Add ~ where needed
This commit is contained in:
parent
c3491f57b1
commit
d3f1311cde
@ -7,7 +7,7 @@ Betrachtet man die Vergabegeschwindigkeit von IPv4-Adressen aus den letzten 3 Ja
|
||||
Vor diesem Hintergrund findet die Verwendung von IPv6 eine zunehmende Verbreitung als Nachfolger von IPv4:
|
||||
Immer mehr Internetdienste können über IPv6 erreicht werden, und auch die Internetanbieter stellen ihren Kunden IPv6-fähige Internetanschlüsse zur Verfügung.
|
||||
Der Anteil von Suchanfragen, die über IPv6 an Google gestellt wurden, hat von 5,84\% am 1. Januar 2015 auf 21,11\% am 1. Juni 2018 zugenommen\footnote{\url{https://www.google.com/intl/en/ipv6/statistics.html}, abgerufen am 03.06.2018}.
|
||||
Am AMS-IX\footnote{Amsterdam Internet Exchange}, dem Internet-Austauschpunkt in Amsterdam, hat sich der Durchfluss von IPv6-Verkehr in den letzten 12 Monaten im Durchschnitt von etwa 55 Gbit/s im August 2017 auf etwa 85 Gbit/s im Mai 2018 gesteigert\footnote{\url{https://ams-ix.net/technical/statistics/sflow-stats/ipv6-traffic},\\abgerufen am 03.06.2018}.
|
||||
Am AMS-IX\footnote{Amsterdam Internet Exchange}, dem Internet-Austauschpunkt in Amsterdam, hat sich der Durchfluss von IPv6-Verkehr in den letzten 12 Monaten im Durchschnitt von etwa 55~Gbit/s im August 2017 auf etwa 85~Gbit/s im Mai 2018 gesteigert\footnote{\url{https://ams-ix.net/technical/statistics/sflow-stats/ipv6-traffic},\\abgerufen am 03.06.2018}.
|
||||
|
||||
Auch das Netz der Abteilung Informatik an der Hochschule Hannover ist Vorreiter in der Erprobung von IPv6: Seit Anfang 2015 ist das Netz schon über IPv6 an das Internet angebunden.
|
||||
Damit ist die Voraussetzung gegeben, um Netzwerkgeräte für IPv6 zu konfigurieren und bestehende Netzwerkdienste auch über IPv6 anzubieten.
|
||||
@ -102,7 +102,7 @@ Das betrifft alle Sicherheitszonen außer dem Internet.
|
||||
Die Benutzer des VPN-Dienst sollen durch die Administratoren des VPN-Dienst einfach verwaltet werden können.
|
||||
\item \label{req:serveros} \textbf{Betrieb des VPN-Servers:} Die Serverkomponente des VPN-Dienst soll auf einer aktuellen Version von Debian (9 oder höher) betrieben werden.
|
||||
\item \label{req:clientos} \textbf{Betrieb der VPN-Clients:} Die VPN-Clientsoftware soll für aktuelle Versionen gängiger Betriebssysteme zur Verfügung stehen.
|
||||
Darunter fallen Microsoft Windows 10 (Version 1709 oder höher), Apple MAC OS (ab Version 10.13) und Linux-Distributionen (ab Kernel Version 3.10).
|
||||
Darunter fallen Microsoft Windows 10 (Version~1709 oder höher), Apple MAC OS (ab Version~10.13) und Linux-Distributionen (ab Kernel Version~3.10).
|
||||
\item \label{req:logging} \textbf{Betriebsprotokoll:} Während des Betrieb des VPN-Dienst sollen keine Daten protokolliert werden, die Rückschlüsse auf das Benutzerverhalten zulassen. Im Rahmen einer laufenden Fehlersuche soll es möglich sein, mehr Daten zu protokollieren.
|
||||
\item \label{req:finance} \textbf{Finanzieller Rahmen:} Es stehen keine finanziellen Mittel für den Erwerb einer VPN-Lösung zur Verfügung.
|
||||
\end{enumerate}
|
||||
@ -169,7 +169,7 @@ Die Protokolle AH und ESP definieren selbst kein Verfahren zum Aushandeln von ve
|
||||
Auch der Austausch gemeinsamer Geheimnisse beziehungsweise Schlüsselmaterial wird nicht definiert.
|
||||
Diese Aufgabe übernimmt Strongswan als IKEv2-Dienst.
|
||||
|
||||
Strongswan implementiert das Protokoll IKEv2\footnote{Internet Key Exchange Protokoll Version 2, definiert in \cite[][]{RFC7296}} und kann darüber authentisiert und verschlüsselt mit IKEv2-Gegenstellen kommunizieren.
|
||||
Strongswan implementiert das Protokoll IKEv2\footnote{Internet Key Exchange Protokoll Version~2, definiert in \cite[][]{RFC7296}} und kann darüber authentisiert und verschlüsselt mit IKEv2-Gegenstellen kommunizieren.
|
||||
Dabei werden mit der Gegenstelle Schlüssel- und Konfigurationsparameter ausgehandelt beziehungsweise ausgetauscht, anhand derer Strongswan IPsec-Verbindungen im Kernel des Host-Betriebssystems konfigurieren kann.
|
||||
Die Verarbeitung des durch IPsec geschützten Da\-ten\-ver\-kehrs über die Protokolle AH oder ESP wird jedoch direkt im IPsec-Stack des Kernels abgewickelt.
|
||||
Dadurch ist der Einsatz von IPsec für lokal ausgeführte Programme transparent.
|
||||
@ -345,18 +345,18 @@ Aufgrund der Vorteile von EasyRSA in Bezug auf vereinfachter Konfiguration und e
|
||||
Diese Entscheidung wird untermauert von der Tatsache, dass sowohl EasyRSA als auch OpenVPN von den selben Entwicklern weiterentwickelt wird, sodass Kompatibilität zwischen den beiden Softwareprojekten zu erwarten ist.
|
||||
Die Notwendigkeit zum selbstständigen Entwickeln von Skripten zum Erreichen eines ähnlichen Funktionsumfangs ergibt sich somit nicht.
|
||||
|
||||
Das über Debian 9 beziehbare Paket enthält EasyRSA in Version 2.3.x.
|
||||
Das über Debian~9 beziehbare Paket enthält EasyRSA in Version~2.3.x.
|
||||
Die zum aktuellen Zeitpunkt (01.10.2018) über GitHub\footnote{\url{https://github.com/OpenVPN/easy-rsa/releases/tag/v3.0.5}} beziehbare Version von EasyRSA trägt die Nummer 3.0.5.
|
||||
EasyRSA wurde in Version 3 von Grund auf neu geschrieben und verfügt über ein im Vergleich zu EasyRSA Version 2 vereinfachtem Benutzerinterface, welches nun von einem einzigen Kommandozeilenbefehl zur Verfügung gestellt wird.
|
||||
EasyRSA wurde in Version~3 von Grund auf neu geschrieben und verfügt über ein im Vergleich zu EasyRSA Version~2 vereinfachtem Benutzerinterface, welches nun von einem einzigen Kommandozeilenbefehl zur Verfügung gestellt wird.
|
||||
Zusätzlich hinzugekommen sind neue Features wie etwa die Unterstützung des Elliptic-Curve-Kryptosystems, Unterstützung von UTF-8 oder die Verwendung von AES256 zum Verschlüsseln von privaten Schlüsseln\footnote{Vergleich Changelog: \url{https://github.com/OpenVPN/easy-rsa/blob/v3.0.5/ChangeLog}}.
|
||||
|
||||
Die Installation von EasyRSA wird durch das Kopieren sämtlicher Dateien von EasyRSA in ein neues Verzeichnis durchgeführt.
|
||||
Eine auf diese Weise eingerichtete CA kann aus diesem Grund nicht durch den Debian-Paketmanager mit Updates versorgt werden.
|
||||
Aus diesen Gründen wird entschieden, dass EasyRSA in Version 3.0.5 zum Aufbau der CA für den VPN-Dienst eingesetzt wird.
|
||||
Aufgrund des Installationsprozess und den in EasyRSA Version~3.0.5 enthaltenen Vorteilen wird entschieden, dass EasyRSA Version~3.0.5 zum Aufbau der CA für den VPN-Dienst eingesetzt wird.
|
||||
|
||||
|
||||
\subsection{Festlegen der EasyRSA-Konfiguration} \label{ssct:easyrsa_config}
|
||||
Nun, da EasyRSA in der aktuellen Version 3.0.5 zum Aufbau der CA zum Einsatz kommen soll, sind als nächstes die Konfigurationsparameter zu klären.
|
||||
Nun, da EasyRSA in der aktuellen Version~3.0.5 zum Aufbau der CA zum Einsatz kommen soll, sind als nächstes die Konfigurationsparameter zu klären.
|
||||
|
||||
Frage: RSA oder Elliptic Curve für die VPN-CA?
|
||||
\begin{itemize}
|
||||
@ -438,7 +438,7 @@ Nachdem in den vorangegagenen Teilen der Arbeit alle für die Erstellung der Ope
|
||||
Dabei werden alle vorgenommenen Entscheidungen beleuchtet.
|
||||
|
||||
Auf Kompression wird verzichtet, da es bereits am 03.06.2018 Hinweise in der Manpage hinzugefügt wurden\footnote{\url{https://github.com/OpenVPN/openvpn/commit/6795a5f3d55f658fc1a28eb9f3b11d1217e3329c}}, in denen vor der Verwendung von Kompression gewarnt wird.
|
||||
Zum Vergleich: OpenVPN Version 2.4.6 wurde von den Entwicklern am 19.04.2018\footnote{\url{https://github.com/OpenVPN/openvpn/releases/tag/v2.4.6}} freigegeben.
|
||||
Zum Vergleich: OpenVPN Version~2.4.6 wurde von den Entwicklern am 19.04.2018\footnote{\url{https://github.com/OpenVPN/openvpn/releases/tag/v2.4.6}} freigegeben.
|
||||
Zusätzlich wird in einem RFC\cite[][Kapitel 3.3]{RFC7525} auch zur Deaktivierung von Kompression geraten.
|
||||
|
||||
Auf der DEFCON 26 wird mit \enquote{VORACLE} ein in dieser Richtung relevanter Angriff auf OpenVPN vorgestellt\footnote{\url{https://media.defcon.org/DEF\%20CON\%2026/DEF\%20CON\%2026\%20presentations/Nafeez/DEFCON-26-Nafeez-Compression-Oracle-attacks-on-VPN-Networks.pdf}}.
|
||||
@ -479,5 +479,5 @@ In großen Umgebungen eines Konzerns kann die Situation schon etwas anders ausse
|
||||
|
||||
|
||||
\section{Ausblick}
|
||||
Es gibt da noch etwas mit dem schönen Namen Wireguard. Mit gewollt geringer Komplexität und einem aktuellen Umfang von ca. 4000 Zeilen Code ist es eine würdige Alternative zu IPsec.
|
||||
Auch OpenVPN in Version 3 ist schon in der Beta - das könnte man auch im Auge behalten.
|
||||
Es gibt da noch etwas mit dem schönen Namen Wireguard. Mit gewollt geringer Komplexität und einem aktuellen Umfang von etwa 4000 Zeilen Code ist es eine würdige Alternative zu IPsec.
|
||||
Auch OpenVPN in Version~3 ist schon in der Beta - das könnte man auch im Auge behalten.
|
||||
|
Loading…
Reference in New Issue
Block a user