Hallo,
nachdem ich die aktuelle IP des DSL-Routers nach jedem connect auf unseren WEbserver schaffe (scp) und via .htaccess schütze, kann nun ein berechtigter sich diese IP holen und Verbindung zum Firmennetz aufnehmen.
1.http soll offensein, da über das Intranet auch der Webmailer(IMP) zugänglich sein soll. Wie mache ich es, das Zugang von aussen eine http-auth-Hürde bekommen, interne Nutzer aber nicht?
2.Auf dem Fileserver liegen ein ganzer Satz SAMBA-Freigaben rum, die zum Teil auch für Aussendienstler zugängig sein sollen. Hier habe ich gar kein Konzept, wie ich das mache, da a) es für die Nutzer einfach sein soll, mit ihrem windows da ranzukommen und b) hier wirklich ein hohes Sicherheitlevel notwendig ist.
3.Der DSL-Router ist zugleich Mailserver(oder heisst da Mailhub?) für das Lan. Der Mailserver (smtp) ist mit 'telnet mail.abuse.org' getestet worden. wie sicher sind dieser Output(alles Relaying denied)?
4. Saint habe ich mal drauf angesetzt, er bemeckert einen IMAP < Ver.4 dabei habe ich eine Ver. 4.xy. ??
Was soll ich noch tun. Eine Firwall wäre sicher prima, Rechner ist auch noch da. Leiderhabe ich keine Zeit dazu und keine richtige Ahnung, wie man das macht.. :-(
Mit freundlichen Grüßen
Jens Puruckherr
Jens Puruckherr wrote:
1.http soll offensein, da über das Intranet auch der Webmailer(IMP) zugänglich sein soll. Wie mache ich es, das Zugang von aussen eine http-auth-Hürde bekommen, interne Nutzer aber nicht?
Brainstorming....
mmhh, also ich würde da schauen, ob ich nen Squid-Proxy an das "externe" interface binden kann und den Authentifizierungsmechanismus des Proxys nutzen. Oder die Aussendienstler sich per dyn. DNS (dyndns.org) sich einen festen Namen besorgen und darüber irgendwie die Authentifizierung gemacht werden kann. Oder ob man unter Windows wie unter Linux ein Portforwarding über ssh machen kann, dann braucht nur ssh nach aussen offen sein.
Mario Weidner
Am Mittwoch, 11. Juli 2001 11:51 schrieb Mario Weidner:
Jens Puruckherr wrote:
1.http soll offensein, da über das Intranet auch der Webmailer(IMP) zugänglich sein soll. Wie mache ich es, das Zugang von aussen eine http-auth-Hürde bekommen, interne Nutzer aber nicht?
Brainstorming....
mmhh, also ich würde da schauen, ob ich nen Squid-Proxy an das "externe" interface binden kann und den Authentifizierungsmechanismus des Proxys nutzen.
Ich habe schon einen squid für den http-Zugang von innen nach aussen am laufen, kann man das ummoscheln? Er läuft auf port 3128. Lasse ich den Proxy auf port 80 lauschen und den apachen auf einem anderen Port, dann meldet sich doch immer derproxy zu wort, wenn jemand an port 80 klopft. Und der kann die Brechtigung prüfen und die Weiterleitung machen....klingt machbar.
Oder die Aussendienstler sich per dyn. DNS (dyndns.org) sich einen festen Namen besorgen und darüber irgendwie die Authentifizierung gemacht werden kann.
hmm. Das ist ja wieder an bestimmte Rechner gebunden, abgesehen davon, ob die mit der Einrichtung klarkommen. Nun will der Chef aber im Urlaub aus dem Internetcafe heraus seine Mails lesen...
Oder ob man unter Windows wie unter Linux ein Portforwarding über ssh machen kann, dann braucht nur ssh nach aussen offen sein.
Hier wären die Anwender schon überfordert.
Schlimstenfallse bekommt das Intranet generell einen http-auth davorgeknallt...moment mal...mit php kann ich doch die Herkunft bestimmen? wenn intern dann nicht sonst authentifizieren? Somit macht die Seite das selber. That's it!
Mit freundlichen Grüßen
Jens Puruckherr
Jens Puruckherr wrote:
Oder ob man unter Windows wie unter Linux ein Portforwarding über ssh machen kann, dann braucht nur ssh nach aussen offen sein.
Hier wären die Anwender schon überfordert.
nicht wenn man Ihnen ein schönes klickibunt Icon einrichtet, hinter dem alles wie von Geisterhand abläuft... :-)
Gruss Mario Weidner
Am Mittwoch, 11. Juli 2001 17:12 schrieb Mario Weidner:
Jens Puruckherr wrote:
Oder ob man unter Windows wie unter Linux ein Portforwarding über ssh machen kann, dann braucht nur ssh nach aussen offen sein.
Hier wären die Anwender schon überfordert.
nicht wenn man Ihnen ein schönes klickibunt Icon einrichtet, hinter dem alles wie von Geisterhand abläuft... :-)
Wie macht man das?? Muß ich jetzt noch windows lernen....vergesse es langsam :-)
Mit freundlichen Grüßen
Jens Puruckherr
On Wed, Jul 11, 2001 at 12:50:06PM +0200, Jens Puruckherr wrote:
Ich habe schon einen squid für den http-Zugang von innen nach aussen am laufen, kann man das ummoscheln? Er läuft auf port 3128. Lasse ich den Proxy auf port 80 lauschen und den apachen auf einem anderen Port, dann meldet sich doch immer derproxy zu wort, wenn jemand an port 80 klopft. Und der kann die Brechtigung prüfen und die Weiterleitung machen....klingt machbar.
Ich kann nicht erkennen, was du durch das Wechseln der Ports zweier Dienste gewinnst.
hmm. Das ist ja wieder an bestimmte Rechner gebunden, abgesehen davon, ob die mit der Einrichtung klarkommen. Nun will der Chef aber im Urlaub aus dem Internetcafe heraus seine Mails lesen...
Hat der Chef einen Laptop oder willst du wirklich dem Inernetcafe-Betreiber vertrauen? Wenn der Chef nur wenig schützdenswerte Mails bekommt ist eine Weiterleitung an web.de, gmx.de ... besser als das auftun eines Lochs mir nicht/schwach authentisiertem Zugriff.
Schlimstenfallse bekommt das Intranet generell einen http-auth davorgeknallt...moment mal...mit php kann ich doch die Herkunft bestimmen? wenn intern dann nicht sonst authentifizieren? Somit macht die Seite das selber. That's it!
Häh??? PHP bekommt mangels Zauberei keine anderen zuverlässigen Daten über die Quelle von Anfragen als ein Webserver ohne PHP. Du kannst mit SSL und Clientzertifikaten arbeiten. Dann brauch dein Chef aber auch wieder einen Laptop und dann ist wohl die Lösung mit einem VPN einfacher, da sie gleich für mehrere Dienste (mail, web, samba) genutzt werden kann.
Reinhard
Am Mittwoch, 11. Juli 2001 18:43 schrieb Reinhard Foerster:
On Wed, Jul 11, 2001 at 12:50:06PM +0200, Jens Puruckherr wrote:
Ich habe schon einen squid für den http-Zugang von innen nach aussen am laufen, kann man das ummoscheln? Er läuft auf port 3128. Lasse ich den Proxy auf port 80 lauschen und den apachen auf einem anderen Port, dann meldet sich doch immer derproxy zu wort, wenn jemand an port 80 klopft. Und der kann die Brechtigung prüfen und die Weiterleitung machen....klingt machbar.
Ich kann nicht erkennen, was du durch das Wechseln der Ports zweier Dienste gewinnst.
Standard http-anfragen kommen doch auf Port 80 rein - da sitzt dann der Proxy und der hat acl's die ich dann nutzen kann. Die Warscheinlichkeit, das jemand eine http-anfrage direkt auf z.B. Port 15346 schickt, wo viellicht der apache wartet, halte ich nicht für allzugroß. Und dann kann ich ja immer noch die unten gennante Methode benutzen um eine zusätzliche Hürde einzubauen.
hmm. Das ist ja wieder an bestimmte Rechner gebunden, abgesehen davon, ob die mit der Einrichtung klarkommen. Nun will der Chef aber im Urlaub aus dem Internetcafe heraus seine Mails lesen...
Hat der Chef einen Laptop oder willst du wirklich dem Inernetcafe-Betreiber vertrauen?
Vielleicht sitzt er auch bei seiner Freundin in der Stube....
Wenn der Chef nur wenig schützdenswerte Mails bekommt ist eine Weiterleitung an web.de, gmx.de ... besser als das auftun eines Lochs mir nicht/schwach authentisiertem Zugriff.
Ja, und wenn er wieder da ist, wer schaltet die Weiterleitung ab. Und zwei wochen später wieder an?
Häh??? PHP bekommt mangels Zauberei keine anderen zuverlässigen Daten über die Quelle von Anfragen als ein Webserver ohne PHP. Du kannst mit SSL und Clientzertifikaten arbeiten. Dann brauch dein Chef aber auch wieder einen Laptop und dann ist wohl die Lösung mit einem VPN einfacher, da sie gleich für mehrere Dienste (mail, web, samba) genutzt werden kann.
Das mag sein, obwohl 'einfach' würde ich das nicht nennen. Ich habe mir das VPN-Zeugs mal angeschaut...Ich lass mir Zeit damit.
Mit freundlichen Grüßen
Jens Puruckherr
On Wed, Jul 11, 2001 at 12:50:06PM +0200, Jens Puruckherr wrote:
Am Mittwoch, 11. Juli 2001 11:51 schrieb Mario Weidner:
Oder ob man unter Windows wie unter Linux ein Portforwarding über ssh machen kann, dann braucht nur ssh nach aussen offen sein.
Hier wären die Anwender schon überfordert.
Schlimstenfallse bekommt das Intranet generell einen http-auth davorgeknallt...moment mal...mit php kann ich doch die Herkunft bestimmen? wenn intern dann nicht sonst authentifizieren? Somit macht die Seite das selber. That's it!
Tus nicht... PHP würde einfach einen 401-Header an deinen Browser schicken und zwar _nur_ beim Auruf dieser Seite. Der Apache schickt diesen Header für _jede_ Datei im/unterhalb dieses Verzeichnisses in der die .htaccess liegt. Wenn du php verwenden wölltest, mußt du in jede WebSeite eine php-Abfrage einbauen, ob der Benutzer berechtigt ist => Overhead und Probleme mit best. Browsern
Ciao, Tobias
Am Donnerstag, 12. Juli 2001 23:26 schrieb Tobias Koenig:
Tus nicht... PHP würde einfach einen 401-Header an deinen Browser schicken und zwar _nur_ beim Auruf dieser Seite. Der Apache schickt diesen Header für _jede_ Datei im/unterhalb dieses Verzeichnisses in der die .htaccess liegt. Wenn du php verwenden wölltest, mußt du in jede WebSeite eine php-Abfrage einbauen, ob der Benutzer berechtigt ist => Overhead und Probleme mit best. Browsern
Hast ja recht, aber letztenendlich wird mir nicht viel anderes übrigbleiben, was schnell zu realisieren geht. Es sei denn, ich kann http-auth von bestimmten IP's abhängig machen...nu ja...schaun 'mer mol.
On Fri, Jul 13, 2001 at 08:48:54AM +0200, Jens Puruckherr wrote:
Am Donnerstag, 12. Juli 2001 23:26 schrieb Tobias Koenig:
Tus nicht... PHP würde einfach einen 401-Header an deinen Browser schicken und zwar _nur_ beim Auruf dieser Seite. Der Apache schickt diesen Header für _jede_ Datei im/unterhalb dieses Verzeichnisses in der die .htaccess liegt. Wenn du php verwenden wölltest, mußt du in jede WebSeite eine php-Abfrage einbauen, ob der Benutzer berechtigt ist => Overhead und Probleme mit best. Browsern
Hast ja recht, aber letztenendlich wird mir nicht viel anderes übrigbleiben, was schnell zu realisieren geht. Es sei denn, ich kann http-auth von bestimmten IP's abhängig machen...nu ja...schaun 'mer mol.
Da würden 2-3 Firewall-Regeln dir sicher sehr viel Arbeit ersparen
Ciao, Tobias
Am Freitag, 13. Juli 2001 22:44 schrieb Tobias Koenig:
Da würden 2-3 Firewall-Regeln dir sicher sehr viel Arbeit ersparen
Ich werde es wohl lernen müssen, habe mir schon mal etwas Lektüre besorgt. Prinzipelle verstnden habe ich das Firewall-Prinzip auch, allerdsings mangelt es noch an der praktischen Übung. Na, vielleicht bekommen wird das gemeinsam hin.
Mit freundlichen Grüßen
Jens Puruckherr
On Wed, Jul 11, 2001 at 09:39:46AM +0200, Jens Puruckherr wrote:
2.Auf dem Fileserver liegen ein ganzer Satz SAMBA-Freigaben rum, die zum Teil auch für Aussendienstler zugängig sein sollen. Hier habe ich gar kein Konzept, wie ich das mache, da a) es für die Nutzer einfach sein soll, mit ihrem windows da ranzukommen und b) hier wirklich ein hohes Sicherheitlevel notwendig ist.
virtuelles privates Netz aufbauen (http://www.freeswan.org/)
3.Der DSL-Router ist zugleich Mailserver(oder heisst da Mailhub?) für das Lan. Der Mailserver (smtp) ist mit 'telnet mail.abuse.org' getestet worden. wie sicher sind dieser Output(alles Relaying denied)?
Man kann wohl davon ausgehen, daß die Leute sich bei dem Test was gedacht haben. Wenn du natürlich relaying ausgerechnet für eine bestimmte domain (z.b. aol.com) explizit erlaubst und der Test von abuse.org nicht zufälligigerweise gerade diese Domain zum Testen benutzt, sind die Ergebnisse natürlich falsch :--)
Was soll ich noch tun. Eine Firwall wäre sicher prima, Rechner ist auch noch
*tsss*
da. Leiderhabe ich keine Zeit dazu und keine richtige Ahnung, wie man das macht.. :-(
... womit sich das Problem erledigt hätte
Reinhard
Am Mittwoch, 11. Juli 2001 13:47 schrieb Reinhard Foerster:
virtuelles privates Netz aufbauen (http://www.freeswan.org/)
nee, nee, da kann ich auch das unten mit der Firewall machen, -- da beisst die Maus kein' Faden ab !
Man kann wohl davon ausgehen, daß die Leute sich bei dem Test was gedacht haben. Wenn du natürlich relaying ausgerechnet für eine bestimmte domain (z.b. aol.com) explizit erlaubst und der Test von abuse.org nicht zufälligigerweise gerade diese Domain zum Testen benutzt, sind die Ergebnisse natürlich falsch :--)
Also sind sie richtig :-)))
Was soll ich noch tun. Eine Firwall wäre sicher prima, Rechner ist auch noch
*tsss*
da. Leiderhabe ich keine Zeit dazu und keine richtige Ahnung, wie man das macht.. :-(
... womit sich das Problem erledigt hätte
aber nicht gelöst ist...
Mit freundlichen Grüßen
Jens Puruckherr
On Wed, Jul 11, 2001 at 01:59:43PM +0200, Jens Puruckherr wrote:
Am Mittwoch, 11. Juli 2001 13:47 schrieb Reinhard Foerster:
virtuelles privates Netz aufbauen (http://www.freeswan.org/)
nee, nee, da kann ich auch das unten mit der Firewall machen, -- da beisst die Maus kein' Faden ab !
Mit einer firewall bekommst du nicht wie gewünscht Aussenmitarbeiter sicher an deine Samba-shares ran.
Reinhard
Am Mittwoch, 11. Juli 2001 15:34 schrieb Reinhard Foerster:
On Wed, Jul 11, 2001 at 01:59:43PM +0200, Jens Puruckherr wrote:
Am Mittwoch, 11. Juli 2001 13:47 schrieb Reinhard Foerster:
virtuelles privates Netz aufbauen (http://www.freeswan.org/)
nee, nee, da kann ich auch das unten mit der Firewall machen, -- da beisst die Maus kein' Faden ab !
Mit einer firewall bekommst du nicht wie gewünscht Aussenmitarbeiter sicher an deine Samba-shares ran.
Stimmt, aber ich kann den restlichen Plunder blocken.
Mit freundlichen Grüßen
Jens Puruckherr
Jens Puruckherr (puru@elbvilla.de) schrieb auf LUG-DD am Mit, 11 Jul, 2001; 13:59 +0200:
Am Mittwoch, 11. Juli 2001 13:47 schrieb Reinhard Foerster:
virtuelles privates Netz aufbauen (http://www.freeswan.org/)
nee, nee, da kann ich auch das unten mit der Firewall machen, -- da beisst die Maus kein' Faden ab !
Das kann man auch mit SSH und Portforwarding (Mindterm (IIRC) habe ich mal unter Win dafür verwendet). Fakt ist aber, dass VPNs für sowas entwickelt wurden.
Wenn Du Dich damit nicht auskennst, lerne es, oder lasse es jemanden machen, der es kann. Das selbe gilt für eine FireWall. Sonst wirst Du wohl irgendwann Deiner Maus den Faden abbeißen.
Probier zusätzlich zu Saint mal Nessus (http://www.nessus.org). Solche Tools sind aber keine Garantie! und nur ein Einstieg in einen remote Security Audit.
Gruß,
Frank
Am Mittwoch, 11. Juli 2001 23:21 schrieb Frank Becker:
Das kann man auch mit SSH und Portforwarding (Mindterm (IIRC) habe ich mal unter Win dafür verwendet). Fakt ist aber, dass VPNs für sowas entwickelt wurden.
Wenn Du Dich damit nicht auskennst, lerne es, oder lasse es jemanden machen, der es kann. Das selbe gilt für eine FireWall. Sonst wirst Du wohl irgendwann Deiner Maus den Faden abbeißen.
oje...ich bin doch nur ein nebenberuflicher Admin.... Das Problem an dem VPN ist, das ich nicht an die Remote-Rechner rankomme, auch Gastzugänge eingereichtet werden sollen(evtl.) etc. Welchem User ist die Installation zuzumuten, wenn er nicht mal seine Netzwerkeigenschaften deuten kann?
Ich brauche irgendwas mit dreifachen Password oder so.
Probier zusätzlich zu Saint mal Nessus (http://www.nessus.org). Solche Tools sind aber keine Garantie! und nur ein Einstieg in einen remote Security Audit.
Garantien erwarte ich auch nicht. Aber wenn das Know-How und die Zeit fehlt, alles per Hand zu prüfen, verlässt man sich doch gerne auf 'empfohlene' Tools.
Mit freundlichen Grüßen
Jens Puruckherr
Reinhard Foerster wrote:
virtuelles privates Netz aufbauen (http://www.freeswan.org/)
Einleitende Lektüre:
http://hera.mni.fh-giessen.de/~hg7469/Dateien/linuxtage/talks/vpn.html
Gruss Mario Weidner
lug-dd@mailman.schlittermann.de
-
Frank Becker -
Jens Puruckherr -
Mario Weidner -
Reinhard Foerster -
Tobias Koenig