Re: warum PnP Dienst über Netzwerk?
- From: Denis Jedig <dj@xxxxxxxxxxxx>
- Date: Sun, 21 Aug 2005 01:23:17 +0200
Hallo,
ich mische mich mal in eure zweisame Diskussion ein.
On Sat, 20 Aug 2005 18:35:52 +0200 Daniel Melanchthon [MSFT] wrote:
>> OpenVPN kann das alles schon länger und ist universeller.
>
> Aber es erfordert a) eine Installation und Konfiguration am Client
Das stimmt
> und b)
> vergleichst Du hier Äpfel mit Birnen. Mit OpenVPN ist der Client im Netz -
> RDP mit SSL schützt das Protokoll an sich gegen MTM-Angriffe. Das sind
> unterschiedliche Angriffsvektoren.
Wenn das "im Netz" darauf abzielen soll, dass ein VPN-Client zwangsläufig
alles an Datenverkehr hat, was ein Client im internen Firmennetz hat, dann
muss ich widersprechen. Es ist eine Unsitte, VPNs als Bridges anzusehen -
sie waren nie so konzipiert, und wurden von Leuten, die sich ernsthaft mit
der Materie beschäftigen, nie ernsthaft so konfiguriert worden. Es werden
in aller Regel ja sogar im selben Gebäude intern Netze mit
unterschiedlichen Vertrauensstufen separiert und mit Filtern versehen - wer
kommt da auf die Idee, das bei einem VPN zu unterlassen, wenn die Geräte am
anderen Ende des Tunnels tatsächlich eine signifikant größere Bedrohung
darstellen oder sinifikant größeren Schutz brauchen, als die auf dieser
Seite?
Ansonsten schützt RDP mit SSL nicht so sehr gegen MITM-Angriffe (angenehmer
Nebeneffekt, aber man hätte ja auch RDP erweitern können - zusätzliche
Software für das Entfernen des SSL-Wraps braucht es ohnehin) wie es die
Möglichkeit zum Tunneln über HTTP CONNECT bietet und die Beliebtheit von
tcp/443 ausnutzt, um L3-Paketfilter passieren zu können. Es wiederholt sich
ja lediglich die Geschichte von RPC over HTTPS, wo ziemlich eindeutig auf
Druck des Marketings eine technisch minderwertige, spezialisierte
Zwischenlösung, die "just good enough" ist, einer generischen Tunnellösung
vorgezogen wurde.
Eine Herangehensweise wie z.B. ein VPN-Tunnel a la OpenVPN ist da m.E.
überlegen - Gründe gibt es viele, aber wenn ich diese nenne und erläutere,
macht dies den Artikel noch um viele Zeilen länger und langweilt ohnehin
die meisten hier.
--
Denis Jedig
syneticon networks GbR http://syneticon.net/service/
.
- Follow-Ups:
- Re: warum PnP Dienst über Netzwerk?
- From: Daniel Melanchthon [MSFT]
- Re: warum PnP Dienst über Netzwerk?
- References:
- warum PnP Dienst über Netzwerk?
- From: Thomas Winter
- Re: warum PnP Dienst über Netzwerk?
- From: Michael H. Fischer
- Re: warum PnP Dienst über Netzwerk?
- From: Thomas Winter
- Re: warum PnP Dienst über Netzwerk?
- From: Frank Lindner
- Re: warum PnP Dienst über Netzwerk?
- From: Michael H. Fischer
- Re: warum PnP Dienst über Netzwerk?
- From: Frank Lindner
- Re: warum PnP Dienst über Netzwerk?
- From: Michael H. Fischer
- Re: warum PnP Dienst über Netzwerk?
- From: Frank Lindner
- Re: warum PnP Dienst über Netzwerk?
- From: Daniel Melanchthon [MSFT]
- Re: warum PnP Dienst über Netzwerk?
- From: Frank Lindner
- Re: warum PnP Dienst über Netzwerk?
- From: Daniel Melanchthon [MSFT]
- Re: warum PnP Dienst über Netzwerk?
- From: Frank Lindner
- Re: warum PnP Dienst über Netzwerk?
- From: Daniel Melanchthon [MSFT]
- Re: warum PnP Dienst über Netzwerk?
- From: Frank Lindner
- Re: warum PnP Dienst über Netzwerk?
- From: Daniel Melanchthon [MSFT]
- Re: warum PnP Dienst über Netzwerk?
- From: Frank Lindner
- Re: warum PnP Dienst über Netzwerk?
- From: Daniel Melanchthon [MSFT]
- Re: warum PnP Dienst über Netzwerk?
- From: Frank Lindner
- Re: warum PnP Dienst über Netzwerk?
- From: Daniel Melanchthon [MSFT]
- Re: warum PnP Dienst über Netzwerk?
- From: Frank Lindner
- Re: warum PnP Dienst über Netzwerk?
- From: Daniel Melanchthon [MSFT]
- warum PnP Dienst über Netzwerk?
- Prev by Date: Re: warum PnP Dienst über Netzwerk?
- Next by Date: Re: warum PnP Dienst über Netzwerk?
- Previous by thread: Re: warum PnP Dienst über Netzwerk?
- Next by thread: Re: warum PnP Dienst über Netzwerk?
- Index(es):
Relevant Pages
|
Loading
