Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Ist eine SSL Verschlüsselung über einen DDNS -Anbieter möglich?

Frage Sicherheit Verschlüsselung & Zertifikate

Mitglied: Boweeko

Boweeko (Level 1) - Jetzt verbinden

02.08.2012, aktualisiert 15:46 Uhr, 5151 Aufrufe, 4 Kommentare, 1 Danke

Hallo ihr Administratoren,

ich bin gerade über eine Aussage unseres Webproviders überrascht, der meine Methode, ein Intranet über das Internet zugänglich zu machen, als fehlerhaft einstuft.
Aber lest selbst...

Ausgangslage:
lokaler Webserver: IIS7
Internetanschluss: DSL (dyn. IP)
Dyn-DNS-Service: no-ip.com
Webspacehoster: eigene Domain für unsere Internetpräsenz

Wir betreiben in unserem lokalen Netzwerk eine Intranetlösung. Nun besteht der Wunsch, auch von zu Hause bzw. unterwegs auf das Intranet zu greifen zu können. Dazu habe ich eine Subdomain bei unserer von einem Webprovider gehosteten Domain angelegt (z.B.: intranet.domainname.de). Danach eine Weiterleitung von der Subdomain auf eine DDNS-Adresse mit https(z.B. https://subdomain.no-ip.info:1234/intranet). Der Router nimmt die Anfrage an und routet den eingehenden Port auf den Webserver. Auf dem Webserver ist ein SSL-Zertifikat installiert das für die Domain intranet.domainname.de ausgestellt ist. Es kommt zwar zu einer Fehlermeldung weil das Zertifikat ja intranet.domainname.de statt https://subdomain.no-ip.info:1234/intranet erwartet.
Eine SSL Verbindung wird aber trotzdem aufgebaut. Glaubte ich zu mindestens bis jetzt.

Denn unser Webprovider schrieb folgendes dazu:

Sie bräuchten dann bei uns eine eigene IP, und auch noch ein
SSL_CERT.
Dann kommt im Browser zwar keine Warnmeldung und die Verbindung vom
Browser zu intranet.domainname.de ist verschlüsselt.
Aber von intranet.domainname.de zu https://subdomain.no-ip.info:1234/intranet ist die Verbindung
unverschlüsselt. Davon merkt der Besucher zwar nichts, aber die Verbindung
ist nicht gesichert, daher ist das so nicht ratsam.
Soll die auch verschlüsselt sein, müssen Sie für https://subdomain.no-ip.info:1234/intranet ein
Zertifikat haben.



Meine Frage dazu:
Ist das wirklich der Fall, dass obwohl in den verwendeten Browsern z.B. das Sicherheitsschloss anzeigt, dass die Verbindung über https bzw. SSL-Zertifikat gesichert ist, keine Verschlüsselung erfolgt?
Wenn das der Fall wie sichere ich dieses Szenario am besten ab?
Mitglied: brammer
02.08.2012 um 15:20 Uhr
Hallo,

schon mal über eine saubere VPN Lösung nachgedacht?

brammer
Bitte warten ..
Mitglied: Boweeko
02.08.2012 um 15:51 Uhr
Hallo brammer,

VPN ist in meinen Augen keine Option, da unsere Mitarbeiter ihre privaten Rechner zur Einwahl benutzen müssten. Und VPN ist da komplizierter als einfach eine URL in den Browser einzutippen.

Die Hürden sollen so niedrig wie möglich sein.

Boweeko
Bitte warten ..
Mitglied: maretz
02.08.2012 um 16:25 Uhr
Nun - generell wirst du dir damit nur noch mehr Probleme ins Haus holen als du willst... Du vermischt da SSL-Verbindungen, diverse Ports,... WENN es denn schon eine direkte Verbindung zum Web geben soll dann gib den Kollegen gleich den Link auf die interne Seite. Denn deine ganze Zertifikats-Lösung bringt ja nix wenn jeder der die URL auf eurem Server kennt eh schon auf euer Intranet zugreiffen kann...

Wobei ich auch empfehlen würde eine vernünftige VPN-Lösung zu nehmen... Du kannst heute auch VPN-Verbindungen exportieren - dann sind die mit nem Doppelklick praktisch nutzbar (z.B. ShrewSoft VPN-Client). Wem das jetzt noch zu komplex ist - dem würde ich vermutlich keinen externen Zugriff einrichten wollen... wer weiss ob da nicht der Virenscanner auch zu komplex war und plötzlich die Zugangsdaten - keylogger sei dank! - schon 2 Minuten später im Web die Kreise ziehen...
Bitte warten ..
Mitglied: filippg
03.08.2012 um 00:37 Uhr
Hallo,

irgendwer wirft da etwas durch einander - du oder dein Provider.
Unter DDNS versteht man i.A. nur DNS-Einträge. Also subdomain.no-ip.info -> 10.11.12.13. Will jemand auf den Server zugreifen, so baut er eine _direkte_ Verbindung zu ihm auf - es gibt also keine zwei Teilstrecken von denen eine verschlüsselt und eine unverschlüsselt ist. Die Weiterleitung auf deiner Website veranlasst den Browser, eine neue Verbindung aufzubauen.
Von zwei Verbindungen würde man etwa bei Proxying sprechen. Der Anwender verbindet sich zu deinem Webserver, _dieser_ fragt im Hintergrund die Inhalte von deinem lokalen Server ab. (damit wäre also die zweite Verbindung ggf. unverschlüsselt, obwohl dein Browser das Schloss anzeigt).
Letzteres Szenario ist eher unwahrscheinlich.
Aber der IIS produziert doch Logfiles. Und in diesen ist auch der Port, über den eine Anfrage reinkommt, angegeben. Und im IIS lässt sich dann auch prüfen, ob auf diesem Port HTTP oder HTTPS gebunden ist. Daneben könnte es ohnehin geschickt sein, unbenutzte Ports (80) auf der Firewall eingehend zu blockieren (wenn er eh nicht genutzt werden soll...). Und dann hast du auch Sicherheit. Absolute Sicherheit bringt im Zweifelsfall auch ein tcpdump (Wireshark, MS NetMon).

Gruß

Filipp
Bitte warten ..
Ähnliche Inhalte
Exchange Server
gelöst Externer Zugriff (OWA,OMA) nach SSL Abschaltung nicht mehr möglich (6)

Frage von Flinxit zum Thema Exchange Server ...

E-Mail
gelöst Eigenes SMTP Relay oder E-Mail Anbieter ohne SSL TLS? (12)

Frage von themast zum Thema E-Mail ...

Windows Netzwerk
Notebook mit Truecrypt - per Remote anmelden irgendwie möglich? (5)

Frage von schnuffi9999 zum Thema Windows Netzwerk ...

Windows Server
Ordner umbenennen nicht möglich (8)

Frage von carbon1X zum Thema Windows Server ...

Neue Wissensbeiträge
Batch & Shell

Batch - ein paar Basics die man kennen sollte

Tipp von Pedant zum Thema Batch & Shell ...

Microsoft

Restrictor: Profi-Schutz für jedes Window

(6)

Tipp von AlFalcone zum Thema Microsoft ...

Batch & Shell

Batch zum Zurücksetzen eines lokalen Profils

Tipp von Mr.Error zum Thema Batch & Shell ...

Heiß diskutierte Inhalte
Microsoft Office
Saubere HTML aus Word-Dokument (16)

Frage von peterpa zum Thema Microsoft Office ...

Router & Routing
ASUS RT-N18U mit VPN Client hinter Fritzbox - Portforwarding (15)

Frage von marshall75000 zum Thema Router & Routing ...

Hosting & Housing
gelöst Webserver bei WIX, aber DNS Server wo anders (9)

Frage von laster zum Thema Hosting & Housing ...

Debian
gelöst Plesk php-fpm Fehler (7)

Frage von sebastian2608 zum Thema Debian ...