froscon2008 - 1.1

FrOSCon
Free and Open Source Software Conference

Speakers
Johannes Hubertz
Schedule
Day Day 1 (2008-08-23)
Room HS4
Start time 17:45
Duration 01:00
Info
ID 215
Event type lecture
Track Security
Language used for presentation de
Feedback

IPsec- und SSL-VPNs

VPNs mit freier Software, komplex und hochverfügbar

Der Vortrag zeigt vielfältige Möglichkeiten, Netze und Rechner per IPsec- oder SSL-VPN zu verbinden. IPsec und OlpenVPN werden besprochen und die Unterschiede dargestellt, insbesondere der jeweilige Nutzen im unternehmensweiten Einsatz. Risiken und Nebenwirkungen von kryptographischer ClosedSource werden ebenfalls im Zusammenhang besprochen.

Das Setup einer vermaschten Struktur für ein Firmennetz mit mehreren Standorten im Griff zu halten, kann mit geeigneten Ideen des Admins in Form von Skripten verlässlich gelöst werden. Als wichtige Voraussetzung ist freie Software im Spiel. Aber auch kommerzielle Lösungen beim Geschäftspartner sind an den gleichen Geräten mit anzuschließen, dies funktioniert teilweise sogar besser als mit kommerziellen VPN-Devices. strongSwan als Nachfolger von FreeSwan (IPsec-Referenz auf IPv4) kann gleichzeitig mit verschiedenen kommerziellen Firewallreleases auch verschiedener Hersteller IPsec-Tunnel fahren, selbst wenn diese untereinander inkompatibel sind.

Firmenfilialen mit wenigen Mitarbeitern können einfach und zuverlässig auch mit üblichen DSL-Anschlüssen an kleinen, Lüfter- und Festplattenlosen Geräten (embedded Debian) mit geringer Leistungsaufnahme (ca. 10Watt) angeschlossen werden. Mit X.509-Zertifikaten wird sicher authentisiert und strongSwan kann seine Stärken ausspielen. So werden Netze verbunden und damit den Nutzern ein reibungsloses Arbeiten ermöglicht. Und wenns irgendwo mal kein pppoE gibt, wie z.B. in Österreich, auch durch DSL-Router mit nat_traversal.

Um viele Außendienstler mit ihrem mobilen PC an ein zentrales Firmennetz anzuschließen, ist OpenVPN bestens geeignet. Skalierung und Flexibilität machen es zum beliebten Netzwerktool. Client wie Server sind einfach zu konfigurieren, IP-Adressen können fest den benutzten X.509-Zertifikaten zugeordnet werden. Damit kann aus dem Zertifikat über Firewalling mit IPtables/NetFilter abgeleitet werden, was dem einzelnen Nutzer erlaubt ist bzw. verborgen bleibt.

Die Kombination von IPsec- und SSL-VPN im Firmenanschluß machen unabhängig von kommerzieller ClosedSource im Netzwerk und Sicherheitsbereich. Die genannte Software macht sowohl die Verschlüsselung als auch die Transportmechanismen nachvollziehbar, unbedingte Voraussetzung für glaubhafte Sicherheit. Zusätzlich wird deutlich auf die Risiken bei ClosedSource aufmerksam gemacht. Eine einfache Methode, VPN hochverfügbar zu gestalten, wird ebenfalls erläutert.