FreeSWAN ontwerp

Het doel was om een FreeSWAN IPSec gateway te installeren zodat er serieuze elektronische privacy (encryptie+anonymiteit) bereikt kon worden.

swan

Een standaard 'tunnel' is een d.m.v. encryptie beveiligde verbinding over een onveilig netwerk:

pc

modem

internet

modem

pc

--- Pc  ======>  firewall  ======>  INTERNET  <======  firewall  <======  Pc ---

Links (blauw) en rechts (groen) zijn hierbij gelijkwaardige communicatiepartners, die ieder nog een subnet achter zich kunnen hebben.

Voor het opzetten van een anonimiserende FreeSWAN IPSec service wordt de linker firewall in dit model vervangen door een "statefull firewall" (IP-tables). Die kan niet alleen nauwkeuriger waken maar ook 'routen' en vormt een effectieve verdedigingslinie tegen keyloggers en remote access. Zo'n verstevigde 'poortwachter' wordt een bastionhost genoemd. In principe kan zo'n bastionhost vanaf een cd opereren (i.p.v. een harddisk nodig te hebben) zodat er ook nooit iemand ongewenste wijzigingen op de configuratie aan kan brengen (cd's zijn niet "writable" zoals een harddisk). De bastionhost is ook in staat om na te gaan of iemand toegangsrechten tot de zich hierachter bevindende privacy-service heeft.

pc

bastion host

internet

modem

pc

--- Pc ======> Bastion Host  =====>  INTERNET  <======  firewall  <======  Pc ---

De linker pc wordt in dit model vervangen door een server die namens de client (de rechter pc) gaat handelen, zodat client's IP adres en persoonsgegevens niet op het Internet terecht komen. (Voor de buitenwereld wordt er steeds vanaf de IPSec Gateway gehandeld.) De IPSec gateway machine is achter de bastionhost ook veilig afgeschermd van de buitenwereld en dus het meest geschikt voor het bijhouden van de accountadministratie (wie heeft welke geldige account). De actuele gegevens kunnen dan steeds aan de Bastionhost doorgegeven worden.

server

bastion host

internet

modem

pc

--- IPSec Gateway+proxy => Bastion Host => INTERNET  <=======  firewall   <=======  Pc ---   

Achter de linker pc, die inmiddels gewijzigd is in een 'doorvoerstation' door er een proxy (zoals Privoxy) aan toe te voegen, zit nu geen lokaal subnet meer maar het hele Internet. Tussen deze IPSec Gateway en het Internet bevindt zich natuurlijk ook een stevige firewall, maar dit vergt geen nieuwe hardware omdat die gemakkelijk aan deze pc toegevoegd kan worden. Hier kunnen desgewenst ook speciale script-filters aangebracht worden (bijvoorbeeld tegen Active X, Java, JavaScript of cookies). Over het algemeen kan dit echter beter door de client zelf geregeld worden om te voorkomen dat de privacy-service belemmerend gaat functioneren.

internetcomputers

internet

terug pijltje

firewall

gateway

bastionhost

internet

firewall

pc

"Anderen" <-> INTERNET <-> firewall<->Gateway<->BastionHost<=>INTERNET<=>firewall<=>Client---

Hierbij is het verkeer tussen Client en BastionHost veilig encrypted. Het verkeer tussen BastionHost en IPSecGateway kan hardwarematig afgeschermd worden door goede bekabeling, terwijl de tijdstempels op de pakketjes zowel als het datavolume op het pad tussen BastionHost en Gateway gewijzigd kunnen worden om het leggen van verbanden tussen "inkomend" en "uitgaand" verkeer te verhinderen. Het gevolg is dat er geen rechtstreeks verband meer aanwijsbaar is tussen Client en dataverkeer met "Anderen".

Het verkeer tussen IPSecGateway en Internetbestemming geniet hierbij overigens geen speciale bescherming. Dit zijn gewone verbindingen zonder encryptie waarbij de getransporteerde inhoud eenvoudig zichtbaar te maken valt. Nu is dat niet zo'n probleem zolang er geen verband gelegd kan worden tussen de getransporteerde content en de client, maar om het helemaal te optimaliseren kan hier waar mogelijk gebruik gemaakt worden van SHTTP i.p.v. http. Dan zijn de datapackets tussen Internetbestemming en Gateway ook krachtig encrypted. Voorwaarde is wel dat de zich op het Internet bevindende content-aanbieder (webserver) SHTTP ondersteunt. Voor e-mail geldt ongeveer het zelfde. Het stuk tussen Client en Bastionhost kan de e-mail door de tunnel getransporteerd worden zodat deze goed afgeschermd is, maar het stuk tussen Gateway en zich ergens ter wereld bevindende "Anderen" bevat geen encryptie. Hier kan de client desgewenst nog eigen encryptie voor gebruiken (zoals PGP/GPG)

privacy gate

('links' en 'rechts' werden hier omgewisseld)

terug pijltjeterug pijltjes

terug pijltje

vooruit pijltje