Beinahe enzyklopädisch behandelt unser Schwerpunkt-Artikel über IPSEC verschlüsselte Verbindungen zwischen Linux, Windows, BSD, Solaris, Cisco- sowie ... (mehr)

Weitgehend problemlos

Alle Tests verliefen letztlich erfolgreich, auch wenn manche Konfigurationen sich nicht unbedingt inuitiv erschlossen. Die größten Auffälligkeiten waren das Fehlen von PFS in Phase 2 bei Windows 2008, sowie das Routing auf die andere Seite des Tunnels bei Solaris. Insgesamt gab es jedoch weit weniger Stolpersteine als erwartet.

Bei der Fehlersuche stach vor allem Checkpoint heraus. Fortinet, Racoon beziehungsweise Cisco bieten dem Administrator auch die notwendigen Informationen um den Konfigurationsfehler zu finden. Bei den Firewalls im Test vergaß der Autor gelegentlich die nötige Firewallregel, was dazu führte, dass die Verhandlung der Phasen funktionierte, aber dann keine verschlüsselten Pakete zwischen den Netzen flossen.

Die verwendete Konfiguration ist keinesfalls eine Empfehlung aus Sicherheitsgesichtspunkten, da die Verwendung von festen Passwörtern gegenüber X.509-Zertifikaten als weniger sicher gilt. Es ist auch praktikabler, Zertifikate einer zentralen Certificate Authority zu verwenden, da dies das Hinzufügen oder Löschen von Teilnehmern vereinfacht.

Theorie und Praxis

In der praktischen Umsetzung im Feld, ist der Administrator häufig nicht in der Situation, dass er beide Seiten des VPNs unter der Kontrolle hat, sodass er eigene VPN-Gateway an die Eigenheiten der anderen Seite anpassen muss. Dabei gibt dieser Artikel hoffentlich eine Hilfestellung. Einen Überblick über alle verwendeten Parameter der verschiedenen Testgeräte und Betriebssysteme gibt die Tabelle 1. (ofr)

Der Autor

Konstantin Agouros arbeitet bei der n.runs AG als Berater für Netzwerksicherheit. Dabei liegt sein Schwerpunkt im Bereich von Telekommunikationsanbietern. Sein Buch "DNS/DHCP" ist bei Opensource Press erschienen.

comments powered by Disqus
Mehr zum Thema

Linux-IPsec-Software im Interoperabilitätsvergleich

Beim Tunnelgraben mit IPsec hat der Admin mit Racoon, Isakmpd, Open- und Strongswan die Wahl aus vier Implementierungen. Der Artikel beleuchtet die Unterschiede und zeigt, wer in puncto Interoperabilität mit Microsofts und Ciscos IPsec-Varianten das Schnäuzchen vorn hat.

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019