Test: VPN über Secure Sockets Layer mit dem SSL-Explorer

Aus Linux-Magazin 01/2006

Test: VPN über Secure Sockets Layer mit dem SSL-Explorer

Von

Der Aufbau eines virtuellen privaten Netzes mit IPsec und Openswan ist nicht jedermanns Sache. Mit dem SSL-Explorer gibt es eine Alternative, die einfach einzurichtende VPN-Umgebungen verspricht. Die Software lässt sich komplett über das Web steuern – ein Java-fähiger Browser genügt als VPN-Client.

Ob als Außendienstmitarbeiter oder als Angestellter an fernen Standorten: Oft ist es erforderlich, von einem beliebigen Ort Zugriff auf das interne Firmennetz zu haben. Virtuelle private Netzwerke (VPNs) gewähren diesen Remote-Zugang quer durch das Internet und schützen ihn mit kryptographischen Protokollen vor Abhören und Manipulation. Viele dieser Techniken sind allerdings aufwändig einzurichten und erfordern Anpassungen an Firewalls, um die VPN-Protokolle durchzulassen.

VPN per SSL

Nicht so der SSL-Explorer [1]. Er etabliert ein Web-basiertes VPN, für das bereits ein Java-fähiger Browser als Client genügt (Abbildung 1). Praktischerweise ist auch die Konfigurationsoberfläche als Webtool ausgeführt. Die Umgebung tunnelt TCP-basierte Netzwerkprotokolle wie SMTP, POP und HTTP über eine SSL-gesicherte Verbindung.

Angenehm an der SSL-Variante: Da alle Dienste über den Webservice laufen, sind Firewalls selten ein Hindernis, denn meist ist HTTPS gestattet. Auch Proxyserver leiten HTTPS meist durch.

Plattformübergreifend dank Java-Applet

Als Java-Software läuft der SSL-Explorer sowohl unter Linux als auch mit Windows. Administratoren steuern das System mit Hilfe von Remote-Werkzeugen wie SSH, SFTP, VNC, Citrix und anderen Terminaldiensten aus der Ferne. Sie können mit der integrierten Profilverwaltung sogar mehrere Zugriffsorte unterschiedlich konfigurieren.

Die kommerzielle Xtra-Erweiterung von 3sp [2] ergänzt weitere Authentifikationsmechanismen (LDAP, PIN, SMS, Public Key) und erleichtert damit den Einsatz in heterogenen Umgebungen. Dazu gehören:

  • Outlook-Webordner einbinden
  • Ein Web-basierter Dateibrowser für den Zugriff auf Windows-Shares
  • Unterstützung von Active Directory

Der Hersteller verlangt für ein bis fünf Benutzer 410 Euro, inklusive Support.

Benutzerdatenbank

Die Authentifizierung erfolgt per SSL-Explorer-eigener Userdatenbank oder zentral über ein Active Directory. Dabei nutzt das Tool die Windows-Sicherheitsrichtlinien und erlaubt den Zugriff auf Windows-Webfolder. Ein LDAP-Server ist nur mit dem kommerziellen Xtra-Erweiterungspaket einzubinden.

Als Hardware setzt SSL-Explorer einen Pentium III (1 GHz) und 512 MByte RAM voraus. Das Programm benötigt etwa 140 MByte Plattenplatz. Im Zip-Archiv von [1] steckt ein RPM-Paket, das die Programmdateien im Verzeichnis »/opt/sslexplorer« platziert. Um das Web-basierte Konfigurationswerkzeug zu starten, genügt der Aufruf »/opt/sslexplorer/setup-sslexplorer«. Die Installationsroutine gibt eine URL aus, unter der das Webinterface zu erreichen ist. In der Regel lauscht es am Port 28080.

In diesem Konfigurationsmodus sind wichtige Parameter einzustellen. Die erste Seite trägt die Bezeichnung »Web Security«. Sie dient dazu, SSL-Zertifikate zu erstellen oder zu importieren. Um die Software nur zu testen, genügt es, ein eigenes Zertifikat zu erzeugen. Für den produktiven Einsatz sollten es Schlüssel einer CA sein (Certification Authority), die allen Browsern bekannt ist.

Nach Abschluss der Konfiguration stehen Benutzern drei Wege offen, um den SSL-Explorer zu starten: Unter Red Hat Linux (der bislang einzigen offiziell unterstützten Distribution) lautet der Befehl »service sslexplorer start«. Bei anderen Distributionen helfen »/etc/init.d/sslexplorer console« oder gegebenenfalls »/opt/sslexplorer/sslexplorer_console«.

Erste Schritte

Die Oberfläche ist per HTTPS auf dem lokalen Rechner zu erreichen: »https://localhost/«. Das voreingestellte Passwort für den Benutzer »admin« lautet »admin«. Nach dem Login stehen die vier Menüs »Home«, »Networking«, »Services« und »Admin« zur Verfügung. Beim ersten Start zeigt die Homepage außerdem den VPN-Client-Status. Die Funktionalität des Clients ist für einige SSL-Explorer-Funktionen nötig. Die Schaltfläche »Launch« startet das Applet.

Im »Home«-Menü versteckt sich unter anderem die Benutzerverwaltung. Unter »Home | My Account | Configuration« öffnet sich ein umfangreiches Formular mit den User-Einstellungen (Abbildung 2). Hier konfiguriert der Admin seinen eigenen Account und erstellt dedizierte Benutzerprofile. Das Anlegen neuer User erfolgt über das »Admin«-Menü.

Die Account-Konfiguration führt zunächst die beiden Defaultprofile auf. In Profilen lassen sich Eigenschaften abbilden, die für unterschiedliche Einsatzbereiche geeignet sind. So kann es sinnvoll sein, ein Mitarbeiter- und ein Kunden-Profil zu erstellen.

Der SSL-Explorer nutzt ein auf definierten Rollen beruhendes System für die Zugriffskontrolle, mit dem Administratoren exakt steuern, wer welche Berechtigungen erhält. Dieses System bildet die hierarchischen Strukturen in einem Unternehmen ab. Statt einzelnen Benutzern individuelle Rechte zuzuweisen, gibt eine Rolle beispielsweise der Marketingabteilung andere Rechte als der Vertriebsgruppe.

Besonders einfach gestaltet sich die Angelegenheit, wenn im Netzwerk ein Active Directory läuft. Das erspart es dem Admin, Rollen neu zu erzeugen – er übernimmt sie aus dem Directory. Auch manuell ist das Anlegen nicht schwer: im Eingabefeld »Create Role« eine Bezeichnung eingeben und auf »Create« klicken. Die Rollenliste erhält dann einen weiteren Eintrag, dessen Status durch die rote Markierung »Revoked« anzeigt, dass die Rolle noch nicht aktiviert ist. Hierfür stehen detaillierte Konfigurationsmöglichkeiten zur Verfügung.

Abbildung 1: Die Tunnel-Konfiguration mit dem SSL-Explorer. Hier haben Anwender die Möglichkeit, alle unsicheren Protokolle durch den SSL-Tunnel vor fremden Augen zu schützen.

Abbildung 1: Die Tunnel-Konfiguration mit dem SSL-Explorer. Hier haben Anwender die Möglichkeit, alle unsicheren Protokolle durch den SSL-Tunnel vor fremden Augen zu schützen.

User-Accounts

Der Menüpunkt »Admin | Access Control | Accounts« führt zur Account-Verwaltung. Hier weist der Admin Benutzern ihre Rolle zu. Unabhängig davon, ob sie einen neuen Account erstellen oder einen bestehenden ändern, landen sie immer im gleichen Dialog. Der verlangt mindestens eine Userkennung und den vollständigen Namen, eventuell auch die E-Mail-Adresse.

Der SSL-Explorer erlaubt es, den Zugriff auf bestimmte IP-Adressen einzuschränken. Dieser Funktion ist sinnvoll, wenn die IP-Adressen der Systeme bekannt sind, die auf den VPN-Server zugreifen sollen. Das zugehörige Formular findet sich unter »Admin | Access Control | IP-Restrictions«. Hier legt der Admin fest, ob er den Zugriff erlauben oder unterbinden will. Dann gibt er in das Textfeld »IP Address« die gewünschte Adresse ein. Um die Einstellungen für ein gesamtes Subnetz zu aktivieren, lautet der Eintrag etwa »192.168.1.* «. Nach dem Hinzufügen enthält das Formular den neuen Bereich »Current Rules«, der alle Beschränkungen und Freigaben für IP-Adressen aufführt.

Abbildung 2: Ein Blick auf das Formular für die Account-Konfiguration. Hier lassen sich für jeden Account individuelle Parameter einstellen.

Abbildung 2: Ein Blick auf das Formular für die Account-Konfiguration. Hier lassen sich für jeden Account individuelle Parameter einstellen.

Regelkonform

Unter »Admin | Access Control« stehen weitere Sicherheitsfunktionen zur Verfügung, speziell der Eintrag »Security Options« (Abbildung 3). Das zugehörige Formular sieht VPN-Client- und allgemeine Sicherheitseinstellungen vor. In den allgemeinen Sicherheitseinstellungen bestimmt der Administrator die Benutzerdatenbank, er hat die Wahl zwischen der SSL-Explorer-eigenen Variante und dem Active Directory.

Abbildung 3: Der SSL-Explorer bietet umfangreiche Sicherheitseinstellungen. Er verfügt zum Beispiel über eine eigene Benutzerdatenbank, kann aber auch per Active Directory oder (mit einer kommerziellen Erweiterung) LDAP auf bestehende Datenbanken zugreifen.

Abbildung 3: Der SSL-Explorer bietet umfangreiche Sicherheitseinstellungen. Er verfügt zum Beispiel über eine eigene Benutzerdatenbank, kann aber auch per Active Directory oder (mit einer kommerziellen Erweiterung) LDAP auf bestehende Datenbanken zugreifen.

Zudem lässt sich festlegen, nach wie vielen missglückten Login-Versuchen ein Account deaktiviert wird, wie das Passwortmuster aussehen muss, welche Benutzer oder Gruppen administrative Rechte besitzen und ob Multisession-Verbindungen möglich sind. Interessant ist die VPN-Client-Option »Strict checking«. Über sie ist der Zugriff auf Grundlage der Java- und Betriebssystemeinstellungen eines Clients zu bestimmen.

Die umfangreiche Tunnelfunktion im SSL-Explorer ist einfach zu handhaben. Jeder TCP-Dienst lässt sich absichern, beispielsweise die Mailabfrage per POP3. Um die Sicherungsfunktion nutzen zu können, muss zunächst auf Seite des Clients der Web-basierte VPN-Client laufen: Der Benutzer lenkt seinen Browser auf die SSL-Explorer-Webseite seines VPN-Zugangs und räumt – je nach Browser – dem Java-Applet zusätzliche Zugriffsrechte ein.

Praktischer Tunnel vom Mailer zum Server

Um den POP3-Traffic zwischen Client und Server zu sichern, öffnet der Admin die Tunneleinstellungen unter »Networking | SSL Tunnels«. In dem Formular »Create Tunnel« landen der Port für den Mailserver (in der Regel ist das Port 110), der Hostname und der Zielport (meist ebenfalls 110).

Mit einem einfachen Klick auf »Add« ist der erste Tunnel erzeugt. Nun müssen die Anwender nur noch die Mailserver-Einstellungen ihres E-Mail-Clients so anpassen, dass er das VPN auch verwendet. Dazu ersetzen sie die POP3-Einstellung durch »localhost«. Der lokal installierte VPN-Client und der VPN-Server sichern die Verbindung. Entsprechend verfahren Anwender mit den SMTP-Einstellungen und anderen Diensten.

Interessant für den Einsatz im heterogenen Netzwerk: Über das Menü »Network | Network Places« greifen Anwender auf Windows-Netzwerkumgebungen zu. So ist beispielsweise die Einbindung einer Netzwerkfreigabe auch für Außendienstmitarbeiter möglich, die ihre Verbindung über das Internet herstellen. Weitere nützliche Funktionen sind das Forwarding und der Zugriff auf WebDAV-basierte Ablagen. Für Entwickler interessant: Die SSL-Explorer-Funktionalität lässt sich mittels XML erweitern.

Fazit

Mit dem SSL-Explorer, den Administratoren und Benutzer vollständig über eine Webschnittstelle bedienen, gelingt selbst Netzwerk-Laien der Einstieg in die VPN-Technik. Professionelle Administratoren werden zwar die feinen Konfigurations- und Steuermöglichkeiten von Openswan und Konsorten vermissen. Für einfache Aufgaben ist der SSL-Explorer allerdings bestens geeignet. (mwe/fjl)

Infos

[1] SSL-Explorer: [http://sourceforge.net/projects/sslexplorer/]

[2] Kommerzielle Erweiterungen: [http://3sp.com/showSslExplorerXtra.do]

LINUX-MAGAZIN KAUFEN
EINZELNE AUSGABE Print-Ausgaben Digitale Ausgaben
ABONNEMENTS Print-Abos Digitales Abo
TABLET & SMARTPHONE APPS Readly Logo

Verwandte Artikel

Editorial

Eine Studie belegt: KI-Chatbots reden ihren Nutzern nach dem Mund. Das ist gefährlich für den sozialen Zusammenhalt in der Gesellschaft.

KubeCon CloudNativeCon Europe 2026

Rund 13 500 Teilnehmer aus 100 Ländern machen die KubeCon CloudNativeCon Europe 2026 zur bislang größten Open-Source-Konferenz weltweit, berichten die Veranstalter stolz. Künstliche Intelligenz in allen Schattierungen dominiert das Treffen von Anwendern, Projekten, Firmen und Entwicklern aus...

Home Assistant: Open Source trifft Smart Home

Als zentrale Open-Source-Plattform bündelt Home Assistant unterschiedliche Smart-Home-Geräte verschiedener Hersteller, priorisiert die lokale Kontrolle und ist damit eine datenschutzfreundliche Alternative zu Cloud-Hubs. Dank flexibler Architektur und einer schnell wachsenden...

E-Mail Benachrichtigung
Benachrichtige mich zu:
0 Kommentare
Älteste
Neuste Beste Bewertung
Inline Feedbacks
Alle Kommentare anzeigen
© COMPUTEC MEDIA GmbH
Nach oben