VPN Client Management (Re: [linux-l] Erste Erfahrungen mit OpenVPN)

[Sven 'Rae the Git' Grounsell]

On Wed, 14 Jul 2004 22:04:43 +0200
Oliver Beck <lists at inetmx.de> wrote:

> On Wed, 14 Jul 2004 16:36:01 +0200
> Jan-Benedict Glaw <jbglaw at lug-owl.de> wrote:
> 
> > > bei mir ist OpenVPN auch das Mittel der Wahl. Einziges Problem
> > > gegenueber kommerziellen VPN Clients, das ich bisher gefunden
> > > habe, ist das fehlende Management auf Client Seite, um z.B.
> > > Sicher zu stellen, dass Clientseitig auch ein Firewall aktiv
> > > ist.
> > 
> > *Kopfkratz* Was hat VPN mit Firewall zu tun? Ach ja, man kann's
> > verknotet verkaufen und auf'n Karton schreiben, daß das ein
> > Feature ist...
> 
> Also mir leuchtet das schon irgendwo ein. Was bringt der
> verschlüsselte Tunnel, wenn ich mich an anderer Stelle ins Netz
> einschleichen kann. Sicher ist [Open]VPN keine Wunderwaffe der
> Sicherheitstechnik. Es müssen immer die Rahmenbedingungen geschaffen
> werden.
> 
> Eine andere Sache ist, was für ein Firewall eingesetzt wird. Ob ich
> einer schwarzen, verplombte Box mein Vertrauen schenke, ist da wohl
> eher jedem selbst überlassen.

Ich persoenlich entdecke an allen drei vorgebrachten Punkten was
"Wahres", wenn es auch stellenweise etwas ungluecklich formuliert ist.

Das "Problem" was ich dabei sehe, ist aber weniger technischer Natur.
Als Administrator muss man sich einfach darueber im Klaren sein, dass
es nicht sowas wie eine perfekte technische Loesung gibt um
Sicherheitsrisiken zu minimieren.
Vielmehr sollte man nicht aus dem Auge verlieren, dass man dem
gemeinen User (ja, manchmal kann er auch sowas von gemein sein ;o))
auch (Eigen)Verantwortung(sbewusstsein) zugestehen darf, kann, soll,
ja manchmal sogar muss.

Das geht natuerlich nur, wenn der Administrator sich nicht auf seinem
"BOFH-Status" (Bastard Operator from Hell fuer diejenigen mit
Bildungsluecken unter uns ;o)) ausruht, sondern aktiv auf seine User
zugeht und diese Aufklaert ueber Sicherheitsprobleme, und sich die
Zeit nimmt ihm klarzumachen, welche Folgen das hat und haben kann.

Klar kann man auch von oben herab eine Firmendirektive erlassen, wie's
aussehen soll, aber der Erfolg ist zweifelhaft, da der User a) in den
wenigsten Faellen das Warum erkennt oder b) das als Panikmache des
(per Definition paranoiden) Admins abtut.
Beides hat zur Folge, dass er ohne Kontrolle sich faktisch einen Dreck
um die Direktive scheren wird. Genau deswegen ist es notwendig, durch
Aufklaerung ein Verantwortungsbewusstsein zu schaffen.
Das geht natuerlich nicht per Abteilungs-Rundschreiben o.ae., sondern
man muss auf persoenlicher Ebene auf die Leute zugehen und ihnen die
Moeglichkeit geben, auf ihre individuellen Fragen und
Verstaendnisprobleme eine Antwort zu bekommen.

So, bevor ich mich jetzt voellig in die Schwafelei ergebe, die nichts
mehr konkret mit dem eigentlichen Thema des Threads zu tun hat,
wuensche ich allen einen schoenen Donnerstag.

Gruss,
Sven

-- 
http://www.tuxhilfe.de/
sven at tuxhilfe dot de