[CentOS-de] VPN
Tilman Schmidt
t.schmidt at phoenixsoftware.de
Di Okt 5 13:02:18 EDT 2010
Am 2010-10-04 23:03 schrieb Wolfgang:
> welches VPN würdet Ihr einsetzen, wenn Ihr einen Bekannten helfen wollt.
> Es muss kein Hochsicherheits-VPN werden, aber jeder Idiot soll auch
> nicht mitlesen bzw. stören können.
> Es befinden sich auf beiden Seiten keine zusätzliche Firewall.
> Internetspeed Download 1Mbit-DSL.
[JSA 1.0] Das kommt darauf an.
Ein paar Gedanken dazu:
- "Jeder Idiot" kann auch bei einer ganz normalen unverschlüsselten
Internet-Verbindung nicht mitlesen. Dazu muss man schon Zugang zu
einem geeigneten Angriffspunkt haben, an dem der Traffic
vorbeikommt, also das (W)LAN oder die Internet-Leitung eines der
Beteiligten oder einen Provider anzapfen.
- Gegen "Stören" im Sinne von DoS nützt ein VPN garnichts.
- Wenn die Endgeräte-Sicherheit kompromittiert ist, nützt ein
VPN ebenfalls nichts. Mindestens so wichtig wie das VPN ist also
die Absicherung der beiden Systeme - vernünftige Passwörter (oder
noch besser gar keine Authentifizierung per Username/Passwort),
aktueller Patchstand, Abschalten nicht benötigter Dienste,
Firewall ...
- Wenn die Hilfe per Kommandozeile stattfinden soll, ist ssh mit
Public-Key-Authentifizierung das einfachste, und mindestens
genauso sicher wie ein VPN. Per Portweiterleitung lässt sich
darüber auch X transportieren, aber dann relativiert sich das
mit der Einfachheit schon wieder etwas.
> IPSEC, OpenVPN, Cisco-VPN, SWAN u.s.w.
OpenVPN ist nett, wenn man wirklich ein echtes VPN braucht, aber
deutlich mehr Installationsaufwand als ein ssh-Zugang.
Von IPSec würde ich die Finger lassen, das macht eigentlich nur
zwischen IPSec-fähigen Routern (möglichst vom selben Hersteller)
mit festen IP-Adressen Freude. SWAN ist nur eine Implementierung
davon. Cisco VPN auch, und setzt außerdem Cisco-Hardware voraus.
HTH
Tilman
--
Tilman Schmidt
Phoenix Software GmbH
Bonn, Germany
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : signature.asc
Dateityp : application/pgp-signature
Dateigröße : 260 bytes
Beschreibung: OpenPGP digital signature
URL : http://lists.centos.org/pipermail/centos-de/attachments/20101005/551c02f2/attachment.bin