Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Ist eine SSL Verschlüsselung über einen DDNS -Anbieter möglich?

Frage Sicherheit Verschlüsselung & Zertifikate

Mitglied: Boweeko

Boweeko (Level 1) - Jetzt verbinden

02.08.2012, aktualisiert 15:46 Uhr, 5334 Aufrufe, 4 Kommentare, 1 Danke

Hallo ihr Administratoren,

ich bin gerade über eine Aussage unseres Webproviders überrascht, der meine Methode, ein Intranet über das Internet zugänglich zu machen, als fehlerhaft einstuft.
Aber lest selbst...

Ausgangslage:
lokaler Webserver: IIS7
Internetanschluss: DSL (dyn. IP)
Dyn-DNS-Service: no-ip.com
Webspacehoster: eigene Domain für unsere Internetpräsenz

Wir betreiben in unserem lokalen Netzwerk eine Intranetlösung. Nun besteht der Wunsch, auch von zu Hause bzw. unterwegs auf das Intranet zu greifen zu können. Dazu habe ich eine Subdomain bei unserer von einem Webprovider gehosteten Domain angelegt (z.B.: intranet.domainname.de). Danach eine Weiterleitung von der Subdomain auf eine DDNS-Adresse mit https(z.B. https://subdomain.no-ip.info:1234/intranet). Der Router nimmt die Anfrage an und routet den eingehenden Port auf den Webserver. Auf dem Webserver ist ein SSL-Zertifikat installiert das für die Domain intranet.domainname.de ausgestellt ist. Es kommt zwar zu einer Fehlermeldung weil das Zertifikat ja intranet.domainname.de statt https://subdomain.no-ip.info:1234/intranet erwartet.
Eine SSL Verbindung wird aber trotzdem aufgebaut. Glaubte ich zu mindestens bis jetzt.

Denn unser Webprovider schrieb folgendes dazu:

Sie bräuchten dann bei uns eine eigene IP, und auch noch ein
SSL_CERT.
Dann kommt im Browser zwar keine Warnmeldung und die Verbindung vom
Browser zu intranet.domainname.de ist verschlüsselt.
Aber von intranet.domainname.de zu https://subdomain.no-ip.info:1234/intranet ist die Verbindung
unverschlüsselt. Davon merkt der Besucher zwar nichts, aber die Verbindung
ist nicht gesichert, daher ist das so nicht ratsam.
Soll die auch verschlüsselt sein, müssen Sie für https://subdomain.no-ip.info:1234/intranet ein
Zertifikat haben.



Meine Frage dazu:
Ist das wirklich der Fall, dass obwohl in den verwendeten Browsern z.B. das Sicherheitsschloss anzeigt, dass die Verbindung über https bzw. SSL-Zertifikat gesichert ist, keine Verschlüsselung erfolgt?
Wenn das der Fall wie sichere ich dieses Szenario am besten ab?
Mitglied: brammer
02.08.2012 um 15:20 Uhr
Hallo,

schon mal über eine saubere VPN Lösung nachgedacht?

brammer
Bitte warten ..
Mitglied: Boweeko
02.08.2012 um 15:51 Uhr
Hallo brammer,

VPN ist in meinen Augen keine Option, da unsere Mitarbeiter ihre privaten Rechner zur Einwahl benutzen müssten. Und VPN ist da komplizierter als einfach eine URL in den Browser einzutippen.

Die Hürden sollen so niedrig wie möglich sein.

Boweeko
Bitte warten ..
Mitglied: maretz
02.08.2012 um 16:25 Uhr
Nun - generell wirst du dir damit nur noch mehr Probleme ins Haus holen als du willst... Du vermischt da SSL-Verbindungen, diverse Ports,... WENN es denn schon eine direkte Verbindung zum Web geben soll dann gib den Kollegen gleich den Link auf die interne Seite. Denn deine ganze Zertifikats-Lösung bringt ja nix wenn jeder der die URL auf eurem Server kennt eh schon auf euer Intranet zugreiffen kann...

Wobei ich auch empfehlen würde eine vernünftige VPN-Lösung zu nehmen... Du kannst heute auch VPN-Verbindungen exportieren - dann sind die mit nem Doppelklick praktisch nutzbar (z.B. ShrewSoft VPN-Client). Wem das jetzt noch zu komplex ist - dem würde ich vermutlich keinen externen Zugriff einrichten wollen... wer weiss ob da nicht der Virenscanner auch zu komplex war und plötzlich die Zugangsdaten - keylogger sei dank! - schon 2 Minuten später im Web die Kreise ziehen...
Bitte warten ..
Mitglied: filippg
03.08.2012 um 00:37 Uhr
Hallo,

irgendwer wirft da etwas durch einander - du oder dein Provider.
Unter DDNS versteht man i.A. nur DNS-Einträge. Also subdomain.no-ip.info -> 10.11.12.13. Will jemand auf den Server zugreifen, so baut er eine _direkte_ Verbindung zu ihm auf - es gibt also keine zwei Teilstrecken von denen eine verschlüsselt und eine unverschlüsselt ist. Die Weiterleitung auf deiner Website veranlasst den Browser, eine neue Verbindung aufzubauen.
Von zwei Verbindungen würde man etwa bei Proxying sprechen. Der Anwender verbindet sich zu deinem Webserver, _dieser_ fragt im Hintergrund die Inhalte von deinem lokalen Server ab. (damit wäre also die zweite Verbindung ggf. unverschlüsselt, obwohl dein Browser das Schloss anzeigt).
Letzteres Szenario ist eher unwahrscheinlich.
Aber der IIS produziert doch Logfiles. Und in diesen ist auch der Port, über den eine Anfrage reinkommt, angegeben. Und im IIS lässt sich dann auch prüfen, ob auf diesem Port HTTP oder HTTPS gebunden ist. Daneben könnte es ohnehin geschickt sein, unbenutzte Ports (80) auf der Firewall eingehend zu blockieren (wenn er eh nicht genutzt werden soll...). Und dann hast du auch Sicherheit. Absolute Sicherheit bringt im Zweifelsfall auch ein tcpdump (Wireshark, MS NetMon).

Gruß

Filipp
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
Verschlüsselung SSL
Frage von eberhartIILAN, WAN, Wireless10 Kommentare

Hallo, es lief alles so schön, ich dachte so würde es bleiben. Aber dann wurde auf verschlüsselte E-Mails umgestellt ...

Apache Server
Rerverse Proxy mit SSL Verschlüsselung
gelöst Frage von DragonValorApache Server3 Kommentare

Hi, ich bin gerade am internen Weiterleiten eines neu aufgesetzten Seafile Cloud-Servers. Im internen Netz komme ich über den ...

Verschlüsselung & Zertifikate
Druckprozess End2End Verschlüsselung mit IPP SSL
Frage von Niels63Verschlüsselung & Zertifikate1 Kommentar

Hi, ich habe folgende Umbebung: Windows Server 2008 R2 (Printserver) WIN 7 Clients IPP/SSL fähige Drucker Ich muss (nicht ...

Verschlüsselung & Zertifikate
Sbs2008 und ssl verschlüsselung für active Sync
Frage von LordNicon79Verschlüsselung & Zertifikate

Hallo zusammen, ich habe eine Frage die mich immer wieder mal beschäftigt, aber für die ich noch keine richtige ...

Neue Wissensbeiträge
Mac OS X

MacOS wo ist die Tilde ?

Tipp von Alchimedes vor 47 MinutenMac OS X

Hallo, ich hab eine MacOS qwertz Keyboard auf US Layout umgestellt da die Sonderzeichen besser ereichbar sind. Leider fehlt ...

Datenschutz

Weitere Inforamtionen zum Sicherheitsproblem BeA

Information von Penny.Cilin vor 7 StundenDatenschutz

Im folgenden ein weiterer Bericht über die Sicherheitsprobleme von Bea. Fataler Konstruktionsfehler im besonderen elektronischen Anwaltspostfach Gruss Penny

Windows 10

Systemdienste behalten nach Win10 inplace-Upgrade nicht die ggf. modifizierte Startart bei

Tipp von DerWoWusste vor 9 StundenWindows 103 Kommentare

Stellt Euch vor, Ihr habt ein Win10 System und modifiziert dort die Startart von Systemdiensten. Zum Beispiel wollt Ihr ...

Microsoft Office

Deaktivieren von Startbildschirm und Backstage-Ansicht in Office 2016 per Batch-Datei

Anleitung von SarekHL vor 12 StundenMicrosoft Office17 Kommentare

Guten Morgen zusammen! Ich habe mir gestern (auch mit Hilfe dieses Boards) ein Script gebastelt, um in Office 2016 ...

Heiß diskutierte Inhalte
Netzwerke
NTFS-Berechtigung
Frage von Daoudi1973Netzwerke23 Kommentare

Hallo zusammen und frohes neues Jahr (Sorry, ich bin spät dran) Meine Frage: 1- Ich habe einen Ordner im ...

Batch & Shell
AD-Abfrage in Batchdatei und Ergebnis als Variable verarbeiten
gelöst Frage von Winfried-HHBatch & Shell19 Kommentare

Hallo in die Runde! Ich habe eine Ergänzungsfrage zu einem alten Thread von mir. Ausgangslage ist die Batchdatei, die ...

Microsoft Office
Deaktivieren von Startbildschirm und Backstage-Ansicht in Office 2016 per Batch-Datei
Anleitung von SarekHLMicrosoft Office17 Kommentare

Guten Morgen zusammen! Ich habe mir gestern (auch mit Hilfe dieses Boards) ein Script gebastelt, um in Office 2016 ...

Windows 10
Netbook erkennt Soundkarte nicht - keinerlei Info zum Hersteller und Modell vom Netbook und Hardware bekannt
Frage von fyrb38Windows 1017 Kommentare

Guten Tag, meine Schwester reist in einigen Wochen für ein paar Monate ins Ausland und hat sich dafür ein ...