© Andrey Zyk, 123RF.com© Bytemine
Den VPN-Zugang zum Unternehmensnetz einfacher zu machen, das verspricht eine Softappliance von Open VPN Technologies Inc. Die glänzt mit einem einfachen Setup und einem übersichtlichen GUI, kann aber mit den kommerziellen Enterprise-Produkten der Konkurrenz nicht mithalten.
Seit März gibt es auf der Webseite des Open-VPN-Projekts auch ein kommerzielles Produkt: Der Open VPN Access Server (OAS, auf der DELUG-DVD) stammt aus der Feder der Entwickler um Open-VPN-Gründer James "Jim" Yonan, seit Juli gibt es ihn in Version 1.5 [1]. Im Gegensatz zu UTMS-Appliances beschränkt er sich vollständig darauf, den externen Zugang zum Unternehmen zu vereinfachen.
Während das freie Open VPN im Enterprise-Umfeld von Haus aus integrierte Verwaltungsoberflächen vermissen lässt, soll der OAS "Enterprise Features für alle Unternehmensgrößen bis hin zu großen Konzernen" mitbringen [2]. Dementsprechend hoch liegt die Messlatte, auch weil die Konkurrenz namhafter Firewall-Hersteller wie Astaro ([3], [4]) oder Endian ([5], [6]) nicht mit Features geizt. Auch freie GUIs wie Webmin [7] oder Firewalls wie Ipcop ([8], [9]) bringen bereits integrierte Open-VPN-Module mit.
Den Open VPN Access Server gibt es neben den Images für VMware oder Windows als 32- oder 64-Bit-Installer für vier Distributionen: Red Hat, Centos, Ubuntu und Fedora. Im Testlabor kamen die Images und Ubuntu-Pakete für die OAS-Versionen 1.5.4 und 1.5.5 auf Virtual Box und VMware zum Einsatz, auf der DELUG-DVD findet sich auch die brandneue 1.5.6.
Eine erste Überraschung bereitet dem Admin die Tatsache, dass die virtuelle Appliance auf der vergleichsweise alten Ubuntu-Version 8.04 mit dem Kernel 2.6.24-16 basiert. Leider stellt der Hersteller den OAS auch nicht im Open Virtualization Format (OVF, [10]) zur Verfügung. Da wäre die Hardwarekonfiguration, zum Beispiel die bei einer VPN-Appliance wichtige Anzahl der Netzwerkkarten, in einer zusätzlichen, wenige Kilobyte großen Datei von vornherein festgelegt. Wohl deshalb hat jede virtuelle OAS-Appliance nach dem Start nur eine Netzwerkkarte, die sowohl verschlüsselte als auch Klartextdaten überträgt.
In der Praxis ist es jedoch fast immer ratsam, der virtuellen Appliance zwei Netzwerkinterfaces zu geben: eins fürs vertrauenswürdige, unverschlüsselte Netz und ein externes (untrusted). Das macht zwar das Routing etwas komplexer, weil das Default-Gateway immer auf das externe Interface zeigen muss, aber eine saubere Implementierung ist die Mühe auf jeden Fall wert.
Alle Rezensionen aus dem Linux-Magazin
Im Insecurity Bulletin widmet sich Mark Vogelsberger aktuellen Sicherheitslücken sowie Hintergründen und Security-Grundlagen. mehr...
