Open Source im professionellen Einsatz
Linux-Magazin 04/2008
© enruta, Fotolia

© enruta, Fotolia

MSM-VPN-Appliance: Virtuelle private Netze mit IPsec, PKI und Smartcards

Abschirmdienst

Die kleine thüringische Firma MSM-Net will mit ihrer VPN-Appliance die Großen im Geschäft das Fürchten lehren. Die klug kombinierten Standardkomponenten haben es zumindest geschafft, die Techniker der Bundeswehr zu überzeugen. Was in dem 19-Zoll-Gerät steckt und was seine Software leistet, zeigt der Test.

883

Vielfach verkommt Verschlüsselung zur Nebensache. Firmen schicken ihre wertvollen Daten zwar durch kryptographisch stark geschützte IPsec-Tunnel, diese enden aber nicht an speziellen VPN-Routern, sondern an Alleskönnern, die Firewalling, Spam- und Virenschutz, Proxy und so nebenbei auch virtuelle private Netze implementieren. Das spart zwar Kosten, die Angriffsfläche ist aber entsprechend groß und das Risiko eines Einbruchs auch.

Nur noch wenige Profiprodukte nehmen Verschlüsselung wirklich ernst. Viele davon zielen eher auf Militärs und Behörden, etwa Thales [2] oder Secunet [3]. Deren Geräte sind für den zivilen Einsatz, wenn überhaupt, nur nach längerer Lieferzeit verfügbar und erfüllen oft nicht die Anforderungen von Unternehmen. Diese Lücke will das Ingenieurbüro Meißner mit seinem VPN-Router füllen [1]. Die Appliance hat eine Zulassung der Bundeswehr für den Geheimhaltungsgrad VS-NfD (Verschlusssache nur für den Dienstgebrauch, siehe Kasten "Verschlusssache") und konzentriert sich auf eine Aufgabe: VPN. Die Benutzerführung und Konfiguration ähnelt dem inzwischen eingestellten Cisco VPN 3000 Konzentrator [4], wobei das MSM-Produkt sogar mit einer Smartcard-Integration aufwartet.

Verschlusssache

Um Daten angemessen zu schützen, klassifizieren Staaten ihre Informationen und Dokumente in Geheimhaltungsstufen [5]. Weniger kritische Daten brauchen weniger aufwändigen Schutz als Informationen, die in den falschen Händen den Fortbestand eines Landes gefährden könnten. Deutschland verwendet vier Stufen mit steigendem Schutzbedarf:

  • VS-NfD, Verschlusssache nur für den Dienstgebrauch
  • VS-Vertraulich
  • Geheim
  • Streng geheim

Die Industrie betrachtet diesen Ansatz traditionell eher argwöhnisch, weil er aufwändig und wenig effektiv scheint.

Der Trend in der Informationssicherheit wendet sich aber. Neue datenzentrierte Technologien setzen voraus, dass sich der Besitzer über den Wert einzelner Daten im Klaren ist und am Ende sogar auf unnötigen Sicherheitsballast verzichten kann [5].

Die Testappliance sendete der Hersteller mit der Post - was laut dessen Auskunft eine Ausnahme darstellt. Üblicherweise liefert MSM-Net jedes Gerät selbst an den Kunden und verhindert damit Modifikationen der Hardware beim Transport, die das System und die Vertraulichkeit der Daten kompromittieren könnten. Außerdem versieht MSM das Gehäuse mit einem Klebesiegel (Zweckform 6112) und einer Plombe.

MSM-VPN-Router


Produkt: VPN-Router des Ingenieurbüros Meißner, MSM-Net [1]

Getestete Version: Maxi-VPN-Router im 19-Zoll-Gehäuse, eine Höheneinheit

Basis: Linux-Kernel 2.6.15 mit Strongswan 2.6.2 [10], basiert auf keiner Distribution

Besonderheiten: Eingebaute CA, Smartcard-Leser mit eigener Verwaltungssoftware

Funktionen: VPN-Appliance (IPsec, L2TP und PPTP) mit PKI-Funktion und Smartcard-Unterstützung

Varianten und Preise: Erhältlich ist das Gerät in drei Ausführungen. Der Mini-VPN-Router ist für 600-KBit/s-Verbindungen ausgelegt und kostet gut 700 Euro. Die Midi-Variante geht bis 60 MBit/s für 2500 Euro und der getestete Maxi-Router leistet bis zu 200 MBit/s für 3800 Euro.

Dokumentation

Vorbildlich fällt auch die Dokumentation aus. Dem MSM-VPN-Router liegen fünf Ringbücher bei, darunter technische Spezifikationen, Konfigurationsbeispiele und Performancetests. Die meisten Bücher führen zuverlässig und mit vielen Screenshots in die Konfiguration und den Gebrauch des Geräts ein.

Kritik verdienen einzig die Performancetests. Die hat der Hersteller zwar auf professionellen Geräten der Firma Ixia [7] ermittelt. Demnach erreicht das getestete Modell etwa 95 MBit/s. Leider sind diese Werte wenig aussagekräftig, da nicht einmal angegeben ist, welcher Verschlüsselungsalgorithmus zum Zuge kam. Außerdem dauerte jede Messung nur 90 Sekunden - viel zu kurz, um die Leistungsfähigkeit auch für den Dauereinsatz zuverlässig zu bewerten.

Gerade bei VPN-Konzentratoren ändert sich der Durchsatz mit dem Umfang der IP-Pakete. Große Pakete kommen in der Praxis selten vor, erzielen dank geringerem Overhead aber bessere Werte. Zudem kommt die Lebenszeit von Session Keys ins Spiel: Das Re-Keying, also der erneute Schlüsselaustausch während einer bestehenden Verbindung, erzeugt Overhead und Last auf dem VPN-Konzentrator, allerdings meist erst nach acht Stunden (Default-Timeout).

Auch die Schlüssel-Agilität [8] hat Folgen: Jede Verbindung nutzt einen eigenen Session Key. Das Umschalten zwischen diesen Keys wirkt sich besonders auf Hardware-Implementierungen aus, da das Schlüsselmaterial bei jedem Umschalten neu in die Register gelangen muss. Derzeit setzt das MSM-VPN-Gateway zwar noch auf Intel-Prozessoren und Softwarekryptographie, künftig will der Hersteller aber VIA-C7-Prozessoren einsetzen. Deren Padlock Security Engine besitzt ein AES-Modul, das die Verschlüsselung in Hardware erledigt [9]. Praktisch an dieser Prozessorfamilie ist auch ihr geringer Stromverbrauch.

Weboberfläche

Wer sich mit VPNs auskennt und weiß, was er will, wird die Handbücher nur im Ausnahmefall benötigen und sich im schmucklosen, aber funktionalen und flotten Web-GUI schnell zurechtfinden. Es ist nach dem Einschalten über das interne Interface per HTTPS auf einer vorkonfigurierten IP-Adresse erreichbar. Die Adresse steht in der Dokumentation zusammen mit dem Admin-Usernamen und dessen Default-Passwort.

Gut ist, dass die Software beim ersten Login dazu zwingt, das Passwort zu ändern. Schlecht dagegen, dass der Appliance-Eigner das Zertifikat des Admin-Webservers nicht austauschen kann. Das selbstsignierte X.509-Zertifikat ist auf den Hostnamen »*« ausgestellt und bis ins Jahr 2024 gültig. Zu allem Überfluss ist dieses Zertifikat nach Herstellerangaben auf allen ausgelieferten Geräten identisch, Gleiches gilt natürlich für den zugehörenden privaten Schlüssel.

Durch diesen Patzer ist es möglich, dass ein interner Angreifer die HTTPS-Verbindung des Admins knackt. Er muss sich nur den privaten Key von einer anderen Appliance verschaffen. Die Lösung wäre simpel: Jede Appliance braucht initial ein eigenes Zertifikat, das der Admin auch durch ein anderes ersetzen kann. Auf unseren Hinweis versichert MSM, in der nächsten Version das Web-Zertifikat in die CA-Verwaltung zu integrieren.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 5 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

Linux-Magazin kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Brandschutz im Tunnel

    Wer eine Firewall mit VPN-Gateway-Funktion schützend vor sein Netz schalten will, kann aus einer Vielzahl von Security-Appliances wählen. Das Linux-Magazin hat zwei Vertreter dieser Gattung näher unter die Lupe genommen: Beide stecken in handlichen Gehäusen und lassen sich per Weboberfläche verwalten.

  • Offenes Grün

    Die Südtiroler Firma Endian stattet ihre grasgrün lackierte Firewall-Appliance mit allerlei Sicherheitstechniken aus. Wie gut sie sich in der Praxis bewähren, zeigt dieser Test.

  • In eigener Sache: Harte Schale, weicher Kern - Appliance-Bundle präsentiert Testberichte

    Das Bundle richtet sich an Einkäufer und Entscheider, die sich mit dem Gedanken einer Hardware-Anschaffung mit daran gekoppelter Software tragen (Hardware-Appliance). Hardware-Interessierte kommen natürlich sowieso zum Zug. Zur Debatte stehen Security-Appliances von Greenbone, Secxtreme und Palo Alto Networks, dazu kommt ein Mini-Server mit E-Box-Linux. Außerdem stehen der Linux-basierte Modem-Router-Switch Moros mit OpenVPN und das Maemo-Smartphone N900 von Nokia auf der Bühne, der Pionier der Linux-Handys.

  • Software-Appliance von Red Hat speichert unstrukturierte Daten

    Red Hat nimmt eine Storage-Software-Appliance zur Verwaltung unstrukturierter Daten ins Produktportfolio auf.

  • Astaro startet Beta-Programm für Version 8.100

    Der Fokus des neuen Security Gateway liegt auf der Integration von Wireless-Netzwerken.

comments powered by Disqus

Ausgabe 11/2017

Digitale Ausgabe: Preis € 6,40
(inkl. 19% MwSt.)

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.