Wir sind in einer Diskussion auf folgende \u00dcberlegung gekommen:<\/p>\n
Ich sitze an einem Windows-PC (ohne Desktop-Firewall) in einem gesch\u00fctzten Netz hinter der gro\u00dfen Firmen-Firewall. Surfen im Internet ist erlaubt. Au\u00dferdem ist auf dem Rechner hier ein SSL-VPN Client installiert, in meinem Fall Juniper Network Connect der Juniper SSL-VPN SA-Serie. Welches Produkt von welchem Hersteller verwendet wird, ist f\u00fcr die Fragestellung aber egal. Das Network Connect wird normalerweise gestartet, indem man auf die Anmeldeseite des SSL-VPN-Gateways geht und sich dort anmeldet. Abh\u00e4ngig von der Konfiguration wird der eigentliche Network Connect Client dann automatisch gestartet. Ich habe dann ein SSL-basiertes VPN von meinem Windows-PC durch die gro\u00dfe Firmen-Firewall hindurch zu meinem Juniper Gateway.<\/p>\n
Die klassische Diskussion ist dann, dass ich da nat\u00fcrlich beliebige Daten hinaus schleusen kann, weil der Juniper Gateway z.B. Uploads erlaubt und das ja SSL-verschl\u00fcsselt ist, d.h. die Firmen-Firewall nichts mehr sieht. Geschenkt.<\/p>\n
Die interessante Frage die sich in unserer Diskussion jetzt gestellt hat geht genau anders herum:<\/p>\n
Das w\u00fcrde n\u00e4mlich bedeuten, ich habe dann eine IP-basierte VPN-Verbindung von diesem Webserver im Internet durch die Firmen-Firewall hindurch zum eigentlich gesch\u00fctzten Client im LAN und kann diesen direkt angreifen. Eine fehlende Desktop-Firewall nat\u00fcrlich vorausgesetzt.<\/p>\n
Das ist eine \u00e4hnliche Frage wie mit den diversen ActiveX-Controls die sich im Browser wiederfinden. Die k\u00f6nnen im Grunde auch von einem beliebigen Webserver gestartet werden, wenn sie „safe“ sind. Und wenn dann eine Sicherheitsl\u00fccke bekannt wird, muss Microsoft wie diesen Monat wieder, Killbits f\u00fcr ActiveX verteilen. Oder haben die Hersteller von SSL-VPN Clients ein Verfahren implementiert mit dem der Client feststellen kann, ob er mit einem unmodifizierte Gateway des Herstellers kommuniziert?<\/p>\n","protected":false},"excerpt":{"rendered":"
Wir sind in einer Diskussion auf folgende \u00dcberlegung gekommen: Ich sitze an einem Windows-PC (ohne Desktop-Firewall) in einem gesch\u00fctzten Netz hinter der gro\u00dfen Firmen-Firewall. Surfen im Internet ist erlaubt. Au\u00dferdem ist auf dem Rechner hier ein SSL-VPN Client installiert, in meinem Fall Juniper Network Connect der Juniper SSL-VPN SA-Serie. Welches Produkt von welchem Hersteller verwendet […]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[8],"tags":[],"_links":{"self":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts\/1075"}],"collection":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/comments?post=1075"}],"version-history":[{"count":0,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts\/1075\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/media?parent=1075"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/categories?post=1075"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/tags?post=1075"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}