(cid:2) (cid:2) RalfSpenneberg: VPNmitLinux — 2010/3/18 — 17:49 — page 1 — LE-TEX (cid:2) (cid:2) VPNmitLinux (cid:2) (cid:2) (cid:2) (cid:2) (cid:2) (cid:2) RalfSpenneberg: VPNmitLinux — 2010/3/18 — 17:49 — page 2 — LE-TEX (cid:2) (cid:2) (cid:2) (cid:2) (cid:2) (cid:2) (cid:2) (cid:2) RalfSpenneberg: VPNmitLinux — 2010/3/18 — 17:49 — page 3 — LE-TEX (cid:2) (cid:2) Ralf Spenneberg VPN mit Linux Grundlagen und Anwendung Virtueller Privater Netzwerke mit Open Source-Tools AnimprintofPearsonEducation München(cid:129)Boston(cid:129)SanFrancisco(cid:129)Harlow,England DonMills,Ontario(cid:129)Sydney(cid:129)MexicoCity Madrid(cid:129)Amsterdam (cid:2) (cid:2) (cid:2) (cid:2) (cid:2) (cid:2) RalfSpenneberg: VPNmitLinux — 2010/3/18 — 17:49 — page 4 — LE-TEX (cid:2) (cid:2) BibliografischeInformationDerDeutschenNationalbibliothek DieDeutscheNationalbibliothekverzeichnetdiesePublikationinderDeutschenNationalbibliografie; detailliertebibliografischeDatensindimInternetüber<http://dnb.d-nb.de>abrufbar. DieInformationenindiesemBuchwerdenohneRücksichtaufeineneventuellenPatentschutzveröffentlicht. WarennamenwerdenohneGewährleistungderfreienVerwendbarkeitbenutzt. BeiderZusammenstellungvonTextenundAbbildungenwurdemitgrößterSorgfaltvorgegangen.Trotzdem könnenFehlernichtvollständigausgeschlossenwerden. Verlag,HerausgeberundAutorenkönnenfürfehlerhafteAngabenundderenFolgenwedereinejuristische VerantwortungnochirgendeineHaftungübernehmen. FürVerbesserungsvorschlägeundHinweiseaufFehlersindVerlagundHerausgeberdankbar. AlleRechtevorbehalten,auchdiederfotomechanischenWiedergabeundderSpeicherunginelektronischen Medien. DiegewerblicheNutzungderindiesemProduktgezeigtenModelleundArbeitenistnichtzulässig. FastalleHardware-undSoftwarebezeichnungenundweitereStichworteundsonstigeAngaben,dieindiesemBuch verwendetwerden,sindalseingetrageneMarkengeschützt.Daesnichtmöglichist,inallenFällenzeitnahzu ermitteln,obeinMarkenschutzbesteht,wirddas®SymbolindiesemBuchnichtverwendet. Umwelthinweis: DiesesProduktwurdeaufchlor-undsäurefreiemPEFC-zertifiziertenPapiergedruckt. UmRohstoffezusparen,habenwiraufFolienverpackungverzichtet. 10 9 8 7 6 5 4 3 2 1 12 11 10 ISBN978-3-8273-2515-0 ©2010byAddison-WesleyVerlag, einImprintderPearsonEducationDeutschlandGmbH, Martin-Kollar-Straße10–12,D-81829München/Germany AlleRechtevorbehalten Einbandgestaltung:MarcoLindenbeck,webwoGmbH([email protected]) Lektorat:BorisKarnikowski,[email protected] Korrektorat:FriederikeDaenecke,Zülpich Herstellung:MonikaWeiher,[email protected] Satz:le-texpublishingservicesGmbH,Leipzig DruckundVerarbeitung:Kösel,Krugzell(www.KoeselBuch.de) PrintedinGermany (cid:2) (cid:2) (cid:2) (cid:2) (cid:2) (cid:2) RalfSpenneberg: VPNmitLinux — 2010/3/18 — 17:49 — page 5 — LE-TEX (cid:2) (cid:2) FürClaudia (cid:2) (cid:2) (cid:2) (cid:2) (cid:2) (cid:2) RalfSpenneberg: VPNmitLinux — 2010/3/18 — 17:49 — page 6 — LE-TEX (cid:2) (cid:2) (cid:2) (cid:2) (cid:2) (cid:2) (cid:2) (cid:2) RalfSpenneberg: VPNmitLinux — 2010/3/18 — 17:49 — page 7 — LE-TEX (cid:2) (cid:2) Vorwort zur 2. Auflage DieersteAuflagedesBucheswareingroßerErfolg.Ichwarsehrüberraschtvondergroßen Resonanz,dieicherhaltenhabe.AllerdingsistdieersteAuflageinzwischennichtmehrver- fügbar,undeshabensichauchgroßeÄnderungenundWeiterentwicklungenimVPN-Umfeld ergeben. So hat OpenVPN als alternative VPN-Lösung inzwischen eine große Bedeutung erlangt.InKundenprojektenwirdimmerhäufigerauchnachOpenVPNgefragt.Daherwidme ichOpenVPNeineneigenenTeil(s.u.)amEndedesBuches.AuchimIPsec-Bereichhatsich viel getan. Das FreeS/wan-Projekt hat sich beendet. Openswan und strongSwan sind wür- digeNachfolger.BeidewerdenindiesemBuchdahermitihrenMöglichkeitenbetrachtet.Ich persönlichbevorzugestrongSwan.DiesistauchindeneinzelnenKapitelnimBucherkenn- bar.DabeikenneichPaulWoutersundKenBantoftvonOpenswangenausogutwieProf.Dr. AndreasSteffen,derstrongSwanentwickelt. MitstrongSwanstehtaberaucheineausgereifteIKEv2-ImplementierunginderOpenSource- WeltzurVerfügung.DiesekannerfolgreichauchmitWindows7-ClientsVPN-Verbindungen aufbauen.DaherwirddemIKEv2-ProtokollunddessenImplementierungundMöglichkeiten aucheineigenerTeilindiesemBuchgewidmet. Die restlichen Teile des Buches wurden gründlich überarbeitet und auf die aktuellen Ver- sionenabgestimmt.ÜberholteKapitelundAussagenwurdenersatzlosgestrichenunddurch aktuelle Konfigurationsbeispieleersetzt. So betrachten wir auch den Kernel2.4 mit seinen ipsecX-Netzwerkkarten nicht mehr,sondern konzentrierenunsauf den Kernel2.6 mitder Netkey-IPsec-Implementierung.Leser,diesichfürdiealteImplementierungnochinteressie- ren,aberdiealteAuflagenichtmehrerhaltenkönnen,möchteichaufdieOnline-Versiondes Buchesunterhttp://www.os-t.de/buecher_new.php hinweisen.Dort findenSieauchdie ersteAuflagediesesBuchesalsPDF. LeserdererstenAuflagewerdensichaberweiterhinindiesemBuchzurechtfinden.DasZiel desBuchesistesweiterhin,diePlanung,ImplementierungunddenEinsatzvonvirtuellenpri- vatenNetzwerkenmitLinuxzuunterstützen.Hierbeisetzeichlediglichgrundsätzlicheadmi- nistrativeKenntnissevoraus.DieeingesetztenProtokolleundProgrammewerdenausführlich erläutert. DerTeil1,„Grundlagen“,beginntmiteinerallgemeinenEinführungindieTechnikundGrund- lagen virtueller privater Netzwerke. Anschließend werden die verschiedenen Verschlüsse- lungsalgorithmenerklärt,diehierzumEinsatzkommen.IhreKenntnisistbeiderAnwendung einesVPNsnichtzwingendnotwendig,jedocherlaubtIhneneingewissesGrundwisseneine EinschätzungIhrerSicherheit. Schließlich werden die eingesetzten Protokolle der IPsecFamilie betrachtet und analysiert. AuchdiesesWissenistnichtzwingenderforderlich,umeinVPNzubetreiben.BeieinerFeh- lersucheistsolchesHintergrundwissenjedochsehrnützlich,wennnichtsogarobligatorisch. (cid:2) (cid:2) (cid:2) (cid:2) (cid:2) (cid:2) RalfSpenneberg: VPNmitLinux — 2010/3/18 — 17:49 — page 8 — LE-TEX (cid:2) (cid:2) Vorwortzur2.Auflage Sollte das entsprechendeGrundwissen bereits vorhanden sein oder sollten Sie ungeduldig mit dem Aufbau eines VPNs beginnen wollen, so können Sie direkt mit Teil 2 des Buches beginnen.FürdasVerständnis,diePlanungunddieFehlersucheempfiehltessichjedoch,zu einemspäterenZeitpunktTeil1nachzulesen. Teil 2, „Praktische Umsetzung“, beschreibt den Aufbau einfacher virtueller privater Netz- werkemitdenmomentanzurVerfügungstehendenImplementierungenfürdenLinux-Kernel 2.6mitdemIKE-ProtokollinderVersion1.HierwerdenOpenswan,strongSwan,Racoonund derIsakmpdbesprochen.AuchdieAnbindungweitererBetriebssystemewieWindowsXPund CiscokommtzurSprache. DerTeil3,„IKEv2mitstrongSwan“, betrachtetdenBauvonVPNsmitdemIKEv2-Protokoll. HierwirdauchdieAnbindungvonWindows7erläutert. Teil 4, „Fortgeschrittene Konfiguration und Fehlersuche“, beschreibt besondere Eigenhei- tenderImplementierungenundstelltzusätzlicheFunktionalitätenvor, diefürdieeineoder andereImplementierungeinzigartigsind.HierwerdenFunktionenwieNAT-Traversal,XAuth undIKE-Config-Modebesprochen.AuchdieUnterstützungvonHardware-Kryptoprozessoren zurBeschleunigungderVerschlüsselungwirdhierangesprochen. InTeil4werdenauchdiewichtigstenWerkzeugezurFehlersuchevorgestellt. SchließlichwirdinTeil5,„OpenVPN2.x“,dieImplementierungvonVPNsmitOpenVPNvorge- stellt.OpenVPNnutzteinproprietäres,aufOpenSSLbasierendesProtokollfürdieRealisie- rungvonvirtuellenprivatenNetzwerken. Bei der Strukturierung des Buches habe ich versucht, die Aufgabenstellungen beim Auf- bau eines VPNs in Schritt-für-Schritt-Anleitungen durchzusprechen. Sicherlich wird dabei nicht jedes Problem geklärt. Um diesem Missstand Rechnung zu tragen, behandelt Teil 4 komplizierteundbesondereFragestellungen.Hierbeiistesjedochnurmöglich,Einblickein bestimmteProblemezugeben.SiesollenalsAnregungaufgefasstwerdenunddenLösungs- wegaufzeigen. Allesinallemhoffeich,dassmireinBuchgelungenist,mitdemSieinderLagesind,denEin- satzvonvirtuellenprivatenNetzwerkenaufderBasisvonLinuxabzuwägenundumzusetzen. HoffentlichhabenSiebeidemLesendesBuchesgenausovielSpaßwieichbeimSchreiben hatte. 8 (cid:2) (cid:2) (cid:2) (cid:2) (cid:2) (cid:2) RalfSpenneberg: VPNmitLinux — 2010/3/18 — 17:49 — page 9 — LE-TEX (cid:2) (cid:2) Vorwortzur2.Auflage Kontakt für Rückfragen und Anmerkungen VirtuelleprivateNetzwerkesindweiterhineinsehraktuellesThema.Diesführtdazu,dassdie entsprechendenTechnologienundProdukteständigweiterentwickeltwerden.Dieindiesem BuchbesprochenenThemensinddabeisicherlichkeineAusnahme.WennSiealsozumInhalt diesesBuchesUpdates,KorrekturenodereinfachAnregungenloswerdenmöchten,können [email protected] erreichen.IchbietezudiesenThemenauchSchulungenund Workshops an und berate und unterstütze Sie bei der Planung, Evaluation und Implemen- tierung von VPN-Lösungen. Dabei können Sie auf meine Erfahrung speziell auch bei der ImplementierungzahlreicherheterogenerVPN-Lösungenzugreifen.KleinereFragenkönnen sicherlichauchunkompliziertperE-Mailgestelltundbeantwortetwerden.Unabhängigdavon werde ich versuchen, unter http://www.spenneberg.com/ Updates und Korrekturen zum Buchzuveröffentlichen. 9 (cid:2) (cid:2) (cid:2) (cid:2) (cid:2) (cid:2) RalfSpenneberg: VPNmitLinux — 2010/3/18 — 17:49 — page 10 — LE-TEX (cid:2) (cid:2) (cid:2) (cid:2) (cid:2) (cid:2)