This commit is contained in:
Jan Philipp Timme 2018-09-28 10:32:58 +02:00
parent f16c203b78
commit ba002beb0b

View File

@ -262,13 +262,14 @@ Sollten Sicherheitslücken innerhalb von beiden Softwareprojekten bekannt werden
Bei einem auf OpenVPN gestützten VPN ist es möglich, TLS-Chiffren, Hashfunktionen und Verschlüsselungsalgorithmen vorzugeben, die unabhängig vom eingesetzten Betriebssystem durch OpenVPN verwendet werden.
Für ein VPN auf Basis von IPsec sieht die Situation anders aus.
Für ein VPN mit Strongswan auf Basis von IPsec sieht die Situation anders aus.
Wie bereits im vorherigen Abschnitt erläutert wurde, ist Strongswan nicht die einzige VPN-Software, die an der Umsetzung des VPN beteiligt ist.
Auch der Kernel des eingesetzten Betriebssystems wird zur Umsetzung eines solchen VPN benötigt.
Die in \ref{req:clientos} und \ref{req:serveros} genannten Betriebssysteme enthalten unterschiedliche Kernel, die jeweils eine individuelle Implementierung von IPsec enthalten.
Aus diesem Grund kann nicht garantiert werden, dass die verschiedenen Kernel die aktuellen Empfehlungen \cite[Aktuell aus][]{RFC8221} zeitnah gemeinsam unterstützen.
Ebenso sind unterschiedliche Reaktionszeiten auf auftretende Sicherheitslücken zu erwarten, die einen oder mehrere Kernel betreffen.
Insgesamt kann für VPN auf Basis von IPsec nicht garantiert werden, dass ein einheitliches Sicherheitsniveau über die verschiedenen Betriebssysteme aufrecht erhalten werden kann.
Erschwerend kommt hinzu, dass Strongswan auf Windows keine Unterstützung für die Einrichtung virtueller IP-Adressen bietet, welche bei IPsec-VPNs im Tunnelmodus zum Einsatz kommen\cite[][Abschnitt \enquote{Important notes}]{strongswan:onwindows}.
In diesem Abschnitt wurden OpenVPN und IPsec-gestützte VPNs auf Basis von Strongswan gegenübergestellt.
Dabei hat sich gezeigt, dass OpenVPN in vielen Kategorien deutlich besser schlägt als Strongswan.