VPN mit Linux
Vorwort
){kind=small}
Tim Weippert
Cover von »VPN mit Linux«
Wenn ich ein Buch in die Hände bekomme, dann schaue ich im Normalfall zuerst das Inhaltsverzeichnis durch, um zu sehen, was auf mich zukommt.
Bei diesem Buch erstaunten mich Abschnitte wie »X.509 Zertifikate« oder »Public Key Infrastruktur - PKI«. Und dies alles plus eine Einführung in Kryptografie, FreeS/WAN, Linux und Kernel 2.6 in nur knapp mehr als 400 Seiten. Ich fragte mich, wie dies alles in dieses Buch passt.
Das Buch
Der Grundaufbau des Buches ist wie bei den meisten anderen Sachbüchern. Er gibt zuerst eine Einleitung in das Thema VPN. Die Einleitung ist verständlich und leicht geschrieben, geht auf die Aufgaben und Probleme bei VPNs ein. Vor allem die Probleme, welche sich in Verbindung der normalen Sicherheitsmechanismen wie einer Firewall oder eines Proxys ergeben. Kleine, aber sehr passende Skizzen unterstützen den Text und tragen ungemein zum Verständnis bei. Hierbei wird auch auf verschiedene VPN-Szenarien eingegangen, wie Netz-zu-Netz Koppelung, Roadwarrior-Anbindungen oder auch Absicherung eines Wireless-LAN mit IPSec.
Der folgende Teil befasst sich mit dem Part Kryptografie. Es wird kurz auf die Geschichte und die gängigen Algorithmen eingegangen. Interessant ist die Anmerkung zu Rijndael, welcher sich bei einem Wettbewerb des National Institute of Standards and Technology als AES (Advanced Encryption Standard, Nachfolger von DES) durchgesetzt hat, daß es hier Zweifel an der Qualität dieses Standards gibt (Info). Somit sind auch wirklich wichtige Aspekte in dem Buch berücksichtigt und werden mit der nötigen Dringlichkeit auch präsentiert. Für fast alle Wissenstufen immer wieder interessant sind die Darstellung von symmetrischer und asymmetrischer Verschlüsselung, was in einem Buch über VPNs nicht fehlen darf. So ist auch in diesem der Part vorhanden und wird gut verständlich und Als letzter Punkt wird noch auf die beiden gängigen Hash-Funktionen eingegangen, MD5 und SHA.
Damit nun weiter die Grundlagen eines VPNs vertieft werden, kommen nun die VPN-Protokolle dran. Hier wird IPSec beleuchtet und die wichtigsten Begrifflichkeiten und Funktionalitäten erläutert. Nach diesen Seiten sollte jeder wissen, was ESP, IKE oder SA bedeuten. Der Part ist recht technisch gehalten, was jedoch wohl auch nicht ohne weiteres anders möglich ist. TCP/IP sollte hierfür zumindest weitreichend bekannt sein. Dennoch wird man durch die Schreibweise nicht erschlagen, sondern es liest sich leicht und ist sehr gut verständlich. Zum Schluss der Theorie wird nochmals in ein paar Seiten auf X.509 Zertifikate eingegangen und wie diese aufgebaut sind. Auch werden im Zuge des Keymanagements PKI und Smartcards kurz angeschnitten.
Nun wird man nach der Theorie mit der Praxis belohnt. Den Beginn macht hierbei FreeS/WAN. Angenehm ist, daß auf die Versionen 1.9x und 2.x eingegangen wird und auch der Umstieg von der 1.9x auf 2.x erklärt und an einem Beispiel gezeigt wird. Die Beispiele sind vielfältig und reichen von PC-PC Koppelung über Netz-Netz Verbindungen bis zu Roadwarrior-Szenarien mit X.509-Zertifikaten. Auch die Übersetzung aus dem Quellcode und die Anpassungen am Kernel sind detailliert erläutert und mit guten und überschaubaren Kommandoauszügen ergänzt. Ebenfalls wird auf die gängigen Patches für FreeS/WAN (z.B. X.509-Patch, NAT Traversal Patch, Algo (AES) Patch, Cryptolib etc.) eingegangen, die Quellen zum Download angegeben und eine kurze Erläuterung, wie der Patch eingebunden werden kann und was für Optionen er bietet. Nachdem die Installation behandelt wurde, kommen die besagten Beispielkonfigurationen. Diese sind ausführlich und so gut wie alle Optionen, welche in den Konfigurationsdateien möglich sind, werden erläutert, was das Buch auch zu einer guten Nachschlagequelle macht.
Als zweiter Praxisteil wird auf die IPSec-Implementierung in Kernel 2.6 eingegangen. Auch hier wird auf alle wichtigen Punkte der Kernelkompilierung und die Userspace-Befehle eingegangen. Bei der Konfiguration wird das Kommando setkey, welches bei 2.6 die komplette Konfiguration der IPSec-Implementierung ermöglicht, durchleuchtet. Es werden alle nötigen Operationen von setkey in Verbindung mit manuellen Verbindungen erklärt und an Beispielen praktisch angewandt. Auch die Implementierung von automatischen Verbindungen mit Hilfe des IKE-Daemons »racoon« wird praktisch dargestellt und auch hier werden die Konfigurationsparameter ausführlich erörtert und als Nachschlagemöglichkeit aufbereitet. Als Alternative zu »racoon« wird noch der IKE-Daemon »isakmpd« des OpenBSD-Projektes, welcher auf Linux Kernel 2.5/2.6 portiert wurde, behandelt. Es werden die gleichen Beispiele wie mit FreeS/WAN durchgespielt, so dass man einen direkten Vergleich zwischen IPSec im Kernel und FreeS/WAN ziehen kann. Ebenso wird auf Mischkonfigurationen mit Linux 2.6 auf der einen und FreeS/WAN auf der anderen Seite hingewiesen.
Ein Kapitel widmet sich heterogenen Umgebungen mit unterschiedlichen Produkten. Hierunter finden sich Informationen zu Microsoft-Systemen wie Windows 2000 oder XP (sehr ausführliche Erläuterung des Tools ipsec.exe von Markus Müller, welches bei der Errichtung von VPNs mit den Systemen aus Redmond wirklich hilfreich ist), Cisco und natürlich Checkpoint Firewall-1 NG.
Als ein besonderes Schmankerl empfinde ich, daß ein komplettes Kapitel sich mit PKI nochmals befasst und hierbei auf zwei sehr hilfreiche Tools Bezug nimmt: eine CA aufzubauen. Es werden alle nötigen Schritte zum Erstellen der CA und der Generierung der nötigen Zertifikate beschrieben. Während der Konfiguration von FreeS/WAN wird der Aufbau einer CA per openssl ebenfalls beschrieben. Doch die Informationen über die beiden oben genannten Tools sind meines Erachtens sehr gut und erwähnenswert. Auch OpenCA als Open Source Trust Center Software wird erwähnt, ist aber in den meisten Anwendungsbereichen einfach zu komplex und umfangreich.
Im dritten praktischen Teil wird auf fortgeschrittene Konfiguration und die Fehlersuche gründlich eingegangen. Benutzer von Dyn-DNS wird es erfreuen, daß sogleich zu Beginn eine Konfiguration für FreeS/WAN und Kernel 2.6 IPSec beschrieben wird. Ebenso wird hier Advanced Routing und Quality of Service in Verbindung mit VPNs diskutiert. Einen großen Teil nimmt in diesem Bereich auch DHCP-over-IPsec ein, in dem auch die Interaktion mit SSH Sentinel erläutert wird. Abschließend werden noch opportunistische Verschlüsselung, Kryptoprozessoren, Hochverfügbarkeit und Smartcards begutachtet. Mögliche Fehler und Tools, um die Tunnel zu prüfen, runden diesen Teil ab.
Und zu guter Letzt noch ein kleines Schmankerl. Es wird nochmal auf die in dem Buch verwendeten Testumgebungen eingegangen und aufgezeigt, wie sich auch mit nur wenigen Linuxrechnern und UML (User Mode Linux) fast die kompletten Szenarien nachstellen lassen, ohne einen ganzen Hardware-Pool zur Verfügung zu haben.
