Nachdem in den letzten Jahren sich diverse Zugriffs-Methoden durchgesetzt haben (VPN / RAS-Einwahl zumeist, Terminal-Dienste häufig) denke ich dass die nächsten 5-10 Jahre vor allem VPN/SSL als wichtigste Zugriffsmethode kommt.

Es gibt Produkte die diese Technik einsetzen (Juniper Secure Access VPN/SSL http://www.juniper.net/products/ssl/demo/
oder Cisco VPN Concentrator mit WEBVPN http://www.decus.de/slides/sy2004/21_04/2g06.pdf ). Heute habe ich in der C`t gelesen dass Microsaft eine Firma aufgekauft hat die ebenfalls mit VPN/SSL Erfahrungen gesammelt hat. Also ist es naheliegend dass auch Microsaft in zukünftige Produkte den Zugriff von extern auf beliebige Intranet-Ressourcen per Web-Browser und VPN/SSL anbieten wird.

Die Vorteile sind nicht von der Hand zu weisen

-keine Clientsoftware notwendig, mit jedem beliebigen Web-Browser nutzbar

-keine direkte Verbindung des Clients mit dem LAN, eher Terminal-Dienst-artige Ansicht und Zugriff auf Dateien, damit Schutz des LANs vor Wurmattacken / Scans von infizierten externen PCs

Was ist eure Meinung zu VPN/SSL?

Ich denke diese Art des Zugriffs, und Web-Services an sich werden die Zukunft der IT die nächsten Jahre grundlegend verändern. Ich glaube dass wir in paar Jahren fast alles über Web-Browser erledigen können werden und der Trend zurück zum echten "Thin Client" geht.

Da ich ein fettes Projekt mit dieser Thematik zu meistern habe zur Zeit, interessiert mich dazu eure Meinung.

hi specyfreak

heute erst stand das in der CT ?

Ich meinte über dieses verfahren schon vor mind. 1 jahr etwas gelesen zu haben.

Habe mich allerdings auch noch nicht allzu gross damit befasst.



Ich finds ne gute sache ...bzw es hört sich gut an



Grüsse

Darkmind

In der aktuellen steht nur drin dass Microsaft was mit VPN/SSL machen will bzw. eine Firma aufgekauft hat.

Hi

Hmmm.. verflucht habe alle Url's und infos dazu verlegt..

Ich muss mal im geschäft schauen, wenn ich noch was auffinden kann dazu.. poste ich dir die links.

Was würde denn dagegen sprechen ?


Grüsse

Darkmind

Mir fällt immer weniger ein, was dagegen spricht. Bei herkömmlichem VPN hat man uneingeschränkten Zugriff mit allen Protokollen auf allen Ports. Genau das wird mit VPN/SSL eher eingeschränkt. Der Zugriff wird über eine Portal-Webseite ermöglicht. Es ist jedoch auch Zugriff wie bei VPN machbar - mit feinen Policies steuerbar.

Ich sehe grosse Vorteile in dieser Technik.

Full ACK !

Wie ih finde ist diese Thematik sehr problematisch.

Z.b ein vermeindlicher "power" user der den netzwerkverkehr der firma über vpn abgehört hat.

Dies natürlich mit 1337 h4x0r tools und ohne überhaupt zu verstehen war ein ARP Cache macht und wozu ARP überhaupt da ist.. undso das firmennetz lahmgelegt hatte. zumindest den internetzugriff

Natürlich sagte der user er wollte das tool privat nur testen.. war aber dummerweise über den Roadwarrior mit dem Netzwerk der firma verbunden.

Sowas könnte dann nicht mehr passieren.

Natürlich kann man sowas auch ohne VPN SSL verhindern, aber das ist für mittelständische firmen viel zu teuer.

Grüsse

Darkmind

In der Firma lässt man ja auch nicht jeden x-beliebigen PC ans Netzwerk ran.
Da sich die Heim-PCs der Mitarbeiter nicht kontrollieren lassen, kann der Firma mit Einsatz von VPN/SSL der Client-Zustand egal sein. Der Client kommt auf alles was er braucht (wenn er dazu berechtigt ist), ohne dass er dem LAN oder der Ressource schaden kann - genau das ist der Witz an dieser Technik, und ein Schwachpunkt von normalem VpN.

Hi

jep, wie gesagt dieses verfahren hört sich schon mal gut an..

Doch möchte mich auch nicht zu weit aus dem Fenster lehnen, solange ich mich nicht praktisch damit befasst habe.

Grüsse

Darkmind

Ich denke die ganze SSL-Geschichte wird in nächster Zeit noch kräftig zulegen.
Wenn man bedenkt: ich schätze dass 99% aller E-Mail-Postfächer noch mit POP3, dass heisst Passwort unverschlüsselt übertragen, abgefragt werden. In heutigen Zeiten eigentlich fatal, nicht?
Aber eigentlich auch kein Wunder, selbstgestrickte Zertifikate bringen Fehlermeldungen und zertifizierte Zertifikate (mir fällt der richtige Begriff nicht ein) sind einfach noch viel zu teuer.
Zurück zum Thema : webbasierend wird noch kräftig zulegen, mit AJAX und Co. sind eigentlich die Grundsteine gelegt, ganze Applikationen nur noch webbasierend zu erstellen -> Plattform-unabhängig.
Irgendwann wird jeder bei der Geburt, nebst der IP-Adresse, auch noch ein Zertifikat bekommen

Naja, EMAIL ist für mich eh vergleichbar mit dem Versenden von Postkarten. Jeder dem sie in die Hände fällt, kann sie lesen. Daher dürfte allgemein (zumindest unter semi-profis) klar sein dass man keine sicherheitsrelevanten Info per Email verschickt.

Zertifikate bringen Fehlermeldungen wenn
1. Der Zertifikatsaussteller nicht als vertrauenswürdig eingestuft wurde. Lösung: Root-Zeritifikat importieren.

2. Das Zertifikat abgelaufen oder zurückgezogen wurde. Lösung: zertifikat erneuern.

3. Der DNS Name im Zertifikat nicht mit dem tatsächlichen Servernamen übereinstimmt. Lösung: Dem Server im DNS den selben namen geben der beim Zeritikatsrequest angegeben wurde.

Zertifikate bringen schon ne Menge Sicherheit. Am geilsten finde ich - zumindest was den ortsunabhängigen Zugriff bzw. Authentifizierung von beliebigen externen PCs angeht, den Einsatz von "Einmal-passwörtern" mit RSA-Token und SecureID. Da nützt mir das tollste Server-Zertifikat und hohe Verschlüsselung nix, wenn ein Keylogger mein langlebiges Passwort ausspäht.
Da müsste man sich schon gegenseitig authentifizieren (Clientzertifikat UND Serverzertifikat) um mit Zertifikaten halbwegs Sicherheit erreichen zu können.

Ich glaube das die zeit der VPN's eher zuende geht. Das Problemm mit den VPN ist das man meistens eine Client SW barcht und zertivikate. Egal wie du das handelst der user barcht beides. Was soviel heiss wie das die Firma dem User (Seinem heimnetzwerk )vertrauen muss. Für User die Unterwegs sind ist VPN auch nicht der stein der weissen, da es wieder spez. ports auf der FW barcht, probleme mit Nat usw.

Ich meine im Unternehmensnetzt zwichen HQ (Haupsitz) und BO (Ausenstelle) sind VPN's nicht wegzudenken. Aber zu jedem user ein netzt nach hause legen sehe ich nicht.

Ich glabe die Losung wird in richtung Terminal dinste und webanwendungen gehen.

PS fur Provate VPN's schaut euch mal hamachi an

Gruss Koni