» »

VPN server ?

VPN server ?

martinek ::

Zdravo,

Rabil bi vzpostaviti način prenosa podatkov, ki bi bil kriptografiran in ob uporabi elektronskega podpisa. Deloval naj bi na takšen način, da bi tretja oseba k meni lahko uploadala datoteke, neka druga tretja oseba pa bi datoteke lahko downloadala. Kasneje bi mogoče dodal še kakšno novo osebo. Vsak od teh zunanjih pa bi lahko dostopal le do svoje mape in ne bi smel imeti vpogleda v mapo drugih. Kako bi se to dalo rešiti in ali mi lahko kdo svetuje kaj naj naredim?

Po predhodnem iskanju naj bi zadostoval pogojem kriptografiranja in elektronskega podpisa pri delu z VPN povezavo. Na računalniku imam Cisco VPN client, vendar moram priznati, da tega ne znam uporabljati. Ali bi lahko s tem dosegel, da se k meni povežejo osebe? Kaj pa bi moral narediti, da bi ustvaril datoteko, do katere bi specifična oseba lahko dostopala pri povezavi in vanjo uploadala fajle oz jih iz mape downloadala?

Upam da mi bo kdo lahko pomagal.
lp

Ziga Dolhar ::

Z "elektronskim podpisom" verjetno misliš na certifikat.

Glede na tvoje želje bi (čez palec) rekel, da bi ti kakšna sFTP rešitev povsem ustrezala.
https://dolhar.si/

NeMeTko ::

Se strinjam z @Ziga... - sFTP strežnik je tisto, kar iščeš in ne VPN.

Cisco client ti ne nuca - ta je namenjen, da se lahko z njegovo pomočjo povežeš na kakšno Cisco VPN omrežje (recimo v službo ali k poslovnemu partnerju).

Na sFTP strežniku definiraš uporabnike, vsak dobi svojo mapo, imaš pa lahko tudi skupne mape, ločeno lahko definiraš tudi, da nekdo ne more videti kaj je v neki mapi, lahko pa prenese datoteko iz te mape, če ve njeno ime, itd. itd. - same reči, ki nimajo nobene veze z VPN.

Za varno povezavo (kriptirano) pa ti služi tisti S pred FTP. Tako moraš gledati, da si namestiš strežnik s podporo SFTP protokola in ne zgolj FTP protokola, saj slednji ni kriptiran.

Zdaj pa malo googlaj in poišči primeren SFTP strešnik (se najde tudi kaj zastonjskega), namesti zadevo in skonfiguriraj, potem pa uživaj.

Pa na routerju/požarni pregradi ne pozabi port forwardirati na IP od strežnika!

martinek ::

Elektronski podpis sklepam tudi sam, da je certifikat. Nisem se namreč jaz spomnil zahtev, ampak so le-te postavljene v zakonu o varovanju osebnih podatkov.

Glede sFTP so mi pa predhodno rekli, da ne bo ustrezal, ker nima elektronskega podpisa. Ali sem mogoče narobe izvedel?

ABX ::

Ker ne morem editirat moj post, bom tukaj napisal vse na novo.


Za tvoje potrebe je tako VPN kot SFTP primerna odločitev.

Če obvladaš Winse, potem potrebuješ Windows server (ki ima vgrajeno podporo za postavitev VPN serverja + Filezilla)
Če obvladaš Linux, pa postaviš SFTP server + konfiguriraš povezavo na "jail", tako da uporabnika omejiš na lastno mapo in možnosti "zlorabe" SSH povezave.

Na obe rešitvi lahko dodaš še kriptiranje datotek ki je neodvisna od povezave.

Lahko imaš še kako drugo VPN/SFTP rešitev, na routerju recimo ali kakem programu.
Vaša inštalacija je uspešno spodletela!

trnvpeti ::

lahko uporabis tudi subversion ali git(preko https,ssh)
naredis repositorije(vsak posebej, skupne), ki so lahko rw ali samo r
naredis lahko tudi grupe(za administracijo)

Zgodovina sprememb…

  • spremenil: trnvpeti ()

martinek ::

Hvala za nasvete. Jaz sicer nimam pojma o ničemer, vem samo da moram to urediti.
Imam računalnik in naloženo visto; sem sem nameraval zadevo postavit.

Sem upal, da bi šlo z Cisco VPN clientom, ker omogoča kriptiranje in el. podpis, ampak pravite da ne. Ali me mogoče lahko še usmerite, kje bi lahko našel kaka dodatna navodila kako to delat. Predvidevam, da bo najbolje da najdem kak free VPN server in tega naložim na računalnik?

ABX ::

Če nimaš namenskega strežnika potem ne fantaziraj o VPN/SFTP na tvojem prenosniku.

V tem primeru uredi zadevo z kriptiranjem datotek (http://www.gnupg.org/), nato poskrbi da si uporabniki izmenjajo javne ključe.
Vaša inštalacija je uspešno spodletela!

NeMeTko ::

Škoda preveč komplicirat - namestiš en free paket npr. freesshd in si že skoraj tam.

Na Wikipediji (klikni tu) lahko najdeš daljši seznam Open Source in FreeWare SFTP strežnikov. Nekaj jih je native -UX verzij, nekaj se jih pa lahko s pomočjo cygwin poganja tudi na Windows platformi.

Zgoraj omenjeni freesshd je en malo bolj preprost paket, ki vključuje ssh strežnik in SFTP strežnik, ki uporablja ssh strežnik za komuniciranje preko SFTP protokola.
Če se s temi rečmi igraš prvič, bo že to dovolj zahtevno zate, na kaj 'močnejšega' pa lahko še zmeraj preideš, ko boš obvladoval osnove.

Kombiniranje z VPN povezavami pa odsvetujem (razen če nimaš ekstra hude varnostne zahteve), saj si boš s tem po nepotrebnem kompliciral življenje. VPN sam po sebi še ne daje nobene možnosti shranjevanja datotek v ločene mape itd., tako da bi moral v vsakem slučaju potem še vedno postavljati ftp/sftp strežnik.
Bolje, da najprej postaviš SFTP strežnik - z VPN se pa lahko potem še vedno igraš, če se ti bo zdelo zares potrebno.

Ziga Dolhar ::

Joj. "Elektronski podpis" je tole: Žiga Dolhar. Oni verjetno želijo digitalni podpis s kvalificiranim potrdilom. Bi bilo fino vedeti, kaj pravzaprav želiš doseči in zahteve po katerem zakonu izpolnjevati.
https://dolhar.si/

ta-mau ::

@ABX: mislim, da se ne gre za kriptiranje datotek ampak samo za preverjanje verodostojnost poslanega dokumenta kar se pa rešuje potem tako da pošiljatelj podpisuje vsak poslan dokument.. no ja al pa s kriptiranjem, sam potem bi mogli met za branje vsi udeleženci public keye od vsakega udeleženca? Malček je pomoje nerodno, kr potem vedno ko maš novega udeleženca morš poskrbet da vsi stari dobijo ključ novega uporabnika..

Če je potrebno samo podpisovanje ustvariš CA, ki ti generira pare public/private ključe. Private ključe se razpošlje udeležencem s katerimi podpisujejo dokumente, na svoji strani pa preverjaš z verodostojnost poslanih dokumentov z njihovimi public ključi ..

Kvalificirano potrdilo pa najbrž ni potrebno ali? Po moje je že dovolj če lahko ponudnik storitve (v tem primeru martinek ) zagotovi, da je bil poslan fajl od točno določene osebe tako da če maš postavljen lasten certificate authority je čisto dovolj, ne vem pa kaj zakonodaja veleva..

Me pa tudi mene zanima ktere stvari morš zmazat skupaj, da maš omogočen tko upload dokumentov kot tudi podpisovanje..

NeMeTko ::

Elektronski podpis v osnovi nima veliko skupnega s samim prenosom in skladiščenjem datotek.

Elektronski podpis npr. omogoča pdf, obstajajo pa tudi druge metode podpisovanja, npr. PGP.
Precej je tu odvisno od vrste datotek in kakšno zaščito dejansko na njih potrebuješ.

Žal (tako kot vedno?) tvoj opis problema pušča preveč vprašanj in nejasnosti. Že v osnovi ni jasno, ali se gre za neko rešitev za 'domačo rabo' (to smo sprva sumili), ali iščeš neko PRO varianto za komercialno okolje. V slednjem primeru bi moral poleg zahtev navesti tudi budget, ki stoji na razpolago za uresničitev projekta.

Vendar najbrž ne boš navdušen, če ti bomo predlagali rešitev, ki stane 20.000€ (lahko nas presenetiš?). Pri takem budgetu bi že vedel za primerno rešitev....

Poskusi še malo bolj podrobno opisati zahteve, vrste datotek, velikost, itd. Opiši na kakšen način je mišljeno, da se zadeva v praksi uporablja, koliko uporabnikov naj bi to uporabljalo.

Malo čudno se mi namreč zdi, da bi pri zadevi, ki jo bo uporabljalo 3-10 uporabnikov, nekdo tako kompliciral s certifikati itd. Pri takem številu namreč še nekako veš, kdo je kaj delal in komu lahko zaupaš ali ne. Povsem nekaj drugega pa je, če imamo npr. sistem za naročanje s stotino odjemalcev, ki oddajajo vsak svoje naročilo na strežnik in kasneje trdijo, da tega ali onega niso naročili.

NeMeTko ::

Oglej si članek na tem naslovu - morda ti bo dal kakšno dodatno idejo, v katero smer iskati rešitev.

ta-mau ::

Elektronski podpis v osnovi nima veliko skupnega s samim prenosom in skladiščenjem datotek.


se čisto strinjam.. Če sliko pogledaš v grobem maš v tem primeru javno kriptografijo uporabljeno na dveh frontah.. Prva je zaščita prenosnega kanala (kjer se uporablja samostojne protokole ali pa tiste, ki temeljijo na ssh in tls), na drugi strani pa jo uporabljaš pri podpisovanju, kjer podpisuješ s svojim secret keyem.

Glede datotek pa mislim da ni važno kakšne so kr podpis lahko nardiš na vsakem fajlu, ki se naknadno vključi v fajl al pa se shrani v ločeno datoteko.. Je pa vprašanje al je zahtevano da so tudi fajli kriptirani tko kot je omenu abx.. Mislim pa da te je pravilno usmeru na gnupg..

V praksi jim pomoje stranke oddajajo neke reporte, ki so očitno občutljivi zanje pa morajo potem odgovarjat.. To je pomoje vse kar bomo zvedli v tej temi :)

misek ::

Lahko pa da oni pripravljajo kakšna poročila, ki jih potem podpišejo in ta elektronski dokument ima enako veljavo kot papirna verzija. Se je s temi postopki pred časom ukvarjal en znanec ampak sem že pozabil kako in kaj.

Se pa mora avtor teme izjasniti kaj natančno želi izvesti. Ampak glede na napisano po moje niti sam (še) ne ve.

ta-mau ::

Lahko pa da oni pripravljajo kakšna poročila

ja zna bit.. Samo v tem primeru bi jih najbrž tisti katerim pošiljajo dokumente seznanili s postopkom podpisovanja..

NeMeTko ::

V tem primeru uporabiš eno od variant IRM (Information Rights Management).
Kako to Microsoft rešuje sem že prej nakazal v linku. Če se gre za dokumente, ki jih produciraš z Office paketi, je to za prvo silo že sistemsko rešeno (vendar malo kdo uporablja).

Obstajajo pa tudi bolj specializirane high end ($$$) rešitve, ki 'zaklenejo' katerokoli datoteko in jo potem lahko uporablja le določena oseba na način, ki smo ji ga ob nastanku dokumenta opredelili.

Adobe Acrobat omogoča podpisovanje s certifikati od NLB Klika, Poštarce, itd. Če se gre zgolj za podpis, bi moralo že to zadoščati.

Zgodovina sprememb…

  • spremenil: NeMeTko ()

brodul ::

Ena varjanta je GPG/PGP in FTP(oz. karkoli (facebook magari, ce podpira priponke) ).

Kar v praksi pomeni, da je treba imlementirati da se pri nekom podpise in kriptira podatek/datoteka/tekst . Potem se nakam uploavda streznik zazna komu je namenjeno (to se lahko zapise v meta podatkih). Naslovnik potem to dol potegne iz streznika in dekriptira ter preveri podpis (z javnim klucem uporabnika).

Dejansko so lahko vse te podatki berljivi vsem dokler jih ne morejo spremeniti ali zbrisati je ok.

Ce rabis se zase (posiljatelj) kopijo ga kriptiras se za svoj kluc (public).

Naceloma ta program to dela:
http://www.gpg4win.org/features.html

(nisem testiral nimam Windowsov pri roki)
Pretending to be a mature adult is so exhausting.

NeMeTko ::

PGP poznam bolj tiste 'predpotopne' verzije iz 90-ih let, tako da ne morem z gotovostjo reči, kako je z današnjimi verzijami, vendar v osnovi ni orodje za 'verižno podpisovanje' nekih dokumentov.

PGP se je sprva uporabljal za enkripcijo in/ali zagotavljanje integritete mailov in tekstualnih datotek. Ni pa namenjen podpisovanju neke Word datoteke - to lahko le zakriptira.

Matija82 ::

@NeMeTko

gpg --sign (ali --clearsign) file ter gpg --verify file

@brodul

Kleopatra je beda, GPA mi kar pogosto crasha, kakšen gpg4usb ali WinPT je še najbolj priročen GPG GUI software.

Zgodovina sprememb…

  • spremenilo: Matija82 ()

NeMeTko ::

@Matija pa si že kdaj izvedel pgp --sign ? Ko sem jaz še uporabljal pgp, si s sign podpisal TEXT datoteko, tako da je na koncu teksta dodalo pgp signaturo. Če to izvedeš na katerikoli drugi datoteki, ta postane neuporabna.

Seveda se lahko motim, pa je tačas (15+ let) PGP napredoval in zmore podpisati tudi word, excel, exe,...datoteke, brez da bi postale neuporabne?

Matija82 ::

@NeMeTko

GPG GUI (konkretno GPA) ustvari kriptirano datoteko s končnico .gpg (test.docx.gpg), ki postane test.docx, ko je odkodiraš.

brodul ::

gpg --detach-sign my-file.doc
Zgenerera se locen fajl z signaturo.

PGP je ratal OpenPGP ima svoj RFC in je znan standart. Gnu je seveda naredil svojo implementacijo (GPG).
Dandanes se to veliko uporablja. Tako v emailih, kot tudi za kriptiranje datotek.
Na Gnu platformah je seveda dobro podprt. Kako tocno je na Windowsih nimam pojma.

Kniznica za Windows nabrs je. Programiranja ni veliko. Se da pa dobiti ven veliko dodane vrednosti.

Dobra lasnost je da nisi odvisen od CA. In v tem vprasanju se tega sploh ne rabi. CA samo jamci da si ti res tisti, za katerega se izdajas (pri postarci je to Posta Slovenije, pri Sigenci je to Republika Slovenija). Kriptografsko pa to nima veze. Je pa res da ima ( npr. Posta Slovenije :S) tvoj privatni kluc. Je pa to drug standart S/MIME.

Offtopic:

GPG resuje cel kup ostalih problemov. Naprimer podjetje Alfa ima zaposlene A, B in C.
Oseba A ve nekaj gesel. Vendar jo zbije avto. Podjetje Alfa gre na pogreb. B in C na novo postavljata infrastrukturo, ker nimata gesel (recimo, da jima ne rata pohackat).

Preden osebo A zbije avto, bi se lahko A, B in C zmenili da:
Bodo dajali gesla v text/doc file. Da A z svojim privatnim kljucem kriptira za osebe A, B, C. To pa potem objavijo na facebook. Ter se zmenijo, da se tega ne bo uporabljalo razen v izrednih primerih. (lahko se kriptira tudi kluce in vklopi logging ce se tak kluc zacne uporabljati.)

Pac usecasov je veliko.

Offtopic2:

Oseba D mi poslje mail. "Prosim, pobrisite nase podatke iz poddomene wordpress.neki.si.".
Odgovorim "Prosim pridite v nase prostore v Sredo z osebnim dokumentom."

Oseba E mi poslje z SIGENCO podpisan email. Pobrisem.

Oseba F, ki je moj prijatelj/sodelavec in uporablja GPG kluc za vsaj 30 mailov. Mi poslje tak mail. Pobrisem.

Tak tipicni problem slovenske varnosti. Klices telefonsko stevilko pa se malo deres pa naredis 100 000 eur skode. Fajn bi blo ce bi varnostni eksperti malo prebrali o podpisevanju. Ter sysadmini tudi. Podpisevati maile nic ne stane. Edino password moras napisat.
Pretending to be a mature adult is so exhausting.

Zvezdica27 ::

lp,

PGP se uporabla v naši firmi v komunikacijah z vsemi SLO bankami, tako da... mislim da je dovolj varen. Če pa to zadostuje, pa ne vem ;)

še to: PGP je seveda tudi za win.

zz

Zgodovina sprememb…

brodul ::

Lepo to slisat, da majo ljudje nekaj soli v glavi. :D
Pretending to be a mature adult is so exhausting.

Matija82 ::

Edit ne dela :S

@NeMeTko

GPG (test v GPA in preko ukazne vrstice) ustvari kriptirano datoteko s končnico .gpg (test.docx.gpg). GUI lepo sam odkodira (test.docx.gpg v test.docx), pri ukazni pa moraš navesti izhodno datoteko* sam.

*gpg --output test.docx --decrypt test.docx.gpg

Je pa brodulova rešitev z ločeno .sig datoteko dosti bolj elegantna.

NeMeTko ::

Pred XX leti je celo en lab na IJS izdajal overjene PGP certifikate.... čisto kot zanimivost.

Drugače pa, če se držim primera nekega naročila, če je ta podan kot tekstualna xml datoteka, se jo komot s PGP podpiše (brez kriptiranja) in potem priredi informacijski sistem, da pobere xml vsebino in preveri PGP podpis.

Čim pa imamo 'malo bolj kompliciran' format zapisa podatkov (Word, Excel,...), pa naletimo takoj na probleme, ko je potrebno preverjati ločeno datoteko s podpisom, ali pa celo najprej dekriptirati posredovano datoteko, predenj bi jo lahko uporabili.

Tu potem pridejo v poštev rešitve iz kroga Information Rights Management (IRM), ki ne le da omogočajo direktno rabo datoteke, temveč lahko tudi definiramo, kdo sme videti vsebino, kdo sme datoteko popravljati, itd. IRM je lahko preprost (npr. Adobe Acrobat) ali pa zelo kompleksna corporate rešitev, kjer se vsi dokumenti, ki nastajajo v nekem oddelku avtomatsko zaklepajo in vanje lahko vpogleda izključno izbrana skupina ljudi, spreminja pa le avtor in nekdo, ki je pooblaščen - ob tem, da se tudi vse spremembe beležijo in certificirajo.

Če se gibamo v svetu spleta, html, php in podobnih orodij, je zagotovo zanimiva (in poceni) varianta uporaba PGP in podpisovanje XML datotek, ki jih lahko na strežniku s pomočjo php 'poberemo' in obdelamo.
Kdor pa želi preko FTP izmenjevati Word, Excel, fotografije,....pe ne bo ravno najbolj zadovoljen z PGP rešitvijo - medtem, ko bo nekdo povsem zadovoljen s PGP, če bo te iste datoteke pošiljal po mailu.
Uporabniki MS orodij imajo na voljo Microsoftovo implementacijo IRM, ki pa jo le redko kdo uporablja. Morda je preveč skrita, da bi padla v oči? Sam jo nisem nikoli uporabil, bi jo pa bilo zanimivo preizkusiti, da bi videl, kaj se dejansko skriva zadaj in kako uporabna je v praksi.
Če jo je že kdo postavil in uporabljal, bi bilo zanimivo slišati njegovo mnenje, če se splača trud, da preučiš stvar in jo implementiraš.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Elektronski podpisi uradnih dokumentov

Oddelek: Pomoč in nasveti
91161 (755) Ribič
»

Digitalno podpisan mail

Oddelek: Loža
93087 (2757) mk766321
»

Preverjanje digitalnega podpisa

Oddelek: Informacijska varnost
338419 (6571) neki4
»

Pipin odprti termin: Kako zavarovati elektronsko pošto pred prestrezanjem?

Oddelek: Novice / Kiberpipa
475573 (4311) M.B.
»

Podpisovanje ključev PGP/GPG

Oddelek: Novice / Zasebnost
52589 (2589) Gandalfar

Več podobnih tem