[Alug] Projektvorschlag: easy trusted networks [ETN]

Arne Handtmann aeh at plesnik.de
Mit Mai 21 10:45:39 CEST 2003 

Hallo zusammen,

offenbar wollte SCPs Mailserver meine Nachricht nicht...

Gruss,
  Arne

--- HIER BEGINNT DIE WEITERGELEITETE NACHRICHT ------------------------
     An: Ulrich Norbisrath <alug at scp.de>
  Datum: 21.5.2003, 09:46:33
Betreff: Re: [Alug] Projektvorschlag:  easy trusted networks [ETN]

Hallo Uli,

> So koennte man mal eben flott virtuelle lokale Netzwerke aufsetzen und
> beliebige Tests mit anderen durchfuehren, ohne sich um Tunnel oder
> aehnliches kuemmern zu muessen.

Im Prinzip braeuchte man dazu ein Script, welches folgende Dinge erledigt:

- Generierung der notwendigen Eintraege in /etc/ipsec.secrets

- Automatische Erstellung einer Tunnel-Definition (sic!) fuer jede
Verbindung, wobei man ((Anzahl Nodes)^2)-1 Verbindungen hat (wenn man ein
sternfoermig vermaschtes Netz erzeugen will, wo jeder jeden via VPN
ansprechen soll)

- "Automatische" Anpassung der Firewall, damit die entsprechenden Netze
durch die Firewall durchkommen (in der Regel machen wir das bei der SuSE in
/etc/sysconfig/SuSEfirewall-custom)

Ein Perl-Script hierzu ist sicherlich nicht zu umfangreich.

- Wenn Authentifizierung ueber X.509-Zertifikate gewuenscht wird, dann
muessen noch die entsprechenden Dateien bzw. Keys in die
CA-Verzeichnisstruktur in /etc/ipsec.d (bzw. je nach lokaler Installation
und ggf. vorhandener CA) uebertragen werden

Dies per Script komplett zu automatisieren halte ich fuer recht aufwaendig,
die Frage ist natuerlich wieviel Aufwand man dem Sysadmin des betroffenen
Systems aufbuerden will und wie umfangreich die Anpassungen z.B. fuer andere
Distributionen sein soll...

Und: Soll die gesamte FreeS/WAN-Konfiguration von diesem Script erstellt
werden oder muss man Ruecksicht auf evtl. vorhandene andere Tunnel etc.
nehmen? Sobald man naemlich mit X.509 und PSK (Preshared Keys) arbeitet wird
es etwas "haarig" mit den Parametern, Default-Einstellungen etc.

Gruss,
  Arne


--- ENDE DER WEITERGELEITETEN NACHRICHT--------------------------------

============================================================================
Arne Handtmann                               Ingenieurbuero Dr. Plesnik GmbH
Roermonder Strasse 615                                 Fon: +49-241-14946-20
52072 Aachen                                           Fax: +49-241-14946-39
aeh at plesnik.de                                           D1: +49-170-5626889
----------------------------------------------------------------------------
PGP public key fingerprint: 41 04 39 59 9E DE B9 65  A1 51 F4 F0 C1 3F AF 23
PGP public key available via finger aeh at www.plesnik.de or PGP net keyservers
============================================================================