Ach noch was … ich habe gehört, das SSL demnächst einen neuen Namen bekommt: UFBP (= Universal Firewall Bypass Protocol :D) …
Ich habe jetzt auf Anregung der Beiträge mal ein Standard Windows-XP VPN-Zugang auf meinem Server eingerichtet. Ich weiß ja nicht, wo man da jetzt noch schrauben kann, aber das Ergebnis der Standardeinstellung fand ich erschütternd: Unsichere Verschlüsselungstechnik wegen PPTP, aber noch schlimmer: Im Ergebnis stelle ich dem VPN-Tunnelendpunkt meinen gesamten Server bereit, d.h. wer das VPN-Passwort kennt, der ist auf dem Server drauf. Ohne VPN, also nur mit IPS-Webserver gebe ich nur den Zugriff auf Port 80 bzw. 443 und den dahinter liegenden Service, also IPS preis. Wer diesen Zugang kompromittiert, ok, der kann an meiner Steuerung rumspielen, aber auch nicht viel mehr. Im Falle des Standard-VPN wäre gleich der ganze Server kompromittiert.
Ergo: Da bleibe ich doch lieber bei einem direkten Zugriff auf den IPS-Serverport und warte auf SSL 
Alternativ müsste es eine kostenlose VPN-Lösung für XP geben, mit der man einstellen kann, dass nur bestimmte Server-Ports am Endpunkt eines VPN-Tunnels exponiert sind. Ich kenne das von Cisco Firewalls, wo man dies über sogenannte Encryption Domains / ACL steuert. Hat hier jemand Ideen?
Der Vorschlag mit browser-basiertem VPN wird wohl nicht umsetzbar sein, auf dem iPhone oder? Wie soll ich die iFront-App über den Safari-Browser nutzen?
Genau dafür brauchst du dann eine Firewall wie PFSense. Auf dieser kannst du dann genau konfigurieren welche VPN User mit welcher IP wohin dürfen. Kurz gesagt…ist ein relativ umfangreiches Thema. Ich schütze mein ganzes Netzwerk so, ich habe mehrere IP Bereiche, eine DMZ usw…
Sicher, vom technischen Standpunkt aus gesehen, ist dies die richtige Lösung. Dies setzt jedoch ein dediziertes Device voraus, auf dem diese Software läuft. Den Aufwand für Installation und Betrieb mag und kann ich nicht aufbringen.
Gibt es denn keine Software, die man auf einem bestehenden XP-Server installieren und als VPN-Endpunkt (idealerweise IPSEC) für den Zugriff auf einzelne Ports flexibel einrichten kann?
Am liebsten würde ich es auf meiner Fritzbox machen, doch entgegen der Meinung eines früheren Posts läuft auf meiner 7140 kein VPN und es gibt von AVM auch keine Updates mehr. „Jailbreaken“ mag ich meine Fritzbox nicht
Kosten max: 120 - 140€
Leistungsaufnahme: 4-5W
Aufwand: je nach Linux und IP-Kenntnissen
Und: Braucht man nicht auch mal ne Abwechslung zu IPS 
Wenn ich bedenke was wir für IPS und dazugehöriger Hardware ausgeben, kommt mir dieser Preis für Security doch sehr gering vor…sollten wir nicht doch einen Security Bereich einrichten, genau für solche Diskussionen? Niemand dafür?
die FritzBox ist da auch eigentlich der richtige Ort dafür. Vielleicht sollest Du überlegen, einfach mal einen Abend kein IPS zu proggen und überstunden auf Arbeit zu machen. Zwischen 2 und 4h Arbeit (je nachdem, wie hoch dein Stundenlohn so ist :: kannst Du Dir dann eine neue FritzBox leisten.
Auf Dauer macht das auf jeden Fall am wenigsten Arbeit. Updates gibt umsonst von AVM und Pflege benötigt das Ding ja eigentlich gar nicht.
Von jeder selbst gebastelten Lösung rate ich eher ab, irgendwann fliegt Dir das um die Ohren. Entweder weil Du nie Updates machst, oder weil Du gerade ein Update gemacht hast und jetzt zum Beispiel das OpenSSL Packet auf dem Linux Rechner nicht mehr mit dem VPN-Server zusammen will, weil irgendeine Ressource im Kernel oder als Modul fehlt …
Dabei bin ich nicht gegen selbst gebastelte Lösungen grundsätzlich. Oft gibt es nicht das, was man haben will als PlugAndPray, dann ist selbst basteln super. Aber VPN ist auf den FritzBoxen mittlerweile so einfach umzusetzen, dass ich keinen Anlass mehr sehe, bei diesem Thema selbst zu basteln …
Da hast Du recht, mir geht es bzgl. Aufwand weniger um die Hardwarekosten sondern um den zeitlichen Aufwand im Sinne von Stunden, die ich nicht habe.
Nur leider bezahlt mein AG die Überstundne nicht
Ja, auch ich denke, ein eigener Forumsbereich für Themen rings um Security wäre schon sinnvoll.
Da hast Du recht, mir geht es bzgl. Aufwand weniger um die Hardwarekosten sondern um den zeitlichen Aufwand im Sinne von Stunden, die ich nicht habe.
Dann spricht nichts gegen eine 7170 welche es in der Bucht ja zu zahlbaren Preisen gibt:D
VPN ist dort in 15-30 Minuten eingerichtet, da es eine fertige Vorlage für die VPNKonfigdatei gibt. Nur noch deine IP, den LAN IP Bereich und Pre-Sharedekey eingeben und fertig.
Selbiges dann noch auf dem Iphone und alles passt. Wobei auch bei der AVM Lösung gibst du dein gesamtes Privates Subnetz frei. Wobei ich mir da bei VPN keinen Kopf mache.
AVM - VPN-Verbindung mit Apple iOS (z.B. iPhone) bzw. Mac OS X zur FRITZ!Box (Client-LAN-Kopplung)
Gruß Philipp
Gibt es denn keine Software, die man auf einem bestehenden XP-Server installieren und als VPN-Endpunkt (idealerweise IPSEC) für den Zugriff auf einzelne Ports flexibel einrichten kann?
… diese Aussage widerspricht deinem Sicherheitsgedanken. Wenn du diesen hohen Securitylevel haben willst, den ich aus deinen Mails entnehmen kann, kommst du um eine DMZ nicht drumherum, da du sonst unterschiedliche Sicherheitsebenen auf ein- und derselben Maschine implementierst.
Die Umsetzung dieses Artikels hat bei mir ca. 2h gedauert … Dann liefen 2 I-Phone und mein MacBook über VPN.
Für OS X empfehle ich IP-Securitas als VPN Lösung (kostenlos und genial). Die in OS X integrierte ist blöd, weil man die VPN Zugänge in jedem Netzwerkprofil neu anlegen muss.
Danke, so werde ich es machen.
Hab zum Thema VPN auch noch eine Frage. Wenn ich das ganze jetzt eingerichtet habe und VPN beim iPhone aktiviere, kann ich dann noch ganz normal über GSM/UMTS/WLAN z.B. im Internet surfen oder bin ich dann nur noch im VPN Netz unterwegs. Wenn das so wäre bedeutet das, wenn ich die APP nutzen möchte, muß ich vorher VPN aktivieren und wenn ich fertig bin, VPN wieder deaktivieren muss. Das würde ich nicht so dolle finden :rolleyes:
Hallo,
in dem Moment wo Du dich verbindest, wird der Traffic über die VPN gesendet. Wobei das ja kein Problem ist, da der Traffic über das VPN dann von deinem „Homerouter“ raus ins Internet geleitet wird.
Bei den Fritzboxen kann man das ab Firmware .86 wohla uch so konfigurieren.
Bei mir ist es aber auch der Fall, dass VPN sich im Standby des Iphones sowieso nach (un)gewisser Zeit abmeldet.
Ein VPN Reconnect geht aber flott und ist im 3G Netz bei mir in ca. 2 Sekunden durch.
Gruß Philipp
Genau, ich habe gerade gelesen, dass man die VPN-Funktion einer Fritzbox so konfigurieren kann, dass VPN-Traffic der vom iPhone durch den Tunnel kommt, der nicht ins interne LAN, sondern ins Internet soll, durch die Fritzbox wieder nach draußen geschickt wird. Dies scheint aber eine besondere Funktion zu sein, die bestimmt nicht bei vielen Routern unterstützt wird.
Leider scheint der IOS-VPN-Client derzeit keine EInstellung zu haben, mit der man die Ziel-Netze konfigurieren kann, die in den VPN-Tunnel geschickt werden und der Rest direkt ins Internet geht. Vollwertige VPN-Clienst wie die von Cisco auf PC’s haben eine solche Möglichkeit.
Diese „Schwachstelle“, zusammen mit einer entsprechend konfigurierten Fritzbox hat jedoch den großen positiven Nebeneffekt, dass man darüber einen IPSEC-Tunnel über unsichere Internetzugänge legen kann (z.B. nicht vertrauenswürdige WLAN’s) und man seine Daten ins gesamte Internet auch ihne SSL verschlüsselt übertragen kann, jedenfalls bis zu seiner Fritzbox. Von da ab ist der Weg ja eher vertrauenswürdig.
Hallo Leute,
bzw. Paresy,
gibt es denn schon aussichten auf die Iphone APP mit SSL Integration?
Warte schon sehnsüchtig darauf! Das Thema scheint jedoch eingeschlafen zu sein!
ansonsten super APP!
Gruß
Andreas
Die Formalitäten sind durch und in der 2.4 ist es mit drin.
Wie funzt die SSL geschichte denn???
Einfach nur SSL aktivieren ist ja wohl nicht 
Musst es im WebServer unter Kern Instanzen und im iFront aktivieren. Dann läuft alles
Vorher noch testen ob es im Browser mit https läuft.
paresy
Hi, wenn ich es über WLAN probiere, funktioniert es mit SSL! Auch über die externe dyndns Adresse und den Port. Sobald ich aber über das Mobilfunk mich verbinden will, bekomme ich folgende Fehlermeldung:
Es ist ein SSL Fehler aufgetreten. Eine sichere Verbindung zum Server kann nicht hergestellt werden.
Ohne SSL funzt es!
Juhuuuu bin ich der einzige bei dem es nicht funktioniert ??? :mad: