ag1 15 Geschrieben 3. November 2011 Melden Teilen Geschrieben 3. November 2011 Hallo, vielleicht könnt ihr mir ja ein bisschen helfen... Ein Kunde hat sein Kundenverwaltungsprogramm aktualisiert. Als Datenbank läuft nun ein MySQL-Server. Neben der Clientanwendung besteht nun die Möglichkeit über einen Browser auf die Daten zuzugreifen. Dazu wurde auf dem Server auch ein Zend-Server mit Apache2 installiert. Im lokalen Netzwerk funktioniert der Zugriff einwandfrei. Nun möchte der Kunde aber auch von außen auf die Daten zugreifen können. Dazu müssen wir aber das ganze absichern. Dazu gibt es ja u.a. die Möglichkeit per VPN oder SSL-Zugriff. Dazu meine erste Frage: Was würdet ihr bevorzugen? Ich persönlich tendiere klar zu VPN. Vielleicht habt ihr ja passende Argumente... Irgendjemand hat dem Kunden mal erzählt, daß es über VPN aber langsamer sei als über den direkten Zugriff. Deshalb will der Kunde die SSL-Lösung (außer ihr habt gute Argumente für mich). Jetzt hab ich mich da mal ein bisschen eingelesen. Dazu ein paar Fragen: - Der Kunde hat eine feste IP-Adresse, mit der sein Router erreichbar ist. Reicht diese IP-Adresse aus, oder muss zwingenderweise (so wie ich gelesen habe) eine Domain dafür existieren? - Reicht ein selber erstelltes Zertifikat aus oder sollte unbedingt ein Zertifikat gekauft werden? So, das war's nun erstmal. Ich würde mich sehr über Antworten freuen. Grüße ag1 Zitieren Link zu diesem Kommentar
NorbertFe 2.105 Geschrieben 3. November 2011 Melden Teilen Geschrieben 3. November 2011 Da du für IP Adressen kein Zertifikat ausstellen kannst wirst du wohl einen registrierten Hostnamen benötigen, den du ins Zertifikat schreibst. Ansonsten hast du zusätzliche Fehler beim SSL Aufruf. Bye Norbert Zitieren Link zu diesem Kommentar
Dukel 457 Geschrieben 3. November 2011 Melden Teilen Geschrieben 3. November 2011 Bei einem VPN kommt es ganz darauf an welche Technik man verwendet. Mit z.B. OpenVPN benutzt das VPN genauso eine SSL Verschlüsslung. Der Vorteil bei SSL ist, dass man keine Client Software benötigt. Ein normaler Browser reicht. Wegen Self-Signed vs. gekauftes Zertifikat: Es kommt darauf an. Wenn man alle Clients, die auf die Anwendung zugreifen unter Kontrolle hat und man denen Das Zert. installieren kann ist das genauso gut wie ein gekauftes. Zitieren Link zu diesem Kommentar
ag1 15 Geschrieben 4. November 2011 Autor Melden Teilen Geschrieben 4. November 2011 Hallo, vielen Dank für eure Antworten. Ich werde nun mal eine Domain und den SSL-Zugang einrichten (Kunde will es so). VPN würde ein LANCOM-Router bereitstellen und wird sogar schon genutzt, aber wie gesagt, angeblich ist es über VPN langsamer als über SSL... Grüße ag1 Zitieren Link zu diesem Kommentar
ag1 15 Geschrieben 5. November 2011 Autor Melden Teilen Geschrieben 5. November 2011 Hallo, jetzt hab ich doch nochmal ein paar Fragen. Vielleicht habt ihr ja Antworten für mich. Ich hab nun auf einem Testserver eine SSL-Verbindung eingerichtet. Mit Openssl hab ich mir dazu ein Testzertifikat erstellt. Der Apache-Server startet und ich kann per https://domain.de auf den Server zugreifen. Ist es richtig, daß ich auch über die IP-Adresse zugreifen kann oder sollte dies nicht möglich sein? Da es ein selbst signiertes Zertifikat ist, erscheint auch eine entsprechende Meldung im Browser. Diese übergehe ich und der Zugriff klappt. Jetzt meine Frage: Kann man es hier irgendwie verhindern, daß theoretisch jeder das Zertifikat importieren kann (z.B. per Passwortabfrage?)? Bei dem Kunden geht es lediglich darum, daß max. 5 Personen auf den Server zugreifen können. Diesen 5 Personen könnte man das Zertifikat auch manuell auf deren Notebooks installieren. Frage noch zum Thema Sicherheit: Ist nun durch das Portforwarding vom Port 443 auf den Server ein großes Sicherheitsloch entstanden? Danke schon mal! Grüße ag1 Zitieren Link zu diesem Kommentar
NorbertFe 2.105 Geschrieben 5. November 2011 Melden Teilen Geschrieben 5. November 2011 Natürlich ist das möglich, wird aber zwangsläufig eine Fehlermeldung im Browser bringen, da der "Name" (IP) ein anderer ist als der der im Zertifikat steht. Bye Norbert Zitieren Link zu diesem Kommentar
Dukel 457 Geschrieben 5. November 2011 Melden Teilen Geschrieben 5. November 2011 Hallo,[...] Jetzt meine Frage: Kann man es hier irgendwie verhindern, daß theoretisch jeder das Zertifikat importieren kann (z.B. per Passwortabfrage?)? Bei dem Kunden geht es lediglich darum, daß max. 5 Personen auf den Server zugreifen können. Diesen 5 Personen könnte man das Zertifikat auch manuell auf deren Notebooks installieren. Das nennt sich dann Client Zertifikate. Da fragt nicht nur der Client beim Server nach einem Zertifikat sondern auch der Server beim Client. Frage noch zum Thema Sicherheit: Ist nun durch das Portforwarding vom Port 443 auf den Server ein großes Sicherheitsloch entstanden? [...] Grüße ag1 Kein größeres Sicherheitsloch als andere Portforwardings. Sicherheitslöcher entstehen nicht durch Portforwardings sondern durch Fehler in den Anwendungen, die auf den Ports lauschen. Zitieren Link zu diesem Kommentar
ag1 15 Geschrieben 7. November 2011 Autor Melden Teilen Geschrieben 7. November 2011 Alles klar! Danke für eure Antworten! Wieder was gelernt. Grüße ag1 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.