Web VPN

Marcel_Schenke · 23. November 2005 um 10:06

Juten Morgen die Meister des Netzwerkes,
es gibt im Internet diverse Seiten, welche einen VPN-Zugriff über das WEB anbieten (z.B. Universitäten).
Man meldet sich an der entsprechenden Seite an und hat dann eine VPN-Verbindung.
Bei eingen (oder allen???) gibt es dann auch die Möglichkeit Webseiten über besagte VPN-Verbindung aufzurufen.
Kennt jemand eine solche Seite, an der sich jeder (möglichst kostenlos) anmelden / registrieren kann?

Und kann ich das für meine private Seite (php, mysql, ssl) auch erstellen oder bedarf das spezieller Software?

Danke für Infos

Gruß

Marcel

Malte_4b1c84 · 23. November 2005 um 12:20

Moin,

es gibt im Internet diverse Seiten, welche einen VPN-Zugriff
über das WEB anbieten (z.B. Universitäten).
Man meldet sich an der entsprechenden Seite an und hat dann
eine VPN-Verbindung.
Bei eingen (oder allen???) gibt es dann auch die Möglichkeit
Webseiten über besagte VPN-Verbindung aufzurufen.
Kennt jemand eine solche Seite, an der sich jeder (möglichst
kostenlos) anmelden / registrieren kann?

Und kann ich das für meine private Seite (php, mysql, ssl)
auch erstellen oder bedarf das spezieller Software?

Was möchtest Du genau erreichen? Ich habe den leisen Verdacht, daß ein VPN gar nicht das ist, was Du suchst.

Gruß,

Malte

Marcel_Schenke · 23. November 2005 um 12:59

Hallo Malte,
also als Beispiel,
User XY ist Standard-User in einem geschützen Netzwerk.
Es können nur best. Internetseiten aufgerufen werden (Content-Filtering).
Jedoch schafft es der User mittels einer Anmeldung über eine Fernuni ein Web VPN aufzurufen.
Der User meldet sich also an und kann jede x-beliebige Seite aufrufen,
kein Filtering, Möglichkeit ALLES runterzuladen, was zuvor nicht möglich war.

Mich interessiert nun ob es diese Seiten mit Web VPN nur auf „solchen“ Uni-Seiten gibt, oder ob es auch Anbieter gibt die das jedem zur Verfügung stellen (wenn ja, welche z. B.).

Zusätzlich würde es mich interessieren ob ich das auch selber erstellen kann auf meiner privaten HP.

Puh,
hoffe das war verständlicher *g*

Gruß

Marcel

P.S.
Nein mir geht es nicht darum das auszunutzen,
bin im Betrieb u. a. für die EDV zuständig und diese Möglichkeit stellt ein entsprechendes Risiko da.
Darüber hinaus hätten wir von der EDV den Vorteil Treiber und Updates mit Hilfe solch einer Lösung runterzuladen ohne einen separten PC außerhalb des Netzes betreiben zu müssen.

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

Malte_4b1c84 · 23. November 2005 um 14:25

Hi,

User XY ist Standard-User in einem geschützen Netzwerk.
Es können nur best. Internetseiten aufgerufen werden

Der User meldet sich also an und kann jede x-beliebige Seite
aufrufen, kein Filtering, Möglichkeit ALLES runterzuladen, was zuvor
nicht möglich war.

Es gibt grundsätzlich zwei Möglichkeiten, so etwas zu verwirklichen. Beiden ist gemein, daß Du dafür einen eigenen Server im Internet (oder „vor“ der Unternehmens-Firewall) benötigst, auf den Du Vollzugriff hast.

Wie man das mit einem solchen Server unter Windows realisiert, weiß ich nicht, unter Unix gibt’s da zum einen die Variante „VPN“. Diesbzgl. empfehle ich OpenVPN (Google hilft).

Zum anderen könntest Du http-tunnel benutzen. Evtl. könnte man sich mit ssh auch was passendes zusammenbasteln.

Dabei musst Du darauf Acht geben, wie das auf IP-Ebene gelöst wird, ob Du also bspw. auf dem Server noch NAT fahren musst o.ä.

Gruß,

Malte

Marcel_Schenke · 24. November 2005 um 09:12

Hallo Malte,
danke für die Info,
na wahrscheinlich für mich etwas zu hoch,
wenn ich mal entsprechend Luft und somit genügend Zeit und Ruhe habe werde ich mir das vielleicht mal ansehen.
Zumindest scheint es dann wenigstens so das die Wahrscheinlichkeit sehr gering ist das viele Leute aus dem Betrieb solch eine Lösung kennen bzw. nutzen können.

Gruß

Marcel

Es gibt grundsätzlich zwei Möglichkeiten, so etwas zu
verwirklichen. Beiden ist gemein, daß Du dafür einen eigenen
Server im Internet (oder „vor“ der Unternehmens-Firewall)
benötigst, auf den Du Vollzugriff hast.

Wie man das mit einem solchen Server unter Windows realisiert,
weiß ich nicht, unter Unix gibt’s da zum einen die Variante
„VPN“. Diesbzgl. empfehle ich OpenVPN (Google hilft).

Zum anderen könntest Du http-tunnel benutzen. Evtl. könnte man
sich mit ssh auch was passendes zusammenbasteln.

Dabei musst Du darauf Acht geben, wie das auf IP-Ebene gelöst
wird, ob Du also bspw. auf dem Server noch NAT fahren musst
o.ä.

Gruß,

Malte

Schorsch_de7743 · 24. November 2005 um 13:21

Nein mir geht es nicht darum das auszunutzen,
bin im Betrieb u. a. für die EDV zuständig und diese
Möglichkeit stellt ein entsprechendes Risiko da.

Dann hilft dir wohl auf Dauer nur eines: Das Lesen der Logfiles. Es gibt vielfältige Möglichkeiten, über Port 80 oder Port 443 verschlüsselt zu tunneln, und aufgrund der Verschlüsselung hast du keine Chance zu erkennen, was da getunnelt wurde. U. U. aber kannst du erkennen, dass getunnelt wurde, und dies für die Zukunft unterbinden.

Im Anhang habe ich einen Auszug aus einem Squid-Protokoll beigefügt, dem ich leicht entnehmen konnte, dass einer meiner Anwender mithilfe des Netviewers getunnelt hat - obwohl ihm dies ausdrücklich untersagt war. Als Gegenmassnahme habe ich im konkreten Fall dafür gesorgt, dass der Netviewer (ohne administrativen Eingriff) keine Chance mehr hat, unseren Proxyserver zu finden und somit zukünftige Tunnelaufbauten scheitern.

Bei einem VPN-Tunnel wird das Protokoll nicht so aussagekräftig sein, ich gehe davon aus, das du in diesem Fall nur sehr wenige Einträge im Protokoll finden wirst, da bei VPN im Gegensatz zum Netviewer nicht für jedes Datenpaket eine eigene Verbindung aufgebaut werden wird.

Andere Chancen aber, ein illegitimes Tunneln zu verhindern (einzuschränken), sehe ich neben dem Log-Lesen und sozialen oder arbeitsrechtlichen Massnahmen kaum. Allenfalls, was wohl in manchen Firmen praktiziert wird, der Einsatz eines Proxyservers, der Verbindungen nach aussen ausschliesslich zu definierten, administrativ vorgegebenen Adressen erlaubt.

Darüber hinaus hätten wir von der EDV den Vorteil Treiber und
Updates mit Hilfe solch einer Lösung runterzuladen ohne einen
separten PC außerhalb des Netzes betreiben zu müssen.

Das habe ich realisiert, indem ich ein (ziemlich primitives) Webinterface zum Proxyserver (der jederzeit alles downloaden darf) gebaut habe, das mit Hilfe von Putty und wget jedem Benutzer, der keine administrativen Rechte hat, aus dem EDV-Netz heraus zugreift und ein gültiges Zertifikat vorweisen kann, den Download beliebiger Dateien gestattet.

Gruss
Schorsch

172.16.5.207 [21.11.2005 11:46:10] text/html 460 http://h6.netviewer-s11.com/nvserver?
172.16.5.207 [21.11.2005 11:46:10] text/html 628 http://h6.netviewer-s11.com/nvserver?
172.16.5.207 [21.11.2005 11:46:10] text/html 1834 http://h6.netviewer-s11.com/nvserver?
172.16.5.207 [21.11.2005 11:46:11] application/octet-stream 230 http://h6.netviewer-s26.com/cgi-bin/h.pl?
172.16.5.207 [21.11.2005 11:46:26] application/octet-stream 234 http://h6.netviewer-s26.com/cgi-bin/h.pl?
172.16.5.207 [21.11.2005 11:46:27] application/octet-stream 312 http://h6.netviewer-s26.com/cgi-bin/h.pl?
172.16.5.207 [21.11.2005 11:46:27] application/octet-stream 249 http://h6.netviewer-s26.com/cgi-bin/h.pl?
172.16.5.207 [21.11.2005 11:46:27] application/octet-stream 253 http://h6.netviewer-s26.com/cgi-bin/h.pl?
172.16.5.207 [21.11.2005 11:46:27] application/octet-stream 249 http://h6.netviewer-s26.com/cgi-bin/h.pl?
172.16.5.207 [21.11.2005 11:46:28] application/octet-stream 245 http://h6.netviewer-s26.com/cgi-bin/h.pl?
172.16.5.207 [21.11.2005 11:46:28] application/octet-stream 245 http://h6.netviewer-s26.com/cgi-bin/h.pl?
172.16.5.207 [21.11.2005 11:46:28] application/octet-stream 245 http://h6.netviewer-s26.com/cgi-bin/h.pl?
[...]

Malte_4b1c84 · 24. November 2005 um 13:57

Vorsicht!
Hi,

Zumindest scheint es dann wenigstens so das die
Wahrscheinlichkeit sehr gering ist das viele Leute aus dem
Betrieb solch eine Lösung kennen bzw. nutzen können.

JAP http://anon.inf.tu-dresden.de/ ist so eine Lösung - zwar langsam, aber unter WIndows für jeden (auch eingeschränkten!) Benutzer installierbar und ohne EDV-Kenntnisse einsetzbar. Es braucht lediglich Java dazu.

Sobald Du in Deinem Unternehmen zulässt, daß HTTPS benutzt wird, kannst Du Tunneling technisch fast nicht mehr verhindern und es auch nicht erkennen. Nimm das Thema also durchaus ernst…

Gruß,

Malte

Marcel_Schenke · 25. November 2005 um 14:53

erledigt, DANKE an alle
Danke an alle für die Zahlreichen Informationen,
das reicht mir erstmal. Muss mich da mal ein wenig durcharbeiten und dann schauen was gemacht wird.

Danke,
schönes WE

Marcel