[CentOS-de] VPN

Tilman Schmidt t.schmidt at phoenixsoftware.de
Di Okt 5 13:02:18 EDT 2010 

Am 2010-10-04 23:03 schrieb Wolfgang:
> welches VPN würdet Ihr einsetzen, wenn Ihr einen Bekannten helfen wollt.
> Es muss kein Hochsicherheits-VPN werden, aber jeder Idiot soll auch
> nicht mitlesen bzw. stören können. 
> Es befinden sich auf beiden Seiten keine zusätzliche Firewall.
> Internetspeed Download 1Mbit-DSL.

[JSA 1.0] Das kommt darauf an.

Ein paar Gedanken dazu:

- "Jeder Idiot" kann auch bei einer ganz normalen unverschlüsselten
  Internet-Verbindung nicht mitlesen. Dazu muss man schon Zugang zu
  einem geeigneten Angriffspunkt haben, an dem der Traffic
  vorbeikommt, also das (W)LAN oder die Internet-Leitung eines der
  Beteiligten oder einen Provider anzapfen.

- Gegen "Stören" im Sinne von DoS nützt ein VPN garnichts.

- Wenn die Endgeräte-Sicherheit kompromittiert ist, nützt ein
  VPN ebenfalls nichts. Mindestens so wichtig wie das VPN ist also
  die Absicherung der beiden Systeme - vernünftige Passwörter (oder
  noch besser gar keine Authentifizierung per Username/Passwort),
  aktueller Patchstand, Abschalten nicht benötigter Dienste,
  Firewall ...

- Wenn die Hilfe per Kommandozeile stattfinden soll, ist ssh mit
  Public-Key-Authentifizierung das einfachste, und mindestens
  genauso sicher wie ein VPN. Per Portweiterleitung lässt sich
  darüber auch X transportieren, aber dann relativiert sich das
  mit der Einfachheit schon wieder etwas.

> IPSEC, OpenVPN, Cisco-VPN, SWAN u.s.w.

OpenVPN ist nett, wenn man wirklich ein echtes VPN braucht, aber
deutlich mehr Installationsaufwand als ein ssh-Zugang.

Von IPSec würde ich die Finger lassen, das macht eigentlich nur
zwischen IPSec-fähigen Routern (möglichst vom selben Hersteller)
mit festen IP-Adressen Freude. SWAN ist nur eine Implementierung
davon. Cisco VPN auch, und setzt außerdem Cisco-Hardware voraus.

HTH
Tilman

-- 
Tilman Schmidt
Phoenix Software GmbH
Bonn, Germany

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 260 bytes
Beschreibung: OpenPGP digital signature
URL         : http://lists.centos.org/pipermail/centos-de/attachments/20101005/551c02f2/attachment.bin