From 45e8f22bc6af3334254eb73205bd1746d1f64c37 Mon Sep 17 00:00:00 2001 From: Jan Philipp Timme Date: Sat, 13 Oct 2018 19:11:22 +0200 Subject: [PATCH] Finish the last part --- MA-Inhalt.tex | 37 +++++++++++++++++++++++++++++++------ 1 file changed, 31 insertions(+), 6 deletions(-) diff --git a/MA-Inhalt.tex b/MA-Inhalt.tex index 63d5dee..df38c99 100644 --- a/MA-Inhalt.tex +++ b/MA-Inhalt.tex @@ -212,7 +212,7 @@ Im \enquote{Static Key Mode} wird beiden Prozessen beim Start ein zuvor geteilte Alle kryptografische Operationen zur Verarbeitung des VPN-Datenverkehrs, sowie zur Authentisierung werden nur in OpenVPN durchgeführt, welches diese zu großen Teilen an die ebenfalls quelloffene Bibliothek openssl auslagert \cite[][Abschnitt \enquote{Introduction}]{man:openvpn}. -\subsection{Wireguard} +\subsection{Wireguard} \label{ssct:wireguard} Wireguard ist ein Softwareprojekt, mit dem ein geschützter Netzwerktunnel zwischen zwei Netzwerkteilnehmern aufgebaut werden kann. Aktuell (am 12.10.2018) befindet sich Wireguard noch in Entwicklung, der Quellcode wird noch als experimentell eingestuft\footnote{Vergleich \url{https://www.wireguard.com/install/}}. Wireguard wurde als Kernel-Modul für Linux entwickelt, welches einen Umfang von weniger als 4000 Zeilen Code hat \cite[][Abschnitt VII]{wireguard:intro}, wodurch Audits und Reviews erleichtert werden \cite[][Abschnitt VII]{wireguard:intro}. @@ -806,13 +806,38 @@ Alle für die Installation und den Betrieb notwendigen Anleitungen befinden sich \item IPv6-VPN Serverdokumentation \end{itemize} -Während der Auswahl der VPN-Software hat sich gezeigt, dass OpenVPN eine flexible und - im Vergleich zu IPsec - unkomplizierte und quelloffene VPN-Lösung bietet, die auf allen gängigen Client-Betriebssystemen lauffähig ist. -Dabei +Während des Vergleichs und der Auswahl der VPN-Softwarekandidaten hat sich gezeigt, dass mit OpenVPN eine flexible und - im Vergleich zu IPsec - unkomplizierte und vollständig quelloffene IPv4- und IPv6-VPN-Lösung geboten wird, die auf allen gängigen Client-Betriebssystemen lauffähig ist. +Fortgeschrittene Anwender können zusätzlich die kryptografischen Parameter plattformunabhängig festlegen, mit denen die Kommunikation abgesichert wird. +Die Verwaltung von VPN-Benutzern kann dabei unter anderem über X.509-Public-Key-Zertifikate geschehen, und bietet somit einen fairen Kompromiss aus Flexibilität und Sicherheit. -IPsec ist grundsätzlich nicht schlecht, aber für andere Zwecke vielleicht besser geeignet +Die Installation und Konfiguration des VPN-Dienst konnte ohne Komplikationen durchgeführt werden und erfüllt alle gegebenen Anforderungen. +Da die Konzeption in enger Absprache mit dem IT-Team der Abteilung Informatik stattgefunden hat und alle im IT-Team gängigen Vorgehensweisen berücksichtigt wurden, steht dem langfristigen Betrieb des in dieser Arbeit erschaffenen VPN-Servers und der dazugehörigen VPN-CA nichts im Weg. \section{Ausblick} -Es gibt da noch etwas mit dem schönen Namen Wireguard. Mit gewollt geringer Komplexität und einem aktuellen Umfang von etwa 4000 Zeilen Code ist es eine würdige Alternative zu IPsec und OpenVPN. +Mit der in dieser Arbeit erschaffenen VPN-Lösung ist der Bedarf der Abteilung Informatik an VPN-Diensten erst einmal gedeckt worden. +Allerdings bedeutet die erfolgreiche Inbetriebnahme eines neuen Produktivsystems keinesfalls, dass nun nichts mehr zu tun sei. +Es lohnt sich jederzeit, die Aktualisierung und Weiterentwicklung eines Dienstes im Auge zu behalten. +Als Motivation dafür seien mögliche Gewinne in den Punkten IT-Sicherheit, Effizienz, Benutzerfreundlichkeit oder schlicht ein reduzierter Aufwand bei Wartung und Pflege des Dienstes genannt. -Auch OpenVPN in Version~3 ist schon in der Beta - das könnte man auch im Auge behalten. +\paragraph{Nachfolger OpenVPN~3} +Während für diesen Dienst OpenVPN ab Version~2.4.0 zum Einsatz kommt, befindet sich mit OpenVPN~3\footnote{\url{https://github.com/OpenVPN/openvpn3}} ein Nachfolger in Entwicklung. +Der OpenVPN~3 Linux-Client\footnote{\url{https://github.com/OpenVPN/openvpn3-linux}} verfolgt einen modularen Ansatz, bei dem die verschiedenen Module nur mit unbedingt notwendigen Privilegien ausgestattet werden sollen. +Die Kommunikation zwischen den einzelnen Modulen soll über D-Bus ablaufen\footnote{Siehe \url{https://github.com/OpenVPN/openvpn3-linux/blob/master/README.md}}. +Zum aktuellen Zeitpunkt (13.10.2018) ist OpenVPN~3 noch nicht bereit für den produktiven Einsatz. +Sollte sich das jedoch ändern, könnte im Rahmen einer neuen Arbeit untersucht werden, welche Verbesserungen OpenVPN~3 mit sich bringt, und ob ein Umstieg von OpenVPN~2.4.0 auf OpenVPN~3 lohnenswert ist. + +\paragraph{Alternative Wireguard} +Wie in Abschnitt~\ref{ssct:wireguard} aus Kapitel~\ref{cpt:choosing_vpn_software} dieser Arbeit bereits erwähnt wurde, ist Wireguard zum aktuellen Zeitpunkt (13.10.2018) noch in einem experimentellen Zustand. +Sobald Wireguard für den produktiven Einsatz geeignet ist und Clientsoftware für alle benötigten Betriebssysteme zur Verfügung steht, kann in einer neuen Arbeit untersucht werden, ob die sich die Ablösung des VPN-Dienstes aus dieser Arbeit mit einer neuen Lösung auf Basis von Wireguard lohnt. +Die bisherigen Angaben in Bezug auf Effizienz, Wahl der kryptografischen Parameter und Benutzerfreundlichkeit sprechen nach Meinung des Autors stark dafür, dass ein Umstieg von OpenVPN auf Wireguard vorteilhaft sei. + +Zusätzlich wäre ein weiteres Einsatzszenario denkbar, das durch die hohe Effizienz und die einfachen Konzepte von Wireguard möglich gemacht wird. +Nach Wissen des Autors ist es Studierenden der Abteilung Informatik nur unter besonderen Umständen erlaubt, ihre Privatgeräte - wie zum Beispiel mitgebrachte Laptops - über Ethernet mit dem Netz der Abteilung Informatik zu verbinden. +Bei erteilter Erlaubnis wird die MAC-Adresse des Privatgeräts auf dem DHCP-Server über eine Whitelist freigeschaltet, damit das Privatgerät über DHCP IP-Adressen beziehen kann und sich dadurch mit dem Netz der Abteilung Informatik verbinden kann. + +An dieser Stelle könnte eine Lösung auf Basis von Wireguard ansetzen: Anstatt Zugriffsfreigaben auf Basis von MAC-Adressen zu erteilen, könnte ein mit Wireguard ausgestattetes Gateway so konfiguriert werden, dass nur durch Wireguard authentisierter Datenverkehr in das Netz der Abteilung Informatik weitergeleitet wird. +Als positiver Nebeneffekt werden \enquote{Lauschangriffe} auf Layer~2 durch andere Privatgeräte mit Wireguard durch die Verschlüsselung des Netzwerkverkehrs effektiv verhindert. +Da Wireguard-Teilnehmer durch ihren öffentlichen Schlüssel durch das Gateway eindeutig identifiziert werden können, könnte man zusätzlich untersuchen, ob die Umsetzung unterschiedliche Zugriffsrechte für verschiedene Wireguard-Teilnehmer möglich und sinnvoll ist. + +% End of content \ No newline at end of file