27. Januar 2010

PHP SSL-VPN?

Category: Produkte — Christian @ 19:52

Ich suche ein Stück Software, das folgende Anforderungen erfüllen sollte:

Required:

  • SSL-Portforwarding, d.h. eine TCP-Verbindung (mind. SSHv2) über HTTPS
  • muss mit Web-Proxys und Proxy-Authentisierung zurechtkommen
  • muss im Kontext eines vorhandenen Apache Webservers laufen, weil nur eine IP-Adresse zur Verfügung steht und dort bereits ein Webserver läuft
  • Darf Geld kosten, muss aber nicht 😉

Nice to have:

  • SSL-VPN, d.h. eine echte IP-Verbindung über HTTPS
  • Open Source

Die Software soll auf einem meiner Webserver installiert werden und das Problem lösen, dass ich ab und an in fremden Firmen sitze, eine SSH-Verbindung nach Hause brauche aber nur HTTP und HTTPS über den Proxy bekomme. Es gibt nur eine (dynamische) IP-Adresse und ich kann auch nicht einfach einen SSH-Dienst an 443 binden, weil da weiterhin ein normaler Webserver laufen muss.

Insbesondere die Anforderung, dass das im Kontext einen vorhandenen Webservers laufen muss, scheint ein Problem zu sein. Die diversen SSL-VPN Appliances wollen alle den Port 443 alleine haben. Das ließe sich bei nur einer IP-Adresse zwar mittels Port-Forwarding auf dem DSL-Router lösen, nur brauche ich an Port 443 trotzdem noch einen normalen HTTPS-Webserver. Eine zweite IP-Adresse geht leider auch nicht.

Ich habe jetzt mit Webtunnel rumgespielt, das macht aber nicht so ganz das was ich gern hätte. Außerdem habe ich HTTPTunnel gefunden, das eine Version enthält die das in PHP implementiert. Nur kriege ich über die PHP-Version kein SSHv2 zum Laufen. Da bricht mein SSH-Server immer mit einer Fehlermeldung ab. Außerdem können beide nur TCP-Forwarding, kein echtes IP-VPN. Die üblichen Verdächtigen wie OpenVPN oder GNU HTTPTunnel scheiden aus, weil sie nicht im Kontext meines Webservers laufen. Und PHP kann ich nicht so gut programmieren, dass ich den HTTPTunnel-Fehler beheben könnte.

Alternativ wäre auch ein PHP-SSH, also ein SSH-Server im Kontext des Webservers ok. Ich finde nur gar nix, das mein Problem lösen würde. Open Source Lösungen werden bevorzugt, was nicht heißt, dass es nichts kosten darf.

Ach ja, und welchen PHP-Proxy (mit ähnlichen Anforderungen wie oben, d.h. muss über HTTPS im Kontext eines Apache Webservers laufen) würdet Ihr mir empfehlen?

Security Economics

Category: Hacking,Produkte,Recht — Christian @ 19:06

Wie sagt Fefe: Captain Obvious war auch schon da:

    Secondary credit card security systems for online transactions such as Verified by Visa are all about shifting blame rather then curtailing fraud, Cambridge University security researchers argue.

schreibt The Register. Also wenn man mit so einer Aussage schon Wissenschaftler an der Cambridge University werden kann, dann wundert mich nicht mehr, dass da keine Nobelpreise mehr gewonnen werden. Bei der ganzen vorgeblichen Sicherheit von Kredit- und EC-Karten geht es nicht um Sicherheit sondern darum, wer am Ende der Dumme ist der für den Schaden aufkommen muss.

In Deutschland ist der Dumme fast immer der Kunde, weil die Richter am BGH nicht rechnen können. In Großbritannien haben sie intelligentere Richter (also nicht den typischen Alois Eschenberger, der bei uns in den meisten Gerichten Recht spricht). Deshalb gibt’s bei den Briten eben Chip&PIN, bei uns Magnetstreifen und Skimming.

Ich kenne viele Sicherheitssysteme deren Aufgabe nicht die höhere Sicherheit sondern lediglich das Verschieben des Schuldigen ist. Aber mal ehrlich, wundert das jemanden?