This commit is contained in:
Jan Philipp Timme 2018-11-25 18:13:51 +01:00
parent 0ff5c6d9fb
commit 48210e8cb8
1 changed files with 43 additions and 15 deletions

View File

@ -176,12 +176,19 @@ OpenVPN wird zur Umsetzung des VPN-Dienstes gewählt.
\section{Installation und Konfiguration}
\begin{frame}{Mehr \dots}
\subsection{Aspekte der OpenVPN-Konfiguration}
\begin{frame}{Aspekte der OpenVPN-Konfiguration}
\begin{itemize}
\item Fest vorgegebene Kryptografie, um weniger Komplexität und Fehleranfälligkeit zu erhalten
\item Nur korrekte Konfiguration führt zu einer dann auch vertraulichen Sitzung
\item Kontrollkanal und Datenkanal müssen gleichermaßen geschützt werden, um Vertraulichkeit zu gewährleisten
\item OpenVPN-Server gibt Routen für Netze der Abteilung vor
\item OpenVPN unterscheidet Kontrollkanal und Datenkanal
\begin{itemize}
\item Beide sind für Vertraulichkeit gleichermaßen wichtig
\end{itemize}
\item Fest vorgegebene Kryptografie reduziert Fehleranfälligkeit durch Komplexität
\begin{itemize}
\item Nur korrekte Konfiguration führt zu einer VPN-Sitzung
\item Ungeschützte Sitzungen werden ausgeschlossen
\end{itemize}
\end{itemize}
\end{frame}
@ -196,27 +203,48 @@ OpenVPN wird zur Umsetzung des VPN-Dienstes gewählt.
\end{frame}
\section{Fazit/Ausblick}
\section{Abschluss}
\subsection{Fazit}
\begin{frame}{Fazit}
Alle Anforderungen wurden erfolgreich umgesetzt!
\begin{itemize}
\item Neuer IPv6-VPN-Dienst steht und kann benutzt werden
\item Sollte lange genug halten, bis neue Technik kommt
\item Erweiterbarkeit in Hinblick auf lokale Firewall, Routing neuer Netze möglich
\item Bei kaputter Krypto einmal alles austauschen, sollte aber sehr unwahrscheinlich sein.
\item Der neue IPv6-VPN-Dienst kann benutzt werden
\item Problemlose Erweiterbarkeit in Hinblick auf lokale Firewall und Routing neuer Netze
\item Fest vorgegebene Kryptografie verhindert unsichere Sitzungen bei Fehlkonfiguration
\item Gebrochene Kryptografie erfordert neue Konfiguration von VPN-Server und -Clients
\begin{itemize}
\item Wahrscheinlichkeit dafür wird als gering eingestuft
\end{itemize}
\end{itemize}
\end{frame}
\subsection{Ausblick}
\begin{frame}{Ausblick}
\begin{itemize}
\item OpenVPN~3 ist in Entwicklung
\item Mit Wireguard kann man sehr viel Spaß haben
\item OpenVPN~3 befindet sich in Entwicklung
\begin{itemize}
\item Modulare Ansatz in der Softwarearchitektur reduziert Risiken durch Sicherheitslücken
\item Kryptografie auf Basis elliptischer Kurven wird besser unterstützt
\end{itemize}
\item TLS~1.3 kann erprobt werden, sobald VPN-Server und -Clients es unterstützen
\begin{itemize}
\item Vollständiger Umstieg erfordert Unterstützung bei allen verwendeten VPN-Clients
\end{itemize}
\end{itemize}
\dots und dann gibt es noch Wireguard.
\end{frame}
\begin{frame}{Kurzer Überblick zum Schluss: Wireguard}
Noch experimentell, aber klares Design, wenig Code, einfache Benutzung.
Könnte die Zukunft sein. (Mehr dazu als Ausblick hinten dran)
\subsection{Wireguard: VPN-Software der Zukunft?}
\begin{frame}{Wireguard: VPN-Software der Zukunft?}
\begin{itemize}
\item Zur Zeit noch experimentelle Software
\item Implementation umfasst etwa 4000 Zeilen Quellcode als Linux-Kernelmodul
\item Implementationen in Go und Rust können auf anderen Betriebssystemen benutzt werden
\item Kryptografie im Quellcode fest vorgeschrieben
\item Unkomplizierte Administration
\item Effiziente Verarbeitung von VPN-Verkehr liefert hohen Datendurchsatz
\end{itemize}
\end{frame}
% The end.