Ich fand eine Frage im Thread IPSec mit Windows - zu verstehende Anleitung? sehr interessant und wäre an euren Meinungen interessiert. Meine Meinung gebe ich mal für den Anfang schon mal dabei.
Das kann man so pauschal vermutlich nicht entscheiden. Das fängt schon damit an, daß das eine ein Protokoll und gleichzeitig die einzige Implementierung ist und das andere ein Protokoll mit vielen Implementierungen.
Grob gesagt kann man den Sicherheitsaspekt in drei Teilaspekte auftrennen:
1. eingesetzte kryptographische Verfahren
2. das aus diesen Verfahren aufgebaute Modell und die dazugehörige Protokollspezifikation
3. die konkrekte Implementierung
Nicht ganz, aber auch nicht völlig unterschiedlich. Zumindest verwendet OpenVPN anerkannte kryptographische Verfahren zur Authentifizierung, Sessionverschlüsselung und Integritätsprüfung.
Das muß natürlich jeder für sich selbst entscheiden...
Ich schildere mal meine Sicht bezüglich OpenVPN:
Wie schon gesagt sind die kryptographischen Verfahren allgemein anerkannte Standardverfahren. Das ist schon mal gut bzw. kein Nachteil gegenüber IPSec. Die Erfahrung hat gezeigt, daß exotische Eigenlösungen einer harten Analyse meist nicht stand halten.
Das Modell bzw. die Protokollspezifikation ist am schwersten zu beurteilen, scheint bei OpenVPN wohl in Ordnung zu sein, zumindest habe ich noch nichts anderes gelesen und OpenVPN kommt bei dieser oft verlinkten Untersuchung von VPN Lösungen ganz gut weg.
Bei der konkreten Implementierung hat OpenVPN IMHO einen klaren Vorteil gegenüber IPSEC. Es ist wesentlich leichtfüßiger, weniger komplex, läuft komplett im Userspace und kann seine Root-Rechte unmittelbar nach dem Start abgeben und während der gesamten restlichen Zeit als unpriviligierter Prozess laufen.
Die Liste der Sicherheitseinträge liest sich sowohl bei OpenBSDs IPSec als auch bei OpenVPN ziemlich gut. Beide haben bereits mehrere DoS-Anfälligkeiten gehabt, aber soweit ich erkennen kann nur jeweils eine Sicherheitslücke, die die Ausführung beliebigen Codes ermöglicht hat. Da unterscheiden sich die beiden also nicht wesentlich voneinander und machen eine recht gute Figur, zumindest wenn man das mal beispielsweise mit OpenSSH vergleicht, bei dem schon mehrfach Lücken die Ausführung beliebigen Codes für Angreifer ermöglicht haben.
Aber gefundene Sicherheitslücken haben natürlich auch etwas mit der Aufmerksamkeit zu tun, die die Software erfährt. Ich denke, man kann schon davon ausgehen, daß OpenSSH die meiste Aufmerksamkeit bekommt. Und IPSec bekommt sicherlich mehr Aufmerksamtkeit als OpenVPN, zumindest vom Protokoll her. Ob jetzt OpenBSDs IPSec mehr Aufmerksamkeit bekommt als OpenVPN vermag ich wirklich nicht abzuschätzen. Jedoch steckt bei "OpenBSD" vermutlich mehr Reputation dahinter.
Ich finde es auch eigentlich nicht wirklich so nachteilig, daß OpenVPN kein allgemein definiertes Protokoll ist, denn zum Ausgleich ist die eine Implementierung extrem portabel.
Zusammenfassung:
Wer auf die Komplexität schon IPSec verzichten kann, der sollte das auch tun. Nachteile hat man dann mit OpenVPN keine, sondern höchstens leichte Vorteile.
PS.
Dazu kommen noch andere, nicht direkt sicherheitsrelevante Aspkete wie NAT-kompatibilität und ein unkomplizierter Umgang mit dynamische IP-Adressen, selbst in Situationen, wenn beide Endpunkte dynamische Adressen haben. Das bringt OpenVPN für den Hausgebrauch noch zusätzliche Vorteile.
moe schrieb:
Das kann man so pauschal vermutlich nicht entscheiden. Das fängt schon damit an, daß das eine ein Protokoll und gleichzeitig die einzige Implementierung ist und das andere ein Protokoll mit vielen Implementierungen.
Grob gesagt kann man den Sicherheitsaspekt in drei Teilaspekte auftrennen:
1. eingesetzte kryptographische Verfahren
2. das aus diesen Verfahren aufgebaute Modell und die dazugehörige Protokollspezifikation
3. die konkrekte Implementierung
moe schrieb:
Nicht ganz, aber auch nicht völlig unterschiedlich. Zumindest verwendet OpenVPN anerkannte kryptographische Verfahren zur Authentifizierung, Sessionverschlüsselung und Integritätsprüfung.
moe schrieb:
Das muß natürlich jeder für sich selbst entscheiden...
Ich schildere mal meine Sicht bezüglich OpenVPN:
Wie schon gesagt sind die kryptographischen Verfahren allgemein anerkannte Standardverfahren. Das ist schon mal gut bzw. kein Nachteil gegenüber IPSec. Die Erfahrung hat gezeigt, daß exotische Eigenlösungen einer harten Analyse meist nicht stand halten.
Das Modell bzw. die Protokollspezifikation ist am schwersten zu beurteilen, scheint bei OpenVPN wohl in Ordnung zu sein, zumindest habe ich noch nichts anderes gelesen und OpenVPN kommt bei dieser oft verlinkten Untersuchung von VPN Lösungen ganz gut weg.
Bei der konkreten Implementierung hat OpenVPN IMHO einen klaren Vorteil gegenüber IPSEC. Es ist wesentlich leichtfüßiger, weniger komplex, läuft komplett im Userspace und kann seine Root-Rechte unmittelbar nach dem Start abgeben und während der gesamten restlichen Zeit als unpriviligierter Prozess laufen.
Die Liste der Sicherheitseinträge liest sich sowohl bei OpenBSDs IPSec als auch bei OpenVPN ziemlich gut. Beide haben bereits mehrere DoS-Anfälligkeiten gehabt, aber soweit ich erkennen kann nur jeweils eine Sicherheitslücke, die die Ausführung beliebigen Codes ermöglicht hat. Da unterscheiden sich die beiden also nicht wesentlich voneinander und machen eine recht gute Figur, zumindest wenn man das mal beispielsweise mit OpenSSH vergleicht, bei dem schon mehrfach Lücken die Ausführung beliebigen Codes für Angreifer ermöglicht haben.
Aber gefundene Sicherheitslücken haben natürlich auch etwas mit der Aufmerksamkeit zu tun, die die Software erfährt. Ich denke, man kann schon davon ausgehen, daß OpenSSH die meiste Aufmerksamkeit bekommt. Und IPSec bekommt sicherlich mehr Aufmerksamtkeit als OpenVPN, zumindest vom Protokoll her. Ob jetzt OpenBSDs IPSec mehr Aufmerksamkeit bekommt als OpenVPN vermag ich wirklich nicht abzuschätzen. Jedoch steckt bei "OpenBSD" vermutlich mehr Reputation dahinter.
Ich finde es auch eigentlich nicht wirklich so nachteilig, daß OpenVPN kein allgemein definiertes Protokoll ist, denn zum Ausgleich ist die eine Implementierung extrem portabel.
Zusammenfassung:
Wer auf die Komplexität schon IPSec verzichten kann, der sollte das auch tun. Nachteile hat man dann mit OpenVPN keine, sondern höchstens leichte Vorteile.
PS.
Dazu kommen noch andere, nicht direkt sicherheitsrelevante Aspkete wie NAT-kompatibilität und ein unkomplizierter Umgang mit dynamische IP-Adressen, selbst in Situationen, wenn beide Endpunkte dynamische Adressen haben. Das bringt OpenVPN für den Hausgebrauch noch zusätzliche Vorteile.
