SNAT
Das virtuelle Interface hatte noch einen weiteren wichtigen Vorteil: Die Firewall konnte die unverschlüsselten Pakete, bevor sie sie durch den Tunnel schickte, mit Source-NAT behandeln. Hierzu genügte folgende Regel:
iptables -t nat -A POSTROUTING -o ipsec0 -j MASQUERADE
SNAT ist etwa nötig, wenn der Tunnel nur die IP-Adresse des VPN-Clients zulässt, aber weitere Rechner hinter dem Client das VPN nutzen sollen. Ein weiteres Einsatzszenario ist ein VPN, das zwei Netzwerke mit identischen privaten Adressen verbindet. Dann ist sogar ein NAT in beiden Richtungen nötig (Twice-NAT). Mit dem Kernel 2.6 klappte dies zunächst nicht, da die Pakete beim Erreichen der NAT-Postrouting-Kette bereits verschlüsselt sind (Abbildung 3).
|
Abbildung 3: Da der Linux-Kernel 2.6 die IPsec-Pakete bereits vor der Postrouting-Kette verschlüsselt, scheitert das oft nötige Source-NAT. Erst neue Kernelpatches umgehen diese Hürde.
|
Patrick McHardy hat aber einige Patches geschrieben [2], die unter anderem dafür sorgen, dass Pakete die Postrouting-Kette zweimal durchlaufen. Zunächst wandert das Klartextpaket durch alle Ketten. Anschließend durchläuft es verschlüsselt die IPtables-Ketten, als sei es ein lokal erzeugtes Paket. Es beginnt mit den Output-Chains und betritt dann Postrouting.
So kann NAT sowohl das Klartextpaket vor seiner Verschlüsselung als auch das verschlüsselte Paket in den Postrouting-Ketten behandeln. SNAT ist nun möglich. Diese Patches waren bis vor kurzem noch nicht funktionstüchtig, aber seit Linux-Kernel 2.6.16 sind sie fester und funktionierender Bestandteil. Ein Patch ist nicht mehr erforderlich. Einige Distributionen (etwa Fedora Core 5) haben diese Patches auch schon in den Distributions-Kernel 2.6.15 eingebaut. Folgende einfache Regel maskiert Pakete, die durch einen IPsec-Tunnel wandern:
iptables -t nat -A POSTROUTING -p tcp -m policy --dir out -j MASQUERADE
Durch diese neue Entwicklung gibt es nun keinen objektiven Grund mehr, das Upgrade eines VPN-Gateway von Kernel 2.4 auf Kernel 2.6 zu fürchten. Natürlich ist eine Anpassung der Firewallregeln erforderlich. Der Lohn für diese Mühe sind viele weitere Vorteile des Kernels 2.6 auf der Firewall. Sicherheitslösungen wie App Armor oder SE Linux stehen nur für den Kernel 2.6 zur Verfügung.
Zukunftsträchtig
Auf lange Sicht werden sicherlich auch Anbieter von Linux-VPN- und Firewall-Lösungen den Wechsel auf Kernel 2.6 vollziehen. Bisher war das Fehlen der virtuellen »ipsecX«-Netzwerkkarten häufig ein K.-o.-Kriterium. Das Policy-Match ersetzt zusammen mit den McHardy-Modifikationen die alte Architektur aber vollständig und erweitert sogar die Einflussmöglichkeiten der Firewall. (fjl)
|
[1] Ralf Spenneberg, "Sicherer Transport - Virtuelle Private Netze mit Linux 2.6 und IPsec": Linux-Magazin 05/03, S. 60
[2] Netfilter: [http://www.netfilter.org]
[3] Freeswan: [http://www.freeswan.org]
[4] Openswan: [http://www.openswan.org]
[5] Strongswan: [http://www.strongswan.org]
[6] Ralf Spenneberg, "Linux Firewalls mit IPtables": Addison Wesley 2006
[7] Michael Becker und Sebastian Claßen, "Firewalling bei IPsec-Einsatz unter Kernel 2.6": Linux-Magazin 12/04, S. 34
|
|
Ralf Spenneberg arbeitet als freier Unix/Linux-Trainer, Berater und Autor. Er veröffentlicht Bücher zu den Themen Intrusion Detection und Virtuelle Private Netzwerke. Vor wenigen Wochen ist sein neues Werk "Linux Firewalls mit IPtables & Co" erschienen.
|
| Whitepaper |
|---|
|
Usage Landscape Enterprise Open Source Data Integration
Die Nachfrage nach Datenintegrationslösungen für Unternehmen ist zunehmend gestiegen und vor allem das Interesse an Open Source Technologien wird immer größer. Doch wie und von wem werden Open Source Datenintegrationslösungen genutzt und welches Nutzungsverhalten lässt sich daraus ableiten? Das vorliegende White Paper präsentiert die Erfahrungswerte von über 1000 Open Source Nutzern und liefert fundierte Antworten auf diese Fragen.
Download PDF (Registrierung erforderlich)
|
|
Daten Migration - Eine Publikation von Bloor Research
Datenmigrationsprojekte überschreiten häufig das Budget, neigen zu Verzögerung und werden unter Umständen komplett abgebrochen. Bloor Research ist eines der weltweit führenden IT-Forschungs-, Analyse- und Beratungsunternehmen und wird in dem vorliegenden White Paper die wichtigsten Aspekte dieser Problematik näher beleuchten. Ferner werden praktische Empfehlungen für erfolgreiche Migrationsprojekte gegeben, die Sie auf Ihr nächstes Projekt übertragen können.
Download PDF (Registrierung erforderlich)
|
Dieser Online-Artikel kann Links enthalten, die auf nicht mehr vorhandene Seiten verweisen. Wir ändern solche "broken links"
nur in wenigen Ausnahmefällen. Der Online-Artikel soll möglichst unverändert der gedrucken Fassung entsprechen.
|
