StrongSwan: Vorbereitungen
Was es zu beachten gilt
Wie Sie Ihre Rechner vorbereiten, hängt zunächst einmal davon ab, wie Sie
StrongSwan aufsetzen wollen. Hier gibt es zwei Möglichkeiten: Nutzergesteuert
als Modul für den NetworkManager oder als eingenständiger Prozeß, der die
Verbindung nutzerunabhängig auf- und bei Bedarf wieder abbaut.
Während sich erstgenannte Variante für jemanden eignet, der sich zeitweise mit
der Gegenstelle der IPsec-Verbindung verbindet, ist die zweite Variante eher
dafür geeignet, Rechner, die sich in unterschiedlichen Subnetzen befinden,
miteinander zu vernetzen. Dies kann beispielsweise dann erforderlich sein, wenn
Sie mehrere Server angemietet haben, möglicherweise sogar bei unterschiedlichen
Anbietern, die Sie jetzt miteinander verbinden wollen, damit so ein
zusammenhängender Verbund entsteht, in dem jeder der Server ein Teil eines
eigenständigen logischen Netzwerkes ist, das sich zunächst einmal nicht von
einem herkömmlichen lokalen Netzwerk unterscheidet. Der Hauptunterschied
besteht jedoch darin, daß in dem so gebildeten Netzwerk die Funkverbindung oder
etwaige Kabel durch einen IPsec-Kanal ersetzt werden.
Je nach Anwendungsszenario müssen Sie hier also unterschiedliche Pakete
installieren, um IPsec einzurichten.
Vorbereiten eines Servers
Dies ist vergleichsweise einfach vorzubereiten, da Sie normalerweise nur ein einziges Paket benötigen. Dennoch empfiehlt es sich, einige zusätzliche Pakete zu installieren, insbesondere die Dokumentation zu StrongSwan. Gehen Sie dazu wie folgt vor:
- Melden Sie sich an Ihrem Server als root an.
- Starten Sie YaST.
- Rufen Sie das Modul Software -> Software installieren oder löschen auf.
- Geben Sie als Suchbegriff strongswan ein. Sie bekommen eine Paketliste angezeigt.
- Wählen Sie auf jeden Fall das Paket strongswan-ipsec aus.
- Wenn gewünscht, wählen Sie noch die Pakete strongswan-doc und strongswan-mysql dazu.
- Wählen Sie Bestätigen aus und betätigen Sie RETURN.
- Bestätigen Sie die ggf. erscheinende Auswahl zusätzlich benötigter Pakete.
Dies wird sämtliche Pakete installieren, die Sie serverseitig für die IPsec-Verbindung benötigen. Allerdings ist es so noch nicht möglich, eine IPsec-Verbindung aufzubauen, da StrongSwan noch eine wesentliche Komponente fehlt, die aber notwendig ist, um die Sicherheit auf dem Übertragungswege zu gewährleisten.
nach obenVorbereiten Ihres lokalen Rechners
Auch hier brauchen Sie i. d. R. nur ein einziges Paket auszuwählen, um StrongSwan gangbar zu bekommen. Der wesentliche Unterschied ist jedoch, daß StrongSwan hier nicht eigenständig operiert, sondern vom NetworkManager gesteuert wird, über den Sie auch die Konfiguration regeln.
- Rufen Sie YaST aus dem Systemmenü Ihrer graphischen Benutzeroberfläche auf. Sie werden ggf. nach dem root-Passwort gefragt.
- Rufen Sie das Modul Software -> Software installieren oder löschen auf.
- Geben Sie als Suchbegriff strongswan ein. Sie bekommen eine Paketliste angezeigt.
- Wählen Sie das Paket strongswan-nm aus.
- Wenn gewünscht, wählen Sie das Paket strongswan-doc dazu.
- Klicken Sie auf Bestätigen.
- Bestätigen Sie die ggf. erscheinende Auswahl zusätzlich benötigter Pakete.
Hier werden alle Pakete für den NetworkManager installiert, die Sie auf Ihrem Rechner für die IPsec-Verbindung benötigen. Jedoch wird StrongSwan so noch streiken, da Ihnen eine wesentliche Komponente für die IPsec-Verbindung fehlt.
nach obenEines fehlt noch...
Wie bereits im letzten Kapitel erwähnt,
sind drei Sicherheitsaspekte vonnöten, um eine IPsec-Verbindung vollständig
gegen Belauschen und Manipulationsversuche abzusichern: Die Authentizität der
Gegenstelle muß einwandfrei festgestellt werden können, und die Daten müssen
manipulations- und abhörsicher sein.
Hier kommen Zertifikate zum Einsatz, die jeder von Ihnen zugelassenen Stelle
eine eineindeutige Kennung zuweisen, anhand derer die Identität bescheinigt
wird, sowie einen Satz Verschlüsselungsschlüssel bereitstellen, die sowohl eine
Integritätskontrolle der Daten erlauben als auch die übermittelten Daten für
Dritte unkenntlich machen. Allerdings ist der Erzeugungsprozeß für ein
Zertifikat nicht trivial, weshalb im nächsten Kapitel
genauer darauf eingegangen wird. Ich kann Sie dennoch beruhigen: Eine
Zertifikatsinfrastruktur läßt sich mit vergleichsweise wenigen Handgriffen
aufbauen.