Hallo Leute,

welches SSL muss ich kaufen, damit ich den Traffic von einem Windows Server in einem VPN mit einem SSL absichern kann?
http://www.strato-faq.de/images/arti...0/_1110_10.gif

Zum reinen Absichern in einem VPN reicht prinzipiell auch ein selbst erstelltes und signiertes, wenn ein Admin die zugehörige CA auf den Nutzermaschinen installieren kann.

Ansonsten enthält die Matrix ja schon Anhaltspunkte, die Du sicher besser beurteilen kannst als wir, weil Du mehr Infos hast. Willst Du etwa nur einen Dienst auf diesem Dienst absichern, oder soll der auch unter mehreren Subdomains abgesichert sein? Möchtest Du einfach nur, dass verschlüsselt wird, oder bietet Dir die Identitätsvalidierung etwas?

Also es soll verschüsselt werden und das Zertifikat soll überprüft werden.
Es werden semsible Daten übertragen.

Eine man-in-the-middle Attacke muss ausgeschlossen sein.
Außerdem soll das Zertifikat auch noch einen Webserver absichern und eine sichere https-Verbindung ermöglichen.

Hier der ganze Link: http://www.strato-faq.de/artikel.html?id=1110
Ich brauche auf jeden Fall mindestens ein Identitätsvalidiertes SSL-Zertifikat.
Doch kann ich über dieses auch VPN traffic leiten?

SSL und VPN sind unterschiedliche Dinge.

SSL nutzt du meistens um eine HTTP/SMTP/IMAP/POP3 Verbindung zu verschlüsseln.

VPN's nutzen normal andere Techniken - Dort kommen zwar auch Zertifikate zum Einsatz, aber normal nicht von irgendwelchen Providern.

Deine Screenshots zeigen nur Webserver Zertifikate für HTTPS.
Für SSL kaufe ich meine Zertifikate bei PSW Group.
29€/Jahr und nutze diese u.a. für https://www.software-uptodate.de/cms/start/


Welche VPN Technik wirst du nutzen wollen - OpenVPN, IPSEC oder andere?
oder willst du doch nur HTTPS machen?

Vielleicht solltest du jemand beauftragen, der sich mit der Materie auskennt.

Also brauche ich für ein VPN kein Zertifikat?
Kann ich beim VPN eigentlich einstellen, dass nur bestimmte Ports übertragen werden sollen? Und dass das VPN nicht als Proxy dient?

Fassen wir mal die Anforderungen zusammen:
Du hast einen Windows Server auf welchen Firebird läuft.
Dieser soll von außen nicht erreihbar sein.
Über eine VPN Verbindung soll ein Tunnel hergestellt werden, damit Firebird und nur Firebird erreichbar wird.
Die Verbindung soll auf jeden Fall verschlüsselt sein.
Du hast verschiedene Client-Betriebssystem wie z.B. Windows und MacOS.

Richtig?


Wenn es dir nur um die verschlüsselte Verbindung geht, dann würde ich auf dem Server ein HTTP-Server lauschen lassen. Diese via SSL verschlüsselt. Der Server stellt eine Schnittstelle zur Datenbank bereit.
Deine Clients nutzen nicht mehr den Firebird-Client sondern diese Schnittstelle zum Zugriff auf die Daten.

Das ist weitaus einfacher, erfordert allerdings eine Änderung in deinem Programm.
Vor allem brauchst du keine DB-Client/VPN-Clients auf den Client-PC installieren.

Datasnap ist da mal ein Stichwort.

Ich finde auch, das ein VPN an der Stelle etwas overkill ist (Kanonen und Spatzen und so..).

Es gibt hier eine Anleitung, wie man den Zugriff auf eine Firebird-Datenbank via Stunnel verschlüsseln kann: http://www.ibphoenix.com/files/Secur...th_Stunnel.pdf

Soweit ich Stunnel kenne (das nutzt natürlich auch SSL), kannst Du auch alle Client die auf Stunnel (und damit nur die dahinter liegende Datenbank) zugreifen können, mit Zertifikaten ausstatten.

Somit können nur valide Zertifikate zu Stunnel verbinden und damit auf die Datenbank (und nur die Datenbank) zugreifen. Und das ganze ohne die Probleme die ein VPN (voller Zugriff, ggf. Proxy) mit sich bringt. Aber im Endeffekt mit einer sehr ähnlichen Technologie drunter.

Ich denke stunnel wäre mal ein Blick wert www.stunnel.org -> Firebird an localhost binden und Zugriff über stunnel via ssl mit notfalls selbstsignierten Zertifikat.

Ansonsten könnte man noch über einen SSH Tunnel nachdenken.