Virtuelle private Netze mit Cipe
Stabiler Durchgang
Cipe ist eine robuste und recht einfach zu benutzende VPN-Technik. Da es IP-Pakete in UDP verpackt, überwindet das Crypto-IP-Encapsulation-Protokoll spielend NAT- und Socks-Geräte.
Cipe, die Crypto IP Encapsulation[1], überträgt IP-Pakete verschlüsselt in UDP-Paketen. Über die UDP-Ports lassen sich mehrere Endpunkte auf einem Host leichter unterscheiden als bei IP-in-IP-Tunneln, es sind keine zusätzlichen Verbindungs-IDs nötig. Aus Sicht der Firewalls, Socks-Proxies und NAT-Geräte (Network Address Translation) handelt es sich um ein gewöhnliches UDP-Protokoll, Cipe kann damit komplett auf der bestehenden IP-Infrastruktur aufsetzen.
Linux und Windows
Die Cipe-Implementierung (GPL-lizenziert) ist für Linux und Windows verfügbar[2]. Für die Linux-Variante ist ein Kernelmodul nötig, das die meisten Distributionen bereits mitliefern. Das Modul ist für das Senden und Empfangen der IP-Pakete zuständig, es legt dazu ein Netzwerk-Device »cipcb*« an (siehe Abbildung 1). Der Name des Interface enthält nach dem Text »cip« ein Kürzel für die Protokollversion (»c« steht für Version 3) und den Verschlüsselungsalgorithmus (im Beispiel »b« für Blowfish); der Algorithmus wird bereits beim Übersetzen des Moduls festgelegt.
Die Cipe-Interfaces verhalten sich wie normale Netzwerkdevices, sie tauchen unter anderem als Hostrouten in der Routingtabelle auf. Damit ist es auch möglich, zusätzliche Routen über dieses Interface mit Hilfe von »/etc/cipe/ip-up« einzutragen oder Firewall-Regeln darauf anzuwenden.
Das Netzwerk-Analysewerkzeug Ethereal eignet sich gut, um den verschlüsselten UDP-Traffic zu beobachten. Abbildung 2 zeigt einen Ping mit Antwort; die beiden Rechner stehen an verschiedenen Enden des VPN-Tunnels. Auf das »cipcb0«-Interface angewendet, würde das Tool die Pakete im Klartext anzeigen.
Im Userspace läuft der Hintergrunddienst »ciped«. Dieser Daemon ist mit »pppd« vergleichbar: Er öffnet und schließt das Netzwerkinterface und beachtet dabei die aktuelle Konfiguration.
Flottes VPN
Verschlüsselungsrouter auf Basis von Cipe sind sehr leistungsfähig mit gemessenen Datentransferraten, die nur zwei bis drei Prozent unter denen des unverschlüsselten Verkehrs liegen. Tunnellösungen mit komplexeren Protokollen wie MPPE/PPTP oder PPP über SSH büßen dagegen 15 bis 20 Prozent ein.
UDP als Transportprotokoll vermeidet subtile Interaktionen, die durch mehrere übereinander gestapelte TCP-Layer entstehen. Wenn zwei Flusssteuerungen und Fehlerkorrekturen den Datenstrom bearbeiten, wird das Gesamtergebnis nicht besser[3]. Cipe-Tunnel sind darüber hinaus sehr robust. Sie können durchaus mehrere Wochen durchgehend laufen, wenn sich die IP-Daten der Verbindungsendpunkte nicht ändern.
Diesen Artikel als PDF kaufen
Als digitales Abo
Weitere Produkte im Medialinx Shop »
Versandartikel
Onlineartikel
Dieser Online-Artikel kann Links enthalten, die auf nicht mehr vorhandene Seiten verweisen. Wir ändern solche "broken links"
nur in wenigen Ausnahmefällen. Der Online-Artikel soll möglichst unverändert der gedrucken Fassung entsprechen.
Alle Rezensionen aus dem Linux-Magazin
- Buecher/07 Bücher über 3-D-Programmierung sowie die Sprache Dart
- Buecher/06 Bücher über Map-Reduce und über die Sprache Erlang
- Buecher/05 Bücher über Scala und über Suchmaschinen-Optimierung
- Buecher/04 Bücher über Metasploit sowie über Erlang/OTP
- Buecher/03 Bücher über die LPI-Level-2-Zertifizierung
- Buecher/02 Bücher über Node.js und über nebenläufige Programmierung
- Buecher/01 Bücher über Linux-HA sowie über PHP-Webprogrammierung
- Buecher/12 Bücher über HTML-5-Apps sowie Computer Vision mit Python
- Buecher/11 Bücher über Statistik sowie über C++-Metaprogrammierung
- Buecher/10 Bücher zu PHP-Webbots sowie zur Emacs-Programmierung
Insecurity Bulletin
Im Insecurity Bulletin widmet sich Mark Vogelsberger aktuellen Sicherheitslücken sowie Hintergründen und Security-Grundlagen. mehr...