Vorige aflevering | Search TidBITS | TidBITS Homepage | Volgende aflevering

TidBITS#792, 15 augustus 2005

Is Apples nieuwe Mighty Mouse werkelijk een super knaagdier? Glenn Fleishman pakt er één bij het nekvel en ontdekt dat er een staartje aan zit. Kevin van Haaren werpt zijn licht op een verwarrend onderwerp: virtual private network (VPN) technologie, en legt uit waarom je er misschien mee zou willen beginnen. Verder: Security Update 2005-007, Apples PowerBook G4 Graphics Update 1.0 voor verbeterde grafische weergave, het SaveScreenie hulpprogramma, en we kondigen Joe Kissells gratis handleiding "Take Control of Now Up-to-Date & Contact" aan.

Onderwerpen:

Copyright 2005 TidBITS: Reuse governed by Creative Commons license
<http://www.tidbits.com/terms/> Contact: <editors@tidbits.com>


**************************************************************************

TidBITS-NL zoekt vrijwilligers.

Vind je het nuttig dat er een Nederlandse vertaling van TidBITS is?
Lijkt het je leuk om teksten uit het Engels te vertalen?
Kun je een paar uurtjes per week missen?

De huidige vertaalploeg is juist groot genoeg om de tekst in porties van plezierige omvang over alle vrijwilligers te verdelen, maar als er een keertje iemand uitvalt wegens ziekte of drukdrukdruk hebben we een probleem. Dus een of twee man/vrouw erbij zou welkom zijn.

Kijk eens op de pagina hieronder wat het werk inhoudt, en laat het ons weten als het je aanspreekt.

<./tidbits-nl/over-vertalen.html>

**************************************************************************


Deze editie van TidBITS werd gedeeltelijk gesponsord door:


De Nederlandse editie van TidBITS is een letterlijke vertaling van de oorspronkelijke Engelse versie. Daarom is het mogelijk dat een deel van de inhoud niet geldt in bepaalde landen buiten de VS.


Dit nummer werd uit het Engels vertaald door:

Verder werkten mee:

Hoe je ons kunt bereiken kun je lezen op:
<./tidbits-nl/contact.html>

MailBITS, 15 augustus 2005

[vertaling: LmR]

Apple brengt Security Update 2005-007 uit -- Apple Computer heeft vandaag Security Update 2005-007 uitgegeven voor zowel client- als serverversies van Mac OS X 10.3.9 Panther en Mac OS X 10.4.2 Tiger. De update bevat een aantal reparaties van Apple software (zoals Mail, Safari, onderliggende technologie als de Quartz en CoreFoundation frameworks en in Mac OS X Server 10.4.2 het Serverhulpprogramma waarmee firewall-regels worden aangemaakt). Apple heeft ook een aantal onderdelen van Mac OS X's Unix-fundering opgewaardeerd waaronder OpenSSL, het venstersysteem van X11, Apache 2, CUPS, Kerberos en zlib. Apple raadt alle Mac-gebruikers aan deze update te installeren daar het een aantal veiligheidsproblemen aanpakt die het in theorie onbevoegden mogelijk zouden maken van afstand bij bestanden op de computers te kunnen komen, gebruikersaccounts aan te maken, willekeurige programma's op te starten of URLs Mac OS X's ingebouwde veiligheidscontrole te laten passeren wanneer erop geklikt wordt. De update is verkrijgbaar via Software Update en de eerste onderstaande URL; de download varieert van 13.3 MB tot 29.9 MB, afhankelijk van welke versie van Mac OS X je gebruikt. Details over de Security Update 2005-007 zijn te vinden via de tweede URL. [GD]

<http://docs.info.apple.com/article.html?artnum=61798>
<http://docs.info.apple.com/article.html?artnum=302163>

PowerBook Graphics Update lost klein ongemak op -- Vorige week heeft Apple PowerBook G4 Graphics Update 1.0 uitgebracht, een reparatie van 2.1 MB die de grafische stabiliteit van sommige 15-inch en 17-inch PowerBook G4 modellen met een 1.67 GHz PowerPC processor verbetert; het schijnt dat het installatieprogramma eerst de hardware controleert om te zien of de update nodig is. De update vereist Mac OS X 10.4.2. [JLC]

<http://www.apple.com/support/downloads/powerbookg4graphicsupdate10.html>

SaveScreenie verandert bestandsformaten -- Een paar weken geleden had ik het over een bepaald commando in Terminal waarmee je het formaat kon veranderen dat Mac OS X 10.4 Tiger gebruikt voor schermafbeeldingen die je maakt met Commando-Shift-3 en Commando-Shift-4 (zie "Hoe je het bestandsformaat van schermafbeeldingen kunt veranderen" in TidBITS-785). Natuurlijk is het niet moeilijk deze commando's te knip-en-plakken maar dat is ongeveer net zo elegant als een walsende kangaroe. Daarom heeft Christian Franz van cf/x bij wijze van het beter leren kennen van Apples Xcode, deze functie in een klein hulpprogramma verpakt. Het gevolg is het gratis programmaatje SaveScreenie 1.2 die selectieknoppen toont die overeenkomen met de beschikbare formaten (PNG, PDF, JPG, TIFF, BMP, PSD en PICT); selecteer er een, klik op de Set-knop en log uit of herstart je Mac om het formaat te wijzigen. Nadat Christian mij de aanvankelijke versie toonde, heb ik hem een paar suggesties aan de hand gedaan (eens een redacteur, altijd een redacteur) zoals een link naar een webpagina voor ieder formaat waar de gebruiker meer informatie over dat specifieke formaat kan vinden. Hij heeft toen snel een nieuwe versie in elkaar gedraaid met mijn veranderingen en als je je schermafbeeldingformaat nu wilt veranderen, staat SaveScreenie voor je klaar. [ACE]

<http://db.tidbits.com/getbits.acgi?tbart=08147>
<http://www.imovieplugins.com/other%20products/savescreenie.html>


Mighty Mouse - veel geblaat maar weinig wol

door Glenn Fleishman <glenn@tidbits.com>
[vertaling: TK]

De Mighty Mouse is geen gemakkelijke klant. Vorige week heeft Apple me een exemplaar voor een bespreking gestuurd, en de resultaten van onze tests vallen tegen op meer dan één gebied. De vorm van de muis voelt voor mij gewoon niet ergonomisch aan, maar een gewone muis voelt door mijn problemen met mijn hand en pols ook al niet erg comfortabel aan. (Voor een algemene beschrijving van de Mighty Mouse, zie "Apple brengt een meerknopsmuis uit" in TidBITS-791.)

<http://www.apple.com/mightymouse/>
<http://db.tidbits.com/getbits.acgi?tbart=08201>

Ten eerste is de scrollbal (wat New York Times-columnist David Pogue een "trackpea" (track-erwt) noemt, een term die me wel bevalt) geen revolutionaire uitvinding die alle andere scrollwielen overbodig maakt. Het is een heel kleine en moeilijk bruikbare bal die bij gebruik een nauwelijks hoorbaar tikgeluid maakt (geproduceerd via een interne luidspreker). Ik vond dit moeilijk te gebruiken en zeker geen verbetering in vergelijking met een scrollwiel.

<http://www.nytimes.com/2005/08/04/technology/circuits/04POGUE-EMAIL.html>

Links-rechts-aanraakgevoelig klikken werkt goed, maar baanbrekend zou ik het niet noemen. Ik heb ook niets tegen twee fysieke, mechanisch afzonderlijke knoppen, zodat de versie van Apple vooral interessant is omdat je kunt omschakelen tussen een en twee knoppen. Jeff Carlson van TidBITS kon echter niet zo goed overweg met de aanraakgevoeligheid omdat hij op zijn Kensington-muis met twee knoppen vaak zijn wijsvinger en middelvinger laat rusten. Bij de Mighty Mouse moet hij ofwel zijn middelvinger boven de rechterknop in de lucht houden (wat hem al gauw een zere vinger oplevert) of zijn vinger meer naar de zijkant verplaatsen.

Vooral in de muis knijpen om de twee zijknoppen te activeren (in plaats van op één enkele knop te drukken) lijkt wel heel vreemd, en de extra knoppen lossen ook niets voor me op.

De Mighty Mouse-software (te installeren vanaf een bijgeleverde cd) vind ik ook verwarrend. Wanneer je een Mighty Mouse op om het even welk platform (Windows of om het even welke versie van Mac OS X) aansluit, werken de linker en rechter hoofdknoppen standaard. Installeer de software voor Mac OS X 10.3.9 tot 10.4.1, sluit de muis aan, en de linker- en rechterknoppen doen het. Maar wanneer je de software voor Mac OS X 10.4.2 of later installeert en de muis aansluit, krijg je alleen één enkele grote knop bovenaan, en moet je de andere knoppen manueel activeren.

Voor Jeff is een ander nadeel dat je de rechterknop niet kunt herprogrammeren. Hij rechts-klikt om te dubbelklikken (wat voor mij wel vreemd is, maar smaken verschillen nu eenmaal), maar met de Mighty Mouse-software is dit niet mogelijk, in tegenstelling tot het bekende Kensington MouseWorks (voor Kensington-aanwijsapparaten) of het USB Overdrive-utility ($20) van Alessandro Levi Montalcini (voor praktisch alle USB-controllers). Bij deze beide programma's kun je vrij bepalen welke knop wat doet. USB Overdrive 10.3.9 werkt blijkbaar al met de Mighty Mouse als je de stuurprogamma's van Apple niet installeert, en Alessandro is van plan in de volgende uitgave de Mighty Mouse volledig te ondersteunen.

<http://www.kensington.com/html/1385.html>
<http://www.usboverdrive.com/>

In grote lijnen haalt de Mighty Mouse het niet tegen andere volgroeide muizen op het vlak van ontwerp en functie. Ze biedt wel unieke, maar geen overtuigende mogelijkheden.


Alleen voor jouw ogen: Virtuele Privénetwerken

door Kevin van Haaren <kevin@vanhaaren.net>
[vertaling: JG, HM, EL, MSH, TK, IK, LmR]

In recente artikelen in TidBITS en discussies in TidBITS Talk werd er gesproken over virtual private network (VPN) technologie. VPNs worden gewoonlijk gebruikt voor het beveiligen van communicatie over onbeveiligde netwerken. Glenn Fleishman gebruikte een VPN om al zijn netwerkverkeer te verbergen terwijl hij verbonden was via publieke draadloze hotspots gedurende de South by Southwest Interactive conferentie, en ik sprak over VPN-technologie in TidBITS Talk als een manier om het mogelijk te maken met Apples Remote Desktop computers achter een firewall te besturen. Maar wat is een VPN precies? Dit artikel is bedoeld om wat van de begrippen en de terminologie achter VPN te verklaren.

<http://db.tidbits.com/getbits.acgi?tbart=08028>
<http://db.tidbits.com/getbits.acgi?tlkthrd=2324>
<http://db.tidbits.com/getbits.acgi?tlkthrd=2329>

Een VPN is een manier om computers veilig te verbinden over onbeveiligde netwerken zoals het internet. Dit mag misschien ongecompliceerd klinken; een beveiligd netwerk bouwen gaat verder dan eenvoudige encryptie. Veiligheid vereist verificatie - iedere deelnemer moet zijn identiteit aan de andere kant bewijzen. Zelfs de encryptie kan moeilijk zijn - hoe kun je encryptiesleutels uitwisselen op een netwerk dat onbeveiligd is?

Waarom VPN? Waarom zou je een virtueel privénetwerk willen hebben? De meeste mensen gebruiken ze om met bedrijfsnetwerken te verbinden, op reis of thuis aan het werk, maar ze worden ook anders gebruikt. De belangrijkste reden dat ik een VPN installeerde was dat ik kon reizen met mijn laptop, maar toch toegang had tot hulpbronnen bij mij thuis zoals mijn iTunes-bibliotheek en mailserver, hulpbronnen die normaal beschermd worden van andere computers op internet door een firewall. Ik gebruikte het in het begin ook thuis om draadloze verbindingen te beschermen die "beveiligd" waren door het kraakbare WEP. Toen ik opwaardeerde naar een AirPort Express en een Mac mini en het veiligere WPA in plaats van WEP gebruikte, besloot ik om mijn VPN te blijven gebruiken als een paranoïde verdediging tegen de mogelijkheid dat iemand WPA zou kraken. Een VPN kan ook een beveiligde verbinding bieden voor programma's als Apples Remote Desktop 2, dat op zichzelf een zwakke veiligheid heeft.

Verleen je technische ondersteuning aan je familie, of aan thuiswerkers bij een bedrijf? Kom je ooit problemen tegen terwijl je ze 'remote' probeert te helpen omdat ze achter een firewall zitten? Opwaardering naar een firewall die een VPN verschaft kan deze situatie oplossen door al de firewall-regels te negeren, zodat je 'remote' kunt verbinden en problemen kunt oplossen.

Firewalls voor beveiliging -- Breedbandgebruikers worden vaak met recht geadviseerd een DSL- of kabelrouter te installeren met een ingebouwde firewall, om hun thuisnetwerk te beschermen. En de meesten gebruiken 'Network Address Translation' (NAT) om hun unieke IP-adres dat ze van de provider kregen te delen met meerdere computers. De firewalls in deze goedkope routers staan standaard aan. Of, als je maar een computer hebt, je kunt de ingebouwde firewall van OS X aanzetten met een klik op de knop in het Delen-voorkeurenpaneel.

Firewalls beperken de toegang van het internet naar het lokale netwerk. Als mijn vader een firewall heeft om zijn thuisnetwerk te beschermen en ik wil hem technische ondersteuning geven, kan ik niet zomaar Apple Remote Desktop of een VNC (virtual network computing) programma opstarten en verbinding maken met zijn computer. Er zijn twee redenen voor dit probleem: ten eerste, met welk IP-adres maak ik een verbinding? Het publieke IP-adres is alleen het adres van de router, niet van zijn computer. Zelfs als hij me het IP-adres kan gaven dat in het Netwerk-voorkeurenpaneel staat, dan is dat IP-adres een privé-adres, toegewezen door de NAT firewall en niet direct te bereiken vanaf het internet.

De tweede reden is dat de meest firewalls een "praat alleen als er tegen je gepraat wordt"-filosofie gebruiken. Voorbeelden van dit idee zijn het Web en de iTunes Music Store: ik kan pagina's bekijken van een webserver, maar niet voordat mijn webbrowser het eerste contact maakt met de server; vergelijkbaar, de iTunes Music Store kan getoond worden in iTunes maar niet voordat mijn computer een opdracht geeft om de info te laten zien. Om deze analogie verder door te trekken, het verzoek voor een op afstand gecontroleerde verbinding moet eerst van de op afstand te controleren computer komen om door de firewall te geraken, en omdat het niet zo hoeft te zijn dat er een persoon achter de op afstand te controleren computer zit, is het moeilijk om het eerste verzoek te versturen. (Zie Chris Peppers artikel, "Wat is een Firewall, waarom is dat belangrijk voor je?" in TidBITS-468, voor meer informatie over firewalls.)

<http://db.tidbits.com/getbits.acgi?tbart=05291>

Open de poorten -- Een vaak aanbevolen oplossing om door een firewall te komen is de poort (of poorten) te openen die door een programma gebruikt worden om te communiceren. Netwerk-software communiceert door middel van poorten. Een analogie van het firewall-artikel stelend, poorten zijn als huisnummers in normale postadressen. Als je een brief naar een vriend wilt sturen is een straatnaam alleen niet voldoende. Je hebt het huisnummer nodig om de brief bij het juiste adres afgeleverd te krijgen. Op dezelfde manier is een IP-adres van een computer niet voldoende om netwerkdata naar het juiste programma te sturen. Het poortnummer wordt gebruikt om de data naar het juiste programma te sturen zoals de web- of mailserver. De meest gebruikte internetdiensten hebben een standaard "bekend" poortnummer.

<http://www.iana.org/assignments/port-numbers>

NAT-gebaseerde firewalls kunnen inkomend verkeer naar een specifieke computer op het interne netwerk versturen, gebaseerd op het poortnummer. Als je dezelfde applicatie wilt gebruiken om met meerdere computers op het interne netwerk te verbinden zijn er twee mogelijkheden: De firewall configureren om te luisteren naar additionele niet-standaardpoorten en deze poorten doorsturen naar de standaardpoort op de computer waar het voor bestemd is (niet alle firewalls ondersteunen deze functionaliteit), of met een van de interne computers verbinden en deze computer vervolgens gebruiken om toegang tot de andere computers op het netwerk te krijgen.

Als je een poort opent met een eenvoudige firewall, is deze open voor iedereen op het internet. De complexere firewalls kunnen gelimiteerd toegang tot een poort bieden, gebaseerd op zaken zoals het bron-IP-adres en tijd.

Mac OS X heeft een ingebouwde volledig uitgeruste firewall, maar Apples voorkeurenpaneel limiteert je opties tot de simpelste configuraties - een poort openen opent die voor iedereen op het internet. Software van derden zoals Brian Hills BrickHouse geven GUI-toegang naar een veel bredere functionaliteit. Of je kunt zelfs nog uitgebreidere programma's als DoorStop X van Open Door Networks of IPNetSentry van Sustainable Softworks gebruiken.

<http://personalpages.tds.net/~brian_hill/brickhouse.html>
<http://www.opendoor.com/doorstop/>
<http://www.sustworks.com/site/prod_ipns_overview.html>

Zelfs met de meer geavanceerde configuratiemogelijkheden die BrickHouse of je kabel- of DSL-router bieden, kan het bouwen van deze uitzonderingen erg tijdrovend en foutgevoelig zijn. (IPNetSentry heeft daarom een andere benadering, en kijkt naar verdachte activiteiten en bant zonodig de indringer.) Sommige simpele internetgebruiken kunnen het onderhoud van deze regels moeilijk maken. Bijvoorbeeld het instellen van toegang voor iemand die een steeds veranderend dynamisch IP-adres heeft kan al frustrerend zijn, of soms zelfs onmogelijk als je probeert te wisselen van een dynamisch adres, wat niet reeds in de firewall-regels geconfigureerd is.

Een ander probleem dat het openen van firewall-poorten niet op kan lossen is onversleutelde data. Iedereen aan het netwerkpad tussen de bron en de bestemming kan eenvoudige software gebruiken die de data kan lezen. Als je VNC software gebruikt voor controle op afstand, kunnen anderen op het internet precies zien wat jij ziet of typt. VNC versleutelt de aanvankelijke verificatie naar een computer op afstand, maar als je het gebruikt om een wachtwoord te veranderen of een schermbeveiliger op afstand ontsluit, wordt het wachtwoord onversleuteld verzonden. En zowel FTP als telnet verzenden je wachtwoord als platte tekst.

De ideale oplossing is om met je lokale computer verbinding via het internet te maken, door de firewall op afstand, alle regels negerend, naar een willekeurig aantal computers of apparaten achter de firewall. Daarna willen we deze communicatie geheim houden voor glurende ogen, en we willen verzekerd zijn dat de computer die verbinding maakt ook echt de computer is die hij zegt te zijn.

Virtuele Privénetwerken zijn ontworpen om deze oplossing te bieden door een veilige tunnel te creëren waardoorheen al het verkeer van jou - waar je je ook bevindt op het internet- naar jouw netwerk stroomt. Er zijn verschillende soorten VPN beschikbaar: een groep van open protocollen IPsec genoemd; Point-to-Point Tunneling Protocol (PPtP); Layer 2 Tunneling Protocol (L2TP), regelmatig gebruikt met IPsec; SSH tunnels; en SSL VPN.

<http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/ipsec.html>
<http://www.microsoft.com/ntserver/ProductInfo/faqs/PPTPfaq.asp>
<http://www.microsoft.com/technet/community/columns/cableguy/cg0801.mspx>
<http://www.infoworld.com/article/03/10/24/42TCsslvpn_1.html>

IPsec -- IPsec werd oorspronkelijk toegepast op bedrijfsnetwerken als een manier om perifere kantoren te verbinden via goedkopere internetverbindingen, in plaats van de duurdere huurlijnen. Grote daarvoor bestemde VPN firewalls werden in ieder kantoor geplaatst en met elkaar verbonden. Gelukkig is de prijs voor het implementeren van deze systemen de laatste jaren aanzienlijk gedaald met veel goedkope thuisrouters die VPN-mogelijkheden bieden tegen een geringe prijsverhoging.

IPsec gebruikt een tweefasesysteem om de VPN op te zetten. In fase een wordt de identiteit van iedere deelnemer geverificeerd. Fase twee is de echte uitwisseling van versleutelde data. Iedere fase gebruikt de verschillende methoden voor verificatie en versleutelinguitwisseling. Voor een betere veiligheid van de tunnel onderhandelen de twee fases op gezette tijden opnieuw, herverificeren opnieuw en wisselen opnieuw nieuwe encryptiesleutels uit.

PPTP & L2TP -- PPTP is een oudere en minder veilige technologie die door Microsoft werd ontwikkeld. PPTP is nog behoorlijk populair (vooral in Europa) doordat het in Windows is ingebouwd. L2TP is een combinatie van Microsofts PPTP en Ciscos L2F (Layer Two Forwarding) technologie. L2TP over IPsec kapselt het L2TP verkeer in, in IPsec-pakketten. Het gebruik van IPsec staat toe dat de verificatiefase van VPN wordt versleuteld, iets dat PPTP anders niet ondersteunt. Mac OS X ondersteunt zowel PPTP als L2TP via IPsec, ze worden allebei door Apples applicatie Internetverbinding geconfigureerd.

SSH -- SSH tunnels zijn een populaire versleutelings- en verificatiemethode tussen computers. Een SSH tunnel gebruikt een doorstuurpoortmodel waarbij ssh aan de client-zijde alle datapakketjes verzamelt die naar een bepaalde poort werden gestuurd en ze door een versleutelde tunnel verzendt. De server aan de andere kant (werkend op sshd) decodeert de pakketjes en stuurt ze door naar de juiste bestemming.

Helaas is een SSH tunnel een computer-naar-computer systeem. Wil ik SSH gebruiken voor meerdere computers achter een firewall, dan moet ik of meer poorten openen op de firewall, voor ieder systeem een, of tunnelen naar een machine en van die computer een verbinding maken naar de andere machines. Beide methodes kunnen ingewikkeld zijn om op te zetten. Een verdere beperking van SSH tunnels is dat ze alleen maar TCP-verbindingen ondersteunen, niet UDP. Dit heeft tot resultaat dat ssh tunneling niet voldoet voor toepassingen als Apple Remote Desktop.

SSL VPN -- SSL VPN's zijn momenteel het onderwerp van de dag op het gebied van netwerken. Een SSL VPN gebruikt standaardwebprotocollen voor verificatie en encryptie. Hierdoor kan de VPN zijn werk doen doorheen beperkende firewalls die de poorten van andere VPN-protocollen blokkeren. De SSL VPN-technologie biedt een hele reeks mogelijkheden. Op het eenvoudigste niveau kan de VPN een omgekeerde web-proxy zijn, die geverificeerde internetgebruikers toegang tot intranet-webservers achter de 'remote' firewall biedt.

SSL VPN's kunnen ook webgebaseerde file-browsers bieden waarmee gebruikers toegang krijgen tot Windows- en NFS-bestanden op het 'remote' netwerk. Aangezien de VPN-hardware voor de vertaling van netwerk-shares naar webpagina's zorgt, kan dit zonder speciale client-software.

Meer geavanceerde SSL VPN-units bieden een functionaliteit die die van SSH-tunnels evenaart. De gebruiker logt in op een web-applicatie en start een Java- of ActiveX-client die alle 'port forwarding'-opties configureert. In deze configuratie worden alleen de poorten die voor een applicatie nodig zijn getunneld, wat de kans op infectie met virussen en Trojans sterk beperkt. Door deze beperkte toegang kunnen veel bedrijven via SSL VPN netwerktoegang bieden voor onbekende computers, zoals de thuiscomputer van werknemers en vendor-systemen voor de ondersteuning van interne applicaties. Bovendien kunnen veel handhelds met draadloos netwerken en Java-ondersteuning ook via een SSL VPN tunnelen.

High-end SSL VPN-producten bieden een volledige TCP/IP-stack die pakketjes over een SSL-link versleutelt, een manier die bekend staat als "IPsec replacement" omdat het de veiligheid van een volledige IPsec VPN biedt, maar toch nog werkt doorheen beperkende firewalls.

<http://www.nwfusion.com/reviews/2004/0112revmain.html>
<http://openvpn.net/>
<http://www.f5.com/>
<http://www.caymas.com/>

SSL VPN's zijn populair in netwerken van ondernemingen, maar door de huidige hoge instapprijs blijven ze buiten het bereik van de meeste thuisbedrijven en kleine bedrijven. Omwille van hun flexibiliteit en lage kostprijs, zal ik het in de rest van dit artikel vooral hebben over IPsec VPN's.

VPN naar wat? Zodra je hebt gekozen voor een VPN protocol moet je kiezen wat voor soort verbinding je wilt maken: computer-naar-computer, computer-naar-netwerk of netwerk-naar-netwerk. Met de computer-naar-computerverbinding kun je alleen gegevens uitwisselen tussen de twee computers. Met computer-naar-netwerk kun je met één computer alle apparaten op het netwerk bereiken. Met een netwerk-naar-netwerkverbinding worden complete kantoren met computers met elkaar verbonden zonder dat iedere computer individueel moet worden ingesteld. De meeste mensen zijn geïnteresseerd in het maken van een verbinding van een notebook of PC met een extern netwerk (computer-naar-netwerk) en dus concentreer ik me op dat scenario.

Als eerste moet je een VPN-client kiezen. Mac OS X bevat een IPsec implementatie op basis van Racoon van het KAME Project. Zoals met veel Unix programma's stel je de software in met behulp van een tekstbestand dat dienst doet als configuratiebestand. "Simpele" configuratievoorbeelden zijn online beschikbaar.

<http://www.kame.net/racoon/>
<http://www.kame.net/newsletter/20001119/>

Nadat ik de beschikbare documentatie had bestudeerd bedacht ik dat er een betere manier moest zijn. Gelukkig was ik niet de enige met dat idee. Kort zoeken op internet leverde een aantal grafische configuratieprogramma's op. VPN Tracker ($90 voor een persoonlijke licentie en $200 voor een professionele licentie) van Equinux, en IPSecuritas (gratis) van Lobotomo zijn de twee populairste.

<http://www.equinux.com/us/products/vpntracker/>
<http://www.lobotomo.com/products/IPSecuritas/>

Daarbij hebben veel VPN firewall-makers een Mac OS X-versie ontwikkeld van hun software. Check Point en Cisco bieden beide Mac OS X clients aan voor hun VPN-producten. Controleer de ondersteunde instellingen en versies van de software goed. Cisco heeft pas recentelijk ondersteuning voor Macs met twee processors en Mac OS X 10.4 Tiger uitgebracht en er zijn berichten dat het zelfs met 10.4.2. niet helemaal werkt. MacInTouch heeft een lange lijst met lezerservaringen met Cisco VPN client.

<http://www.checkpoint.com/press/2004/mac120704.html>
<http://www.cisco.com/en/US/products/sw/secursw/ps2308/products_user_guide_book09186a00802e1fa2.html>
<http://www.cisco.com/en/US/products/sw/secursw/ps2308/products_data_sheet0900aecd801a9de9.html>
<http://www.macintouch.com/tigerreview/incompatibility.html>

Om je Mac vervolgens via VPN met een volledig netwerk te verbinden heeft je netwerk een VPN-router nodig. Mac OS X 10.4 Tiger Server beschikt standaard over veel fraaie VPN-instellingen die je zo toe kunt passen. De Mac OS X Server-versie voor studenten is er vanaf ongeveer € 250; een licentie met 10 clients kost € 500 en een licentie voor een onbeperkt aantal clients kost € 1000 en als je nog niet van Jaguar op Tiger bent overgestapt: Het is ongeveer € 370 euro duurder om over te stappen van Jaguar op Tiger Server dan overstappen op non-Server Tiger.

In theorie zou een Mac met OS X client ook dienst kunnen doen als een VPN-router, maar de meeste documentatie die ik vond gaat over OS X Server. Instructies voor het inrichten van een FreeBSD computer als VPN-router zijn ook beschikbaar en zouden ook op Mac OS X van toepassing kunnen zijn.

<http://www.lugbe.ch/lostfound/contrib/freebsd_router/>

Aangezien ik geen Mac over heb waar OS X op draait ben ik op zoek gegaan naar een kleine VPN-router. De meeste fabrikanten van breedbandrouters bieden VPN-versies van hun non-VPN-routers aan voor een meerprijs van zo'n $10 of $20. (zie onderstaande link voor een aantal apparaten). Wanneer je op zoek gaat naar een VPN-router, pas dan op voor producten waarop staat "IPsec Pass-Thru" - dit is niet wat je zoekt. IPsec Pass-Thru zorgt er namelijk enkel voor dat de VPN-verbinding werkt maar het betekent niet dat het apparaat dienst kan doen als VPN eindpunt. De specificaties van een echte VPN-router zou een lijst moeten bevatten van het aantal VPN-tunnels dat het apparaat ondersteunt.

<http://www.dlink.com/products/?sec=0&pid=274>
<http://www.dlink.com/products/?sec=0&pid=59>
<http://www.netgear.com/products/details/FVM318.php>
<http://www.netgear.com/products/details/FVS328.php>
<http://www.linksys.com/servlet/Satellite?childpagename=US%2FLayout&packedargs=c%3DL_Product_C2%26cid%3D1115416832406&pagename=Linksys%2FCommon%2FVisitorWrapper>
<http://www.linksys.com/servlet/Satellite?childpagename=US%2FLayout&packedargs=c%3DL_Product_C2%26cid%3D1118334818868&pagename=Linksys%2FCommon%2FVisitorWrapper>

Voor sommige routers bestaat er een firmware upgrade van derden om VPN-serverondersteuning toe te voegen. De Linksys WRT54G is de router die het vaakst wordt opgewaardeerd en wel met de Sveasoft firmware upgrade. Zodoende wordt er een aantal geavanceerde mogelijkheden toegevoegd aan de bestaande mogelijkheden van Linksys.

<http://www.sveasoft.com/>

Korte Tiger Update -- Toen Tiger uitkwam zat er een foutje in de software die bepaalde VPN-verbindingen vertraagde. Na de upgrade naar Tiger duurde een Ping naar mijn server via een VPN-verbinding duizend milliseconden, iets wat normaal gesproken 4 milliseconden duurt.

Dit probleem is verholpen maar dat houdt wel in dat je moet upgraden naar ten minste Mac OS X 10.4.1 en je IPsec front-end moet upgraden. IPSecuritas versie 2.1 en VPN Tracker 4.0.1 werken beide naar behoren onder Mac OS X 10.4.1 en later. Terwijl ik dit schrijf heeft Check Point haar IPsec clients nog niet opgewaardeerd om met Tiger te kunnen werken. Ciscos recentste versie lijkt bij mij prima te werken. Nogmaals, controleer of jouw configuratie staat bij de software-documentatie voordat je de software installeert.

Het dubbelzijdige zwaard van VPN -- Nadat ik je net lekker heb gemaakt voor het gebruiken van VPN om langs firewall-regels te komen onthul ik nu dat dat tegelijkertijd een van de grootste gevaren is bij het gebruik van VPN. Firewall-regels bestaan om de veiligheid te vergroten; door aan deze beveiliging voorbij te gaan, neem je een flink risico. Veel bedrijven zijn verbaasd dat zij geïnfecteerd raken met virussen of trojaanse paarden ondanks het feit dat ze een firewall hebben. Het blijkt dan dat veel laptopgebruikers naar huis gaan, verbinding maken met hun onbeschermde internetverbinding thuis, geïnfecteerd raken, daarna via VPN verbinding maken (en dus voorbijgaan aan alle firewall-regels) en de infectie verspreiden op het interne netwerk. Natuurlijk zijn dit soort problemen onwaarschijnlijker bij Mac-gebruikers maar we kunnen er niet vanuitgaan dat we onkwetsbaar zijn.

Sommige VPN-programma's worden geleverd met een aparte firewall vergelijkbaar met die in Mac OS X is ingebouwd, om tegen dit soort kwetsbaarheden te beschermen. Andere programma's controleren eerst een aantal regels voordat een VPN-verbinding is toegestaan. Voorbeelden van dit soort regels zijn: eerst kijken of het anti-virus programma wel recent is en aanstaat, controleren of een aantal veiligheidsreparaties zijn geïnstalleerd en of de firewall van de computer zelf aanstaat.

Maar zelfs met deze bescherming zou je geen enkele computer op je netwerk moeten laten verbinden als je er het onderhoud en de beveiliging niet van vertrouwt. Het omgekeerde is ook waar: je zou geen verbinding moeten maken met een netwerk dat je niet absoluut vertrouwt, anders sta je wellicht open voor aanvallen op dat netwerk.

[Kevin van Haaren werkt voor een groot bedrijf dat voornamelijk Windows computers ondersteunt maar zijn week wordt eens in de zoveel tijd opgefleurd door een te ondersteunen Mac. Dit heeft hem goed voorbereid op de verzorging van zijn twee katten.]

PayBITS: Als Kevin's artikel je heeft geholpen vraagt hij je een donatie
te overwegen aan de EFF, die zich hard maakt om encryptie
systemen voor iedereen legaal te houden. <http://eff.org/support/>
Lees meer over PayBITS: <./paybits.html/>


Take Control-nieuws, 15 augustus 2005

door Adam C. Engst <ace@tidbits.com>
[vertaling: DPF]

Take Control of Now Up-to-Date & Contact uitgebracht -- Eind vorig jaar, zo rond de tijd dat ik de laatste hand legde aan "Take Control of iKey 2", onze eerste handleiding in de vorm van een Take Control boek, nam Randy Murray van Now Software contact met me op om te vragen of ik interesse had in het schrijven van de handleiding voor de eerstvolgende versie van Now Up-to-Date & Contact. Ik gebruik dit pakket nu al meer dan 10 jaar en ken John en Sheila Wallace van Now Software al veel langer (ze waren samen met Randy verantwoordelijk voor het maken van mijn actiepoppetje toen het bedrijf nog Power On Software heette), maar ik wist dat ze geen tijd hadden om het boek te schrijven. Ik dacht vervolgens aan Joe Kissell, die nu al vijf Take Control boeken geleverd heeft. Joe had interesse, dus na het uitwerken van de zakelijke details begon Joe het boek te schrijven zodra Now Software bèta-versies kon leveren. Randy had ons ook de voorgaande handleiding gegeven, een lijvig boek dat meer dan 500 pagina's telde, maar gaandeweg beseften Joe en ik dat we beter vanaf nul konden beginnen.

<http://db.tidbits.com/getbits.acgi?tbart=07899>
<http://www.nowsoftware.com/>
<http://homepage.mac.com/adamengst/iMovieTheater15.html>

Om een lang verhaal kort te maken, Joe deed fantastisch werk door alle ins en outs van Now Up-to-Date & Contact te documenteren. In tegenstelling tot de 'normale' e-boeken moeten handleidingen volledig zijn, of zouden dat moeten zijn, en tegen de tijd dat Joe klaar was bestond "Take Control of Now Up-to-Date & Contact" uit 249 pagina's. Dat is bijna 100 pagina's meer dan ons langste boek tot nu toe, maar gelukkig is het nog steeds meer nauwgezet en to-the-point dan de voorgaande handleiding. Ondanks de lengte is het boek handig in het gebruik door de enorme hoeveelheid links en bladwijzers. Maar geloof me niet op mijn woord - je kunt "Take Control of Now Up-to-Date & Contact" gratis downloaden van onze website.

<http://www.takecontrolbooks.com/nudc.html>

Deels omdat we al verwachten dat de handleiding groot zou zijn besloten we om een aantal dingen anders aan te pakken dan we in het verleden gedaan hadden. De meest opvallende ingreep was dat Joe gebruik ging maken van velden in Microsoft Word 2004 om figuren en interne links automatisch te nummeren. De velden van Word zijn een geval apart - ik moest de velden die naar figuren refereren handmatig bijwerken, en in veel situaties wilden ze gewoon niet werken, waardoor ik de nummering toch zelf bij moest houden. Bovendien - en dat kon verwacht worden - is de interface van Word voor het aanmaken van velden en bladwijzers dramatisch. Het zou allemaal niet mogelijk zijn geweest als we niet de beschikking hadden gehad over een aantal macro's die Matt Neuburg voor ons schreef. Desalniettemin bleek het uiteindelijk de juiste beslissing te zijn, vooral omdat we twee delen op het laatste moment stuivertje lieten wisselen, en de bijbehorende velden bleken correct bijgewerkt. Je gaat hopen dat Adobe FrameMaker nog eens bij gaat werken, hoewel FrameMaker weer andere problemen kende.

Ik moest uiteindelijk ook nog terugvallen op Word X om het werk aan het boek te kunnen afronden. Met 249 pagina's, 103 schermweergaven, en ontelbare andere plaatjes, zwol het bestand tot 7,3 MB, en Word 2004 bleek niet meer vooruit te branden in de Afdrukweergave op mijn dual 1 GHz Power Mac G4, omdat de pagina-indeling voortdurend aangepast werd. Ik weet niet wat het verschil is met Word X, maar daarmee vergeleken was het razendsnel. Bovendien kan Word 2004 crashen wanneer je een inhoudsopgave genereert in een tabel, dat was de laatste druppel voor mij.

We proberen ook om het voor lezers eenvoudiger te maken om commentaar te geven op de handleiding, en gebruiken daarvoor een dienst met de naam QuickTopic Document Review. Dit komt neer op het uploaden van een HTML-versie van "Take Control of Now Up-to-Date & Contact" (een export uit Word en vervolgens flink onder handen genomen door een BBEdit Text Factory die ik zelf ontwikkeld heb), waarna QuickTopic Document Review een "commentaarpunt" invoegde na iedere alinea. Wanneer je op zo'n punt klikt kun je je commentaar intikken voor die specifieke alinea, en ieder ander kan jouw commentaar op drie verschillende manieren zien: in het document zelf, als een soort forum of in een speciale review-modus die een klein deel van de oorspronkelijke tekst laat zien voor het commentaar. QuickTopic Document Review is briljant en wij maken er veel gebruik van voor ons redactiewerk van technische documenten. Hoewel we een abonnement hebben op QuickTopic Document Review Pro zodat we onze kladdocumenten met een wachtwoord kunnen beschermen is de versie die we nu gebruiken openbaar voor iedereen, dus neem eens een kijkje op de tweede link hieronder.

<http://www.quicktopic.com/cgi-bin/docreviewintro.cgi>
<http://www.quicktopic.com/32/D/zTvDUkXyy9p6?inline=1>

We zullen natuurlijk ook gaan voorzien in updates van de handleiding, en een Windows-versie (die eigenlijk alleen afwijkt bij de schermafbeeldingen) wanneer er nieuwe versies van Now Up-to-Date & Contact gaan verschijnen. Klik dus regelmatig op de Check for Updates-knop en neem een abonnement op de update-meldingen wanneer je bij wilt blijven.


Recente onderwerpen in TidBITS Talk, 15 augustus 2005

van de TidBITS-redactie <editors@tidbits.com>
[vertaling: EL]

[De discussies waarnaar verwezen wordt zijn in het Engels, daarom hebben we de titels niet vertaald - Tb-NL.]

De tweede URL onder elke thread-beschrijving verwijst naar de discussie op onze Web Crossing-server, die sneller is.

Japan's iTunes Music Store -- De opening en het initiële succes van iTMS in Japan heeft sommige mensen in andere landen enthousiast gemaakt over de mogelijkheid van het verkopen van elektronische versies van muziek alleen verkrijgbaar in Japan. Helaas, door zaken als patenten, moet je een Japanse credit card hebben om deze liedjes te kunnen kopen.(7 berichten)

<http://db.tidbits.com/getbits.acgi?tlkthrd=2670>
<http://emperor.tidbits.com/TidBITS/Talk/522/>

Expanding the View with a Dell LCD Display -- Jeff Carlsons ervaring met de Dell 2005FPW 20-inch monitor verraadt hoeveel mensen gebruikmaken van het voordeel van Dells speciale aanbiedingen en biedt andere interessante tidbits, zoals het feit dat de monitor exact dezelfde blijkt te zijn als die gebruikt wordt in Apple's 20-inch Cinema Display. (13 berichten)

<http://db.tidbits.com/getbits.acgi?tlkthrd=2671>
<http://emperor.tidbits.com/TidBITS/Talk/523/>


Niet-winstgevende en niet-commerciële publicaties en Websites mogen artikels overnemen of een HTML link maken als de bron duidelijk en volledig vermeld wordt. Anderen gelieve ons te contacteren. We garanderen de precisie van de artikels niet. Caveat lector. Publicatie-, product- en firmanamen kunnen gedeponeerde merken zijn van hun ondernemingen.

Vorige aflevering | Search TidBITS | TidBITS Homepage | Volgende aflevering