Der OpenWrt-Praktiker (eBook)
200 Seiten
Books on Demand (Verlag)
978-3-7534-3304-2 (ISBN)
Markus Stubbig ist Diplom-Ingenieur für Netzwerktechnik, Cisco Certified Professional und seit 20 Jahren in der IT-Branche tätig. Er unterstützt seine Kunden bei Entwurf, Absicherung, Implementierung und Troubleshooting von Computernetzen in Firmenstandorten rund um die Welt.
Kapitel 2
OpenVPN
OpenVPN ist eine quelloffene Software zur Einrichtung eines Virtuellen Privaten Netzwerks. Durch diesen VPN-Tunnel können einzelne Geräte oder ein ganzes Netzwerk mit mehreren Computern kommunizieren.
OpenVPN ist die Antwort der Community auf die Komplexität von IPsec. Während das Ziel von beiden Protokollen dasselbe ist, lässt sich OpenVPN leichter konfigurieren und einfacher durch Paketfilter und NAT- Gateways betreiben. OpenVPN ist kein RFC-Standard, sondern eine fertige Software, die für die meisten Betriebssysteme und Smartphones verfügbar ist. OpenVPN implementiert die Verschlüsselungsroutinen nicht selber, sondern vertraut der bekannten OpenSSL-Bibliothek. Für die Kommunikation im Netzwerk benutzt OpenVPN die virtuellen Netzadapter TUN und TAP.
Arbeitsweise
Die Funktionsweise von OpenVPN entspricht der von IPsec: Ein VPN-Gate-way baut einen verschlüsselten Kanal zu einem anderen OpenVPN-Gateway auf. Durch diesen Tunnel können beide Endpunkte gesichert miteinander kommunizieren und auch die Verbindungen von anderen Geräten absichern.
Der Aufbau entspricht dem Client-Server-Prinzip: Ein OpenVPN-Prozess übernimmt die Rolle des Clients und baut die Verbindung auf. Der andere Prozess wartet auf Anfragen und agiert als Server. Für den Betrieb des VPNs ist es unerheblich, welches Gateway die Verbindung gestartet hat.
Die Authentifizierung ist mitentscheidend für die Sicherheit der übertragenen Daten. OpenVPN bevorzugt Zertifikate. In einfachen Umgebungen ist auch ein statischer Schlüssel oder die Verwendung von Benutzername mit Passwort akzeptabel.
Der VPN-Tunnel lässt sich auf zwei unterschiedliche Arten betreiben:
- • Routing-Modus. Der Tunnel ist eine Punkt-zu-Punkt-Verbindung (auf OSI-Ebene 3) und transportiert ausschließlich IP-Pakete. Der Open-VPN-Prozess läuft auf einem Router, der IP-Pakete anhand seiner Routingtabelle weiterleitet.
- • Bridge-Modus. Der Tunnel ist eine Ethernet-Verbindung (OSI-Ebene 2) und übermittelt Ethernet-Frames, wie ein herkömmlicher Switch. LAN-Ports und VPN-Tunnel werden zusammengebrückt und der Open-VPN-Prozess übermittelt die Frames. Auf diese Weise lassen sich Ether-net-Netze über WAN-Strecken miteinander verbinden, ohne dass die Clients einen Router adressieren (müssen).
Authentifizierung
OpenVPN unterstützt mehrere Methoden zur Authentifizierung, die sich in Komplexität und Sicherheit unterscheiden.
Benutzername
Die Anmeldung mit einem Benutzernamen und dem passenden Kennwort ist die einfachste und unsicherste Form der Authentifizierung. Denn Benutzer notieren ihre Kennwörter oder wählen offensichtliche Begriffe. Diese Methode der Anmeldung lässt sich mit einer weiteren Form zu einer Mehrfaktor-Authentifizierung kombinieren.
Gemeinsamer Schlüssel
Die OpenVPN-Gegenstellen vertrauen sich, wenn sie denselben statischen Schlüssel besitzen und für die Authentifizierung benutzen. Vor der ersten Anmeldung muss der Schlüssel auf alle beteiligten OpenVPN-Router über eine sichere Verbindung verteilt werden.
Die Authentifizierung per gemeinsamen Schlüssel ist einfach zu realisieren. Die Sicherheit der übermittelten Daten hängt davon ab, dass der Schlüssel geheim bleibt. Mit einem kompromittierten Pre-shared Key kann der Angreifer alle abgefangenen Pakete entschlüsseln.
Zertifikate
Bei einer Authentifizierung auf Basis von Zertifikaten benötigt jeder Kommunikationspartner ein Zertifikat. Client und Server tauschen ihre Zertifikate aus und überprüfen gegenseitig deren Gültigkeit.
Der Aufwand dieser Methode ist hoch, denn Zertifikate müssen erstellt, verteilt und eventuell widerrufen werden. Aber die zertifikatsbasierte Anmeldung gewinnt als sicherste Form der Authentifizierung.
Unterschiede zu IPsec
OpenVPN und IPsec gelten beide als ausgereift und sicher. OpenVPN ist quelloffen und damit für jeden einsehbar. IPsec ist keine Software, sondern eine Protokollsammlung, die von Anbietern für ihre Software genutzt wird. Und diese Software kann unter einer proprietären Lizenz stehen, die die Implementierung nicht offenlegt.
IPsec ist in den meisten Betriebssystemen bereits integriert, während Open-VPN ein Zusatzprodukt ist. Dieses unterstützt zwar alle gängigen Betriebssysteme, muss aber nachträglich auf das System gebracht werden. Tabelle 2.1 vergleicht IPsec mit OpenVPN, so wie beide Technologien bei OpenWrt angeboten werden.
Die Angabe des Durchsatzes bezieht sich auf die IPsec-Implementierung von StrongSwan und die verwendete OpenVPN-Version von OpenWrt. Zusätzlich spielt die Unterstützung der Befehlserweiterung AES-NI eine wichtige Rolle, welche die Leistung von OpenVPN stark verbessert.
OpenVPN ist eine Implementierung im User-Space, während StrongSwan die IPsec-Fähigkeiten des Kernels verwendet. Damit ist OpenVPN leichter portierbar auf andere Betriebssysteme und kommt ohne Kernelmodul aus. Nachteilig auf die Performance wirkt sich der häufige Kontextwechsel aus, denn der OpenVPN-Prozess läuft im User-Space, während die Netzwerktreiber für ethX und tunX im Kernel-Space angesiedelt sind.
| Disziplin | IPsec | OpenVPN |
| Einrichtung | kompliziert | einfach |
| Installation | vom OS bereitgestellt | Zusatzsoftware |
| Authentifizierung | PSK, Zertifikat, Benutzername/Kennwort1 | PSK, Zertifikat, Benutzzername/Kennwort2 |
| Verschlüsselungs-algorithmen | AES 128/192/256 Blowfish 128/192/256 3DES, DES, CAST128 Camellia 128/192/256 ChaCha20/Poly1305 | AES 128/192/256 Blowfish 128 3DES, DES, DESX, CAST5 RC2 |
| Hashing-algorithmen | SHA 1/256/384/512 MD5, AES-XCBC AES-CMAC | SHA 1/224/256/384/512 MD4, MD5, RIPEMD SHAKE |
| Sicherheitsniveau | hoch | hoch |
| Durchsatz | hoch | mittel |
| Zusammenspiel |
| mit Firewall | einfach zu blockieren | schwer zu blockieren |
| mit NAT | mit NAT- Traversal | ohne Probleme |
| Unterstützung |
| von IPv4 | ja | ja |
| von IPv6 | ja | ja |
| von nicht-IP | ja (mit GRE) | ja (Bridge-Modus) |
| Multipunkt-Tunnel | ja (mit DMVPN) | ja |
| Funktioniert durch |
| Proxy | nein | ja |
| Schlüsselrotation | automatisch | automatisch (Zertifikat) manuell (PSK) |
Tabelle 2.1: Vergleich von IPsec mit OpenVPN
1 Die Anmeldung mit Benutzernamen und Kennwort ist nur für mobile Clients verfügbar.
2 Die Anmeldung mit Benutzernamen und Kennwort erfordert die Anpassung ab Seite 58.
Laboraufbau
Die beiden Router RT-1 und RT-4 erstellen einen VPN-Tunnel, um die Datenkommunikation zwischen ihren angeschlossenen Netzen zu ermöglichen. RT-1 ist zusätzlich ein VPN-Server für die Einwahl von OpenVPN-Clients. Abbildung 2.1 zeigt den Aufbau der VPN-Gateways und eines Clients in Standort-2. Die IP-Adressen der Tunnel stammen aus den Bereichen 10.6.0.0/16 und fd00:6::/64.
Abbildung 2.1: Laboraufbau für OpenVPN-Tunnel
Site-to-Site-Tunnel
Vor der Einrichtung des ersten Tunnels muss der Paketmanager von Open-Wrt die Software installieren, da OpenVPN ein Zusatzpaket ist:
opkg update
opkg install openvpn-openssl luci-app-openvpn luci-i18n-openvpn-de
Als erste Aufgabe verbindet OpenVPN den Standort 1 mit Standort 4 durch einen Site-to-Site-VPN. Dieser Tunnel spannt von Router RT-1 zu RT-4 und verbindet damit die angeschlossenen Netze.
OpenWrt unterscheidet bei der Einrichtung zwischen Server und Client, wobei der Client den Tunnelaufbau initiiert und der Server darauf reagiert. In diesem Szenario übernimmt RT-1 die Rolle des Servers und RT-4 beginnt als Client seine VPN-Tätigkeit.
Durch den Tunnel fließen später die IP-Pakete von mehreren Endgeräten. Die Vertraulichkeit von vielen Datenverbindungen hängt von der Sicherheit des Tunnels ab. Je nach Umgebung können ein gemeinsamer Schlüssel oder Zertifikate die notwendige Sicherheit bieten. Die folgende Einrichtung verwendet einen gemeinsamen Schlüssel.
Der Tunnel beginnt und endet bei den öffentlichen IP-Adressen der VPN-Gateways. Innerhalb des Tunnels benutzt OpenVPN zusätzliche Adressen, die aus dem privaten Bereich stammen dürfen. Diese...
| Erscheint lt. Verlag | 27.5.2021 |
|---|---|
| Sprache | deutsch |
| Themenwelt | Mathematik / Informatik ► Informatik ► Netzwerke |
| ISBN-10 | 3-7534-3304-7 / 3753433047 |
| ISBN-13 | 978-3-7534-3304-2 / 9783753433042 |
| Haben Sie eine Frage zum Produkt? |
EPUB (Wasserzeichen)Größe: 1,8 MB
DRM: Digitales Wasserzeichen
Dieses eBook enthält ein digitales Wasserzeichen und ist damit für Sie personalisiert. Bei einer missbräuchlichen Weitergabe des eBooks an Dritte ist eine Rückverfolgung an die Quelle möglich.
Dateiformat: EPUB (Electronic Publication)
EPUB ist ein offener Standard für eBooks und eignet sich besonders zur Darstellung von Belletristik und Sachbüchern. Der Fließtext wird dynamisch an die Display- und Schriftgröße angepasst. Auch für mobile Lesegeräte ist EPUB daher gut geeignet.
Systemvoraussetzungen:
PC/Mac: Mit einem PC oder Mac können Sie dieses eBook lesen. Sie benötigen dafür die kostenlose Software Adobe Digital Editions.
eReader: Dieses eBook kann mit (fast) allen eBook-Readern gelesen werden. Mit dem amazon-Kindle ist es aber nicht kompatibel.
Smartphone/Tablet: Egal ob Apple oder Android, dieses eBook können Sie lesen. Sie benötigen dafür eine kostenlose App.
Geräteliste und zusätzliche Hinweise
Buying eBooks from abroad
For tax law reasons we can sell eBooks just within Germany and Switzerland. Regrettably we cannot fulfill eBook-orders from other countries.
aus dem Bereich
