VPN-Gateway technisch lauffähig

Nach den letzten Änderungen und Ergänzungen am neuen OpenVPN-Gateway ist es uns möglich, nicht nur den verschlüsselten VPN-Zugriff über den Default-Gateway in das Internet anzubieten, sondern können Interessenten gegen Aufpreis eine eigene, statische IP-Adresse erhalten: Diese wird so konfiguriert, dass Daten, die das VPN verlassen, von dieser IP-Adresse kommen, sowie alle Daten, die an diese […]

Probleme am VPN-Gateway

Nachdem uns nun das neue Subnetz für den Betrieb des OpenVPN-Gateways zugeteilt wurde, gibt es mehr Probleme, als erwartet: Um auch in Netzen Zugriff zu gewähren, die den Internetzugriff nur via Proxyserver gewähren, läuft der VPN-Server auf dem HTTPS-Port 443. Dieser ist meist entsprechend offen. Ursprünglich war es geplant, normal den Standard-Port von OpenVPN zu […]

VPN-Gateway: Authentifizierung via Datenbank

Nachdem der VPN-Gateway nun in Testphase ist (wie berichtet), gehen wir nun einen Schritt weiter: Die Authentifizierung erfolgt nicht mehr über SSL-Zertifikate (jeder Client würde ein eigenes solches Zertifikat benötigen), sondern direkt über einen RADIUS-Server an einer MySQL-Datenbank. Neben den offensichtlichen Vorteil der dynamischen Änderungen ergeben sich weitere: kein Erstellen von Zertifikaten für jeden Benutzer […]

Danke, liebe Debian-Maintainer!

Nachdem gestern Sicherheitslücken in OpenSSL und OpenSSH veröffentlicht wurden, wird heute erst so richtig die Tragweite dieser Fehler bekannt: Durch einen Fehler in ssleasy_rand_add(), den Debian-Entwickler, auch in Absprache mit OpenSSL-Entwicklern, behoben, wurden Zufallszahlen auf die Prozess-ID beschränkt. Diese wird in Linux mit 16-Bit angegeben, deckt also den Zahlbereich von 1-65.535 ab: Dies ist in […]

OpenVPN-Gateway in Testphase

Wer viel mit seinem Laptop unterwegs ist, und etwas Wert auf Sicherheit legt, kennt das Problem: An vielen Orten werden öffentliche WLAN-Netzwerke mit Internet-Zugriff angeboten (z.B. bei McCafe, StarBucks, …). Diese sind meist jedoch unverschlüsselt, wodurch andere Teilnehmer im Netzwerk jederzeit den Datentransfer mitschneiden können. Werden hier auch keine verschlüsselten Protokolle (HTTPS, IMAPS, POP3S, SMTPS) […]