[CentOS-de] VPN durch SSL "schieben"

[Tilman Schmidt]

Am 2010-07-16 05:03 schrieb Wolfgang:
> ich würde gern ab und zu eine Verbindung zu meinen Home-PC aufbauen.
> (Client + Server = CentOS 5.5)
> Damit das ganze eine sichere Angelegenheit wird habe ich mir eine
> VPN-Verbindung vorgestellt.

Ein weites Feld. Welche Dienste soll diese Verbindung unterstützen?
Von was für einer Maschine aus soll die Verbindung zu Deinem
Home-PC aufgebaut werden? Dein eigener Schlepptop? Irgendein
beliebiger Internet-Cafe-PC? (Um mal die Extreme abzustecken.)

> Die meisten Örtlichkeiten in denen mich aufhalte verwenden eine Firewall
> die nur die wichtigsten Ports nach aussen geöffnet hat.
> (z.B.: https, pop3-ssl, smtp-ssl u.s.w.)

"Die wichtigsten Ports" ist ebenfalls ein sehr variabler Begriff.
Gehört Port 22 zu den wichtigsten? 1149? 500? 10000?

> Fragen:
> 1. Wie erstelle ich eine sichere VPN-Verbindung?

[JSA 1.0] Das kommt darauf an.

> 2. Wie "schiebe" ich die sichere VPN durch einen SSL-Port?

Es gibt sogenannte SSL VPNs, die so etwas für Geld anbieten.
Du kannst aber auch einfach SSH auf Port 443 machen - die
überwiegende Mehrheit der Firewalls wird den Unterschied nicht
bemerken.

> 3. Ist vielleicht SSH durch SSL genau so sicher?

SSH ist (richtig angewendet) mindestens genauso sicher wie SSL.
SSH nochmal über SSL zu schleusen bringt keinen weiteren
Sicherheitsgewinn.

> Wer hat ein getestetes howto dazu, das ich übernehmen kann?

Das wird's nicht geben, weil die Vorgehensweise von den
Anforderungen abhängt.

Meine (getestete ;-) Lösung ist SSH mit Public Key Authentication
via DynDNS und Port Forwarding von Port 22 im DSL-Router auf meine
Heimmaschine. Ja, die halbe Welt versucht meine Passwörter für die
Benutzer root, guest und nagios zu erraten, aber das ist mir egal,
weil (a) mein SSH-Daemon Loginversuche mit Passwort gelassen
ignoriert und (b) isch 'abe garr keine nagios. :-)
Meinen SSH-Key trage ich (natürlich mit einem vernünftigen Passwort
geschützt) auf einem USB-Stick mit mir herum, auf dem auch gleich
PuTTY drauf ist für den Fall, dass ich irgendwo nur eine Windows-
Maschine zur Verfügung habe.
Ob das auch für Dich eine Lösung ist, musst Du selbst entscheiden.

HTH
T.

PS: Beim Schreiben fiel mir gerade die Ähnlichkeit zwischen
Port 1149 und RFC 1149 auf. Das ist doch kein Zufall, oder?
Einen ausdrücklichen Hinweis habe ich auf die Schnelle nicht 
gefunden. Weiß jemand näheres?

-- 
Tilman Schmidt
Phoenix Software GmbH
Bonn, Germany

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 260 bytes
Beschreibung: OpenPGP digital signature
URL         : http://lists.centos.org/pipermail/centos-de/attachments/20100716/b27b5213/attachment.bin