PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : MySQL-Cluster mit OpenSWAN VPN-Tunnel



Zwer2k
14.11.07, 21:54
Hallo Zusammen,

folgendes Szenario:
Um Ausfallsicherheit zu erhöhen habe ich bei meinem Provider ein zweiten Root-Server angemietet, um auch die Datensicherheit zu erhöhen habe ich mir angedacht die Mysql-Datenbank in einem Cluster laufen zu lassen, da ich allerdings nicht weiss wer alles bei meinem Hoster am Netzwerk lauscht und die Übertragungen im Cluster nicht mit Mitteln von MySQL verschlüsselt werden können, wollte ich die Verbindung zwischen beiden Servern per VPN Tunneln.
Der Tunnel sollte mit OpenSWAN als Host-To-Host aufgebaut werden.

jetzt meine Fragen:
Kann das überhaupt funktionieren?
Zwischen meinen Arbeitsrechnern konnte ich schon mal eine VPN-Verbindung aufbauen. Wie kann ich diese auf Sicherheit Testen?

Wenn ich Laptop vom Rechner aus anpinge liefert tcpdump folgendes:

21:41:50.814259 IP Laptop > Rechner: ESP(spi=0x8ae498f2,seq=0x6), length 132
21:41:50.814259 IP Laptop > Rechner ICMP echo reply, id 14654, seq 6, length 64
21:41:51.811245 IP Rechner > Laptop: ESP(spi=0xfcb126d7,seq=0x7), length 132
21:41:51.813591 IP Laptop > Rechner ESP(spi=0x8ae498f2,seq=0x7), length 132
21:41:51.813591 IP Laptop > Rechner ICMP echo reply, id 14654, seq 7, length 64
21:41:52.810821 IP Rechner > Laptop: ESP(spi=0xfcb126d7,seq=0x8), length 132
21:41:52.813039 IP Laptop > Rechner ESP(spi=0x8ae498f2,seq=0x8), length 132

Was mich dabei stört sind die Zeilen zwischen ESP-Zeilen.

Wie kann ich unterbinden, dass bei ausgeschalteten Tunnel (z.B. im Fall der Fehlfunktion) eine unsichere Verbindung zwischen Cluster-Knoten aufgebaut wird?

bla!zilla
15.11.07, 08:18
Das sind doch nur ICMP Nachrichten. Nicht wirklich tragisch. Im einfachsten Fall reicht ein SSH Tunnel aus, da du ja nur ein bestimmtes Protokoll tunneln musst.

$kuLL
15.11.07, 11:18
Vom reinen Verständnis her denke ich, dass das so i.O. ist. Denn ESP verschlüsselt ja nur die Nutzdaten und nicht den IP-Header. Bei normalen ICMP Paketen gibt es natürlich keinen Payload, sondern da stecken alle relevanten Informationen schon im Header, der ja nicht verschlüsselt wird. Deshalb huschen die bei deinem tcpdump mit durch.

Allerdings meine ich in der OpenSWAN Doku gesehen zu haben, dass die dort auch mit einem Ping testen und da waren nur die ESP Pakete im Dump zu sehen. Aber das waren auch nur zwei Pakete, vielleicht haben sie den Rest weggelassen :rolleyes:

Am einfachsten testet du mal ein anderes Protokoll, bspw. FTP. Da sollten dann alle sensiblen Daten verschlüsselt sein.

Für dein HA Vorhaben finde ich diese Idee aber etwas merkwürdig. Im Prinzip baust du dir da auf einem extra Layer einen zusätzlichen Single Point of Failure ein, wenn du nur verschlüsselte Verbindungen zulassen willst. Denn wenn der Tunnel mal nicht funktioniert (Konfigurationsfehler?), aber eine normale Verbindung möglich wäre, stehst du dumm da. Und von MySQL aus wirst du dafür auch keine Monitoring Möglichkeit haben. Da musst du auf eine externe Lösung bauen.

Besser wäre es imho auf die SSL Verschlüsselung von MySQL zu setzen. Allerdings weiß ich nicht inwieweit das im Clusterbetrieb umzusetzen ist.

Just my 2c.

bla!zilla
15.11.07, 11:32
Ich überlege in wie weit DRDB sinnvoll ist. DRBD verschlüsselt aber nicht. Daher müsste man den IP Verkehr separat verschlüsseln.