf einem russischen Forum gelesen, dass der OpenVPN-Tunnel einer kleinen Software-Firma geknackt wurde, weil der Systemadministrator auch so gedacht hat: "Zuerst deaktiviere ich Firewall und dann, wenn alles richtig läuft, beschäftige ich mich auch mit den Firewalleinstellungen". Und als alles richtig lief, hat er einfach Firewall vergessen.

Also, ein Moderator dieses Forums hat vor kurzem bereits geschrieben, dass es häufig nicht der Tunnel selbst angegriefen wird, sondern die Endpunkte dieses Tunnels. Und Firewalls sind heutzutage einfach unabdingbar für jedes Netzwerk (ob virtuelles oder reeles) und egal, unter welchem Betriebsystem: Linux oder Windows!

100%-ge Sicherheit im Netzwerk ist zwar immernoch eine Utopie, aber man kann die Wahrscheinlichkeit eines Angriffs geringer halten.

_________________
Vivat, Crescat, Floreat SIEMENS!
meine Vorstellung


Top
Offline Profile  
Reply with quote  
 Post subject:
PostPosted: 14.09.2006 09:46 
openvpn.eu Admin
openvpn.eu Admin
User avatar

Joined: 05.03.2006 15:16
Posts: 962
Location: Nähe Nürnberg
Selbstverständlich sind Firewalls ein wichtiges Stück Sicherheit, die man trotz eines Tunnels benötigt.

Daher heißt es auch immer, nur zum testen die FW zu deaktivieren, danach jedoch unbedingt diese wieder aktivieren und richtig zu konfigurieren.

Ich hoffe, dass Netzwerkadministratoren in Betrieben doch genug Ahnung haben was sie da tun.

Wie schon gesagt, die Angriffspunkte liegen selten am Tunnel selbst, sondern an den Endpunkten, daher müssen diese natürlich auch geschützt werden.

Wenn wir schon bei der Sicherheit sind:
Bitte setzt immer Zertifikate ein. Dies ist zwar ein wenig komplizierter zu realisieren, aber die Sicherheit wird es Euch danken. Wenn Ihr nur PresharedKeys einsetzt und ein Angreifer kommt irgendwie in den Besitz von diesen, kann dieser sämtlichen vorher mitprotokollierten Verkehr entschlüsseln !
Auch wenn dieser Verkehr schon vor einem Jahr mitgeschnitten wurde.
Das geht bei Zertifikaten nicht, da sich der Schlüssel ständig erneuert !

Daniel

PS: Ich verschieb das mal unter Generelles, damit das nicht untergeht !

_________________
mein Google+
OpenVPN e.V.
Satzung - Mitglied werden


Top
Offline Profile  
Reply with quote  
 Post subject:
PostPosted: 22.09.2006 15:22 
AES 192 bit
AES 192 bit
User avatar

Joined: 02.04.2006 10:44
Posts: 101
Firewall!!! das Stichwort :o)

Ich bin grad auch auf der Suche nach einer Firewall für den OpenVPN Client.
Wie schützt ihr euren Client bzw den Zugriff des Computers der via OpenVPN Client das Netzwerk nutzt?
Bei Cisco, AT&T, Checkpoint oder oder hat der Client gleichzeitig eine Firewall die den Computer vom restlichen Netzwerk trennt und die nicht deaktiviert werden kann. Gibt es da irgendwelche Überlegungen um den Client direkt wieder einzukapseln fürs verbundene Netzwerk? Hat irgendwer nen Link auf Foren die sich damit beschäftigen?

Schönes WE allen.

ApPzLaNd


Top
Offline Profile  
Reply with quote  
 Post subject:
PostPosted: 22.09.2006 17:27 
openvpn.eu Admin
openvpn.eu Admin
User avatar

Joined: 05.03.2006 15:16
Posts: 962
Location: Nähe Nürnberg
Nunja, die Firewalls die bei diesen Produkten eingesetzt werden, sind ja auch nur Personal Firewalls, dh. im Prinzip hab ich auch nur NAT und die WinXP Firewall im Einsatz.

_________________
mein Google+
OpenVPN e.V.
Satzung - Mitglied werden


Top
Offline Profile  
Reply with quote  
 Post subject:
PostPosted: 22.09.2006 18:14 
openvpn.eu Admin
openvpn.eu Admin
User avatar

Joined: 23.01.2006 08:05
Posts: 3321
Location: near Vienna
NAT ist ne gute "Firewall", sofern man nicht alle Ports weitergeleitet hat (also für den eingehenden Verkehr).

Habe mal den Fehler gemacht und einen frisch aufgesetzten Laptop (WinXP SP1) ins Internet gehängt ohne Firewall/NAT. Nach 5 Minuten haben sich schon die ersten "Zusatzprogramme" installiert. Ich bin garnicht mehr dazu gekommen, das Windows Update zu starten. Die Programme haben sich offenbar über alte Bugs in Windows eingeschlichen und sofort den Internet Explorer hijacked.
Ergebnis: Ich durfte das System nochmals aufsetzen, aber nachdem ich dies gemacht hatte, habe ich vor der Netzwerkkonfiguration SP2 installiert und die Firewall hochgefahren.

Also immer schön auf die Rechner aufpassen sobald es ins Internet geht. Kein Verkehr ohne Schutz. :)

Ein Router mit NAT und WinXP-Firewall ist eigentlich meist ausreichend. Natürlich schützt es nicht davor, dass jemand den Router knackt oder einen weitergeleiteten Port verwendet um ein Programm zu attackieren am Clientrechner. Aber vor den meisten Attacken ist man damit eigentlich geschützt.

_________________
regards,
note
Please take a look at our rules. Besucht mal unsere Wiki !


Top
Offline Profile  
Reply with quote  
 Post subject:
PostPosted: 23.09.2006 08:15 
AES 192 bit
AES 192 bit
User avatar

Joined: 02.04.2006 10:44
Posts: 101
Ok! Anderer Ansatz:
Ich möchte das OpenVPN Unternehmensweit einsetzen. Sobald irgendein anderer Admin mitbekommt das OPENVPN genutzt wird, definiert er unser Netzwerk als "OFFEN" weil es nicht wie andere VPN Produkte (Cisco, Checkpoint) ein Schutzschild um sich und die Verbindung aufbaut und somit "automatisch" dritten, die sich auch in seinem Netzwerk aufhalten, das genutzte Netzwerk "frei" zur Verfügung stellen würde.
Diese Auslegung einer möglichen weiteren Fremdnutzung des Zugangs klingt hart, und deswegen möchte ich diesem Problem aus dem Weg gehen und schon proaktiv dort eine Lösungsansatz finden.
Gibts es Firewalls denen ich Konfigurationen aufzwingen kann beim einloggen die userseitig nicht wieder geöffnet/umgangen werden können? sozusagen mein Gateway wird genutzt und nichts anderes und die Firewall kann nicht deaktiviert werden.
So wie OpenVPN ist finde ich es klasse, das nur genau die IPs/Netzwerk geroutet wird und man immernoch weiter ein anderes nutzen kann - aber genau das ist das (konstruierte) Problem.

Eine Frage noch direkt zum OpenVPN: Wenn ich einem User nur eine gewisse Range im Anmeldescript übertrage, kann er durch Routingeinträge seinerseits noch seine Zugriffe erweitern? Bsp: Ich gebe ihm 1.1.1.0 und er routet noch bei sich 1.1.2.0. Geht sowas?

ApPzLaNd


Top
Offline Profile  
Reply with quote  
 Post subject:
PostPosted: 02.10.2006 10:35 
AES 256 bit
AES 256 bit

Joined: 26.07.2006 12:09
Posts: 343
Location: München
Quote:
Gibts es Firewalls denen ich Konfigurationen aufzwingen kann beim einloggen die userseitig nicht wieder geöffnet/umgangen werden können?

Das macht unter Windows ZoneAlarm. Als Administrator kannst ja auch ZoneAlarm so einstellen, dass der User überhaupt nichts am Firewall ändern kann (ist ja auch logisch)
Unter Linux kenne ich keine Software alternativ zu ZoneAlarm. Nur halt IPTables :)


Quote:
Eine Frage noch direkt zum OpenVPN: Wenn ich einem User nur eine gewisse Range im Anmeldescript übertrage, kann er durch Routingeinträge seinerseits noch seine Zugriffe erweitern? Bsp: Ich gebe ihm 1.1.1.0 und er routet noch bei sich 1.1.2.0. Geht sowas?

Hm. Bin mir nicht so sicher, aber der User ohne Adminrechte kann doch gar keine Route anlegen.

_________________
Vivat, Crescat, Floreat SIEMENS!
meine Vorstellung


Top
Offline Profile  
Reply with quote  
 Post subject:
PostPosted: 03.10.2006 10:18 
AES 192 bit
AES 192 bit
User avatar

Joined: 02.04.2006 10:44
Posts: 101
danke dir ivankoenig für die antwort.

als admin kann ich sicherlich rechte verteilen und unterdrücken, aber ich möchte, wenn mal ein externer, nicht dauerhaft zugeordneter user, das netzwerk betreten soll, meine regeln aufzwingen und nicht solche die er durch sein wissen erweitern kann.

firewall hin oder her wäre die info ob sich der user eigene routen basteln kann sehr interessant. oder ob das was per push dem user zugeordnet ist auch wirklich nur das ist was möglich für ihn bleibt egal was er versucht.
->traum: push von routen. ips mit ports :o)

ApPzLaNd


Top
Offline Profile  
Reply with quote  
 Post subject:
PostPosted: 03.10.2006 12:04 
openvpn.eu Admin
openvpn.eu Admin
User avatar

Joined: 23.01.2006 08:05
Posts: 3321
Location: near Vienna
Ein User kann, wenn er die entsprechenden lokalen Rechte hat, sich selbst Routen zufügen. Wenn du einem User eine gewisse IP pusht, dann kann er diese zwar verändern, aber OpenVPN wird im TUN-Modus nicht mehr reagieren.

Im Endeffekt kann man mit TUN und fixen IPs am Server entsprechende Einschränkungen machen (IP bzw. Ports limitieren, Zeitliche Einschränkungen, ...). Steht sogar im offiziellen HowTo von OpenVPN. 8)

_________________
regards,
note
Please take a look at our rules. Besucht mal unsere Wiki !


Top
Offline Profile  
Reply with quote  
 Post subject:
PostPosted: 03.04.2007 19:15 
AES 192 bit
AES 192 bit
User avatar

Joined: 02.04.2006 10:44
Posts: 101
FirewallPAPI is an open source firewall for Windows 2000 and above. It is a simple utility for filter network traffic.

http://sourceforge.net/projects/firewallpapi/

Hi!
Ich schmeiss mal das Dingen hier in die Runde.
- sehr einfach
- ohne Install

Vielleicht ist es möglich sie mit OPENVPN nach dem Connect zu starten und nachher wieder zu beenden....

->PUR<-

ApPzLaNd


Top
Offline Profile  
Reply with quote  
 Post subject:
PostPosted: 15.04.2007 08:10 
AES 192 bit
AES 192 bit
User avatar

Joined: 02.04.2006 10:44
Posts: 101
If a batch file named xxx_pre.bat exists in the config folder, where
xxx is the same name as an OpenVPN config file, this will be executed
before OpenVPN is launced.

If a batch file named xxx_down.bat exists in the config folder, where
xxx is the same name as an OpenVPN config file, this will be executed
on disconnect, but before the OpenVPN tunnel is closed.

Registry value "show_script_window" controls whether _up, _down and
_pre scripts should execute in the background or in a visible cmd-line
window.


Hi!
Ich hab mir jetzt erstmal geholfen mit einer commonname_pre.bat Datei für die Clients mit folgenden Inhalt die im gleichen .ovpn Ordner liegt.

**********
@echo off
netsh firewall set opmode mode=enable exceptions=disable
exit
**********
Hiermit wird bevor die Verbindung aufgebaut wird die Windows XP Firewall aktiviert und keine Ausnahme mehr zugelassen von außen.
Die FirewallPAPI ist zwar cool, aber versteckt mag ich es doch lieber.

ApPzLaNd


Top
Offline Profile  
Reply with quote  
Display posts from previous:  Sort by  
Post new topic Reply to topic  [ 11 posts ]  Moderator: Moderators

All times are UTC


Who is online

Users browsing this forum: No registered users and 1 guest


You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot post attachments in this forum

Search for:
Jump to:  
cron
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Theme created StylerBB.net