Editorial

Sicherheit ist nicht alles

Wir starten das neue Jahr mit dem Schwerpunkt 'Netzwerke sicher betreiben'. Während die Netzwerkgrenzen zusehends verschwimmen, gehen Angreifer immer gezielter ... (mehr)

Auch wenn sich in einem Bereich über die Jahre gewisse Standards etabliert haben, gibt es doch immer wieder überraschende Innovationen. Ein gutes Beispiel dafür ist die VPN-Software WireGuard, die wir ab Seite 84 vorstellen. Zwar kann OpenVPN auf eine mehr als 15-jährige Geschichte zurückblicken. Noch älter ist IPsec, an dem viele kluge Leute ein Jahrzehnt gearbeitet haben, mit einem Ergebnis, das die Kryptoexperten Neil Ferguson und Bruce Schneier so kommentieren: "IPsec was a great disappointment to us. Given the quality of the people that worked on it and the time that was spent on it, we expected a much better result." Und auch für die Einfachheit der Konfiguration wird IPsec sicher keine Preise gewinnen.

Und dann kommt auf einmal einer wie Jason A. Donenfeld an und rollt das Feld im Alleingang auf. WireGuard ist effizient, sicher und einfach zu konfigurieren. Mit einigen Tausend Zeilen Code ist es deutlich leichter durch andere Experten zu auditieren als die beiden Konkurrenten, die teilweise zehn- bis hundertfach soviel Ballast mitbringen. Laut dem Linux-Chef Linus Torvalds ist WireGuard verglichen mit dem "Horror von OpenVPN und IPSec" ein regelrechtes Kunstwerk. Jetzt wird der WireGuard-Code in den Linux-Kernel aufgenommen, womit sich seine Verbreitung in absehbarer Zeit deutlich vergrößern wird. Einen Mac-Port gibt es schon und auch die noch ausstehende Windows-Portierung dürfte bald folgen.

WireGuard demonstriert wieder einmal die Erkenntnis, dass Security-Mechanismen wenig nützen, wenn sie schwer zu verwenden sind. Ein anderes Beispiel dafür ist die Mehrfaktorauthentifizierung, die ebenfalls seit vielen Jahren existiert. So gab es in der BSD-Welt schon viele Jahre die OPIE-Authentifizierung (One time Passwords In Everything), die Logins mit Einmalpasswörtern schützte. Allerdings musste man sich, um davon zu profitieren, vorher immer kleine Zettel mit einer gewissen Zahl von Einmalpasswörtern ausdrucken, um sich von unterwegs aus einzuloggen. Massentauglich wurden One Time Passwords erst mit der Verbreitung von Smartphones und Apps wie dem Google Authenticator oder FreeOTP, die diese Zettel überflüssig machten. Oder den Yubikey, der die Verwendung von Hardware-Token revolutionierte.

Solche Techniken wurden durch Initiativen wie U2F (Universal Second Factor) aufgegriffen, die sich in den FIDO-Standard (Fast IDentity Online) entwickelt hat, den wir ab Seite 92 näher vorstellen. Noch benutzerfreundlicher soll die Authentifizierung dann mit dem Folgestandard FIDO 2 werden, der als zweiten Faktor biometrische Merkmale vorsieht. Darüber können Sie in einer der folgenden Ausgaben mehr lesen.

Oliver Frommel

Leitender Redakteur

Ähnliche Artikel

comments powered by Disqus
Mehr zum Thema

Unkompliziertes und sicheres VPN mit WireGuard

Wer IPsec zu schwierig findet und OpenVPN zu langsam, für den bietet WireGuard eine gute Alternative: Das Setup geht leicht von der Hand und unter der Haube hat die Lösung ordentlich Dampf. Eine Vorstellung.

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019