VPN mit Linux

Teil II Praktische Umsetzung (S. 120-122)

Es existieren momentan im wesentlichen zwei IPsec Implementierungen für Linux. Zum einen existiert mit FreeS/WAN seit einigen Jahren eine relativ stabile Version, die sich sehr großer Beliebtheit erfreut. Diese wird in dem nächsten Kapitel genauer betrachtet. FreeS/WAN besteht aus einem Kernelmodul und entsprechenden Konfigurationswerkzeugen. Das Kernelmodul wurde jedoch nie von Linus Torvalds zur Aufnahme in den Linux Kernel akzeptiert. Die Gründe werden im weiteren in dem Kapitel erläutert. Dies führte auch dazu, das FreeS/WAN in einigen Distributionen (z. B. Red Hat) fehlt. Zum anderen wurde beginnend mit dem Entwicklerkernel Version 2.5.45 von Dave Miller und Alexey Kuznetsov ein eigener IPsec Stack implementiert.

Hierbei handelt es sich um einen IPsec Stack, der von dem USAGI Projekt (http://linux-ipv6.org) übernommen wurde. Diese IPsec Implementierung wird nun auch Einzug in alle Linux Distributionen finden. Diese wird in dem Kapitel Linux Kernel 2.6 IPsec besprochen.

5 FreeS/WAN

Das Projekt FreeS/WAN wurde 1996 von John Gilmore gestartet. Er verfolgte mit diesem Projekt ein hohes Ziel. IPsec für Linux sollte mindestens fünf Prozent des Internetverkehrs gegen Lauschangriffe schätzen. Dieses sehr idealistische Ziel wurde bis heute leider nicht erreicht. Um so aktiver wird die Weiterentwicklung von FreeS/WAN vorangetrieben. Der Name S/WAN wurde von der Firma RSA zuerst verwendet, um ein sicheres Weitverkehrsnetz (Secure Wide Area Network) zu bezeichnen. Da das Projekt FreeS/ WAN freie Software erzeugt, lag der Name nahe.

5.1 Einleitung

Im Jahr 1999 wurde Version 1.0 von FreeS/WAN veröffentlicht. Sämtliche Software des Projektes wird außerhalb der Vereinigten Staaten von Amerika entwickelt um mögliche Exportbeschränkungen der Programme zu verhindern. Bis heute nimmt das Projekt aus diesem Grund keine Hilfe von US amerikanischen Staatsbürgern an. Auch die Lockerung der Exportbestimmungen für starke Kryptografie Ende des Jahres 2000 hat hier keine Onderung veranlasst. Dies hat zu großen Missstimmungen und schließlich zur Entwicklung einer zweiten IPsec Implementierung geführt (siehe Kapitel 6, »IPsec mit Linux 2.6«). Diese Parallelentwicklung wurde von den Entwicklern auch mit der angeblich mangelnden Qualität des KLIPS Codes begründet. KLIPS ist der Kernelanteil von FreeS/WAN. Wegen seines Alters ist das FreeS/WAN Projekt zu einer sehr mächtigen Implementierung gereift, die in der Vergangenheit die Interoperabilität mit vielen anderen Betriebssystemen und Netzwerkgeräten unter Beweis stellen konnte. Viele freiwillige Helfer haben das Projekt um unzählige Eigenschaften erweitert. Besonders hervorzuheben ist die hervorragende Unterst.tzung von X.509 Zertifikaten, die von Andreas Steffen (http://strongsec.com/freeswan) programmiert wird. Desweiteren existieren Patches, die zusätzliche Verschlüsselungsalgorithmen wie zum Beispiel den besonders schnellen AES Algorithmus unterst.tzen oder die Interoperabilität mit speziellen Betriebsystemen erhhen.

Im Moment ist FreeS/WAN sicherlich das am häufigsten auf der Basis von Linux eingesetzte Produkt zur Erzeugung eines virtuellen Netzwerkes. Dies mag sich mit der Verbreitung des Linux Kernels 2.6 ändern, da dann eine ein Patch von Herbert Xu (http://gondor.apana.org.au/~herbert/freeswan/, Mirror: http://www.freeswan.ca/patches/gondor.apana.org.au/%257Eherbert/freeswan/), mit dem FreeS/WAN auf dem aktuellem 2.6.0-Test-Kernel lauffähig ist. Die FreeS/WAN Werkzeuge und Konfigurationsdateien können dann transparent auf dem Linux Kernel 2.4 und 2.6 eingesetzt werden. Dieser Code ist in den aktuellen Snapshot-Versionen von FreeS/WAN enthalten. Zukünftige Versionen benötigen daher diesen Patch nicht mehr. Dieses Kapitel beschreibt die Installation und Konfiguration von FreeS/WAN basierend auf dem Linux Kernel 2.4, denn beim Linux Kernel 2.6 werden sich in Zukunft sicherlich noch Onderungen bezüglich der Installation ergeben. Hierbei werden sowohl die FreeS/WAN Versionen 1.9x als auch die neuen Versionen 2.x beschrieben. Die besondere Neuerung der Version 2.0 ist jedoch die direkte Unterstützung von opportunistischer Verschlüsselung und die Verwendung von Policy Groups. Da diese Policy Groups ganz neue Funktionen ermöglichen, werden diese in einem eigenen Abschnitt besprochen.

5.2 Lizenz

FreeS/WAN wird unter der GNU General Public License (GPL, siehe Anhang) vertrieben. Hierbei wurde jedoch vom Projekt die Einschränkung definiert, dass Code, der von US amerikanischen Staatsbürgern erzeugt wurde, nicht in das Projekt aufgenommen wird, um möglichen Beschränkungen durch Exportregelungen für starke Kryptografie zu verhindern. Dies führte bei Red Hat auch zum Verzicht auf die Einbindung von FreeS/WAN in die eigene Distribution. Da FreeS/WAN unter der GNU GPL veröffentlicht wird, übernehmen die Programmierer des Projektes keinerlei Garantie für die Funktionsfähigkeit und Fehlerfreiheit der Software.

5.3 Installation

Die Installation von FreeS/WAN erfordert eine Modifikation des normalen Linux Kernels. Er enthält noch keine Unterstützung für die Verarbeitung von IPsec Paketen. In Abhängigkeit der gewählten Distribution wurde dies bereits vom Distributor durchgeführt. Es genügt dann meist die Installation der entsprechenden Pakete. Folgende Distributoren liefern FreeS/WAN bei ihren aktuellen Distributionen mit: