Nicht aus der Schweiz? Besuchen Sie lehmanns.de
Der OpenWrt-Praktiker -  Markus Stubbig

Der OpenWrt-Praktiker (eBook)

VPN (Band 4)
eBook Download: EPUB
2021 | 1. Auflage
200 Seiten
Books on Demand (Verlag)
978-3-7534-3304-2 (ISBN)
Systemvoraussetzungen
9,99 inkl. MwSt
(CHF 9,75)
Der eBook-Verkauf erfolgt durch die Lehmanns Media GmbH (Berlin) zum Preis in Euro inkl. MwSt.
  • Download sofort lieferbar
  • Zahlungsarten anzeigen
OpenWrt ist die Linux-Distribution für Netzwerkgeräte. Sie befreit über eintausend verschiedene Router, Switches und Accesspoints von ihrem vorinstallierten Betriebssystem und bietet eine breite Palette an Anwendungen unter einer einheitlichen Weboberfläche. OpenWrt löst viele Einschränkungen und versteckt keine Features hinter kostenpflichtigen Lizenzen. Mit OpenWrt beherrscht das Gerät VPN, Firewall, Werbefilter, Gäste-WiFi, Quotas, Lastverteilung oder beteiligt sich an einem Mesh-Netzwerk. Band 4 der Buchreihe "Der OpenWrt-Praktiker" hat den Schwerpunkt "Virtuelle Private Netze" und ist für Anwender mit soliden Grundkenntnissen konzipiert. Die Kapitel behandeln die Möglichkeiten von OpenWrt, ein VPN aufzubauen und zu betreiben. Dieses Buch ist für Linux-Admins, die vom Netzwerk mehr verstehen möchten. Und für Netzwerker, die Linux besser verstehen wollen.

Markus Stubbig ist Diplom-Ingenieur für Netzwerktechnik, Cisco Certified Professional und seit 20 Jahren in der IT-Branche tätig. Er unterstützt seine Kunden bei Entwurf, Absicherung, Implementierung und Troubleshooting von Computernetzen in Firmenstandorten rund um die Welt.

Kapitel 2


OpenVPN


OpenVPN ist eine quelloffene Software zur Einrichtung eines Virtuellen Privaten Netzwerks. Durch diesen VPN-Tunnel können einzelne Geräte oder ein ganzes Netzwerk mit mehreren Computern kommunizieren.

OpenVPN ist die Antwort der Community auf die Komplexität von IPsec. Während das Ziel von beiden Protokollen dasselbe ist, lässt sich OpenVPN leichter konfigurieren und einfacher durch Paketfilter und NAT- Gateways betreiben. OpenVPN ist kein RFC-Standard, sondern eine fertige Software, die für die meisten Betriebssysteme und Smartphones verfügbar ist. OpenVPN implementiert die Verschlüsselungsroutinen nicht selber, sondern vertraut der bekannten OpenSSL-Bibliothek. Für die Kommunikation im Netzwerk benutzt OpenVPN die virtuellen Netzadapter TUN und TAP.

Arbeitsweise


Die Funktionsweise von OpenVPN entspricht der von IPsec: Ein VPN-Gate-way baut einen verschlüsselten Kanal zu einem anderen OpenVPN-Gateway auf. Durch diesen Tunnel können beide Endpunkte gesichert miteinander kommunizieren und auch die Verbindungen von anderen Geräten absichern.

Der Aufbau entspricht dem Client-Server-Prinzip: Ein OpenVPN-Prozess übernimmt die Rolle des Clients und baut die Verbindung auf. Der andere Prozess wartet auf Anfragen und agiert als Server. Für den Betrieb des VPNs ist es unerheblich, welches Gateway die Verbindung gestartet hat.

Die Authentifizierung ist mitentscheidend für die Sicherheit der übertragenen Daten. OpenVPN bevorzugt Zertifikate. In einfachen Umgebungen ist auch ein statischer Schlüssel oder die Verwendung von Benutzername mit Passwort akzeptabel.

Der VPN-Tunnel lässt sich auf zwei unterschiedliche Arten betreiben:

  • Routing-Modus. Der Tunnel ist eine Punkt-zu-Punkt-Verbindung (auf OSI-Ebene 3) und transportiert ausschließlich IP-Pakete. Der Open-VPN-Prozess läuft auf einem Router, der IP-Pakete anhand seiner Routingtabelle weiterleitet.
  • Bridge-Modus. Der Tunnel ist eine Ethernet-Verbindung (OSI-Ebene 2) und übermittelt Ethernet-Frames, wie ein herkömmlicher Switch. LAN-Ports und VPN-Tunnel werden zusammengebrückt und der Open-VPN-Prozess übermittelt die Frames. Auf diese Weise lassen sich Ether-net-Netze über WAN-Strecken miteinander verbinden, ohne dass die Clients einen Router adressieren (müssen).

Authentifizierung


OpenVPN unterstützt mehrere Methoden zur Authentifizierung, die sich in Komplexität und Sicherheit unterscheiden.

Benutzername


Die Anmeldung mit einem Benutzernamen und dem passenden Kennwort ist die einfachste und unsicherste Form der Authentifizierung. Denn Benutzer notieren ihre Kennwörter oder wählen offensichtliche Begriffe. Diese Methode der Anmeldung lässt sich mit einer weiteren Form zu einer Mehrfaktor-Authentifizierung kombinieren.

Gemeinsamer Schlüssel


Die OpenVPN-Gegenstellen vertrauen sich, wenn sie denselben statischen Schlüssel besitzen und für die Authentifizierung benutzen. Vor der ersten Anmeldung muss der Schlüssel auf alle beteiligten OpenVPN-Router über eine sichere Verbindung verteilt werden.

Die Authentifizierung per gemeinsamen Schlüssel ist einfach zu realisieren. Die Sicherheit der übermittelten Daten hängt davon ab, dass der Schlüssel geheim bleibt. Mit einem kompromittierten Pre-shared Key kann der Angreifer alle abgefangenen Pakete entschlüsseln.

Zertifikate


Bei einer Authentifizierung auf Basis von Zertifikaten benötigt jeder Kommunikationspartner ein Zertifikat. Client und Server tauschen ihre Zertifikate aus und überprüfen gegenseitig deren Gültigkeit.

Der Aufwand dieser Methode ist hoch, denn Zertifikate müssen erstellt, verteilt und eventuell widerrufen werden. Aber die zertifikatsbasierte Anmeldung gewinnt als sicherste Form der Authentifizierung.

Unterschiede zu IPsec


OpenVPN und IPsec gelten beide als ausgereift und sicher. OpenVPN ist quelloffen und damit für jeden einsehbar. IPsec ist keine Software, sondern eine Protokollsammlung, die von Anbietern für ihre Software genutzt wird. Und diese Software kann unter einer proprietären Lizenz stehen, die die Implementierung nicht offenlegt.

IPsec ist in den meisten Betriebssystemen bereits integriert, während Open-VPN ein Zusatzprodukt ist. Dieses unterstützt zwar alle gängigen Betriebssysteme, muss aber nachträglich auf das System gebracht werden. Tabelle 2.1 vergleicht IPsec mit OpenVPN, so wie beide Technologien bei OpenWrt angeboten werden.

Die Angabe des Durchsatzes bezieht sich auf die IPsec-Implementierung von StrongSwan und die verwendete OpenVPN-Version von OpenWrt. Zusätzlich spielt die Unterstützung der Befehlserweiterung AES-NI eine wichtige Rolle, welche die Leistung von OpenVPN stark verbessert.

OpenVPN ist eine Implementierung im User-Space, während StrongSwan die IPsec-Fähigkeiten des Kernels verwendet. Damit ist OpenVPN leichter portierbar auf andere Betriebssysteme und kommt ohne Kernelmodul aus. Nachteilig auf die Performance wirkt sich der häufige Kontextwechsel aus, denn der OpenVPN-Prozess läuft im User-Space, während die Netzwerktreiber für ethX und tunX im Kernel-Space angesiedelt sind.

Disziplin IPsec OpenVPN
Einrichtung kompliziert einfach
Installation vom OS bereitgestellt Zusatzsoftware
Authentifizierung PSK, Zertifikat, Benutzername/Kennwort1 PSK, Zertifikat, Benutzzername/Kennwort2
Verschlüsselungs-algorithmen AES 128/192/256
Blowfish 128/192/256
3DES, DES, CAST128
Camellia 128/192/256
ChaCha20/Poly1305
AES 128/192/256
Blowfish 128
3DES, DES, DESX, CAST5
RC2
Hashing-algorithmen SHA 1/256/384/512
MD5, AES-XCBC
AES-CMAC
SHA 1/224/256/384/512
MD4, MD5, RIPEMD
SHAKE
Sicherheitsniveau hoch hoch
Durchsatz hoch mittel
Zusammenspiel
mit Firewall einfach zu blockieren schwer zu blockieren
mit NAT mit NAT- Traversal ohne Probleme
Unterstützung
von IPv4 ja ja
von IPv6 ja ja
von nicht-IP ja (mit GRE) ja (Bridge-Modus)
Multipunkt-Tunnel ja (mit DMVPN) ja
Funktioniert durch
Proxy nein ja
Schlüsselrotation automatisch automatisch (Zertifikat) manuell (PSK)

Tabelle 2.1: Vergleich von IPsec mit OpenVPN

1 Die Anmeldung mit Benutzernamen und Kennwort ist nur für mobile Clients verfügbar.

2 Die Anmeldung mit Benutzernamen und Kennwort erfordert die Anpassung ab Seite 58.

Laboraufbau


Die beiden Router RT-1 und RT-4 erstellen einen VPN-Tunnel, um die Datenkommunikation zwischen ihren angeschlossenen Netzen zu ermöglichen. RT-1 ist zusätzlich ein VPN-Server für die Einwahl von OpenVPN-Clients. Abbildung 2.1 zeigt den Aufbau der VPN-Gateways und eines Clients in Standort-2. Die IP-Adressen der Tunnel stammen aus den Bereichen 10.6.0.0/16 und fd00:6::/64.

Abbildung 2.1: Laboraufbau für OpenVPN-Tunnel

Site-to-Site-Tunnel


Vor der Einrichtung des ersten Tunnels muss der Paketmanager von Open-Wrt die Software installieren, da OpenVPN ein Zusatzpaket ist:

opkg update

opkg install openvpn-openssl luci-app-openvpn luci-i18n-openvpn-de

Als erste Aufgabe verbindet OpenVPN den Standort 1 mit Standort 4 durch einen Site-to-Site-VPN. Dieser Tunnel spannt von Router RT-1 zu RT-4 und verbindet damit die angeschlossenen Netze.

OpenWrt unterscheidet bei der Einrichtung zwischen Server und Client, wobei der Client den Tunnelaufbau initiiert und der Server darauf reagiert. In diesem Szenario übernimmt RT-1 die Rolle des Servers und RT-4 beginnt als Client seine VPN-Tätigkeit.

Durch den Tunnel fließen später die IP-Pakete von mehreren Endgeräten. Die Vertraulichkeit von vielen Datenverbindungen hängt von der Sicherheit des Tunnels ab. Je nach Umgebung können ein gemeinsamer Schlüssel oder Zertifikate die notwendige Sicherheit bieten. Die folgende Einrichtung verwendet einen gemeinsamen Schlüssel.

Der Tunnel beginnt und endet bei den öffentlichen IP-Adressen der VPN-Gateways. Innerhalb des Tunnels benutzt OpenVPN zusätzliche Adressen, die aus dem privaten Bereich stammen dürfen. Diese...

Erscheint lt. Verlag 27.5.2021
Sprache deutsch
Themenwelt Mathematik / Informatik Informatik Netzwerke
ISBN-10 3-7534-3304-7 / 3753433047
ISBN-13 978-3-7534-3304-2 / 9783753433042
Haben Sie eine Frage zum Produkt?
EPUBEPUB (Wasserzeichen)
Größe: 1,8 MB

DRM: Digitales Wasserzeichen
Dieses eBook enthält ein digitales Wasser­zeichen und ist damit für Sie persona­lisiert. Bei einer missbräuch­lichen Weiter­gabe des eBooks an Dritte ist eine Rück­ver­folgung an die Quelle möglich.

Dateiformat: EPUB (Electronic Publication)
EPUB ist ein offener Standard für eBooks und eignet sich besonders zur Darstellung von Belle­tristik und Sach­büchern. Der Fließ­text wird dynamisch an die Display- und Schrift­größe ange­passt. Auch für mobile Lese­geräte ist EPUB daher gut geeignet.

Systemvoraussetzungen:
PC/Mac: Mit einem PC oder Mac können Sie dieses eBook lesen. Sie benötigen dafür die kostenlose Software Adobe Digital Editions.
eReader: Dieses eBook kann mit (fast) allen eBook-Readern gelesen werden. Mit dem amazon-Kindle ist es aber nicht kompatibel.
Smartphone/Tablet: Egal ob Apple oder Android, dieses eBook können Sie lesen. Sie benötigen dafür eine kostenlose App.
Geräteliste und zusätzliche Hinweise

Buying eBooks from abroad
For tax law reasons we can sell eBooks just within Germany and Switzerland. Regrettably we cannot fulfill eBook-orders from other countries.

Mehr entdecken
aus dem Bereich
Das umfassende Handbuch

von Martin Linten; Axel Schemberg; Kai Surendorf

eBook Download (2023)
Rheinwerk Computing (Verlag)
CHF 20,45
das Praxisbuch für Administratoren und DevOps-Teams

von Michael Kofler

eBook Download (2023)
Rheinwerk Computing (Verlag)
CHF 27,25