VPN server ?

Zdravo,

Rabil bi vzpostaviti način prenosa podatkov, ki bi bil kriptografiran in ob uporabi elektronskega podpisa. Deloval naj bi na takšen način, da bi tretja oseba k meni lahko uploadala datoteke, neka druga tretja oseba pa bi datoteke lahko downloadala. Kasneje bi mogoče dodal še kakšno novo osebo. Vsak od teh zunanjih pa bi lahko dostopal le do svoje mape in ne bi smel imeti vpogleda v mapo drugih. Kako bi se to dalo rešiti in ali mi lahko kdo svetuje kaj naj naredim?

Po predhodnem iskanju naj bi zadostoval pogojem kriptografiranja in elektronskega podpisa pri delu z VPN povezavo. Na računalniku imam Cisco VPN client, vendar moram priznati, da tega ne znam uporabljati. Ali bi lahko s tem dosegel, da se k meni povežejo osebe? Kaj pa bi moral narediti, da bi ustvaril datoteko, do katere bi specifična oseba lahko dostopala pri povezavi in vanjo uploadala fajle oz jih iz mape downloadala?

Upam da mi bo kdo lahko pomagal.
lp

Se strinjam z @Ziga... - sFTP strežnik je tisto, kar iščeš in ne VPN.

Cisco client ti ne nuca - ta je namenjen, da se lahko z njegovo pomočjo povežeš na kakšno Cisco VPN omrežje (recimo v službo ali k poslovnemu partnerju).

Na sFTP strežniku definiraš uporabnike, vsak dobi svojo mapo, imaš pa lahko tudi skupne mape, ločeno lahko definiraš tudi, da nekdo ne more videti kaj je v neki mapi, lahko pa prenese datoteko iz te mape, če ve njeno ime, itd. itd. - same reči, ki nimajo nobene veze z VPN.

Za varno povezavo (kriptirano) pa ti služi tisti S pred FTP. Tako moraš gledati, da si namestiš strežnik s podporo SFTP protokola in ne zgolj FTP protokola, saj slednji ni kriptiran.

Zdaj pa malo googlaj in poišči primeren SFTP strešnik (se najde tudi kaj zastonjskega), namesti zadevo in skonfiguriraj, potem pa uživaj.

Pa na routerju/požarni pregradi ne pozabi port forwardirati na IP od strežnika!

Ker ne morem editirat moj post, bom tukaj napisal vse na novo.


Za tvoje potrebe je tako VPN kot SFTP primerna odločitev.

Če obvladaš Winse, potem potrebuješ Windows server (ki ima vgrajeno podporo za postavitev VPN serverja + Filezilla)
Če obvladaš Linux, pa postaviš SFTP server + konfiguriraš povezavo na "jail", tako da uporabnika omejiš na lastno mapo in možnosti "zlorabe" SSH povezave.

Na obe rešitvi lahko dodaš še kriptiranje datotek ki je neodvisna od povezave.

Lahko imaš še kako drugo VPN/SFTP rešitev, na routerju recimo ali kakem programu.

Hvala za nasvete. Jaz sicer nimam pojma o ničemer, vem samo da moram to urediti.
Imam računalnik in naloženo visto; sem sem nameraval zadevo postavit.

Sem upal, da bi šlo z Cisco VPN clientom, ker omogoča kriptiranje in el. podpis, ampak pravite da ne. Ali me mogoče lahko še usmerite, kje bi lahko našel kaka dodatna navodila kako to delat. Predvidevam, da bo najbolje da najdem kak free VPN server in tega naložim na računalnik?

Škoda preveč komplicirat - namestiš en free paket npr. freesshd in si že skoraj tam.

Na Wikipediji (klikni tu) lahko najdeš daljši seznam Open Source in FreeWare SFTP strežnikov. Nekaj jih je native -UX verzij, nekaj se jih pa lahko s pomočjo cygwin poganja tudi na Windows platformi.

Zgoraj omenjeni freesshd je en malo bolj preprost paket, ki vključuje ssh strežnik in SFTP strežnik, ki uporablja ssh strežnik za komuniciranje preko SFTP protokola.
Če se s temi rečmi igraš prvič, bo že to dovolj zahtevno zate, na kaj 'močnejšega' pa lahko še zmeraj preideš, ko boš obvladoval osnove.

Kombiniranje z VPN povezavami pa odsvetujem (razen če nimaš ekstra hude varnostne zahteve), saj si boš s tem po nepotrebnem kompliciral življenje. VPN sam po sebi še ne daje nobene možnosti shranjevanja datotek v ločene mape itd., tako da bi moral v vsakem slučaju potem še vedno postavljati ftp/sftp strežnik.
Bolje, da najprej postaviš SFTP strežnik - z VPN se pa lahko potem še vedno igraš, če se ti bo zdelo zares potrebno.

@ABX: mislim, da se ne gre za kriptiranje datotek ampak samo za preverjanje verodostojnost poslanega dokumenta kar se pa rešuje potem tako da pošiljatelj podpisuje vsak poslan dokument.. no ja al pa s kriptiranjem, sam potem bi mogli met za branje vsi udeleženci public keye od vsakega udeleženca? Malček je pomoje nerodno, kr potem vedno ko maš novega udeleženca morš poskrbet da vsi stari dobijo ključ novega uporabnika..

Če je potrebno samo podpisovanje ustvariš CA, ki ti generira pare public/private ključe. Private ključe se razpošlje udeležencem s katerimi podpisujejo dokumente, na svoji strani pa preverjaš z verodostojnost poslanih dokumentov z njihovimi public ključi ..

Kvalificirano potrdilo pa najbrž ni potrebno ali? Po moje je že dovolj če lahko ponudnik storitve (v tem primeru martinek ) zagotovi, da je bil poslan fajl od točno določene osebe tako da če maš postavljen lasten certificate authority je čisto dovolj, ne vem pa kaj zakonodaja veleva..

Me pa tudi mene zanima ktere stvari morš zmazat skupaj, da maš omogočen tko upload dokumentov kot tudi podpisovanje..

Oglej si članek na tem naslovu - morda ti bo dal kakšno dodatno idejo, v katero smer iskati rešitev.

Lahko pa da oni pripravljajo kakšna poročila, ki jih potem podpišejo in ta elektronski dokument ima enako veljavo kot papirna verzija. Se je s temi postopki pred časom ukvarjal en znanec ampak sem že pozabil kako in kaj.

Se pa mora avtor teme izjasniti kaj natančno želi izvesti. Ampak glede na napisano po moje niti sam (še) ne ve.

V tem primeru uporabiš eno od variant IRM (Information Rights Management).
Kako to Microsoft rešuje sem že prej nakazal v linku. Če se gre za dokumente, ki jih produciraš z Office paketi, je to za prvo silo že sistemsko rešeno (vendar malo kdo uporablja).

Obstajajo pa tudi bolj specializirane high end ($$$) rešitve, ki 'zaklenejo' katerokoli datoteko in jo potem lahko uporablja le določena oseba na način, ki smo ji ga ob nastanku dokumenta opredelili.

Adobe Acrobat omogoča podpisovanje s certifikati od NLB Klika, Poštarce, itd. Če se gre zgolj za podpis, bi moralo že to zadoščati.

PGP poznam bolj tiste 'predpotopne' verzije iz 90-ih let, tako da ne morem z gotovostjo reči, kako je z današnjimi verzijami, vendar v osnovi ni orodje za 'verižno podpisovanje' nekih dokumentov.

PGP se je sprva uporabljal za enkripcijo in/ali zagotavljanje integritete mailov in tekstualnih datotek. Ni pa namenjen podpisovanju neke Word datoteke - to lahko le zakriptira.

@Matija pa si že kdaj izvedel pgp --sign ? Ko sem jaz še uporabljal pgp, si s sign podpisal TEXT datoteko, tako da je na koncu teksta dodalo pgp signaturo. Če to izvedeš na katerikoli drugi datoteki, ta postane neuporabna.

Seveda se lahko motim, pa je tačas (15+ let) PGP napredoval in zmore podpisati tudi word, excel, exe,...datoteke, brez da bi postale neuporabne?

gpg --detach-sign my-file.doc

Zgenerera se locen fajl z signaturo.

PGP je ratal OpenPGP ima svoj RFC in je znan standart. Gnu je seveda naredil svojo implementacijo (GPG).
Dandanes se to veliko uporablja. Tako v emailih, kot tudi za kriptiranje datotek.
Na Gnu platformah je seveda dobro podprt. Kako tocno je na Windowsih nimam pojma.

Kniznica za Windows nabrs je. Programiranja ni veliko. Se da pa dobiti ven veliko dodane vrednosti.

Dobra lasnost je da nisi odvisen od CA. In v tem vprasanju se tega sploh ne rabi. CA samo jamci da si ti res tisti, za katerega se izdajas (pri postarci je to Posta Slovenije, pri Sigenci je to Republika Slovenija). Kriptografsko pa to nima veze. Je pa res da ima ( npr. Posta Slovenije :S) tvoj privatni kluc. Je pa to drug standart S/MIME.

Offtopic:

GPG resuje cel kup ostalih problemov. Naprimer podjetje Alfa ima zaposlene A, B in C.
Oseba A ve nekaj gesel. Vendar jo zbije avto. Podjetje Alfa gre na pogreb. B in C na novo postavljata infrastrukturo, ker nimata gesel (recimo, da jima ne rata pohackat).

Preden osebo A zbije avto, bi se lahko A, B in C zmenili da:
Bodo dajali gesla v text/doc file. Da A z svojim privatnim kljucem kriptira za osebe A, B, C. To pa potem objavijo na facebook. Ter se zmenijo, da se tega ne bo uporabljalo razen v izrednih primerih. (lahko se kriptira tudi kluce in vklopi logging ce se tak kluc zacne uporabljati.)

Pac usecasov je veliko.

Offtopic2:

Oseba D mi poslje mail. "Prosim, pobrisite nase podatke iz poddomene wordpress.neki.si.".
Odgovorim "Prosim pridite v nase prostore v Sredo z osebnim dokumentom."

Oseba E mi poslje z SIGENCO podpisan email. Pobrisem.

Oseba F, ki je moj prijatelj/sodelavec in uporablja GPG kluc za vsaj 30 mailov. Mi poslje tak mail. Pobrisem.

Tak tipicni problem slovenske varnosti. Klices telefonsko stevilko pa se malo deres pa naredis 100 000 eur skode. Fajn bi blo ce bi varnostni eksperti malo prebrali o podpisevanju. Ter sysadmini tudi. Podpisevati maile nic ne stane. Edino password moras napisat.

Lepo to slisat, da majo ljudje nekaj soli v glavi. :D

Pred XX leti je celo en lab na IJS izdajal overjene PGP certifikate.... čisto kot zanimivost.

Drugače pa, če se držim primera nekega naročila, če je ta podan kot tekstualna xml datoteka, se jo komot s PGP podpiše (brez kriptiranja) in potem priredi informacijski sistem, da pobere xml vsebino in preveri PGP podpis.

Čim pa imamo 'malo bolj kompliciran' format zapisa podatkov (Word, Excel,...), pa naletimo takoj na probleme, ko je potrebno preverjati ločeno datoteko s podpisom, ali pa celo najprej dekriptirati posredovano datoteko, predenj bi jo lahko uporabili.

Tu potem pridejo v poštev rešitve iz kroga Information Rights Management (IRM), ki ne le da omogočajo direktno rabo datoteke, temveč lahko tudi definiramo, kdo sme videti vsebino, kdo sme datoteko popravljati, itd. IRM je lahko preprost (npr. Adobe Acrobat) ali pa zelo kompleksna corporate rešitev, kjer se vsi dokumenti, ki nastajajo v nekem oddelku avtomatsko zaklepajo in vanje lahko vpogleda izključno izbrana skupina ljudi, spreminja pa le avtor in nekdo, ki je pooblaščen - ob tem, da se tudi vse spremembe beležijo in certificirajo.

Če se gibamo v svetu spleta, html, php in podobnih orodij, je zagotovo zanimiva (in poceni) varianta uporaba PGP in podpisovanje XML datotek, ki jih lahko na strežniku s pomočjo php 'poberemo' in obdelamo.
Kdor pa želi preko FTP izmenjevati Word, Excel, fotografije,....pe ne bo ravno najbolj zadovoljen z PGP rešitvijo - medtem, ko bo nekdo povsem zadovoljen s PGP, če bo te iste datoteke pošiljal po mailu.
Uporabniki MS orodij imajo na voljo Microsoftovo implementacijo IRM, ki pa jo le redko kdo uporablja. Morda je preveč skrita, da bi padla v oči? Sam jo nisem nikoli uporabil, bi jo pa bilo zanimivo preizkusiti, da bi videl, kaj se dejansko skriva zadaj in kako uporabna je v praksi.
Če jo je že kdo postavil in uporabljal, bi bilo zanimivo slišati njegovo mnenje, če se splača trud, da preučiš stvar in jo implementiraš.