NAT zertifkate coden

eneas · Feb 11, 2011

hallo und das soll mein erster thread hier sein,

ich lasse auf einem host system(lin) eine virtuelle maschine(xp) laufen. der netzwerk traffic des client zum host wird intern über NAT abgewickelt.
um den traffic besser zu kontrollieren wollte ich mit zertifkate selbst schreiben. mich interessiert vor allem welche programmiersprachen ich dafür benutzen kann. wie kann ich, als kleine lernprojekt, einfache algorythmen selbst coden/erzeugen um sie dann in eigene zertifakte zu schreiben mit dem ziel meinen traffic intern-nat zwischen host und virtual client- nocheinmal zu hierachisieren?

ich hoffe ich konnte mein anliegen einigermaßen verständlich ausdrücken und freue mich auf antworten. gerne nehme ich auch links, um selbstständig weiterzulesen.

lightsaver · Feb 11, 2011

Kannst du bitte nochmal genau sagen, was du machen möchtest? Was da die Zertifikate machen sollen, ist mir gerade gar nicht klar. Und was willst du da selber programmieren?

eneas · Feb 11, 2011

aufgabe:ich möchte virtuelle betriebssyteme - als beispiel ein windows xp -die mit dem host network- linux- über die NAT spricht, ansteuern. dabei sollen beide vor dem netzwerk-trafic der paketen jeweils zertifakte mitgeben. das ganze soll also lokal passieren.

idealerweise möchte ich diese zertifkate selbst schreiben und die vergabe steuern. ich kenne vb.net und c., habe mich aber noch nie so mit netzwerk verkehr beschäftigt.
nun suche ich eine programmiersprache/IDE die das oben beschriebene aufgabe umsetzen kann.

http://img40.imageshack.us/i/bildschirmfotogy.png/

GrafZahl · Feb 11, 2011

erm ... du redest nicht zufällig von IEEE802.1X oder?

eneas · Feb 12, 2011

danke für deinen hinweis, ich habe noch einiges gelesen darüber und probiert. allerdings hatte ich hatte ohnehin einen denkfehler drinnen, der aus einer abweichenden funktion des VLAN entstanden ist.
ich müsste mein szenario ein wenig umstellen um es klappen zu lassen.

----------------------------
guest! sei das working system, das zu filtern/schützen ist.

...(host system)
.......^
....../
...../..via NAT
..../
....v
(guest)---->----<--guest! ................(innerhalb eines local VPN)
.... .\---authenserv--/.....................(innerhalb eines local VPN)
->via internal networking<-
-----------------------------------
(h) und (g) führen den traffic via NAT durch um direkt ins netz gehen zu können, während (g) zu guest! durchrouten soll, unter der bedingung, dass authent den traffic kontrolliert, indem zertifkate vergeben werden/802.1* benutzt wird. also zwischen (guest) und guest! soll geprüft werden, ob der traffic der ausgehend von guest! nach host stattfindet, erlaubt ist.

zurück zu meiner ausgangsfrage würde das so spezifizieren: am liebsten würde ich den ganzen prozess der in auth stattfindet, analog zu IEEE802.1* funktioniert, selbst schreiben. auf diese art, könnte ich anfrage der der teilnehmer auf zerts selbst gestalten und auch die methoden nach denen die zerts erzeugt werden sollen.

GrafZahl · Feb 12, 2011

IEEE802.1X spezifiziert identifikation und berechtigung von endgeräten in einem IEEE802.* netzwerk ...

ich gehe davon aus, dass die simulation für dein netzwerk keine unterstützung für IEEE802.1X bietet ... um das in diesem fall zu realisieren brauchst du einen entsprechenden switch der 802.1X kann, und soviele netzwerkschnittstellen im host, wie du VMs gleichzeitig betreiben willst...

ich gehe mal nicht davon aus, dass du das willst ...

erklär doch erstmal was du mit dem ganzen bezwecken willst ...

Chromatin · Feb 14, 2011

Wenn Du eine Art Zugangs/Ausgangskontrolle ueber eine Art von Zertifikaten loesen moechtest, dann kommst du mit folgenden Stichworten weiter: Radius, authpf (oder Ipchains wenns Linux sein soll).

sshVPN waere auch eine praktikable Loesung.

Und da du nicht coden kannst, eignen sich solche Kaliber keineswegs für "Lernaufgaben". Solche Konstrukte sind unheimlich komplex und auf einem sehr hohen Niveau implementiert.

eneas · Feb 14, 2011

danke für die antworten auf meine bescheiden formulierte anfrage. ich werde/lese gerade schon zum thema und werde dran bleiben.

das ziel - das aus einer abstrakten überlegung heraus entstanden ist -habe ich absichtlich so hoch gesteckt, um die schritte dahin als lernprozeß nachvollziehen/gehen zu können. es sei also als fernziel definiert, und da ich graf zahl noch eine antwort schuldig bin, nämlich was ich damit bezwecken will:da ich von jeher sehr informationsaffin war, schlicht das wissen mir autodidaktisch aneignen, um es zu können oder um mein vermögen - im sinne von fähigkeit- zu erhöhen. keinesfalls jedoch möchte ich einen schwarzen hut tragen.

GrafZahl · Feb 14, 2011

in dem fall bringt es dir vermutlich mehr, wenn du dich zunächst mit dem aufbau von sicherheitslösungen befasst, die sich auf "die üblichen verdächtigen" stützen ... ipsec, firewalls, etc (man könnte hier eine sehr lange liste aufführen) ... stell dir erstmal fragen wie: welche ziele werden durch derartige lösungen verfolgt ?... welche explizit nicht? ... wie arbeiten/funktionieren diese konzepte (abstrakt betrachtet)?

ziel sollte es sein dir einen überblick zu verschaffen, was es aktuell "fertig" gibt, wie es im groben funktioniert, etc ... du wirst dabei vermutlich feststellen, dass selbst auf recht abstraktem niveau noch relativ viel zusammenkommt ...

wenns dich dann noch interessiert, wirst du danach vermutlich eher in der lage sein einzelne kleinere komponenten nachzubauen, wobei du dir voraugen halten solltest, wieviele leute an dingen wie radius oder ähnlichem entwickelt haben ... das ist wohlgemerkt nur eine der komponenten die du in deinem aufbau da brauchen würdest ...

wenn du alle beteiligten komponenten selbst entwickeln wolltest, und annähernd die gleiche funktionalität bieten wolltest, würden dafür vermutlich einige manjahre jahre (oder eher jahrzehnte) arbeit draufgehen ... selbst wenn du bereits vernünftig programmieren könntest ...