Mit dem Poptop-Daemon spricht Linux auch die umstrittene Microsoft-VPN-Sprache PPTP. Ist er mit einem zusätzlichen Kernelmodul und einem aktuellen »pppd« ausgerüstet, bindet Poptop im heterogenen Netz Microsoft- und Linux-Clients gleichzeitig an.
Unter der Federführung von Microsoft wurden bereits vor Jahren das Point-to Point Tunneling Protocol PPTP und die Microsoft Point-to-Point Encryption MPPE entwickelt. Diese sind seit Windows 95 in der Microsoft-Welt der Quasistandard für den Aufbau verschlüsselter Verbindungen - allerdings hat das Protokoll einige Sicherheitsprobleme (siehe Kasten "PPTP-Lücken"). Erst die neuesten Produkte unterstützen auch das IPsec-Protokoll, daher ist PPTP noch weit verbreitet.
Muss ein Admin mit wenig Aufwand einem Windows-Anwender einen gesicherten VPN-Zugang ermöglichen, bietet sich dieses Protokoll an, da der Microsoft-Client bereits alle Voraussetzungen mitbringt. Unter Umständen ist lediglich ein zusätzliches Patch oder Service Pack erforderlich, um dem Client starke Verschlüsselung zu ermöglichen.
Auf Linux-Seite sind drei Modifikationen erforderlich: Der Admin muss den PPTP-Daemon Poptop[1], ein Kernelpatch und einen aktuellen »pppd« installieren[2]. Diese Modifikationen sind nötig, da die MPPE-Verschlüsselung nicht vom PPTP-, sondern vom PPP-Daemon ausgeführt wird. Der PPTP-Daemon baut lediglich einen GRE-Tunnel auf (Generic Routing Encapsulation), über den der PPP-Daemon dann kommuniziert und verschlüsselte Pakete austauscht. Da der PPP-Daemon auch Kernelanteile enthält, muss der Kernel modifiziert werden.
Die aktuelle stabile Poptop-Version ist 1.1.3-20030409. Root übersetzt und installiert sie mit dem üblichen Dreisatz:
./configure make make install
Es gibt auch RPM- und Debian-Pakete, die eine einfache Installation inklusive passender Startskripte erlauben. Für die Modifikationen am Kernel und am PPP-Daemon stehen zwei Möglichkeiten zu Wahl: Die aktuelle Variante setzt ein BSD-MPPE-Modul ein und wird auch in Zukunft von den Entwicklern unterstützt. Die alte Lösung benutzt dagegen ein OpenSSL-MPPE-Modul, das sich in der Konfiguration unterscheidet. Wer ein Upgrade auf das neue Modul und den neuen »pppd« durchführen will, muss seine Konfigurationsdateien auf die aktuelle Syntax umstellen.
Für das BSD-MPPE-Modul muss der Administrator lediglich ein zusätzliches Kernelmodul übersetzen und installieren sowie den installierten »pppd« durch eine aktuellere Version austauschen. Das »kernelmod«-Paket von der Poptop- Homepage übernimmt alle Schritte, um das Kernelmodul erfolgreich zu übersetzen. Dazu muss der Quelltext des aktuell verwendeten Linux-Kernels unter dem Verzeichnis »/usr/src/« installiert sein.
./kernelmod.sh
Dieser Befehl ermittelt die aktuelle Konfiguration, patcht den Kernelquelltext und baut das Modul. Anschließend entfernt das Skript das Patch und hinterlässt den Kernelquelltext in seinem Ausgangszustand.
Alle Rezensionen aus dem Linux-Magazin
Im Insecurity Bulletin widmet sich Mark Vogelsberger aktuellen Sicherheitslücken sowie Hintergründen und Security-Grundlagen. mehr...
