StrongSwan: Die sichere Brücke über unsicheres Terrain
Das Internet: Probleme lauern überall!
Sie möchten jetzt vielleicht sagen: „Einspruch! So
schlimm stellt sich die Situation doch gar nicht dar!“
Im Großen und Ganzen gebe ich Ihnen durchaus recht, denn wenn es tatsächlich so
übel wäre, hätte man das Internet sicherlich schon längst wieder eingestampft.
Dennoch ist aber auch nicht alles Friede, Freude, Eierkuchen, denn Probleme
gibt es zuhauf im Internet, seien es irgendwelche Botnetze, die für
irgendwelche suspekte Machenschaften eingesetzt werden, seien es irgendwelche
Spamschleudern, die ihren Müll überall abzuladen versuchen – bis hin zu
gekaperten Servern oder solchen, die explizit von irgendwelchen Gaunern
betrieben werden, die einem irgendwelche Schadprogramme unterschieben sollen.
Insofern kann man das Internet sehr gut mit einem Fluß vergleichen, an dessen
einem Ufer Sie stehen und an dessen anderen Ufer sich Ihr Ziel befindet.
Dummerweise ist Ihr einziger Weg dorthin eine Furt, die hindurch führt, und zu
allem Überfluß wimmelt es in dem Fluß vor hungrigen Krokodilen und Piranhas,
aber auch jede Menge Blutegel und Krankheitserreger befinden sich darin, also
alles, was einem die Freude gründlich vergällen kann – und weit und breit ist
keine Brücke in Sicht.
Das Problem bei diesem ganzen Kroppzeugs ist dummerweise, daß man zwar weiß,
daß es da ist, doch man weiß nie, ob, und wenn ja, wann, es einen erwischt.
Zwar könnte man jetzt auf Nummer Sicher gehen und von einer Passage absehen,
doch leider erreicht man so sein Ziel nicht. Und wenn man sein Ziel, in das
möglicherweise auch noch irgendwelche Unholde einbrechen wollen, doch noch
erreichen will, muß man wohl oder übel die Passage wagen, mit all den damit
einhergehenden Problemen.
Jetzt könnte man durchaus versuchen mit einem Boot an sein Ziel zu kommen, und
Anwendungen wie HTTPS bieten sehr wohl Sicherungsmöglichkeiten, die einen vor
bösen Überraschungen schützen sollen, doch was ist, wenn dieses Boot
unvermittelt ins Schlingern gerät (z. B. der sog.
POODLE-Angriff
oder der
Heartbleed-Bug)?
Dann nützt es einem auch nur bedingt, wenn man sich so wieder Probleme
einhandelt.
Zudem sind n verschiedene Anwendungen, die alle ihre
Sicherheitsvorkehrungen selbst implementieren, auch wiederum eine entsprechende
Anzahl Angriffspunkte für irgendwelche Idioten, und Sie müssen sie
alle auf dem neuesten Stand halten, um sich keine
Probleme einzuhandeln – oder zumindest die in diesen Anwendungen verwendeten
Bibliotheken, die diesen die Ver- und Entschlüsselungsarbeit abnehmen.
Der Brückenschlag
Um hier diverse Probleme von vornherein aus dem Weg zu räumen, wäre es äußerst
hilfreich, wenn man diese Furt meiden kann und sich selbst eine Brücke baut. In
diesem Fall lassen Sie irgendwelche Widerlinge einfach draußen, während Sie den
gefährlichen Fluß sicher überbrücken.
Ihr Ziel kann z. B. ein Server sein, den Sie angemietet haben und auf den Sie
zugreifen wollen. Anstatt auf ein Boot (z. B. SSH, o. ä.) zu setzen, was immer
ein lohnendes Ziel für irgendwelche Angreifer darstellt, legen Sie einfach eine
gesicherte Verbindung an, auf der Sie nach Belieben schalten und walten können.
Zudem ist es hier nicht mehr erforderlich, daß die verwendeten Programme
irgendwelche Sicherheitsvorkehrungen selbst mitbringen; der Schutz wird durch
die Brücke bereits gewährleistet. Dies ermöglichst beispielsweise eine
Anmeldung mittels Telnet an Ihrem Server, ohne daß Sie Probleme befürchten
müssen, wenn Sie auf einer IPsec-Verbindung arbeiten. Im Gegensatz dazu wäre es
absolut unverantwortlich, Telnet allgemein für das Internet zu öffnen, da Ihr
Server schlagartig ungeschützt wäre und man die gesamte Kommunikation,
einschließlich der Anmeldedaten, im Klartext mitlesen könnte!
Und sollte sich das Fundament der Brücke als instabil erweisen, weil StrongSwan
eine Sicherheitslücke enthält, so reicht es, wenn Sie die notwendigen
Aktualisierungen an einer einzigen Stelle einspielen, um das Problem zu
beheben, anstatt an vielen verschiedenen Stellen tätig werden zu müssen.
Wie IPsec Sie schützen kann
Wie bereits im Kapitel Gegenmaßnahmen
erläutert, schützt IPsec Sie in dreierlei Hinsicht vor unliebsamen
Überraschungen. So erzwingt es, daß jeder Teilnehmer einer IPsec-Verbindung
sich den anderen Teilnehmern gegenüber ausweisen können muß. Unbekannte
Stellen können sich so nicht einfach in die Verbindung einschleichen, und
etwaige faule Eier lassen sich so i. d. R. auch recht schnell auffinden und
entfernen.
Dazu stellt es die Integrität der übertragenen Daten sicher, d. h., daß es
nahezu unmöglich ist, die über eine IPsec-Verbindung übermittelten Daten zu
fälschen – zumindest wäre es nur mit einem Aufwand hinzubekommen, der in keiner
Relation zum Nutzen stünde. Dadurch hat man letztlich die Gewähr, daß die Daten
so an ihrem Ziel ankommen, wie sie abgesendet worden sind.
Drittens verhindert IPsec, daß die Daten von Dritten mitgelesen werden können,
da Außenstehende den Datenstrom mehr als Rauschen wahrnehmen denn als eine
normale Datenverbindung: Das, was im Innern der Verbindung vonstatten geht,
bleibt somit vollkommen verborgen.
Dadurch ist eine IPsec-Verbindung sicher vor Manipulationen, und falls es doch irgendwer versuchen sollte, so erzeugt er damit höchstens einen Fehler, was sich für Sie als unerwarteter Verbindungsabbruch darstellt. Somit bekommen Sie eine Vorwarnung, insbesondere wenn derlei gehäuft auftritt, obwohl die physikalische Internetverbindung stabil genug ist, als daß diese als Erklärung für den Verbindungsabbruch infrage käme.
nach obenWovor IPsec Sie nicht schützen kann
Allerdings hat IPsec auch einige Beschränkungen. So ist IPsec bestens dazu
geeignet, eine Verbindung zwischen zwei Rechnern gegen Mithören und
Manipulationen abzusichern, doch stellt es keinen Schutz vor bösartigen Daten
dar, die auf regulärem Wege den Weg auf Ihre IPsec-Verbindung finden, z. B. im
Rahmen eines Downloads oder einer E-Mail, die Sie so von Ihrem Mailserver
abholen. Um diesen Problemen zu begegnen, sind ganz andere Sicherheitsmaßnahmen
erforderlich, als IPsec sie bieten kann.
Nehmen wir einmal folgendes Szenario: Sie bauen eine IPsec-Verbindung zu Ihrem
Server auf, der auch als IPsec-Gateway fungiert, um irgendwelche Daten irgendwo
herunterzuladen. Da der Zielserver i. d. R. nicht mit Ihrem IPsec-Gateway
identisch ist, muß der Datenstrom in das ungeschützte Internet zurückwechseln
und sich dort seinen Weg weiter zu seinem Ziel bahnen. Hier gibt es jetzt eine
Reihe von Möglichkeiten, sich ein Problem einzufangen, z. B. ein
kompromittierter Server, der nicht (nur) die angeforderten Daten bereitstellt,
sondern Ihnen am besten gleich irgendeinen
Trojaner andrehen will,
weil irgendwer es z. B. auf die Bankdaten unbedarfter Nutzer abgesehen hat.
In diesem Fall sendet der Server auf die erfolgte Anforderung Daten zurück, die
vom IPsec-Gateway als legitim eingestuft und dementsprechend auf die gesicherte
Verbindung gelassen werden – und prompt haben Sie das Biest auf Ihrem System.