Fix bad usage of \cite
This commit is contained in:
parent
3e0a24e483
commit
3525e808e9
|
|
@ -122,9 +122,9 @@ Ausgangspunkt für die Suche nach passender VPN-Software ist die Wahl der Server
|
|||
Deshalb sind die Debian-Paketquellen die erste Anlaufstelle für die Suche.
|
||||
Durch die Nutzung der Paketquellen ist das Installieren von Sicherheitsaktualisierungen über den Debian-Paketmanager möglich.
|
||||
Arbeitsschritte wie das Patchen und Kompilieren des Quellcodes, sowie Tests und das Paketieren der Software werden von den Verwaltern der Debian-Pakete ausgeführt.
|
||||
Die Authentizität der Pakete wird anhand von GPG-Signaturen durch den Paketmanager vor der Installation überprüft\cite{book:debian}[Siehe Kapitel 6.5].
|
||||
Die Authentizität der Pakete wird anhand von GPG-Signaturen durch den Paketmanager vor der Installation überprüft\cite[][Kapitel 6.5]{book:debian}.
|
||||
|
||||
Um den Wartungsaufwand des VPN-Servers zu reduzieren, kann die Installation von Updates durch den Debian-Paketmanager automatisiert werden\cite{book:debian}[Siehe Kapitel 6.7 und 6.8].
|
||||
Um den Wartungsaufwand des VPN-Servers zu reduzieren, kann die Installation von Updates durch den Debian-Paketmanager automatisiert werden\cite[][Kapitel 6.7 und 6.8]{book:debian}.
|
||||
Somit muss der Systemadministrator lediglich Upgrades zur nächsthöheren Debian-Version durchführen, da dabei Anpassungen an der Systemkonfiguration notwendig werden.
|
||||
|
||||
Im Folgenden werden mögliche Software-Kandidaten aus den Debian-Paketquellen vorgestellt.
|
||||
|
|
@ -136,20 +136,20 @@ Sie kann verwendet werden, um in Kombination mit IPsec-fähigen Betriebsystem-Ke
|
|||
Strongswan wird unter der Lizenz GPLv2 verbreitet\footnote{\url{https://wiki.strongswan.org/projects/strongswan/wiki/Contributions},\\ zuletzt abgerufen am 04.09.2018}.
|
||||
|
||||
IPsec ist ein Internetstandard, der kryptografische Sicherheit für IPv4 und IPv6 (sowie darüber übertragenen Daten) bieten soll.
|
||||
Das beinhaltet unter anderem Vertraulichkeit übertragener Daten durch den Einsatz von Verschlüsselung, Authentisierung von Paketen durch Prüfung von Prüfsummen, und Schutz vor Replay-Angriffen\cite{RFC4301}[Vergleich Kapitel 2.1].
|
||||
Das beinhaltet unter anderem Vertraulichkeit übertragener Daten durch den Einsatz von Verschlüsselung, Authentisierung von Paketen durch Prüfung von Prüfsummen, und Schutz vor Replay-Angriffen\cite[Vergleich][Kapitel 2.1]{RFC4301}.
|
||||
Mit IPsec können Richtlinien definiert werden, ob und wie Datenverkehr von einem Host zu einem anderen Host geschützt werden soll.
|
||||
Zum Schutz des Datenverkehrs können die Protokolle AH und ESP benutzt werden, die in den folgenden Absätzen kurz vorgestellt werden.
|
||||
|
||||
Das Protokoll \enquote{IP Authentication Header} (AH) ist in \cite{RFC4302} definiert und ermöglicht den Versand von authentisierbaren Paketen an eine Gegenstelle.
|
||||
Das Protokoll \enquote{IP Authentication Header} (AH) ist in \cite[][]{RFC4302} definiert und ermöglicht den Versand von authentisierbaren Paketen an eine Gegenstelle.
|
||||
Vor dem Versand wird über den Inhalt und einige Felder des IP-Pakets eine Prüfsumme gebildet.
|
||||
Die Gegenstelle kann nun die Prüfsumme des empfangenen Pakets berechnen und mit der im Paket enthaltenen Prüfsumme abgleichen\cite{RFC4302}[Siehe Kapitel 3.3.3].
|
||||
Die Funktion zur Berechnung der Prüfsumme wird nicht explizit definiert und kann daher anhand der zur Zeit aktuellen Vorgaben\cite{RFC8221}[in diesem Dokument definiert] gewählt werden.
|
||||
Die Gegenstelle kann nun die Prüfsumme des empfangenen Pakets berechnen und mit der im Paket enthaltenen Prüfsumme abgleichen\cite[Siehe][Kapitel 3.3.3]{RFC4302}.
|
||||
Die Funktion zur Berechnung der Prüfsumme wird nicht explizit definiert und kann daher anhand der zur Zeit aktuellen Vorgaben\cite[definiert in][]{RFC8221} gewählt werden.
|
||||
Je nach gewählter Funktion fließen gemeinsame Geheimnisse oder Signaturalgorithmen in die Berechnung der Prüfsumme ein, sodass eine korrekte Prüfsumme ein Paket wirklich authentisieren kann.
|
||||
Eine Verschlüsselung der Paketinhalte ist im AH-Protokoll nicht vorgesehen.
|
||||
|
||||
Das Protokoll \enquote{IP Encapsulating Security Payload} (ESP) ist in \cite{RFC4303} definiert und ermöglicht den Versand von Paketen mit vertraulichen Inhalten an eine Gegenstelle.
|
||||
Ähnlich wie bei dem AH-Protokoll ist auch im ESP-Protokoll die Authentisierung von Paketen mit einer Prüfsumme vorgesehen\cite{RFC4303}[Siehe Kapitel 2.8].
|
||||
Aktuell empfohlene Algorithmen zum Berechnen der Prüfsumme oder zum Verschlüsseln der Paketinhalte sind \cite{RFC8221}[hier] aufgeführt.
|
||||
Das Protokoll \enquote{IP Encapsulating Security Payload} (ESP) ist in \cite[][]{RFC4303} definiert und ermöglicht den Versand von Paketen mit vertraulichen Inhalten an eine Gegenstelle.
|
||||
Ähnlich wie bei dem AH-Protokoll ist auch im ESP-Protokoll die Authentisierung von Paketen mit einer Prüfsumme vorgesehen\cite[][Siehe Kapitel 2.8]{RFC4303}.
|
||||
Aktuell empfohlene Algorithmen zum Berechnen der Prüfsumme oder zum Verschlüsseln der Paketinhalte sind in \cite[][]{RFC8221} aufgeführt.
|
||||
|
||||
IPsec definiert zwei Betriebsvarianten: Den Transportmodus und den Tunnelmodus.
|
||||
Im Transportmodus werden die Inhalte von IP-Paketen in AH- bzw. ESP-Pakete gekapselt.
|
||||
|
|
@ -159,18 +159,18 @@ Im Tunnelmodus werden die IP-Paketen selbst in AH- bzw. ESP-Pakete gekapselt.
|
|||
Im Anschluss werden die AH- bzw. ESP-Pakete dann in neue IP-Pakete gekapselt, deren Sender- und Empfängeradressen sich von denen des inneren IP-Paketes unterscheiden dürfen.
|
||||
Somit ist der Tunnelmodus im Prinzip für die Umsetzung eines VPN geeignet.
|
||||
|
||||
Strongswan implementiert das Protokoll IKEv2\footnote{Internet Key Exchange Protokoll Version 2, definiert in \cite{RFC7296}} und kann darüber authentisiert und verschlüsselt mit Gegenstellen kommunizieren.
|
||||
Strongswan implementiert das Protokoll IKEv2\footnote{Internet Key Exchange Protokoll Version 2, definiert in \cite[][]{RFC7296}} und kann darüber authentisiert und verschlüsselt mit Gegenstellen kommunizieren.
|
||||
Dabei werden mit der Gegenstelle Schlüssel- und Konfigurationsparameter ausgehandelt beziehungsweise ausgetauscht, anhand derer Strongswan IPsec-Verbindungen im Kernel des Host-Betriebsystems konfigurieren kann.
|
||||
Die Verarbeitung des durch IPsec geschützten Da\-ten\-ver\-kehrs über die Protokolle AH oder ESP wird jedoch direkt im IPsec-Stack des Kernels abgewickelt.
|
||||
Für lokal ausgeführte Programme ist der Einsatz von IPsec transparent.
|
||||
|
||||
|
||||
\subsection{OpenVPN} \label{ssct:openvpn}
|
||||
OpenVPN\cite{man:openvpn} ist eine quelloffene Software zur Einrichtung von VPNs in einer Client-Server-Architektur, die unter der GPLv2-Lizenz verbreitet wird.
|
||||
OpenVPN\cite[][]{man:openvpn} ist eine quelloffene Software zur Einrichtung von VPNs in einer Client-Server-Architektur, die unter der GPLv2-Lizenz verbreitet wird.
|
||||
Sie ist unter den in \ref{req:serveros} und \ref{req:clientos} genannten Betriebsystemen lauffähig.
|
||||
Nach der Start läuft OpenVPN vollständig im Benutzerkontext.
|
||||
OpenVPN läuft vollständig im Benutzerkontext und unterstützt den Wechsel zu einem nicht-privilegierten Benutzer\cite[Siehe][\texttt{--user}]{man:openvpn}.
|
||||
Für die Bereitstellung einer virtuellen Netzwerkkarte als Schnittstelle zum VPN wird ein TUN/TAP-Treiber verwendet.
|
||||
Kryptografische Operationen lagert OpenVPN zu großen Teilen an die quelloffene Bibliothek openssl aus\cite{man:openvpn}.
|
||||
Kryptografische Operationen lagert OpenVPN zu großen Teilen an die quelloffene Bibliothek openssl aus\cite[][]{man:openvpn}.
|
||||
|
||||
|
||||
|
||||
|
|
|
|||
Loading…
Reference in New Issue