1 |
Hi, |
2 |
|
3 |
Hans-Werner Hilse schrieb: |
4 |
> Hi, |
5 |
> |
6 |
> On Tue, 25 Jul 2006 10:47:04 +0200 Marc Blumentritt |
7 |
> <M.Blumentritt@×××××××××××××××.de> wrote: |
8 |
> |
9 |
>> Ich würde VPNs nur einsetzen, wenn ich zwei Netzwerke (oder Rechner |
10 |
>> und Netzwerk) über das Internet verbinden will. Hinter einem Router |
11 |
>> sind V-LANs eleganter. |
12 |
> |
13 |
> Keine Ahnung, was du mit "hinter" meinst. Aber wenn du nicht schon an |
14 |
> den Switches 802.1x (Portauthentifizierung) machst, kann das eh nicht |
15 |
> funktionieren. Mit dem Router hat das alles nüscht zu tun (es sei denn, |
16 |
> der Router ist gleichzeitig der Switch), mit VLANs auch nicht. VLANs |
17 |
> nimmt man nur, um bei Port-Authentifizierung z.B. einen |
18 |
> unauthorized-Bereich freizugeben. VLANs haben dann aber nichts auf dem |
19 |
> Port zu suchen, der authentifiziert werden soll. Da aber vermutlich eh |
20 |
> kein 802.1x-tauglicher Switch da ist, ist das alles eh wurscht. |
21 |
|
22 |
Mit "hinter" meinte ich das lokale Netzwerk. Das da noch ein geeigneter |
23 |
Switch benötigt wird hab ich vergessen zu erwähnen. Hab jetzt nochmal |
24 |
ein bißchen gelesen, was man mit VLANs so machen kann und habe |
25 |
festgestellt, dass mein Erinnerungsvermögen mich betrogen hat was die |
26 |
Authentifizierung angeht (ich hätte schwören können, dass ich mal was |
27 |
mit ner Authentifizierung mit Schlüsseln gelesen hätte). VLANs sind also |
28 |
nicht geeignet, sorry for the confusion. |
29 |
|
30 |
|
31 |
Ich hab jetzt nochmal den Post von Volker gelesen: |
32 |
|
33 |
> Soweit ich das gesehen habe, kann OpenVPN das alles. Nun habe ich noch ein |
34 |
> Problem: |
35 |
> Was passiert, wenn jemand auf seinem Notebook händisch eine IP-Adresse aus dem |
36 |
> virtuellen Subnetz eingibt? Kann ich ihn auf dem Router irgendwie abblocken - |
37 |
> vielleicht nach dem Motto, dass diese Adressen nicht von ethX kommen dürfen? |
38 |
|
39 |
Also wenn der Angreifer an deiner Netzbuchse hängt, hängt er an nem |
40 |
Switch (oder Hub), so dass die Pakete im lokalen Netz nicht mehr über |
41 |
den Router laufen und du sie somit nicht filtern kannst, oder? Oder |
42 |
schaltest du irgendwie alle Verbindungen über den Router (von sowas hab |
43 |
ich noch nie gehört)? Wenn also jemand "intern" angreift, dann hast du |
44 |
bereits nen großes Problem, bei dem dir das VPN nicht helfen wird. Aber |
45 |
hast du öffentlich zugängliche Buchsen? |
46 |
|
47 |
Die WLAN-Verbindungen kannst natürlich mit WAP2 schützen, aber das weißt |
48 |
du sicherlich. Ohne Absicherung des WLANs bringt der VPN aus den oben |
49 |
genannten Gründen auch nix. |
50 |
|
51 |
Grüße |
52 |
Marc |
53 |
-- |
54 |
gentoo-user-de@g.o mailing list |