Am 2010-10-04 23:03 schrieb Wolfgang:
welches VPN würdet Ihr einsetzen, wenn Ihr einen Bekannten helfen wollt. Es muss kein Hochsicherheits-VPN werden, aber jeder Idiot soll auch nicht mitlesen bzw. stören können. Es befinden sich auf beiden Seiten keine zusätzliche Firewall. Internetspeed Download 1Mbit-DSL.
[JSA 1.0] Das kommt darauf an.
Ein paar Gedanken dazu:
- "Jeder Idiot" kann auch bei einer ganz normalen unverschlüsselten Internet-Verbindung nicht mitlesen. Dazu muss man schon Zugang zu einem geeigneten Angriffspunkt haben, an dem der Traffic vorbeikommt, also das (W)LAN oder die Internet-Leitung eines der Beteiligten oder einen Provider anzapfen.
- Gegen "Stören" im Sinne von DoS nützt ein VPN garnichts.
- Wenn die Endgeräte-Sicherheit kompromittiert ist, nützt ein VPN ebenfalls nichts. Mindestens so wichtig wie das VPN ist also die Absicherung der beiden Systeme - vernünftige Passwörter (oder noch besser gar keine Authentifizierung per Username/Passwort), aktueller Patchstand, Abschalten nicht benötigter Dienste, Firewall ...
- Wenn die Hilfe per Kommandozeile stattfinden soll, ist ssh mit Public-Key-Authentifizierung das einfachste, und mindestens genauso sicher wie ein VPN. Per Portweiterleitung lässt sich darüber auch X transportieren, aber dann relativiert sich das mit der Einfachheit schon wieder etwas.
IPSEC, OpenVPN, Cisco-VPN, SWAN u.s.w.
OpenVPN ist nett, wenn man wirklich ein echtes VPN braucht, aber deutlich mehr Installationsaufwand als ein ssh-Zugang.
Von IPSec würde ich die Finger lassen, das macht eigentlich nur zwischen IPSec-fähigen Routern (möglichst vom selben Hersteller) mit festen IP-Adressen Freude. SWAN ist nur eine Implementierung davon. Cisco VPN auch, und setzt außerdem Cisco-Hardware voraus.
HTH Tilman