This commit is contained in:
Jan Philipp Timme 2018-09-26 14:45:59 +02:00
parent 47f5191847
commit 914fd393f3

View File

@ -215,25 +215,18 @@ Alle kryptografische Operationen zur Verarbeitung des VPN-Datenverkehrs, sowie z
\section{Auswahl einer VPN-Software}
Um eine konkrete Wahl aus den zuvor vorgestellten Softwareprojekten zu treffen, werden sie noch einmal gegenübergestellt.
Die zuvor vorgestellten VPN-Softwarelösungen werden nun in den folgenden Kategorien miteinander verglichen, um im Anschluss die Software zu ermitteln, mit der das Vorhaben dieser Masterarbeit umgesetzt wird.
\paragraph{Lizenz}
Sowohl Strongswan für IPsec als auch OpenVPN werden unter der GPLv2 entwickelt und verbreitet.
\paragraph{Protokolle}
\paragraph{Kommunikationsprotokolle}
OpenVPN kommuniziert über ein eigenes Protokoll auf über UDP (oder in Ausnahmefällen über TCP) auf Port 1194.
Eine Trennung zwischen Kontrollnachrichten und Datenübertragung erfolgt innerhalb der Software.
Strongswan kommuniziert mit kompatiblen Gegenstellen mit dem IKEv2-Protokoll, welches über UDP auf Port 500 (oder in besonderen Fällen auf Port 4500) übertragen wird.
Durch IPsec geschützter Datenverkehr äußert sich in der Übertragung von IPv4- oder IPv6-Paketen, in denen -- je nach eingesetzter Konfiguration -- das AH- oder ESP-Protokoll enthalten ist.
Strongswan kommuniziert mit kompatiblen Gegenstellen über das IKEv2-Protokoll, welches über UDP auf Port 500 (bei stattfindender Network Address Translation (NAT) auf Port 4500) übertragen wird.
Der durch IPsec geschützte Datenverkehr lässt sich daran erkennen, dass in den übertragenen IPv4 beziehungsweise IPv6-Paketen das Protokoll AH oder ESP enthalten ist.
Für die Freigabe von IPsec-Datenverkehr in einer Firewall sind somit mehrere Regeln notwendig, während die Freigabe von OpenVPN-Verkehr über UDP-Port 1194 deutlich übersichtlicher ausfällt.
\paragraph{Plattformabhängigkeit}
OpenVPN ist für alle in \ref{req:clientos} und \ref{req:serveros} genannte Betriebssysteme verfügbar.
Gleiches Schutznvieau, da eine Konfiguration für alle Systeme funktioniert.
Reaktionszeit bei Sicherheitspatches gleich für alle Plattformen.
Strongswan: Schutzniveau hängt unter Umständen von eingesetztem Betriebssystemkernel ab.
Reaktionszeit bei Sicherheitspatches je nach Schwachstelle unterschiedlich pro Plattformen.
\paragraph{Benutzerfreundlichkeit}
Platformabhängig - bei OpenVPN eher schwach, da nur die GUI eine andere ist.
@ -254,7 +247,16 @@ Der Kernel des eingesetzten Betriebssystems gehört somit auch zur Menge der ein
Die Verfügbarkeit des Quellcodes des Kernels hängt vom verwendeten Betriebssystem ab und ist somit nicht in jedem Fall garantiert.
Damit wird die Forderung nach ausschließlich quelloffener VPN-Software nicht erfüllt.
Insgesamt fällt die Wahl auf OpenVPN.
\paragraph{Plattformabhängigkeit}
Sowohl OpenVPN als auch Strongswan sind für alle in \ref{req:clientos} und \ref{req:serveros} genannten Betriebssysteme verfügbar.
Sollten Sicherheitslücken innerhalb von beiden Softwareprojekten bekannt werden, können diese in vergleichbarer Zeit geschlossen werden und auf Client- und Serverrechnern gleichermaßen installiert werden.
Wie bereits im vorherigen Abschnitt erläutert wurde, ist Strongswan nicht der einzige Bestandteil eines VPN auf Basis von IPsec.
In diesem Abschnitt wurden OpenVPN und IPsec-gestützte VPNs auf Basis von Strongswan gegenübergestellt.
\dots
Aus diesen Gründen fällt die Wahl der VPN-Software auf OpenVPN.
\section{Konzipierung der Benutzerverwaltung}
@ -262,7 +264,7 @@ Anforderungen:
\begin{itemize}
\item Möglichst simpel für alle Beteiligten
\item Möglichst wenig personenbezogene Daten verarbeiten oder speichern
\item Zielgruppe des Dienstes sind Beschäftigte und Studenten der Abteilung Informatik (Größenordnung: 20-200 Personen)
\item Zielgruppe des Dienstes sind Beschäftigte und Studenten der Abteilung Informatik (Größenordnung: 50-500 Personen)
\item Studenten sollen Zugriff für den zeitlichen Rahmen Ihres Studiums erhalten
\item Beschäftigte sollen Zugriff im zeitlichen Rahmen Ihrer Beschäftigung erhalten
\end{itemize}