Er hat es leider nicht verstanden…
Endkommentar:
Ich danke für das Feedback bzgl. Fritzbox, leider unterstützt meine VPN nicht.
Anyway…
Es könnte eine sehr interessante Diskussion über den Sinn, Unsinn und Notwendigkeit von SSL sein. Doch ich gebe zu, dass dies hier Off-Topic ist und erkenne an, dass ich gegen die breite Front, die diese Diskussion nicht wünscht, nicht ankomme.
Damit lasse ich euch in Ruhe 
Man kann doch auch ohne Unterstützung des Routers VPN nutzen. Ist dann halt PPTP-VPN, aber (einigermaßen) sicher sollte es trotzdem sein. Dafür brauchst Du nur den UDP-Port 500 weiterleiten.
So mach ich´s.
Ich finde auch das SSL einfach fehlt, weil es eben sicherer macht. Von den Entwicklern kann da halt keiner was für.
Abgesehen davon würde ich mein IPS Webfront niemals direkt ins Internet weiterleiten, ob mit SSL oder ohne. Hier führt der Weg nur über VPN. Dafür gibt es recht feine Firewall Distributionen die ich euch wärmstens empfehlen kann. Ich habe dafür PFSense auf einer Firewall Appliance am laufen, funktioniert perfekt!
Für Browser basiertes VPN setze ich OpenVPN-ALS (vormals Adito) ein, welches ebenfalls ordentlich seine Dienste verrichtet und auf Java basiert.
Du aber auch nicht …
SSL is in Arbeit … und wird es irgendwann als Update geben. Ist ja schön wenn du darüber diskutieren möchtest, aber auf welcher Grundlage??? SSL kommt … wo gibt es da etwas zu meckern oder diskutieren?
Wenn du generell über SSL diskurieren möchtest, dann mach doch einen extra Thread dazu auf und gib anderen Lesern nicht das Gefühl iFront würde niemals SSL unterstützen!
Und wenn du eine 7140 hast, dann kann die VPN … möglicherweise mußt du aber erst mal die Firmware anpassen.
Aber wer nicht will, dem ist auch nicht zu helfen …
… da viele großen Hersteller (darunter Cisco) ihre VPN-Lösungen von PPTP bzw. L2TP auf SSL umstellen (SSL-VPN), hast du demnächst ein Henne-Ei-Problem :rolleyes: …
Wenn SSL richtig konfiguriert und implementiert ist (gescheites Zertifikat, usw.), sollte es auch nicht unsicherer sein, als klassisches VPN … die Banken benutzen es ja auch, und da geht es sicherlich um mehr, als bei einem Privatmann das Licht im Flur unberechtigt einzuschalten. Man muss auch immer bedenken, welches Interesse ein potenzieller Hacker (mit großem Aufwand) hat, in deine Hausautomation einzugreifen …
Davon abgesehen, gebe ich Tretrapack vollkommen recht. SSL wird implementiert und dann braucht man über den Grundsatz - ob IPS SSL verwendet oder nicht - eigentlich nicht mehr zu diskutieren. Über die Sicherheit von SSL natürlich schon noch, aber vielleicht im Offtopic-Thread …
Jaja, ich weiß und geb dir vollkommen Recht. Adito zum Beispiel ist ja nichts anderes als SSLVPN. Das SSL sicher ist wenn richtig konfiguriert steht außer Frage. Aber ich will nimmer weiter Off-Topic gehen, wobei es ein spannendes Thema ist 
Vielleicht sollten wir mal einen Bereich für Security schaffen??
Ich kann Hofimax zur zustimmen:
SSL ist in der Mache und kommt. Es bleibt die „Aufregung“, das man es bereits erwartet hätte (hätte ich auch…). Aber ist das die Aufregung Wert? Es kommt, und das ist gut so. Bis dahin halt unsicherer (nur Benutzer/Passwort) oder mit VPN abschirmen.
Um meine Haustür aufzusperren…
Das haben wir doch alle bei SternTV gelernt… kein Einbrecher geht durch die Tür rein… die hebeln in 30 Sek deine Fenster auf
paresy
… mal ohne Mist jetzt: Ich habe eine Balkontür mit „angeblichem“ Sicherheitsschloss. Die Bälger haben den (leider einzigen auffindbaren) Schlüssel verschlampt.
Ich bin nicht vorbestraft und auch kein Hobby-Einbrecher :D, aber nach 15 Minuten Google und 5 Minuten mit nem Popel-Akkuschrauber, nem 8er Bohrer und dem Wissen aus den 15 Minuten Google habe ich als Leie die Tür (nahezu geräuschlos) geknackt! Ich war von mir selbst erschrocken …
Investiert demnach nicht zu viel Zeit und Geld in haarsträubende technische Verschlüsselungs-Systeme, sondern lieber in gescheite „Hardware“ aus „Metall“ 
Ach noch was … ich habe gehört, das SSL demnächst einen neuen Namen bekommt: UFBP (= Universal Firewall Bypass Protocol :D) …
Ich habe jetzt auf Anregung der Beiträge mal ein Standard Windows-XP VPN-Zugang auf meinem Server eingerichtet. Ich weiß ja nicht, wo man da jetzt noch schrauben kann, aber das Ergebnis der Standardeinstellung fand ich erschütternd: Unsichere Verschlüsselungstechnik wegen PPTP, aber noch schlimmer: Im Ergebnis stelle ich dem VPN-Tunnelendpunkt meinen gesamten Server bereit, d.h. wer das VPN-Passwort kennt, der ist auf dem Server drauf. Ohne VPN, also nur mit IPS-Webserver gebe ich nur den Zugriff auf Port 80 bzw. 443 und den dahinter liegenden Service, also IPS preis. Wer diesen Zugang kompromittiert, ok, der kann an meiner Steuerung rumspielen, aber auch nicht viel mehr. Im Falle des Standard-VPN wäre gleich der ganze Server kompromittiert.
Ergo: Da bleibe ich doch lieber bei einem direkten Zugriff auf den IPS-Serverport und warte auf SSL
Alternativ müsste es eine kostenlose VPN-Lösung für XP geben, mit der man einstellen kann, dass nur bestimmte Server-Ports am Endpunkt eines VPN-Tunnels exponiert sind. Ich kenne das von Cisco Firewalls, wo man dies über sogenannte Encryption Domains / ACL steuert. Hat hier jemand Ideen?
Der Vorschlag mit browser-basiertem VPN wird wohl nicht umsetzbar sein, auf dem iPhone oder? Wie soll ich die iFront-App über den Safari-Browser nutzen?
Genau dafür brauchst du dann eine Firewall wie PFSense. Auf dieser kannst du dann genau konfigurieren welche VPN User mit welcher IP wohin dürfen. Kurz gesagt…ist ein relativ umfangreiches Thema. Ich schütze mein ganzes Netzwerk so, ich habe mehrere IP Bereiche, eine DMZ usw…
Sicher, vom technischen Standpunkt aus gesehen, ist dies die richtige Lösung. Dies setzt jedoch ein dediziertes Device voraus, auf dem diese Software läuft. Den Aufwand für Installation und Betrieb mag und kann ich nicht aufbringen.
Gibt es denn keine Software, die man auf einem bestehenden XP-Server installieren und als VPN-Endpunkt (idealerweise IPSEC) für den Zugriff auf einzelne Ports flexibel einrichten kann?
Am liebsten würde ich es auf meiner Fritzbox machen, doch entgegen der Meinung eines früheren Posts läuft auf meiner 7140 kein VPN und es gibt von AVM auch keine Updates mehr. „Jailbreaken“ mag ich meine Fritzbox nicht
Kosten max: 120 - 140€
Leistungsaufnahme: 4-5W
Aufwand: je nach Linux und IP-Kenntnissen
Und: Braucht man nicht auch mal ne Abwechslung zu IPS
Wenn ich bedenke was wir für IPS und dazugehöriger Hardware ausgeben, kommt mir dieser Preis für Security doch sehr gering vor…sollten wir nicht doch einen Security Bereich einrichten, genau für solche Diskussionen? Niemand dafür?
die FritzBox ist da auch eigentlich der richtige Ort dafür. Vielleicht sollest Du überlegen, einfach mal einen Abend kein IPS zu proggen und überstunden auf Arbeit zu machen. Zwischen 2 und 4h Arbeit (je nachdem, wie hoch dein Stundenlohn so ist :: kannst Du Dir dann eine neue FritzBox leisten.
Auf Dauer macht das auf jeden Fall am wenigsten Arbeit. Updates gibt umsonst von AVM und Pflege benötigt das Ding ja eigentlich gar nicht.
Von jeder selbst gebastelten Lösung rate ich eher ab, irgendwann fliegt Dir das um die Ohren. Entweder weil Du nie Updates machst, oder weil Du gerade ein Update gemacht hast und jetzt zum Beispiel das OpenSSL Packet auf dem Linux Rechner nicht mehr mit dem VPN-Server zusammen will, weil irgendeine Ressource im Kernel oder als Modul fehlt …
Dabei bin ich nicht gegen selbst gebastelte Lösungen grundsätzlich. Oft gibt es nicht das, was man haben will als PlugAndPray, dann ist selbst basteln super. Aber VPN ist auf den FritzBoxen mittlerweile so einfach umzusetzen, dass ich keinen Anlass mehr sehe, bei diesem Thema selbst zu basteln …
Da hast Du recht, mir geht es bzgl. Aufwand weniger um die Hardwarekosten sondern um den zeitlichen Aufwand im Sinne von Stunden, die ich nicht habe.
Nur leider bezahlt mein AG die Überstundne nicht
Ja, auch ich denke, ein eigener Forumsbereich für Themen rings um Security wäre schon sinnvoll.
Da hast Du recht, mir geht es bzgl. Aufwand weniger um die Hardwarekosten sondern um den zeitlichen Aufwand im Sinne von Stunden, die ich nicht habe.
Dann spricht nichts gegen eine 7170 welche es in der Bucht ja zu zahlbaren Preisen gibt:D
VPN ist dort in 15-30 Minuten eingerichtet, da es eine fertige Vorlage für die VPNKonfigdatei gibt. Nur noch deine IP, den LAN IP Bereich und Pre-Sharedekey eingeben und fertig.
Selbiges dann noch auf dem Iphone und alles passt. Wobei auch bei der AVM Lösung gibst du dein gesamtes Privates Subnetz frei. Wobei ich mir da bei VPN keinen Kopf mache.
AVM - VPN-Verbindung mit Apple iOS (z.B. iPhone) bzw. Mac OS X zur FRITZ!Box (Client-LAN-Kopplung)
Gruß Philipp
Gibt es denn keine Software, die man auf einem bestehenden XP-Server installieren und als VPN-Endpunkt (idealerweise IPSEC) für den Zugriff auf einzelne Ports flexibel einrichten kann?
… diese Aussage widerspricht deinem Sicherheitsgedanken. Wenn du diesen hohen Securitylevel haben willst, den ich aus deinen Mails entnehmen kann, kommst du um eine DMZ nicht drumherum, da du sonst unterschiedliche Sicherheitsebenen auf ein- und derselben Maschine implementierst.
Die Umsetzung dieses Artikels hat bei mir ca. 2h gedauert … Dann liefen 2 I-Phone und mein MacBook über VPN.
Für OS X empfehle ich IP-Securitas als VPN Lösung (kostenlos und genial). Die in OS X integrierte ist blöd, weil man die VPN Zugänge in jedem Netzwerkprofil neu anlegen muss.