Am 2010-07-16 05:03 schrieb Wolfgang:
ich würde gern ab und zu eine Verbindung zu meinen Home-PC aufbauen. (Client + Server = CentOS 5.5) Damit das ganze eine sichere Angelegenheit wird habe ich mir eine VPN-Verbindung vorgestellt.
Ein weites Feld. Welche Dienste soll diese Verbindung unterstützen? Von was für einer Maschine aus soll die Verbindung zu Deinem Home-PC aufgebaut werden? Dein eigener Schlepptop? Irgendein beliebiger Internet-Cafe-PC? (Um mal die Extreme abzustecken.)
Die meisten Örtlichkeiten in denen mich aufhalte verwenden eine Firewall die nur die wichtigsten Ports nach aussen geöffnet hat. (z.B.: https, pop3-ssl, smtp-ssl u.s.w.)
"Die wichtigsten Ports" ist ebenfalls ein sehr variabler Begriff. Gehört Port 22 zu den wichtigsten? 1149? 500? 10000?
Fragen:
- Wie erstelle ich eine sichere VPN-Verbindung?
[JSA 1.0] Das kommt darauf an.
- Wie "schiebe" ich die sichere VPN durch einen SSL-Port?
Es gibt sogenannte SSL VPNs, die so etwas für Geld anbieten. Du kannst aber auch einfach SSH auf Port 443 machen - die überwiegende Mehrheit der Firewalls wird den Unterschied nicht bemerken.
- Ist vielleicht SSH durch SSL genau so sicher?
SSH ist (richtig angewendet) mindestens genauso sicher wie SSL. SSH nochmal über SSL zu schleusen bringt keinen weiteren Sicherheitsgewinn.
Wer hat ein getestetes howto dazu, das ich übernehmen kann?
Das wird's nicht geben, weil die Vorgehensweise von den Anforderungen abhängt.
Meine (getestete ;-) Lösung ist SSH mit Public Key Authentication via DynDNS und Port Forwarding von Port 22 im DSL-Router auf meine Heimmaschine. Ja, die halbe Welt versucht meine Passwörter für die Benutzer root, guest und nagios zu erraten, aber das ist mir egal, weil (a) mein SSH-Daemon Loginversuche mit Passwort gelassen ignoriert und (b) isch 'abe garr keine nagios. :-) Meinen SSH-Key trage ich (natürlich mit einem vernünftigen Passwort geschützt) auf einem USB-Stick mit mir herum, auf dem auch gleich PuTTY drauf ist für den Fall, dass ich irgendwo nur eine Windows- Maschine zur Verfügung habe. Ob das auch für Dich eine Lösung ist, musst Du selbst entscheiden.
HTH T.
PS: Beim Schreiben fiel mir gerade die Ähnlichkeit zwischen Port 1149 und RFC 1149 auf. Das ist doch kein Zufall, oder? Einen ausdrücklichen Hinweis habe ich auf die Schnelle nicht gefunden. Weiß jemand näheres?