This commit is contained in:
Jan Philipp Timme 2018-09-05 11:48:37 +02:00
parent 0d1292808f
commit 72b54795d0
1 changed files with 17 additions and 0 deletions

View File

@ -181,6 +181,20 @@ Kryptografische Operationen werden nur in OpenVPN durchgeführt, welches diese z
Vorzüge von OpenVPN und IPsec im Vergleich.
Begründung der Auswahl.
IPsec:
Konfiguration der IPsec-Verbindungen findet im Kernel statt, es ist ein zusätzliches IKEv2-Dienstprogramm notwendig, um die Konfigurationsparameter auszuhandeln und Schlüssel auszutauschen.
Die im Kernel konfigurierten Verbindungen sind immer unidirektional, d.h. für den Schutz von Datenverkehr zwischen zwei Rechnern sind auf beiden Rechnern jeweils zwei konfigurierte Verbindungen notwendig.
Bei ggf. entdeckten Sicherheitslücken ergeben sich je nach Betriebsystemkernel unterschiedliche Reaktionszeiten.
Je nach Betriebsystem werden im Kernel ggf. nicht alle laut RFC empfohlenen Cipher gleichermaßen angeboten, dadurch kann ein einheitliches Sicherheitsniveau nur schwer gewährleistet werden.
Strongswan ist zwar grundsätzlich auf allen in \ref{req:clientos} aufgeführten Betriebsystemen lauffähig, jedoch endet die Benutzerfreundlichkeit voraussichtlich dann, wenn man Strongswan unter Windows erst einmal kompilieren muss.
Verlässt man sich auf der Clientseite auf das ggf. bereits im Betriebsystem enthaltene IKEv2-Dienstprogramm, so wird die Bedienung über alle Betriebsysteme unterschiedlich sein.
Auch darunter leidet die Benutzerfreundlichkeit.
Durch die insgesamt hohe Komplexität des IPsec-Standards ist eine Fehlersuche im Betrieb nicht unbedingt trivial.
Hinzu kommt, dass durch den hohen Funktionsumfang und die Flexibilität von IPsec Konfigurationen möglich sind, die zwar funktionieren, aber nicht das gewünschte Sicherheitsniveau herstellen.
Sowohl Strongswan als auch OpenVPN sind vollständig quelloffen.
Da jedoch der Datenverkehr bei IPsec durch den Betriebsystemkernel verarbeitet wird, und dessen Quellcode bei Betriebsystemen von Microsoft oder Apple nicht zur Verfügung steht, scheidet Strongswan als Kandidat aus.
@ -264,6 +278,9 @@ Gibt es vielleicht Szenarien, in denen sich IPsec doch lohnt?
Ja - eventuell. Sehr große Enterprise-Umgebungen, in denen die personellen Ressourcen für die korrekte Konfiguration vorhanden sind.
Da kann man in homogenen Umgebungen sinnvolle IPsec-Konfigurationen auf hunderten oder tausenden Geräte einrichten.
Der Einsatz von IPsec ist für die Umsetzung eines VPN in das Netzwerk einer Fakultätsabteilung ein Schuss mit einer Kanone auf Spatzen.
In großen Umgebungen eines Konzerns kann die Situation schon etwas anders aussehen: Sofern die IT-Landschaft in einem Konzern homogen aufgestellt ist, könnten auf IPsec spezialisierte Administratoren über Konfigurationsmanagement wie zum Beispiel das Active Directory von Microsoft eine Steigerung der Netzwerksicherheit erzielen oder Außendienstmitarbeitern einen nahtlosen Anschluss an das Firmennetzwerk bieten.
\section{Ausblick}
Es gibt da noch etwas mit dem schönen Namen Wireguard. Mit gewollt geringer Komplexität und einem aktuellen Umfang von ca. 4000 Zeilen Code ist es eine würdige Alternative zu IPsec.