Page 1 of 1
"Unsichere" Dienste in ein VPN abschieben?
Posted: 2003-07-09 11:07
by tyberius prime
Hallo,
hab mir heute meinen ersten Rootie bei 1&1 bestellt...
Ich hatte mir ueberlegt, nur die allernotwendigsten Dienste (=SSH + HTTP) nach aussen verfuegbar zu machen und alles andere (z.B. FTP, CVS (chronisch unsicher...)) nur ueber ein VPN mit FreeS/WAN verfuegbar zu machen.
Haltet Ihr sowas fuer sinnvoll (und machbar? Theoretisch sollte es ja (im Zweifelsfall halt mit einem loopback device zum dranbinden der Dienste) gehen)?
Danke,
Tyberius Prime
Re: "Unsichere" Dienste in ein VPN abschieben?
Posted: 2003-07-09 11:13
by captaincrunch
Haltet Ihr sowas fuer sinnvoll (und machbar? Theoretisch sollte es ja (im Zweifelsfall halt mit einem loopback device zum dranbinden der Dienste) gehen)?
FTP ? Wozu, wenn's SCP gibt ? ;)
Auch für CVS gibt es "sichere" Methoden, Links findest du hier im Forum. Machbar ist das ganze sicherlich, der Aufwand dafür wäre mir persönlich aber zu hoch, weil's dafür "einfachere" Alternativen gibt.
Ach ja : herzlichen Glückwunsch erstmal zum Rootie ... ;)
Re: "Unsichere" Dienste in ein VPN abschieben?
Posted: 2003-07-09 11:15
by dodolin
Theoretisch sollte es ja (im Zweifelsfall halt mit einem loopback device zum dranbinden der Dienste) gehen)?
Ja, aber vorher zum "week end host" schlau machen: ->
http://www.securityfocus.com/archive/1/271983
Ich halte es da auch eher wie CC, und sichere meine Dienste entsprechend ab, das sollte genügen. Wenn es TCP-Dienst sind, kann man auch ganz einfach SSH-Tunnel nehmen, ist deutlich weniger Aufwand.
Re: "Unsichere" Dienste in ein VPN abschieben?
Posted: 2003-07-11 18:57
by tyberius prime
"week end host" fuer wahr... wenn's nicht opensource waere, wuerd ich sagen, der zustaendige programmierer ist freitags frueher in feierabend gegangen ;-)
Ihr habt wahrscheinlich recht... ich sollte einfach ssh-tunnel benutzen.
Einzige, was mich aergert, ist das mein gewohnter FTP-Client durch nen SCP Client ersetzt werden muss...
Re: "Unsichere" Dienste in ein VPN abschieben?
Posted: 2003-07-11 22:27
by firefox747
Gibt es nicht die Möglichkeit per Putty, etc einen FTP SSH Tunnel einzurichten.
Ich meine da was in Bezug auf WS-FTP etc in Erinnerung zu haben.
Re: "Unsichere" Dienste in ein VPN abschieben?
Posted: 2003-07-12 08:44
by captaincrunch
Neuere FTP-Programme sollen (gerüchtehalber ;) ) auch nativ sftp können, wozu sollte man sich dann den Aufwand machen ?
Re: "Unsichere" Dienste in ein VPN abschieben?
Posted: 2003-07-12 14:49
by tyberius prime
Nochmal zum weak end host...
theoretisch koennte man das problem ja mit iptables umgehen, oder?
also im prinzip mit
"iptables -A OUTPUT -s 192.168.168.1/32 -d 192.168.168.0/8 -j DROP"
(aus dem geschrieben, was ich mir in den letzten 2 tagen angelesen habe... kann also sein, werd's vorm einsatz nochmal man-en)
(192.168.168.1 soll die ip des servers im vpn sein, an den die durch's vpn gesicherten dienste gebunden sind, der rest des netzes fuer die clients)
(oder umgekehrt, falls die policy DROP sagen wird, dann halt beim rausgehen an das subnetz ACCEPT).
Re: "Unsichere" Dienste in ein VPN abschieben?
Posted: 2003-07-13 14:29
by dodolin
Nochmal zum weak end host...
theoretisch koennte man das problem ja mit iptables umgehen, oder?
Ja.