VPN Client Management (Re: [linux-l] Erste Erfahrungen mit OpenVPN)

[Oliver Beck]

On Fri, 16 Jul 2004 11:00:13 +0200 (CEST)
Schlomo Schapiro <belug at schlomo.schapiro.org> wrote:


> <Ich rede, realitaetsbezogen, primaer von Windows CLients. Bei Linux 
> Clients gibts da eh kein Problem>

Nun, es mag zwar seltener vorkommen, aber es gibt auch unter Linux
Möglichkeiten, den Rechner zu kompromittieren. Stichwort "rootkits".
Mit GRsec und dessen PAX-Erweiterungen und den ACL's lässt sich dieses
aber auch auf ein Minimum reduzieren. (Sicherlich, es gibt auch noch
RSBAC und möglicherweise noch andere Lösungen, aber RSBAC ist _mir_
einfach zu hoch ;)

> Ein VPN bohrt ein grosses Loch in die Sicherheit des
> Firmen-Netzwerkes, da ja der entfernte PC nicht wirklich unter
> Kontrolle des Admins steht und daher ein sehr grosses
> Sicherheitsrisiko darstellt.

ACK.


> Aus diesen Gruenden sollte man in der Tat VPN Client mit AntiVirus und
> Firewall kombinieren, denn
> * Der AntiVirus garantiert, dass zumindest kein bekannter Schaedling
> auf dem Client aktiv ist. Dazu wird auch ein Update der Signaturen
> erzwungen.

Das würde 2 Möglichkeiten voraussetzen. Entweder, es gibt einen
Hersteller, der eine VPN-Lösung mit einem seiner AV/FW-Produkte
verknotet. Oder es wird ein Standard definiert, worauf die VPN-Lösung
zurückgreifen kann. Möglicherweise sowas wie eine Bibliothek, die beide
Programme nutzen können, wo dann geprüft wird, ob alles im Lot ist. Ich
habe mir noch keine großen Gedanken darüber gemacht, aber es sollte
eine Möglichkeit geben, dass es verschiedenen FW- oder AV-Lösungen
möglich ist, dieses zu nutzen. Ansonsten würde es _in meinen Augen_
schon an Vertrauen in einer einzigen Software-Schmiede (wer auch
immer das seien mag) hapern.

> * Der Firewall garantiert, dass waehrend der VPN Sitzung keine
> "zweibeinige Kommunikation" stattfindet, sprich dass der Client nicht 
> gleichzeitig mit dem geschuetzten Netz und dem Internet (am Tunnel
> vorbei) reden kann. Das verhindert eine etwaige Fersteuerung des
> Clients und generell die Kommunikation aus dem Internet mit dem LAN
> ueber den Client.

Wenn ich das richtig verstanden habe, meinst Du damit, dass der Client
nur mit dem Tunnel kommunizieren darf, aber nicht mit dem Rest der Welt.
Das ist sicherlich ein guter Ansatz.

> Das hat alles ueberhaupt nichts mit Open Source / Kommerzsoftware zu
> tun sondern mit Sicherheitsstrategie. 

Irgendwie schon. Sicher ist es eine Strategie, die verfolgt werden
sollte. Aber angenommen es gibt nur eine Firma, die dieses anbietet. Wer
sagt mir, das dieses so sicher ist, wie deren Marketing-Leute es hoch
preisen? Schließlich lassen solche Firmen sich in den seltensten Fällen
in die Karten gucken und stellen den Code so zur Verfügung (unter
welcher Lizenz auch immer), dass Fehler, die darin gefunden werden auch
öffentlich gemacht werden dürfen.

> Daher meine Frage, wie kann ich die Aktivierung von z.B. OpenVPN mit
> dem Antivirus und dem Firewall kombinieren um die
> Sicherheitsanforderungen meiner Firma zu erfuellen ?

Vielleicht würde es ja was bringen, das den OpenVPN-Dev's mal zukommen
zu lassen. Unter Linux sehe ich da gar keine Schwierigkeiten, da ich
denke, das sich `iptables` leicht in Form der "einbeinigen
Kommunikation" integrieren ließe. Ebenso mit einem AV-Check sehe ich da
keine Probleme, da ja meines Wissens ClamAV unter der GPL steht.
Unter Windows sieht das ganze schon düsterer aus. Wie sollte ich da
überprüfen, ob Firewall XY oder Antiviren-Prog YX läuft und aktuell ist.

> Ohne dass wird es
> bei uns keine Abloesung geben, denn die Angst vor einem Einfall durch
> einen offenen VPN Client ist dazu (m.E. sogar berechtigterweise) viel
> zu gross.

Das diese Gefahr besteht, habe ich meinen Kunden schon klar und deutlich
verklickert. Darum haben sie ihren Client auch nur, um den Standort
München mit Berlin zu verbinden und nicht, wie es bei Dir der Fall zu
seien scheint, dass sich Mitarbeiter von Ort XY mit _ihren_ PC ins
Firmennetz einklinken.


Mit freundlichen Gruessen/Best Regards Oliver Beck

-- 
 /"\ -ASCII-Ribbon-Campaign- |  Linux && EPIA-> http://epia.std-err.de
 \ /    Against HTML Mail    | ---                                  ---
  X                          |  --  German GNU/Hurd documentation   --
 / \                         |   -  http://de-hurd-doc.berlios.de   -