Hallo,
heute habe ich es endlich! geschafft von außen auf meinen (Test-)Schulserver mittels dyndns zuzugreifen :-)
Die Datei /etc/http-extern/redirects.fas sieht dann folgendermaßen aus:
--- Directory proxy:*> Allow from all </Directory>
ProxyPass / http://192.168.0.2/ ProxyPassReverse / http://192.168.0.2/ ---
Ob hierdurch zusätzliche Sicherheitslücken außer dem Zugriff von außen geöffnet wurden, kann ich leider nicht beurteilen :-(
Übrigens funktioniert 'All from 0.0.0.0/0' nicht, da beim Starten von http-extern für diese Zeile ein Syntax-Error gemeldet wird.
Jetzt aber meine Frage bzw. mein Hinweis: Wenn man den Mailserver (192.168.0.3) und Adminserver (192.168.0.2) wie im Moment mittels http aufrufen darf, werden die Passwörter im Klartext übermittelt. Im LAN würde mich das nicht sonderlich stören, wenn aber der Server von außen erreichbar sein soll, z.B. zum Mailabholen oder sonstigen Dingen, bei denen man sein Passwort eingeben soll, ist das Risiko viel zu hoch, dass irgendein findiger Schüler einen Sniffer (oder wie immer das heißen mag) mitlaufen lässt und die Passwörter abhört. Dann würde jeder Schüler eine Ausrede haben, wenn mit seinem Account Blödsinn gemacht wird: mein Passwort hat jemand abgehört ...
Ist es möglich, dass man den Apache so umstellt, dass diese Seiten nur noch mittels https aufgerufen werden können, dann würden die Passwörter nur noch veschlüsselt übertragen werden und diese Problematik wäre vorbei - ich weiß dass Herr Varkoly vor längerer Zeit einmal danach gefragt hatte, da ich aber damals davon noch keine Ahnung hatte, konnte ich dazu nichts sagen :-(
Viele Grüße Dieter
P.S.: Meine email-Adresse lautet demnächst: kroe@rs-schesslitz.de; unter der t-online-Adresse bin ich dann/absofort nicht mehr zu erreichen.(unter kroe@rs-schesslitz.de bin ich jetzt schon erreichbar)
On Fri, Mar 21, 2003 at 09:31:12PM +0100, Dieter Kroemer wrote:
Hallo,
heute habe ich es endlich! geschafft von außen auf meinen (Test-)Schulserver mittels dyndns zuzugreifen :-)
Die Datei /etc/http-extern/redirects.fas sieht dann folgendermaßen aus:
Directory proxy:*> Allow from all
</Directory>
ProxyPass / http://192.168.0.2/ ProxyPassReverse / http://192.168.0.2/
Ob hierdurch zusätzliche Sicherheitslücken außer dem Zugriff von außen geöffnet wurden, kann ich leider nicht beurteilen :-(
Übrigens funktioniert 'All from 0.0.0.0/0' nicht, da beim Starten von http-extern für diese Zeile ein Syntax-Error gemeldet wird.
Jetzt aber meine Frage bzw. mein Hinweis: Wenn man den Mailserver (192.168.0.3) und Adminserver (192.168.0.2) wie im Moment mittels http aufrufen darf, werden die Passwörter im Klartext übermittelt. Im LAN würde mich das nicht sonderlich stören, wenn aber der Server von außen erreichbar sein soll, z.B. zum Mailabholen oder sonstigen Dingen, bei denen man sein Passwort eingeben soll, ist das Risiko viel zu hoch, dass irgendein findiger Schüler einen Sniffer (oder wie immer das heißen mag) mitlaufen lässt und die Passwörter abhört. Dann würde jeder Schüler eine Ausrede haben, wenn mit seinem Account Blödsinn gemacht wird: mein Passwort hat jemand abgehört ...
Ist es möglich, dass man den Apache so umstellt, dass diese Seiten nur noch mittels https aufgerufen werden können, dann würden die Passwörter nur noch veschlüsselt übertragen werden und diese Problematik wäre vorbei - ich weiß dass Herr Varkoly vor längerer Zeit einmal danach gefragt hatte, da ich aber damals davon noch keine Ahnung hatte, konnte ich dazu nichts sagen :-(
Schulserver ist sehr benutzerfreundlich, sogar das geht mit Klicki-Klaci-Bunt:
1. http://admin 2. Sich als cyrus anmelden
2. Sicherheit 3. Erstelle/Vernichte CA 4. Eigenes Zertifikat erstellen...
Alles schön ausfüllen und merken
5. Sicherheit 6. SSL Konfiguration SSL Aktivieren -> Ein Art der Überprüfung -> none Verifikationstiefe -> 5
Speichern
Das war es
Viele Grüße Dieter
P.S.: Meine email-Adresse lautet demnächst: kroe@rs-schesslitz.de; unter der t-online-Adresse bin ich dann/absofort nicht mehr zu erreichen.(unter kroe@rs-schesslitz.de bin ich jetzt schon erreichbar) -- Um die Liste abzubestellen, schicken Sie eine Mail an: slss-unsubscribe@suse.com Um eine Liste aller verfügbaren Kommandos zu bekommen, schicken Sie eine Mail an: slss-help@suse.com
Hallo,
Am Montag, 24. März 2003 11:37 schrieb Peter Varkoly:
Schulserver ist sehr benutzerfreundlich, sogar das geht mit Klicki-Klaci-Bunt:
...
Das war es
Klasse, funktioniert soweit wunderbar, aber die neue Frage von mir ist damit natürlich vorprogrammiert ;-)
Im FAS ist nur eine Weiterleitung für http vorgesehen, nicht für https. Ich kann natürlich von http://schule.dyndns.org auf https://192.168.0.2/ weiterleiten, dann ist aber nur die Verbindung vom Gateway zum Schulserver verschlüsselt, aber in der großen weiten Welt wird das Passwort doch noch verschlüsselt übertragen.
Wie bringe ich die Firewall-on-CD dazu auch auf https-Anfragen zu hören und diese weiterzuleiten, oder geht das nicht so einfach?
Viele Grüße und Dank Dieter
On Mon, Mar 24, 2003 at 10:49:10PM +0100, Dieter Kroemer wrote:
Hallo,
Am Montag, 24. März 2003 11:37 schrieb Peter Varkoly:
Schulserver ist sehr benutzerfreundlich, sogar das geht mit Klicki-Klaci-Bunt:
...
Das war es
Klasse, funktioniert soweit wunderbar, aber die neue Frage von mir ist damit natürlich vorprogrammiert ;-)
Im FAS ist nur eine Weiterleitung für http vorgesehen, nicht für https. Ich kann natürlich von http://schule.dyndns.org auf https://192.168.0.2/ weiterleiten, dann ist aber nur die Verbindung vom Gateway zum Schulserver verschlüsselt, aber in der großen weiten Welt wird das Passwort doch noch verschlüsselt übertragen.
Wie bringe ich die Firewall-on-CD dazu auch auf https-Anfragen zu hören und diese weiterzuleiten, oder geht das nicht so einfach?
Statt port 80 mus man port 443 (https) angeben.
Das geht ja auch mit dem generischen proxy.
Viele Grüße und Dank Dieter
-- Um die Liste abzubestellen, schicken Sie eine Mail an: slss-unsubscribe@suse.com Um eine Liste aller verfügbaren Kommandos zu bekommen, schicken Sie eine Mail an: slss-help@suse.com
-
Dieter Kroemer -
Dieter Kroemer -
dkroemer@t-online.de
-
Peter Varkoly -
Peter Varkoly