Add more text to explain why open source software is a better choice

This commit is contained in:
Jan Philipp Timme 2018-09-05 11:26:17 +02:00
parent abf131240c
commit 0d1292808f
1 changed files with 12 additions and 4 deletions

View File

@ -111,9 +111,13 @@ Anhand der Anforderungen~\ref{req:dualstack} bis \ref{req:finance} werden vorhan
Aufgrund des finanziellen Rahmens (\ref{req:finance}) kommt nur kostenfreie Software in Frage, deren Serverkomponente mit aktuellem Debian (\ref{req:serveros}) kompatibel ist.
Die Clientkomponenten der gesuchten Software müssen unter den aktuellen Betriebsystemen lauffähig sein (\ref{req:clientos}).
Die Vorgabe von vertraulicher und authentisierter Kommunikation zwischen VPN-Client und VPN-Server (\ref{req:traffic}) impliziert, dass die gesuchte Software Algorithmen zum Verschlüsseln und Signieren von Daten verwendet.
Die Vorgabe von vertraulicher und authentisierter Kommunikation zwischen VPN-Client und VPN-Server (\ref{req:traffic}) impliziert, dass in der gesuchten Software Algorithmen zum Verschlüsseln und Signieren von Daten verwendet werden.
Deshalb soll Kerckhoffs' Prinzip bei der Wahl der VPN-Software angewendet werden, indem ausschließlich
quelloffene Software berücksichtigt wird.
Jedermann kann öffentlich lesbaren Quellcode auf mögliche Sicherheitslücken untersuchen; dadurch erhöht sich die Wahrscheinlichkeit bestehende Sicherheitslücken zu finden.
Außerdem werden gefundene und behobene Sicherheitslücken häufig besser kommuniziert, da alle Änderungen am Quellcode ohnehin sichtbar sind.
Das wirkt sich auch auf Reaktionszeiten der Software-Distributoren aus: Entsprechend aktualisierte Softwarepakete stehen in der Regel zeitnah bereit und können sofort installiert werden.
Weiterhin soll die gesuchte Software IPv4 und IPv6 unterstützen (\ref{req:dualstack}), die Routingtabellen der VPN-Clients (\ref{req:routing}) anpassen können und in Bezug auf Protokollierung (\ref{req:logging}) konfigurierbar sein.
@ -166,11 +170,11 @@ Für lokal ausgeführte Programme ist der Einsatz von IPsec transparent.
\subsection{OpenVPN} \label{ssct:openvpn}
OpenVPN\cite[][]{man:openvpn} ist eine quelloffene Software zur Einrichtung von VPNs in Peer-to-Peer oder Client-Server-Architektur.
OpenVPN ist eine quelloffene Software zur Einrichtung von VPNs in Peer-to-Peer oder Client-Server-Architektur\cite[][Abschnitt \enquote{Server Mode}]{man:openvpn}.
Sie ist unter den in \ref{req:serveros} und \ref{req:clientos} genannten Betriebsystemen lauffähig und wird unter der GPLv2-Lizenz verbreitet.
OpenVPN läuft vollständig im Benutzerkontext und unterstützt den Wechsel zu einem nicht-privilegierten Benutzer\cite[Siehe][\texttt{--user}]{man:openvpn}.
OpenVPN läuft vollständig im Benutzerkontext und unterstützt nach dem Programmstart den Wechsel in einen nicht-privilegierten Benutzerkontext\cite[Siehe][\texttt{--user}]{man:openvpn}.
Für die Bereitstellung einer virtuellen Netzwerkkarte als Schnittstelle zum VPN wird ein TUN/TAP-Treiber verwendet.
Kryptografische Operationen lagert OpenVPN zu großen Teilen an die quelloffene Bibliothek openssl aus\cite[][]{man:openvpn}.
Kryptografische Operationen werden nur in OpenVPN durchgeführt, welches diese zu großen Teilen an die quelloffene Bibliothek openssl auslagert\cite[][Abschnitt \enquote{Introduction}]{man:openvpn}.
\section{Auswahl einer VPN-Software}
@ -178,6 +182,10 @@ Vorzüge von OpenVPN und IPsec im Vergleich.
Begründung der Auswahl.
Sowohl Strongswan als auch OpenVPN sind vollständig quelloffen.
Da jedoch der Datenverkehr bei IPsec durch den Betriebsystemkernel verarbeitet wird, und dessen Quellcode bei Betriebsystemen von Microsoft oder Apple nicht zur Verfügung steht, scheidet Strongswan als Kandidat aus.
\section{Konzipierung der Benutzerverwaltung}
Anforderungen:
* Soll möglichst "einfach" sein