Historie
Projekt Start WS 2000/2001
Ein Teilziel des Projektes:
Mobilen Endgeräten soll ein drahtloser Zugang zum Universitätsnetz und Internet ermöglicht werden.
Bedingungen:
- keinen anonymen Zugänge (Providerproblematik)
- sicherer Zugang (Abhörproblematik)
-> Verschlüsselung und Authentifizierung
Lösung:
VPN-Technik Netzwerkprotokoll IPSec, plattformunabhängig, transparent (Netzwerkschicht L3), zuverlässige Verschlüsselung, unabhängig von der darunter liegenden Netzwerkinfrastruktur (!) (-> das ist der entscheidende Vorteil gegenüber anderen Verfahren zur Sicherung des Funknetzwerks)
Obwohl von Sicherheitsexperten abgeraten wird, setzen zu diesem Zeitpunkt praktisch alle Unis als Sicherungsprotokoll pptp ein. Wie die vom BMBF geförderte Initiative "Wireless LAN" auf der Abschlussveranstaltung zeigt. Auch das "Mobile Pool Projekt" beteiligte sich mit einem Vortrag an dieser Veranstaltung und hat als einziges Projekt schon zu diesem Zeitpunkt IPSec als Verfahren zur Sicherung des Funknetzwerks eingesetzt.
18. & 19. Juni 2001
Abschlußveranstaltung der BMBF-Förderinitiative "Einsatz und Nutzung drahtloser Kommunikation" (Übersicht)
Am 23.7.2001 wurde vom "Mobile Pools Projekt" pptp erfolgreich gehackt.
Mittlerweile setzt praktisch keine Uni mehr pptp ein, wie man auf den RZ-Seiten der Universitäten nachlesen kann.
Statt dessen wird überwiegend die Lösung von Cisco System eingesetzt. Zwar kommt hier IPSec zum Einsatz, aber leider auch XAUTH als Authentifizierungverfahren am IPSec Gateway. Durch eine Schwäche im Design ist es hier möglich, Passworte anderer Nutzer zu erhalten und IPsec-Verbindungen zu entschlüsseln und mitzuschneiden. Eine Authentifizierung mittels X.509 Zertifikaten zeigt diese Schwäche nicht.
Mitte 2003 löste ein IPSec Gateway von Cisco Systems das bis dahin eingesetzte Linux IPSec Gateway auf Basis von freeSwan ab. Damit wurden alle gängigen Betriebssysteme abgedeckt. (Win / MAC / Linux/PalmOS)
Das "Mobile Pool Projekt" setzt seit Beginn X.509 Zertifikate zur Authentifizierung am IPSec Gateway ein. Damit wurde unter anderem gezeigt, dass es machbar ist, einen hohen Sicherheitsstandard zu gewährleisten und den administrativen Aufwand verhältnismäßig gering zu halten. Zu diesem Thema
wurde ein Paper verfasst und angenommen:
Titel: Securing Wireless Networks in a University Environment
Konferenz :Third IEEE International Conference on Pervasive Computing and
Communications Workshops, 2005. PerCom 2005 Workshops.
Seiten: 312- 316
Ende 2005
Verabschiedung des überarbeiteten IPSec und IKE-Standards (ikev2). Die hauptsächlichen Änderungen betreffen das Schlüsseltauschprotokoll (IKE). Das Protokoll wurde verschlankt, der erbindungsaufbau kommt sehr schnell zustande. Zuständigkeiten bei Paketverlusten sind geregelt, das sorgt für stabilere Verbindungen. "Dead Peer Dection" steht mit im Protokoll. Es sind sehr flexible Authentifizierungsverfahren möglich (EAP).
Anfang 2007
Ablösung der Linux Clients von Cisco durch eine Implementierung des strongSwan-Projekts. strongSwan ist eine vollständige IPSec-Implementierung für Linux 2.4 und 2.6 ernel. Es ist im Gegensatz zum Cisco Client eine OpenSource-Lösung und in vielen Linux Distributionen vertreten (kann aber auch aus dem Sourcecode kompiliert werden). strongSwan setzt auf dem IPSec-Stack des Kernels auf und benötigt kein proprietäres Kernelmodul wie es für den Cisco Client notwendig war.
Mitte 2007
Aufsetzen eines neuen (Test-)IPSec Gateway, auf Basis von strongSwan, welches den überarbeiteten IPSec Standard (ikev2) beherrscht. Gleichzeitig Virtualsierung aller MoPo-Dienste auf eine Maschine (slave-DNS, irc, mopoinfo, vpn)
www.heise.de/security/Einfacher-VPN-Tunnelbau-dank-IKEv2--/artikel/102744
Anfang 2008
Einbringen eines Patches zur Vergabe von virtuellen IP-Adressen innerhalb strongSwan, die zum Betrieb im MoPo Umfeld nötig ist. Danach wurde die dynamische virtuelle IP-Adressvergabe offiziell in strongSwan realisiert. Das strongSwan-Gateway ist nun offiziell in Betrieb genommen und wird von Linux-Usern verwendet.
Seit April 2008 akzeptieren die Gateways auch Uni-Zertifikate, die auch zur E-Mail-Signierung und -Verschlüsselung verwendet werden.
Weitere Anleitungen für Symbian und iPhone, iTouch stehen im Netz.
Evaluierung Safenet SoftRemote Windows VPN Client in Verbindung mit dem strongSwan Linux Gateway. Damit stehen auch für die Windows-Platformen VPN-Clients zur Verfügung, die das neue Protokoll beherrschen. Im Gegensatz zu den Cisco VPN Clients stehen auch 64 Bit Varianten zur Verfügung.
Anfang 2009
Microsoft hat in Windows7 (32bit/64bit) einen vollwertigen VPN-Client integriert. Somit ist keine zusätzliche Software mehr notwendig. Der sogenannte "Windows Agile VPN Client" spricht "ikev2". Der in Windows7 integrierte VPN-Client ist somit in der Lage mit dem "Mobilen Pools" VPN-Gateway das auf Basis der OpenSource Lösung von strongSwan arbeitet, eine VPN-Verbindung aufzubauen.
Mitte 2010
Das strongSwan IPSec Gateway wurde um eine weiteres Authentifizierungsverfahren erweitert. Neben Zertifikaten als Authentifizierungsmethode,
beherrscht das Gateway auch EAP-MSCHAP v2 in Verbindung mit einem RADIUS-Server, damit können sich Benutzer via Benutzernamen und Passwort am IPSec-Gateway authentifizieren. Diese Methode ist im Gegensatz zum XAUTH Protokoll sicher, d.h. bisher gibt es keine Möglichkeit das Passwort des Benutzers zu berechnen und den Datenstrom zu entschlüsseln. Es ist geplant, dass wir Zugang zum RADIUS-Server der Universität erhalten und somit allen Mitarbeitern und Studenten der Universität einen einfachen und zugleich sicheren Zugang zum Universitätsnetz ermöglichen.
Fazit:
Das Mobile Pool Konzept bietet eine Lösung ohne Kompromisse im Bereich Sicherheit. Das strongSwan Gateway ist "state of the art" was VPN Technik angeht. Das Projekt zeigt dass es auch in einem größeren Umfeld möglich ist solch eine Lösung zu bieten. Die Lösung ist OpenSource und damit nachvollziehbar/überprüfbar. Diese Lösung soll nicht in Konkurenz zum RZ-VPN treten und die "breite Masse" bedienen, sondern soll die Möglichkeit bieten "know-how" auf diesem Gebiet zu sichern und Studenten und Mitarbeiter mit dieser Technik vertraut zu machen.
Zukunft:
Wir gehen davon aus, dass zukünftig ikev2 in Mobile Endgeräte Einzug hält und es damit einfacher wird auch solche Endgeräte anzubinden. Das neue ikev2 Protokoll bietet Verfahren welche gerade auf mobile Endgeräte abgestimmt sind (MOBIKE). Damit sind wir in der Lage, schnell auf zukünftige Entwicklungen einzugehen ...
