sicherer Zugriff übers Internet

Hallo zusammen,

ich habe im Forum gsucht, aber nichts richtiges dazu gefunden.

Ich möchte auf das Webfront übers Interent zugreifen, um von extern die Anlage auch steuern zu können. Via dyndns und entsprechendes forwarding im Router auch alles machbar - aber wie bekomme ich es hin, das der Zugriff von außen auch sicher gegen unwillkommene Besucher geschützt ist und dann das Haus fremdgesteuert wird? Gibt es da eine sichere und zuverlässige Lösung die auch logbar und auswertbar etc. ist?

Danke Euch!
JF

Doppelklick auf Kern Instanzen -> WebInterface WebFront. Dort kannst Du Benutzername/Passwort einstellen, SSL aktivieren und das Logging einschalten.

wenn du einen windows homeserver hast, dann hast du schon ein passendes zertifikat und eine passende url (statt dyndns).

ich habe dazu hier mal eine anleitung gepostet, wie man das in ipsymcon weiterverwendet.

wenn du mein ipshomecontrol nutzt, dann kannst du auch damit die benutzerverwaltung nutzen und individuelle rechte vergeben ;).

Hallo,

Danke für Eure schnellen Antworten. Wie sicher schätzt Ihr die Varianten ein? Da auch sicherheitsrelevante Dinge gesteuert werden sollen (z.B. Türverriegelung) ist es nicht ganz unerheblich evtl. Eindringen zuverlässig abwehren zu können.

Danke EUch!
JF

Mehr als SSL bietet Dir Deine Bank auch nicht. Erstmal muss ja jemand überhaupt Deine Adresse kennen und wissen, auf welchem Port die Webserver-Instanz läuft. Wissen, dass Du überhaupt den Zugang zur Haussteuerung freigegeben hast muss er natürlich auch erstmal. Ich würde als Einbrecher einfach über die gute alte Terrasse kommen.
Im cert-Unterverzeichnis liegen für die jeweiligen WebServer-Instanzen die Zertifikate und Schlüssel, falls Du da was austauschen willst.

Hallo Horst,

logisch, ich würde auch nicht vorm Haust stehen und erstmal versuchen ob es nicht irgendwie übers www per ipsymcon zu öffnen geht.
Ich denke eher an Spassvögel, die durch Portscans o.ä. bemerken was offen ist, und dann sehen wollen was dahinter steckt. Der Spass ist ja sicher auch ganz gut dann ganz willkürlich mit der Anlage herumzuspielen.
Ist die Passwortabfrage des Webfronts gg. Passwortattacken etc. imun?

Danke + Grüße
JF

Die Sicherheit hängt immer von der Wahl von Benutzername und Passwort ab. Unknackbar ist nichts, aber man kann einen Angriff so aufwändig machen, dass er quasi unmöglich wird (computationally infeasible).
Beispiel: Mein Passwort besteht aus zehn Zeichen, bestehend aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen, ich rechne mal mit 76 möglichen Zeichen pro Stelle. Bei geschätzten 20 Anfragen pro Sekunde (zehn IPS-Threads mit je 50ms für Request-Response) braucht man dann 76^10 / 20 Sekunden für die Anfragen, was ca. 10 Mrd. Jahre macht. Selbst, wenn ich von einer Lösung nach der Hälfte der Zeit ausgehe, ist mir das immer noch sicher genug. Und meinen Benutzernamen darfst Du auch noch raten ;).

Hallo,

alleine einem sicheren Passwort würde ich in keinem Fall vertrauen (Zertifikate sind immer besser) und die direkte Weiterleitung von Ports auf eine Windowsmaschine verursachen bei mir auch massive Sicherheitsbedenken. Wenn man das Windows-OS und die WEB-Server-SW nicht ständig auf den neuesten Patchlevel hat, sind erfolgreiche Angriffe vorprogrammiert. Genug gejammert, welche Lösungsansätze gibt es:

Wenn man nur Werte abfargen will, kann man diese vorher mit IPS-Scripten als HTML- oder Grafiken zusammenbauen und zyklisch auf einem dummen WEB-Server hochladen.

Zum Steuern wird es etwas aufwendiger. Relativ sicher ist ein zertifikatsbasierender SSH-Login auf eine Firewall. Durch den SSH-Tunnel kann man dann die unterschiedlichen Protokolle auf verschiedene Ports/IPs weiterleiten. Ich mache das mit der Linux-Firewall IPCOP. der Vorteil liegt darin, dass der i.d.R. anfällige Windowsserver nicht direkt mit dem INet verbunden ist. Nachteil ist, dass man halt sein Zertifikat und Putty von draussen braucht.

Gruss
Icey

Hallo Icey,

da ich Portweiterleitungen auf Windows-Maschinen ebenso skeptisch sehe wie du, läuft auf meinem Linux-Server eine SSL-VPN-Software. Durch das SSL-VPN benötigst Du auf deinem Client-PC nur einen Browser mit Java, weitere software wird nicht benötigt.

Ich nutze die Open-Source-Software OpenVPN ALS - bei meinem letzten Besuch war der Name noch Adito :smiley:

Alles in allem bin ich super zufrieden damit, Du kannst sogar die IPSConsole.exe in ein Paket werfen und bei öffnen einer Verbindung automatisch per Browser downloaden lassen …

Bei Fragen … immer her damit :smiley:

Grüße Andreas

Guten Abend,

genau da habe ich auch meine Sorgen, die Windows Maschine direkt „dem Internet zur Verfügung zu stellen“. Ich glaube da gibt es immer wieder Ansätze die u.U. genutzt werden könnten, sei es aus Spass an der Freude. Nun habe ich aber keinen extra Linux Server, nur meinen Router und dann schon das LAN dran. Was denkt Ihr was am sinnvollsten wäre? Ein Windows Home Server läuft auch - aber auch da habe ich meine Bedenken, besonders den über Windows Live per DynIP einzubinden.

Danke + Grüße
JF

was für einen Router hast Du ???

Die meisten Router können irgendein VPN-Protokoll … da brauchst Du dann aber meinsten eine Software auf dem Client …

Grüße Andreas

ansonsten kann ich noch astaro security linux empfehlen, das ist für ambitionierte admins mit weniger als 10 interne ips für lau (home edition). ssl vpn ist logischerweise mit dabei.

webfilter und spam-/virenschutz ist in der home auch dabei.

und wer angst um seinen server hat, der kann mit dem ips bestimmten verkehr scannen lassen und blocken lassen bei z.b. angriffen auf iis oder apache ;).

p.s.: wenn mehr als 10 adressen verwendet werden (was ja gerade mit vms usw. schnell passieren kann), dan wird nur gewarnt - aber keiner ausgegrenzt :).

Hi JF

Wir haben für den extern geschützen Zugriff auf webfront, ifront etc. für die 2.0 etwas anderes realisiert.

Wir haben dazu eine Webseite mit Login eingerichtet und in den Headern der jeweiligen webfront.php, ifront.php, index.php etc. ein paar Zeilen Quellcode eingefügt.

Diese Header-Anweisungen senden dann Sitzungsinformationen an das Login Script. Erst wenn vom Server ein „OK“ kommt, wird die Datei webfront etc. angezeigt.

Nach einem Login würde der Benutzer z.B. auf

http://[IP-Adresse]:[Port]/webfront.php?a=9c480e0cc7c3dff4821851980c6ab7a0

weitergleitet werden. Der angehängte Parameter „?a=“ ändert sich dabei regelmässig, so dass sicher der Benutzer zwar die URL mit diesem Parameter abspeichern kann, die URL aber nur 60 Minuten lang gültig ist. Sollte der Link abgelaufen sein, erfolgt eine Weiterleitung zurück auf die Loginseite auf dem anderen Server.

Ein Link läuft ab

  • um 0:00 Uhr (Serverzeit),
  • 60 Minuten nach dem Login und
  • wenn sich der Benutzer erneut einloggt.

Die 60 Minuten gelten ganz unabhängig von der Aktivität des Benutzers.

Das heisst, dass der Link auch abläuft, wenn der Benutzer während der gesamten Sitzung aktiv ist (und irgendwelche Einstellungen vornimmt etc.). Nach 60 Minuten müsste sich der User dann grundsätzlich erneut einloggen.

Da das ganze ja für den externen Zugriff gedacht ist haben wir eine 2te Webfront Instanz angelegt, den Ordner unter einem anderen Namen kopiert und die Dateiheader angepasst.

Wer Lust hat es zu testen kann mir eine PM schicken.

wenn man möchte kann man sich das session management drumherum selber bauen. ich habe ins ipshomecontrol sogar ne benutzerverwaltung gebaut wo man sogar usern bestimmte rechte und ansichten geben kann.

ist alles von hand gemacht, sowas könnte man natürlich auch selber bauen und integrieren. ist aber auch entsprechender aufwand.

quellen gibt es aber dazu mehr als genug.

wenn man sich anmeldet wird quasi zugangsdaten geprüft und eine session gestartet. die session wird in nem cookie gespeichert. wenn man nicht „ab oder ummeldet“ wird die session nicht gekillt bzw. session gekillt sowie cookie gelöscht. wenn man wieder zugreift, wird geprüft ob cookie und session noch da sind, dann wird automatisch angemeldet, ansonsten nochmal die anmeldedaten abgefragt.

Das hört sich ja mal mehr als interessant an!! Ich nutze bei mir momentan IPCop und OpenVPN. Der Nachteil an der Sache ist, das ich bei mir in der Firma keinen OpenVPN Client installieren darf. Deswegen keine Verbindung nach Hause. In nem Java Fenster im IExplorer wäre das natürlich möglich, auch für meine anderen User die sich nach Hause verbinden möchten. Das muss ich mir gleich mal anschauen. Gibt doch immer wieder die lässigsten News hier drin, derweil war ich eigentlich wegen etwas ganz anderem hier :wink:

@saerdna76

Hast du für dieses OpenVPN ALS irgendein HowTo benutzt oder Ähnliches? Ich finde ausser dem Downloadlink auch keine Community oder so? Kannst du mir mal zeigen wie dieser Zugang bei dir auf der Website ausschaut? Vielleicht kannst du mir den Link per PN schicken, möchte einfach nur mal die Oberfläche sehen…dank dir!

Hi,

google mal nach den älteren Namen „Adito“ und/oder „SSL-Explorer“. Ich habe mal auf die schnelle folgende interessanten Links gefunden:

http://www.discreetdesign.de/2008/how2-sslexplorer-und-debian-etch/

Installation von Adito (SSL-Explorer) auf CentOS 5.2 | Total Verfriemelt

How to build an SSL VPN appliance, DIY style

Grüße Andreas

Ah, super, danke. Bist wohl ein besserer „Googler“ als ich. Werde mir das mal ansehen, kann sein das ich irgendwann doch noch mal die eine oder andere Frage habe :wink:

Da die Adito SSL-VPN-Appliance auf Java basiert, funktioniert diese auch unter Windoof :stuck_out_tongue: Für eine Anleitung inklusive Installer hier klicken :smiley:

Grüße

Andreas

hier noch 2 sehr interessante Links :smiley:

das offizielle Wiki: openvpn-als

und ein „inoffizielles“: Adito - Amahi
hier gibts es auch den SSL-Explorer Administrators Guide