Open Source im professionellen Einsatz
Linux-Magazin 12/2010
© Wutthichai Piyaphantawong, 123RF.com

© Wutthichai Piyaphantawong, 123RF.com

Hochsichere VPNs mit Strongswan, Zertifikaten und Smartcards

Stahlnetz

Ipsec gilt für viele als der Standard unter den VPN-Technologien. Wer dabei ganz auf Nummer sicher gehen will, speichert seine Zugangsberechtigung in Form von X.509-Zertifikaten auf verschlüsselten Tokens oder USB-Sticks. Wie das geht, zeigt dieser Artikel am Beispiel von Strongswan.

337

Wo früher dedizierte Telefonleitungen für den sicheren Remote-Zugriff sorgten, brauchen Admins heute ausgefuchste Sicherheitstechnologien: VPNs - virtuelle private Netze - bauen sichere Verbindungen über unsichere Transfernetze auf. Statt teurer Einwahlverbindungen nutzen Administratoren das Internet, um Filialnetze und Telearbeitsplätze kostengünstig mit dem zentralen Unternehmensnetz zu verbinden.

Industriestandard IPsec

Wer heute sichere VPNs bauen will, kommt am Industriestandard des IP Security Protocol (IPsec, [1]) nicht vorbei. Zwar haben verschiedene Hersteller andere, meist proprietäre Lösungen für den Aufbau von VPNs entwickelt, doch diese Produkte funktionieren oft nicht auf allen Betriebssystemen oder nur mit bestimmten Softwarepaketen. Mit IPsec setzt der Administrator dagegen eine Protokollfamilie ein, die fast alle Hersteller unterstützen und für die sie auch Software anbieten.

Sicherlich muss ein Administrator auch bei IPsec Probleme in heterogenen Netzen lösen, jedoch lassen sich, entsprechende Erfahrungen vorausgesetzt [2], auch VPNs zwischen den Geräten beliebiger Hersteller aufbauen. IPsec unterstützt verschiedenste Authentifizierungsverfahren - zu den typischen und sichersten Methoden gehören Zertifikate, deren private Schlüssel auf sicheren Smartcards oder USB-Token liegen.

Volle Auswahl

Unter Linux stehen mit Openswan [3], Strongswan [4] und den Ipsec-tools [6] mehrere, recht unterschiedliche Implementierungen bereit. Wie jedes typische VPN übernehmen sie drei Aufgaben:

  • Die Authentifizierung der Kommunikationspartner
  • Die Verschlüsselung der übertragenen Daten
  • Den Schutz vor Modifikationen mit der eingebauten
    Integritätsprüfung

Die letzte dieser Aufgaben implementiert die IPsec-Protokollfamilie mit mehreren Protokollen:

  • ESP (Encapsulated Security Payload)
  • AH (Authentication Header)
  • IKE (Internet Key Exchange)

Das AH-Protokoll garantiert lediglich die Authentizität und Integrität der Daten. Es verschlüsselt die Daten nicht und sorgt auch nicht für ihre Vertraulichkeit. ESP dagegen bietet alle drei Funktionen. Daher nutzen moderne VPNs meist nur noch dieses Protokoll.

Sowohl ESP als auch AH benötigen für ihre Funktion Schlüssel, die der Admin manuell spezifizieren kann. Besser ist es jedoch, wenn die Software diese regelmäßig wechselt. Allerdings müssen dann die Kommunikationspartner die Schlüssel für ESP und AH automatisch aushandeln, und genau darum kümmert sich IKE, das Internet Key Exchange Protocol [6].

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 4 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

Linux-Magazin kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Schlüsseldienste

    Modern und sicher: Leicht handhabbare PKCS-Zertifikate auf Cryptocards und Tokens schützen VPNs mit IPsec oder Open VPN. Selbst Hardware kann frei sein, zeigt ein USB-Token. Die Rootzone führt endlich DNSSEC ein, und das ambitionierte Cacert-Projekt steckt seit fünf Jahren in der Aufbruchphase fest.

  • Magisches Leuchten

    Open-Source-Hardware ist keine Spielerei, das zeigt ein USB-Stick der German Privacy Foundation. Auf dem können bis zu drei Benutzer ihre GPG-Schlüssel, RSA- und PKCS#11-Zertifikate hinterlegen und sich mit Linux und Windows für E-Mails, Browser oder SSH authentifizieren.

  • StrongSwan mit fehlerhaftem Plugin
  • Standard-Tunnel

    IPsec ist der De-facto-Standard für den Aufbau virtueller privater Netze (VPNs). Freeswan integriert dieses Sicherheitsprotokoll in den Linux-Kernel und unterstützt dabei sogar die opportunistische Verschlüsselung. Installation und Konfiguration sind jedoch nicht trivial.

  • Spendenaufruf: Crypto-Stick-Projekt möchte OpenSC-Integration und braucht noch 400 Euro

    Das Crypto-Stick-Projekt möchte seinen verschlüsselten USB-Stick kompatibel zu dem weit verbreiteten Standard-Framework Open SC machen. Von den dafür notwendigen 900 Euro Spenden für einen externen Entwickler hat man bereits 500 eingesammelt. Das fehlende Geld soll jetzt ein Spendenaufruf bringen.

comments powered by Disqus

Ausgabe 11/2017

Digitale Ausgabe: Preis € 6,40
(inkl. 19% MwSt.)

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.