From 0d1292808f09d6459436cfde446476848ae2f2e0 Mon Sep 17 00:00:00 2001 From: Jan Philipp Timme Date: Wed, 5 Sep 2018 11:26:17 +0200 Subject: [PATCH] Add more text to explain why open source software is a better choice --- MA-Inhalt.tex | 16 ++++++++++++---- 1 file changed, 12 insertions(+), 4 deletions(-) diff --git a/MA-Inhalt.tex b/MA-Inhalt.tex index d60e46c..b68ec6d 100644 --- a/MA-Inhalt.tex +++ b/MA-Inhalt.tex @@ -111,9 +111,13 @@ Anhand der Anforderungen~\ref{req:dualstack} bis \ref{req:finance} werden vorhan Aufgrund des finanziellen Rahmens (\ref{req:finance}) kommt nur kostenfreie Software in Frage, deren Serverkomponente mit aktuellem Debian (\ref{req:serveros}) kompatibel ist. Die Clientkomponenten der gesuchten Software müssen unter den aktuellen Betriebsystemen lauffähig sein (\ref{req:clientos}). -Die Vorgabe von vertraulicher und authentisierter Kommunikation zwischen VPN-Client und VPN-Server (\ref{req:traffic}) impliziert, dass die gesuchte Software Algorithmen zum Verschlüsseln und Signieren von Daten verwendet. +Die Vorgabe von vertraulicher und authentisierter Kommunikation zwischen VPN-Client und VPN-Server (\ref{req:traffic}) impliziert, dass in der gesuchten Software Algorithmen zum Verschlüsseln und Signieren von Daten verwendet werden. Deshalb soll Kerckhoffs' Prinzip bei der Wahl der VPN-Software angewendet werden, indem ausschließlich quelloffene Software berücksichtigt wird. +Jedermann kann öffentlich lesbaren Quellcode auf mögliche Sicherheitslücken untersuchen; dadurch erhöht sich die Wahrscheinlichkeit bestehende Sicherheitslücken zu finden. +Außerdem werden gefundene und behobene Sicherheitslücken häufig besser kommuniziert, da alle Änderungen am Quellcode ohnehin sichtbar sind. +Das wirkt sich auch auf Reaktionszeiten der Software-Distributoren aus: Entsprechend aktualisierte Softwarepakete stehen in der Regel zeitnah bereit und können sofort installiert werden. + Weiterhin soll die gesuchte Software IPv4 und IPv6 unterstützen (\ref{req:dualstack}), die Routingtabellen der VPN-Clients (\ref{req:routing}) anpassen können und in Bezug auf Protokollierung (\ref{req:logging}) konfigurierbar sein. @@ -166,11 +170,11 @@ Für lokal ausgeführte Programme ist der Einsatz von IPsec transparent. \subsection{OpenVPN} \label{ssct:openvpn} -OpenVPN\cite[][]{man:openvpn} ist eine quelloffene Software zur Einrichtung von VPNs in Peer-to-Peer oder Client-Server-Architektur. +OpenVPN ist eine quelloffene Software zur Einrichtung von VPNs in Peer-to-Peer oder Client-Server-Architektur\cite[][Abschnitt \enquote{Server Mode}]{man:openvpn}. Sie ist unter den in \ref{req:serveros} und \ref{req:clientos} genannten Betriebsystemen lauffähig und wird unter der GPLv2-Lizenz verbreitet. -OpenVPN läuft vollständig im Benutzerkontext und unterstützt den Wechsel zu einem nicht-privilegierten Benutzer\cite[Siehe][\texttt{--user}]{man:openvpn}. +OpenVPN läuft vollständig im Benutzerkontext und unterstützt nach dem Programmstart den Wechsel in einen nicht-privilegierten Benutzerkontext\cite[Siehe][\texttt{--user}]{man:openvpn}. Für die Bereitstellung einer virtuellen Netzwerkkarte als Schnittstelle zum VPN wird ein TUN/TAP-Treiber verwendet. -Kryptografische Operationen lagert OpenVPN zu großen Teilen an die quelloffene Bibliothek openssl aus\cite[][]{man:openvpn}. +Kryptografische Operationen werden nur in OpenVPN durchgeführt, welches diese zu großen Teilen an die quelloffene Bibliothek openssl auslagert\cite[][Abschnitt \enquote{Introduction}]{man:openvpn}. \section{Auswahl einer VPN-Software} @@ -178,6 +182,10 @@ Vorzüge von OpenVPN und IPsec im Vergleich. Begründung der Auswahl. +Sowohl Strongswan als auch OpenVPN sind vollständig quelloffen. +Da jedoch der Datenverkehr bei IPsec durch den Betriebsystemkernel verarbeitet wird, und dessen Quellcode bei Betriebsystemen von Microsoft oder Apple nicht zur Verfügung steht, scheidet Strongswan als Kandidat aus. + + \section{Konzipierung der Benutzerverwaltung} Anforderungen: * Soll möglichst "einfach" sein