start | find | index | login or register | edit
2002-09-26
by earl, 6201 days ago
unsre kleine und feine IPSec loesung im ueberblick :) [a not so gentle introduction to solving a real-world security problem with IPSec] - die anforderungen: kommunikation zwischen unseren rechnern soll sicher erfolgen, SMB maessig soll nur via IPSec auf unsere rechner zugegriffen werden koennen. confidential outgoing traffic soll auch ueber sichere tunnels zu trusted rechnern und in trusted networks laufen. die ersten zwei wuensche sind realisiert, der dritte ist mal aufgeschoben.

zuerst kurz die ausgangssituation: wir sind im UK, dem inselreich der ueberwachung und befinden uns in einem studentenheim. diese heime werden strikt gemonitored und sind mit argen ueberwachungs-policies vertraglich versehen. hier ist es natuerlich ein anliegen doch eine gewisse privatssphaere auch technisch zu wahren.

die realisierung gestaltet sich relativ einfach - und fuer den heutigen eintrag sei IPSec grundwissen mal angenommen. jeder unserer rechner requested bei _jedem_ unsicheren verbindungsaufbau ein weitermachen ueber sichere wege. damit der gespraechspartner das angebot annehmen kann, muss er IPSec konfiguriert haben und vor allem aber unsere shared passphrase wissen. das heisst also, das die kommunikation zwischen rechner die IPSec konfiguriert haben _und_ die shared passphrase wissen, prinzipiell sicher erfolgt.

eine zweite rule sorgt dafuer, dass SMB-basierte kommunikation (also TCP und UDP traffic zu den ports 135,137,138,139,445) ausschliesslich ueber gesichterte verbindungen angenommen wird - eine sicher verbindung wird required.

und das ist der ganze trick an der sache: sichere verbindungen koennen ja nur rechner herstellen, die das auch nach der ersten rule schon koenne, die also die shared passphrase kennen.

der effekt: rechner die via IPSec kommunizieren "sehen" die SMB ports - die kommunikation wird ueber die erste rule established, rechner die das nicht tun, "sehen" diese (dank der zweiten rule) nicht.

ich hoffe in den naechsten tagen ein detaillierteres how-to basteln zu koennen und auch die networking aspekte ein wenig detaillierter hinterleuchten zu koennen.
powered by vanilla
echo earlZstrainYat|tr ZY @.
earl.strain.at • esa3 • online for 6772 days • c'est un vanilla site