StrongSwan: Sicher vernetzt
Wenn Server miteinander kommunizieren müssen...
Es kann immer mal vorkommen, daß für ein Projekt ein Server zu wenig ist oder
aber Sie schlichtweg auf Redundanz setzen wollen für den Fall, daß Ihr
eigentlicher Webserver streikt – oder schlichtweg weil Sie die Aufgaben, die
innerhalb eines Netzwerks anfallen, auf verschiedene Server verteilen wollen,
damit nicht einer alles übernehmen muß. Gründe gibt es viele, weshalb Server
miteinander in Verbindung treten müssen. Allen Szenarien ist jedoch immer eines
gemeinsam: Es muß eine Netzwerkverbindung zwischen den betroffenen Servern her.
Dies stellt nur dann kein Problem dar, wenn Sie die Server über ein vom
Internet unabhängiges Netzwerk miteinander koppeln können, so daß der
Datenstrom zwischen den Servern den Bereich, in dem sich die Server befinden,
nicht verlassen muß. In diesem Fall können Sie es sich einfach machen und
brauchen lediglich nur ein weiteres Netzwerk einzurichten, auf das die Server
Zugriff haben.
Wenn ein LAN nicht verfügbar ist...
Leider gibt es genügend Szenarien, die dies unmöglich machen. Was ist denn beispielsweise mit Rechnern, die über keine Anbindung an ein solches LAN haben, oder wie sieht es aus, wenn sich die fraglichen Rechner in verschiedenen Rechenzentren befinden, die nicht zwingend notwendigerweise über eine physikalische Verbindung zueinander verfügen? In diesen Fällen kommen Sie nicht umhin, eine Verbindung über das Internet aufzubauen, über die die einzelnen Server miteinander kommunizieren können.
In diesem Fall ist es jedoch zwingend erforderlich, daß Sie diese Verbindungen
nicht ungeschützt lassen, da Sie sonst raten können, wer da was anstellt, und
um das zu gewährleisten, drängt sich einem IPsec geradezu auf.
Wie bereits im vorigen Kapitel veranschaulicht,
verhindert IPsec ein Mitlesen und Manipulieren des Datenstroms, so daß eine
Netzwerkverbindung entsteht, die man einem drahtgebundenen, privaten LAN
gleichsetzen kann: Was dort versendet wird, bleibt vertraulich, und das, was
Außenstehende erkennen können, kann man getrost als Rauschen bezeichnen, da die
übermittelten Daten wie eine zufällige Abfolge von Zeichen anmuten.
Auf diesem Wege können Ihre Server gefahrlos miteinander kommunizieren; Sie
müssen lediglich dafür Sorge tragen, daß Sie sich keine faulen Eier einhandeln,
aber das sollte kein Problem sein, wenn Sie darauf achten, wem Sie eine
Zugangsberechtigung ausstellen.
Der Lückenschluß
Um den Raum zwischen den Servern zu überbrücken, richten Sie auf beiden Seiten
StrongSwan ein und weisen es an, daß es mit dem jeweils anderen Rechner
Verbindung aufzunehmen hat. Dazu ist es jedoch nicht erforderlich, daß die
IPsec-Verbindung permanent offen gehalten wird. Es ist nur notwendig, daß sie
bei Bedarf wieder geöffnet wird, wenn Daten zwischen den Servern ausgetauscht
werden müssen, aber auch dazu läßt sich StrongSwan anweisen.
Sowie Sie die Verbindung erfolgreich aufgebaut haben, können Sie alles, was für
die Kommunikation zwischen den Servern erforderlich ist, dort freigeben. Dies
kann beispielsweise ein NFS sein, um den auf einem Server zur Verfügung
stehenden Plattenplatz zu vergrößern. Dadurch läßt sich z. B. ein zentraler
Webserver einrichten, der beispielsweise mehrere Domains verwaltet, deren
Unterverzeichnisse Sie so jedoch auf andere Server aufteilen können. Oder aber
Sie verteilen die einzelnen Teile Ihres Webprojektes auf mehrere Server, z. B.
nach Themen gegliedert.
Auch ist es so möglich, die Authentifikation gegen einen RADIUS-Server auf
einen anderen Rechner auszulagern, genauso wie eine etwa vorhandene
MySQL-Datenbank oder Ihren LDAP- oder NIS-Server. Ihren Möglichkeiten sind hier
keine Grenzen gesetzt.
Genauso können Sie auch einen der Server so aufsetzen, daß er regelmäßig Backups von den anderen Servern einsammelt und speichert – und diese automatisch wieder aufspielt, wenn sich die Notwendigkeit ergeben sollte, z. B. nachdem sich einer der Server verabschiedet hat und jetzt komplett neu aufgesetzt werden muß. In dem Fall brauchen Sie nur die Verbindung zum Backupserver herzustellen, der Rest wird von diesem erledigt.
nach obenDer Zugang zum heimischen Netzwerk
Genauso läßt sich übrigens auch ein Zugang zu Ihrem heimischen Netzwerk
herstellen. Sie brauchen dazu lediglich einen kleinen Server, auf dem Sie IPsec
einrichten können (virtuelle Server taugen hier nicht unbedingt, da Sie darauf
kein IPsec aufsetzen können, wenn der Server falsch konfiguriert ist – fragen
Sie in diesem Fall bei Ihrem Hoster nach), und Sie müssen Ihr IPsec-Gateway zu
Hause eingeschaltet lassen. In diesem Fall greifen Sie indirekt über einen
IPsec-Tunnel auf Ihr heimisches Netzwerk zu, und da Ihrem IPsec-Gateway
innerhalb des Tunnels eine virtuelle IP-Adresse zugewiesen wird, brauchen Sie
sich nicht um die aktuell gültige öffentliche IP-Adresse des Gateways zu
kümmern, sondern können die innere IP-Adresse verwenden – und wenn Sie alles
richtig aufgesetzt haben, können Sie sogar auf das Netzwerk dahinter zugreifen,
als befänden Sie sich direkt im heimischen LAN.
Das Einzige, was Sie so noch sicherstellen müssen, ist, daß keine fremden
Personen über den Umweg Ihres Servers in Ihr LAN eindringen können – aber mit
den richtigen Sicherungen stellt das überhaupt kein Problem dar.