OSCam/de/VPN: Unterschied zwischen den Versionen
Wiwe (Diskussion | Beiträge) |
Wiwe (Diskussion | Beiträge) |
||
Zeile 105: | Zeile 105: | ||
= Beispiel einer VPN-Lösung für OSCam-Cardserver = | = Beispiel einer VPN-Lösung für OSCam-Cardserver = | ||
[[ | [[Datei:OSCam_Bild.jpg]] |
Version vom 20. Mai 2011, 13:53 Uhr
OSCam und VPN
VPN steht für Virtual Private Network. Hier findet man eine ausführliche Definition [1]
Wirkungsbereiche eines OSCam-Card-Servers (CS)
Das sind die räumlichen Bereiche, in denen sich die Clients befinden, die vom CS Daten beziehen.
intern
Bereiche, über die der Betreiber eines CS selbst verfügt bzw. unmittelbare Kontrolle hat; z.B. eigene Zimmer, Wohnung, Haus, Grundstück.
extern
Bereiche, über die der Betreiber wenig oder keine unmittelbare Kontrolle hat; z.B. fremde Zimmer, Wohnungen, Häuser und Grundstücke im In- oder Ausland.
Sicherheit
Damit ist der Schutz der Verbindungen zwischen CS und Client vor
- Eindringen
- Manipulieren
- unbefugtes Nutzen
- und Dokumentieren für die Verfolgung privater und öffentlicher Interessen
gemeint.
intern
Solange Kontrolle und Verfügbarkeit der CS-Verbindungen durch den Betreiber des CS gewährleistet ist, sind Fragen der Sicherheit nachrangig. Hier kann sich der User nach Lust und Laune mit den zur Verfügung stehenden Protokollen austoben. Es sind dann eher philosophische Fragen, welches Protokoll man für das CS verwenden möchte.
extern
Im Gegensatz zum internen Bereich ist hier der Sicherheit und Zuverlässigkeit besondere Aufmerksamkeit zu widmen. Dabei spielen aber auch Fragen der Geschwindigkeit und des einfachen handlings eine Rolle. Damit kommen nun auch die zur Verfügung stehenden Protokolle in die Diskussion.
Welche Protokolle stehen zur Verfügung
Hier werden die unterstützten Protokolle im OSCam-Wiki beschrieben [2]
TCP oder UDP ?
Eigenschaften von TCP
Transmission Control Protocol. Eine ausführliche Beschreibung dieses Protokolls für den bidirektionalen Datentransport findet man z.B. hier [3]
Haupteigenschaften
- zuverlässig
- verbindungsorientiert
- paketvermittelnd
- bidirektional
- Datenverluste werden erkannt und behoben
Voraussetzungen
- Vollduplexverbindung (mit Einschränkungen auch Halbduplex)
- Festdefinierte Endpunkte mit jeweils IP und Portnummer (Paar)
Geschwindigkeit
- Wegen des komplexen Ablaufs (u.a. Drei-Wege-Handschlag) nicht so schnell wie UDP
Eigenschaften von UDP
User Datagram Protocol. Eine ausführliche Beschreibung dieses minimalen, verbindungslosen Netzwerkprotokolls findet man z.B. hier [4]
Haupteigenschaften
- verbindungslos
- nicht zuverlässig
Voraussetzungen
- keine definierten Endpunkte
Geschwindigkeit
- Da vor Übertragungsbeginn nicht erst eine Verbindung aufgebaut werden muss, können die Partner schneller mit dem Datenaustausch beginnen. Das fällt vor allem bei Anwendungen ins Gewicht, bei denen nur kleine Datenmengen ausgetauscht werden müssen. Ein Drei-Wege-Handschlag wie bei dem Transmission Control Protocol entfällt. UDP ist daher i.d.R. etwas schneller als TCP.
Ideale Kombination ?
Vorbemerkung: Die nachfolgenden Überlegungen beziehen sich ausschließlich auf die Erfordernisse für CS! Es bestehen keine Zweifel, dass in den meisten übrigen Bereichen des sensiblen Datentransports andere Kriterien gelten.
Da beim CS ja nur kleinste Datenmengen übertragen werden, stellt sich die Frage, ob hierfür ein so komplexes Protokoll wie TCP hergenommen werden muss, wenn man die Faktoren Sicherheit und Zuverlässigkeit auch auf andere Weise gewährleisten kann.
UDP als Protokoll
Vorteile
- Nur maximal 3 Config-Parameter auf dem Server für alle Clients, wo sie auch immer ihre Location haben. Siehe OSCam-Wiki [5]
- Nur 1 Config-Zeile beim Client
VPN als Transportweg
VPN wird von verschiedenen Providern meistens gegen Gebühr angeboten. Davon muss man nicht Gebrauch machen. Es gibt linux-basierte Lösungen (Open-Source und GUI). Im vorliegenden Beispiel wird IPCOP eingesetzt.
IPCOP
IPCOP ist eine Linux-Distribution, deren einziger Einsatzzweck in dem Schutz von Netzwerken besteht. Sie ist
- sicher
- stabil
- quellofen
- flexibel und
- leicht zu bedienen
(Zitate aus: Marco Sondermann "IPCop kompakt", Verlag bomots.de)
Neben der Hauptaufgabe einer Firewall bietet diese Distribution ein VPN an.
Der VPN-Tunnel von IPCOP gewährleistet
- Vertraulichkeit durch Verschlüsselung
- Integrität (Schutz gegen Manipulation) und
- Authentizität durch Signierung der Datenpakete
Verbindungsmöglichkeiten
- Host-zu-Netz auch RoadWarrior genannt. Einzelnen Hosts (Clients) wird der Zugriff zu einem Netzwerk ermöglicht.
- Netz-zu-Netz zwei oder mehrere Netze können unmittelbar miteinander kommunizieren.
Mehr über IPCOP findet man in diesem Board [6]
Fazit
Durch eine Kombination von UDP und VPN können gewährleistet werden
- Einfaches handling und Schnelligkeit von UDP und
- Sicherheit, Integrität und Authentizität von VPN des IPCOP