Cipe ist eine robuste und recht einfach zu benutzende VPN-Technik. Da es IP-Pakete in UDP verpackt, überwindet das Crypto-IP-Encapsulation-Protokoll spielend NAT- und Socks-Geräte.

Cipe, die Crypto IP Encapsulation[1], überträgt IP-Pakete verschlüsselt in UDP-Paketen. Über die UDP-Ports lassen sich mehrere Endpunkte auf einem Host leichter unterscheiden als bei IP-in-IP-Tunneln, es sind keine zusätzlichen Verbindungs-IDs nötig. Aus Sicht der Firewalls, Socks-Proxies und NAT-Geräte (Network Address Translation) handelt es sich um ein gewöhnliches UDP-Protokoll, Cipe kann damit komplett auf der bestehenden IP-Infrastruktur aufsetzen.

Linux und Windows

Die Cipe-Implementierung (GPL-lizenziert) ist für Linux und Windows verfügbar[2]. Für die Linux-Variante ist ein Kernelmodul nötig, das die meisten Distributionen bereits mitliefern. Das Modul ist für das Senden und Empfangen der IP-Pakete zuständig, es legt dazu ein Netzwerk-Device »cipcb*« an (siehe Abbildung 1). Der Name des Interface enthält nach dem Text »cip« ein Kürzel für die Protokollversion (»c« steht für Version 3) und den Verschlüsselungsalgorithmus (im Beispiel »b« für Blowfish); der Algorithmus wird bereits beim Übersetzen des Moduls festgelegt.

Die Cipe-Interfaces verhalten sich wie normale Netzwerkdevices, sie tauchen unter anderem als Hostrouten in der Routingtabelle auf. Damit ist es auch möglich, zusätzliche Routen über dieses Interface mit Hilfe von »/etc/cipe/ip-up« einzutragen oder Firewall-Regeln darauf anzuwenden.

Das Netzwerk-Analysewerkzeug Ethereal eignet sich gut, um den verschlüsselten UDP-Traffic zu beobachten. Abbildung 2 zeigt einen Ping mit Antwort; die beiden Rechner stehen an verschiedenen Enden des VPN-Tunnels. Auf das »cipcb0«-Interface angewendet, würde das Tool die Pakete im Klartext anzeigen.

Im Userspace läuft der Hintergrunddienst »ciped«. Dieser Daemon ist mit »pppd« vergleichbar: Er öffnet und schließt das Netzwerkinterface und beachtet dabei die aktuelle Konfiguration.

Flottes VPN

Verschlüsselungsrouter auf Basis von Cipe sind sehr leistungsfähig mit gemessenen Datentransferraten, die nur zwei bis drei Prozent unter denen des unverschlüsselten Verkehrs liegen. Tunnellösungen mit komplexeren Protokollen wie MPPE/PPTP oder PPP über SSH büßen dagegen 15 bis 20 Prozent ein.

UDP als Transportprotokoll vermeidet subtile Interaktionen, die durch mehrere übereinander gestapelte TCP-Layer entstehen. Wenn zwei Flusssteuerungen und Fehlerkorrekturen den Datenstrom bearbeiten, wird das Gesamtergebnis nicht besser[3]. Cipe-Tunnel sind darüber hinaus sehr robust. Sie können durchaus mehrere Wochen durchgehend laufen, wenn sich die IP-Daten der Verbindungsendpunkte nicht ändern.

Cipe ist eine robuste und recht einfach zu benutzende VPN-Technik. Da es IP-Pakete in UDP verpackt, überwindet das Crypto-IP-Encapsulation-Protokoll spielend NAT- und Socks-Geräte.