Add more text to explain why open source software is a better choice
This commit is contained in:
parent
abf131240c
commit
0d1292808f
@ -111,9 +111,13 @@ Anhand der Anforderungen~\ref{req:dualstack} bis \ref{req:finance} werden vorhan
|
||||
Aufgrund des finanziellen Rahmens (\ref{req:finance}) kommt nur kostenfreie Software in Frage, deren Serverkomponente mit aktuellem Debian (\ref{req:serveros}) kompatibel ist.
|
||||
Die Clientkomponenten der gesuchten Software müssen unter den aktuellen Betriebsystemen lauffähig sein (\ref{req:clientos}).
|
||||
|
||||
Die Vorgabe von vertraulicher und authentisierter Kommunikation zwischen VPN-Client und VPN-Server (\ref{req:traffic}) impliziert, dass die gesuchte Software Algorithmen zum Verschlüsseln und Signieren von Daten verwendet.
|
||||
Die Vorgabe von vertraulicher und authentisierter Kommunikation zwischen VPN-Client und VPN-Server (\ref{req:traffic}) impliziert, dass in der gesuchten Software Algorithmen zum Verschlüsseln und Signieren von Daten verwendet werden.
|
||||
Deshalb soll Kerckhoffs' Prinzip bei der Wahl der VPN-Software angewendet werden, indem ausschließlich
|
||||
quelloffene Software berücksichtigt wird.
|
||||
Jedermann kann öffentlich lesbaren Quellcode auf mögliche Sicherheitslücken untersuchen; dadurch erhöht sich die Wahrscheinlichkeit bestehende Sicherheitslücken zu finden.
|
||||
Außerdem werden gefundene und behobene Sicherheitslücken häufig besser kommuniziert, da alle Änderungen am Quellcode ohnehin sichtbar sind.
|
||||
Das wirkt sich auch auf Reaktionszeiten der Software-Distributoren aus: Entsprechend aktualisierte Softwarepakete stehen in der Regel zeitnah bereit und können sofort installiert werden.
|
||||
|
||||
Weiterhin soll die gesuchte Software IPv4 und IPv6 unterstützen (\ref{req:dualstack}), die Routingtabellen der VPN-Clients (\ref{req:routing}) anpassen können und in Bezug auf Protokollierung (\ref{req:logging}) konfigurierbar sein.
|
||||
|
||||
|
||||
@ -166,11 +170,11 @@ Für lokal ausgeführte Programme ist der Einsatz von IPsec transparent.
|
||||
|
||||
|
||||
\subsection{OpenVPN} \label{ssct:openvpn}
|
||||
OpenVPN\cite[][]{man:openvpn} ist eine quelloffene Software zur Einrichtung von VPNs in Peer-to-Peer oder Client-Server-Architektur.
|
||||
OpenVPN ist eine quelloffene Software zur Einrichtung von VPNs in Peer-to-Peer oder Client-Server-Architektur\cite[][Abschnitt \enquote{Server Mode}]{man:openvpn}.
|
||||
Sie ist unter den in \ref{req:serveros} und \ref{req:clientos} genannten Betriebsystemen lauffähig und wird unter der GPLv2-Lizenz verbreitet.
|
||||
OpenVPN läuft vollständig im Benutzerkontext und unterstützt den Wechsel zu einem nicht-privilegierten Benutzer\cite[Siehe][\texttt{--user}]{man:openvpn}.
|
||||
OpenVPN läuft vollständig im Benutzerkontext und unterstützt nach dem Programmstart den Wechsel in einen nicht-privilegierten Benutzerkontext\cite[Siehe][\texttt{--user}]{man:openvpn}.
|
||||
Für die Bereitstellung einer virtuellen Netzwerkkarte als Schnittstelle zum VPN wird ein TUN/TAP-Treiber verwendet.
|
||||
Kryptografische Operationen lagert OpenVPN zu großen Teilen an die quelloffene Bibliothek openssl aus\cite[][]{man:openvpn}.
|
||||
Kryptografische Operationen werden nur in OpenVPN durchgeführt, welches diese zu großen Teilen an die quelloffene Bibliothek openssl auslagert\cite[][Abschnitt \enquote{Introduction}]{man:openvpn}.
|
||||
|
||||
|
||||
\section{Auswahl einer VPN-Software}
|
||||
@ -178,6 +182,10 @@ Vorzüge von OpenVPN und IPsec im Vergleich.
|
||||
Begründung der Auswahl.
|
||||
|
||||
|
||||
Sowohl Strongswan als auch OpenVPN sind vollständig quelloffen.
|
||||
Da jedoch der Datenverkehr bei IPsec durch den Betriebsystemkernel verarbeitet wird, und dessen Quellcode bei Betriebsystemen von Microsoft oder Apple nicht zur Verfügung steht, scheidet Strongswan als Kandidat aus.
|
||||
|
||||
|
||||
\section{Konzipierung der Benutzerverwaltung}
|
||||
Anforderungen:
|
||||
* Soll möglichst "einfach" sein
|
||||
|
Loading…
Reference in New Issue
Block a user