|
Größe: 1581
Kommentar:
|
Größe: 1966
Kommentar:
|
| Gelöschter Text ist auf diese Art markiert. | Hinzugefügter Text ist auf diese Art markiert. |
| Zeile 9: | Zeile 9: |
| Aufgrund der alten OpenSSL-Version auf Lilly, die sich auch nicht ohne großen Aufwand aktualisieren lässt, übernimmt Lucy dabei die Verschlüsslung der Daten. Hierdurch ist die Kommunikation der auf Lilly laufenden Dienste zwischen Lucy und Lilly unverschlüsselt. Hierdurch ist es dringend erforderlich, dass die unverschlüsselten Daten nicht von Dritten mitgelesen werden können. Dies wird dadurch ermöglicht, dass Lucy und Lilly über eine private Ethernet-Verbindung kommunizieren. Dabei ist auf dem Host-System PING09, auf den beide VMs ausgeführt werden, eine private Bridge mit dem Namen {{{lillysslnetz}}} angelegt. | Aufgrund der alten OpenSSL-Version auf Lilly, die sich auch nicht ohne großen Aufwand aktualisieren lässt, übernimmt Lucy dabei die Verschlüsslung der Daten. Hierdurch ist die Kommunikation der auf Lilly laufenden Dienste zwischen Lucy und Lilly unverschlüsselt. Deswegen ist es dringend erforderlich, dass die unverschlüsselten Daten nicht von Dritten mitgelesen werden können. Dies wird dadurch ermöglicht, dass Lucy und Lilly über eine private Ethernet-Verbindung kommunizieren. Dabei ist auf dem Host-System PING09, auf den beide VMs ausgeführt werden, eine private Bridge mit dem Namen {{{lillysslnetz}}} angelegt. Die Verschlüsselung wird auf Lucy durch den SSL-Proxy {{{stunnel}}} durchgeführt. Stunnel (Debian-Paket {{{stunnel4}}} nutzt dabei die OpenSSL-Version des Systems und erhält damit alle Sicherheitsupdates. Des Weiteren wird unter Debian Jessie auch Perfect Forward Secrecy (PFS) unterstützt, wodurch Verbindungen mit Client-Programme, die PFS unterstützen, noch sicherer werden. |
secure.ping.de
Das für PING bei einer verbreiteten CA gekaufte Zertifikat dient zur Absicherung einiger zentraler Dienst.
secure.ping.de (83.97.42.25) als IPv4-Host existiert dabei als Alias-Interface auf lucy.ping.de.
Die abzusichernden Dienste laufen dabei Verteilt auf Lucy und Lilly und müssen über eine IP-Adresse ansprechbar sein. Hierfür „leitet“ Lucy entsprechende Anfragen, die an 83.97.42.25 ankommen an lokal auf Lucy laufende Dienste oder an Lilly weiter.
Aufgrund der alten OpenSSL-Version auf Lilly, die sich auch nicht ohne großen Aufwand aktualisieren lässt, übernimmt Lucy dabei die Verschlüsslung der Daten. Hierdurch ist die Kommunikation der auf Lilly laufenden Dienste zwischen Lucy und Lilly unverschlüsselt. Deswegen ist es dringend erforderlich, dass die unverschlüsselten Daten nicht von Dritten mitgelesen werden können. Dies wird dadurch ermöglicht, dass Lucy und Lilly über eine private Ethernet-Verbindung kommunizieren. Dabei ist auf dem Host-System PING09, auf den beide VMs ausgeführt werden, eine private Bridge mit dem Namen lillysslnetz angelegt.
Die Verschlüsselung wird auf Lucy durch den SSL-Proxy stunnel durchgeführt. Stunnel (Debian-Paket stunnel4 nutzt dabei die OpenSSL-Version des Systems und erhält damit alle Sicherheitsupdates. Des Weiteren wird unter Debian Jessie auch Perfect Forward Secrecy (PFS) unterstützt, wodurch Verbindungen mit Client-Programme, die PFS unterstützen, noch sicherer werden.
Bridge lillysslnetz auf DOM0
Auf der DOM0, auf der Lucy und Lilly ausgeführt werden, muss ein Bridge-Interface angelegt werden. Dies geschieht über die Konfigurationsdatei /etc/network/interfaces wie folgt:
auto lillysslnetz
iface lillysslnetz inet manual
bridge_ports none
bridge_stp off
bridge_fd 0![/!\](/moin_static1911/rightsidebar/img/alert.png "/!\"){kind=small}
: Nach dem anlegen hinzufügen mit ifup lillysslnetz auch hochfahren.