"Unsichere" Dienste in ein VPN abschieben?

Post by **tyberius prime** » 2003-07-09 11:07

Hallo,
hab mir heute meinen ersten Rootie bei 1&1 bestellt...

Ich hatte mir ueberlegt, nur die allernotwendigsten Dienste (=SSH + HTTP) nach aussen verfuegbar zu machen und alles andere (z.B. FTP, CVS (chronisch unsicher...)) nur ueber ein VPN mit FreeS/WAN verfuegbar zu machen.

Haltet Ihr sowas fuer sinnvoll (und machbar? Theoretisch sollte es ja (im Zweifelsfall halt mit einem loopback device zum dranbinden der Dienste) gehen)?

Danke,
Tyberius Prime

Post by **captaincrunch** » 2003-07-09 11:13

Haltet Ihr sowas fuer sinnvoll (und machbar? Theoretisch sollte es ja (im Zweifelsfall halt mit einem loopback device zum dranbinden der Dienste) gehen)?

FTP ? Wozu, wenn's SCP gibt ? ;)

Auch für CVS gibt es "sichere" Methoden, Links findest du hier im Forum. Machbar ist das ganze sicherlich, der Aufwand dafür wäre mir persönlich aber zu hoch, weil's dafür "einfachere" Alternativen gibt.

Ach ja : herzlichen Glückwunsch erstmal zum Rootie ... ;)

Post by **dodolin** » 2003-07-09 11:15

Theoretisch sollte es ja (im Zweifelsfall halt mit einem loopback device zum dranbinden der Dienste) gehen)?

Ja, aber vorher zum "week end host" schlau machen: -> http://www.securityfocus.com/archive/1/271983

Ich halte es da auch eher wie CC, und sichere meine Dienste entsprechend ab, das sollte genügen. Wenn es TCP-Dienst sind, kann man auch ganz einfach SSH-Tunnel nehmen, ist deutlich weniger Aufwand.

Post by **tyberius prime** » 2003-07-11 18:57

"week end host" fuer wahr... wenn's nicht opensource waere, wuerd ich sagen, der zustaendige programmierer ist freitags frueher in feierabend gegangen ;-)

Ihr habt wahrscheinlich recht... ich sollte einfach ssh-tunnel benutzen.

Einzige, was mich aergert, ist das mein gewohnter FTP-Client durch nen SCP Client ersetzt werden muss...

Post by **firefox747** » 2003-07-11 22:27

Gibt es nicht die Möglichkeit per Putty, etc einen FTP SSH Tunnel einzurichten.
Ich meine da was in Bezug auf WS-FTP etc in Erinnerung zu haben.

Post by **captaincrunch** » 2003-07-12 08:44

Neuere FTP-Programme sollen (gerüchtehalber ;) ) auch nativ sftp können, wozu sollte man sich dann den Aufwand machen ?

Post by **tyberius prime** » 2003-07-12 14:49

Nochmal zum weak end host...

theoretisch koennte man das problem ja mit iptables umgehen, oder?

also im prinzip mit
"iptables -A OUTPUT -s 192.168.168.1/32 -d 192.168.168.0/8 -j DROP"
(aus dem geschrieben, was ich mir in den letzten 2 tagen angelesen habe... kann also sein, werd's vorm einsatz nochmal man-en)
(192.168.168.1 soll die ip des servers im vpn sein, an den die durch's vpn gesicherten dienste gebunden sind, der rest des netzes fuer die clients)
(oder umgekehrt, falls die policy DROP sagen wird, dann halt beim rausgehen an das subnetz ACCEPT).

Post by **dodolin** » 2003-07-13 14:29

Nochmal zum weak end host...

theoretisch koennte man das problem ja mit iptables umgehen, oder?

Ja.

RootForum Community

"Unsichere" Dienste in ein VPN abschieben?

"Unsichere" Dienste in ein VPN abschieben?

Re: "Unsichere" Dienste in ein VPN abschieben?

Re: "Unsichere" Dienste in ein VPN abschieben?

Re: "Unsichere" Dienste in ein VPN abschieben?

Re: "Unsichere" Dienste in ein VPN abschieben?

Re: "Unsichere" Dienste in ein VPN abschieben?

Re: "Unsichere" Dienste in ein VPN abschieben?

Re: "Unsichere" Dienste in ein VPN abschieben?