diff --git a/sem/OpenVPN_vs_IPSec-Paper.tex b/sem/OpenVPN_vs_IPSec-Paper.tex index b290c4e..14b509d 100644 --- a/sem/OpenVPN_vs_IPSec-Paper.tex +++ b/sem/OpenVPN_vs_IPSec-Paper.tex @@ -19,6 +19,7 @@ citestyle=ieee \usepackage[scaled]{helvet} \usepackage{a4wide} \usepackage{rotating} +\usepackage[german]{fancyref} \usepackage{listings}\lstset{breaklines=true,breakatwhitespace=true,frame=leftline,captionpos=b,xleftmargin=6ex,tabsize=4,numbers=left,numberstyle=\ttfamily\footnotesize,basicstyle=\ttfamily\footnotesize} \sloppy \setlength{\parindent}{0em} @@ -203,8 +204,35 @@ Für die Verwendung hinter hochrestriktiven Firewalls ist OpenVPN im Vorteil, da \subsection{Performance} Nachdem wir IPSec und OpenVPN bezüglich der Schutzziele verglichen haben, widmen wir uns jetzt der Performance. -%TODO Vergleich Performance +Dabei beziehen wir uns auf den bereits genannten Vergleich von Kotuliak\cite{Kotuliak2011}. Zum Vergleich wurden zwei Rechner genommen, die über ein 1 GBit Ethernet verbunden waren. Auf beiden Rechnern lief Windows Vista. Zusätzlich lief auf beiden eine virtuelle Maschine von Debian mit der VM-Software VMware. Die beiden virtuellen Maschinen waren mit Ausnahme der IP und des Rechnernamens identisch. +Aufgrund des höheren Rechenaufwands durch eine virtuelle Maschine können minimale Unterschiede besser erkannt werden. Diese Unterschiede sind vor allem technischer Natur: IPSec benötigt einen low-level Zugriff auf das Netzwerkinterface, um die Pakete zu manipulieren. Dafür operiert IPSec im Ring0 des Kernel-Space.\cite{Kotuliak2011} + +Der Kernel-Space ist in Ringe unterteilt, wobei Ring0 für den Kernel und andere essentielle Prozesse reserviert ist. Ring1 ist für andere Systemprozesse reserviert, die low-level Zugriff auf Hardware benötigen. Je weiter man sich von Ring0 entfernt, desto weniger Privilegien haben die Prozesse. In Ring3 findet man schließlich die meisten Userprozesse, u.a. auch TLS-Implementationen. Prozesse in Ringen mit höheren Nummern können Prozesse aus Ringen mit niedrigeren Ringen nicht stören.\cite{Kotuliak2011} + +Mit diesem technischen Hintergrundwissen ausgestattet, können wir die Ergebnisse des Vergleichs betrachten. Der durchschnittliche Durchsatz kann in \fref{tab:tp} gesehen werden. Es fällt auf, dass der Durchsatz ohne Verschlüsselung weit über dem der Verschlüsselung liegt. Allerdings ist das auch nicht anders zu erwarten. Zum Verständnis ist jedoch noch wichtig, dass die verwendete Ethernetverbindung nicht für die Verwendung von Jumbo-Frames eingerichtet wurde. Ohne diese Frames ist solch eine Gigabit-Verbindung jedoch erheblich langsamer als der theoretische Wert (1 GBit/s).\cite{Kotuliak2011} + +Eine weitere Auffälligkeit ist die im Vergleich zu den übrigen Algorithmen schlechte Performance von 3DES. Dies liegt schlichtweg daran, dass 3DES ein veraltetes Verfahren ist und nicht weiter benutzt werden sollte. Bei diesem konkreten Verfahren ist IPSec (45 Mbps) langsamer als OpenVPN (60,98 Mbps), allerdings hat das kaum eine Relevanz, da 3DES wie gesagt veraltet ist. + +Interessanter ist dort der Unterschied zwischen dem Durchsatz von IPSec AES (142 Mbps) bzw. IPSec Blowfish (121,76 Mbps) und OpenVPN AES (98 Mbps) bzw. OpenVPN Blowfish (96 Mbps). Dieser signifikante Unterschied liegt an der Hardwarenähe von IPSec und ist dementsprechend auch erwartbar gewesen. + +Anhand dieser Zahlen ist auch ersichtlich, dass es keinen ernstzunehmenden Unterschied zwischen AES und Blowfish gibt. AES hat von beiden den Vorteil, dass das Verfahren standardisiert ist und von vielen Regierungen und im privaten Sektor größtenteils unterstützt wird. + +\begin{table} +\caption{Vergleich des durchschnittlichen Throughputs in Megabit pro Sekunde. Werte von Kotuliak\cite{Kotuliak2011}} +\label{tab:tp} +\begin{tabular}{c|c} +Szenario & Throughput (Mbps) \\ +\hline +Ethernet ohne Verschlüsselung & 553 \\ +OpenVPN 3DES & 60,98 \\ +OpenVPN AES & 98 \\ +OpenVPN Blowfish & 96 \\ +IPSec 3DES & 45 \\ +IPSec AES & 142 \\ +IPSec Blowfish & 121,76 +\end{tabular} +\end{table} \subsection{Kompatibilität} Abschließend gehen wir auf die Kompatibilität der Implementationen verschiedener Hersteller untereinander ein. Uns war es nicht möglich eigene Vergleiche hinsichtlich der Kompatibilität durchzuführen, daher werden wir nur oberflächlich darauf eingehen. diff --git a/sem/sem.bib b/sem/sem.bib index 0d16b31..d1ebba9 100755 --- a/sem/sem.bib +++ b/sem/sem.bib @@ -60,16 +60,7 @@ Publisher = {Brockmeyer}, Series = {Bochumer Schriften zur Friedenssicherung und zum Humanitären Völkerrecht}, - Abstract = {Oxford Manual: Auf dem Weg zu den Haager Friedenskonferenzen nach der gescheiterten Brüsseler Deklaration von 1870 kam das sog. Oxford Manual heraus. Es wurde von einem Institut bestehend aus unabhängigen Wissenschaftlern entworfen und entsprach größtenteils den Vorstellungen der Großmächte. Es orientierte sich an der Praxis der europäischen Kriegführung und gestaltete die Bestimmungen der Brüsseler Deklaration dahingehend um. Das kontroverse Thema der Levée en masse wurde nahezu vollständig zugunsten der Großmächte ausgelegt. Nur in noch nicht besetzten Gebieten war es demnach gestattet, dass sich unorganisierte Menschenmengen erheben und gegen die Angreifer vorgehen. Laut dem Oxford Manual hatten die Bewohner der besetzten Gebiete eine Gehorsamspflicht, was notwendigerweise das Recht zur bewaffneten Gegenwehr ausschließt. -Vorarbeiten zur ersten Haager Friedenskonferenz: Der russische Außenminister Graf Mouravieff lud im Auftrag von Zar Nikolaus II. zusätzlich zu den in Petersburg diplomatisch vertretenen Nationen auch Luxemburg, Montenegro und Siam ein. Alle Länder nahmen die Einladung ein. Der Kreis der Teilnehmer war mit 26 Teilnehmern damit doppelt so groß, wie bei der letzten Konferenz in Brüssel. Teilnehmer: - Deutschland, England, Frankreich, Italien, Österreich-Ungarn, Russland - Belgien, BUlgarien, Dänemark, Griechenland, Luxemburg, Montenegro, die Niederlande, Portugal, Rumänien, Schweden-Norwegen, die Schweiz, Serbien, Spanien und die Türkei - China, Japan, Persien, Siam - USA und Mexiko -Kombattant in der Ersten Haager Landkriegsordnung: Hauptziel der Konferenz war die Entwicklung von Instrumenten zur friedlichen Streitbeilegung und Verhinderung von Kriegen. Rüstungsbeschränkung war daher auch ein Ziel ("Abrüstungskonferenz"). Konferenz begann 18. Mai 1899 in Haag. -Levée en masse: Dieser strittige Punkt war der Hauptgrund für das Scheitern von der Brüsseler Konferenz und auch die Haager Friedenskonferenz drohte daran zu scheitern. Der Punkt wurde in der 2. Kommission und dort in der 2. Unterkommission behandelt. Am 20. Juni 1899 hat der deutsche Vertreter, von Schwarzhoff, eine mittlerweile berühmte Rede gehalten. Seine Kernpunkte waren, dass Artikel 9 und 10 (beschäftigen sich mit der Levée en masse) keineswegs die Möglichkeit des Patriotismus und der Abwehr angreifender Truppen ausschließen. Es müsse lediglich sichergestellt werden, dass sich die Erhebenden klar als Kämpfer zu erkennen geben, einen Kommandeur haben, ihre Waffen offen tragen, sich an die Rechte des Kriegs halten und ein gemeinsames Zeichen haben. Ferner erläuterte Schwarzhoff, dass Soldaten auch Menschen seien und daher Humanität erwarten dürften. Wenn Soldaten, erschöpft von einem langen Marsch, in einem Dorf Rast machen, dann müssten sie sicher sein können, dass sich die friedlichen Passanten nicht unerwarteter Weise zu Angreifern wandelten. Der russische und niederländische Vertreter schlossen sich dieser Ausführung an. -Martens'sche Klausel: In seiner Eingangsrede zu der obigen Sitzung verlas Martens seine Erklärung, die später in die Präambel der HLKO aufgenommen wurde: "[...]Until a perfectly complete code of the laws of war is issued, the Conference thinks it right to declare that in cases not included in the present arrangement, populations and belligerents remain under the protection and empire of the principles of international law, as they result from the usages established between civilized nations, from the laws of humanity, and the requirements of the public conscience." -Artikel 9 und 10: Beide Artikel wurden ohne Änderungen übernommen. -Artikel 11: Der Status von Nichtkombattanten in einer Armee wurde durch diesen Artikel gewürdigt. Sie stehen unter dem gleichen Schutz, wie Kombattanten. -Vorbereitung zweite Konferenz: Der Impuls für die zweite Konferenz ging von den USA aus, obwohl die formelle Einladung erneut von dem russischen Zaren ausging. Diesmal gab es 44 Teilnehmerstaaten. Zusätzlich zu den Signatarstaaten der ersten Konferenz waren diesmal auch folgende Staaten dabei: Argentinien, Bolivien, Brasilien, Chile, Dominikanische Republik, Equador, Guatemala, Haiti, Kolumbien, Nicaragua, Panama, Paraguay, Peru, El Salvador, Uruguay, Venezuela und Norwegen (diesmal als selbstständiger Staat). -Levée en masse: Deutschland möchte, dass Gruppen aus der Bevölkerung, die sich erheben, im Voraus ihr Emblem dem Feind bekannt geben. Frankreich antwortet darauf, dass es in den Wirren des Krieges oftmals nicht möglich ist, diese Information dem Feind zu übermitteln, ohne die eigene Position zu kompromittieren. Stattdessen sei es im Aufgabenbereich einer jeden Armee eine gute Aufklärung zu haben, um zu wissen, wo ihre eigenen Truppen sind und wo sich die des Feindes befinden. Der Vorschlag Deutschlands wurde mehrheitlich abgelehnt. Der zweite Änderungsantrag Deutschlands beschäftigte sich mit der Pflicht von den sich Erhebenden, ihre Waffen offen zu tragen. Dieser Vorschlag wurde mehrheitlich angenommen, da er nur eine Klarstellung war, denn die sich Erhebenden mussten auch vorher schon die Gebräuche des Landkriegs beachten, was den offenen Kampf einschließt. -Auswerung der Verhandlungen: Die Haager Friedenskonferenzen können als gelungene Kodifikation in Bezug auf den Kombattantenstatus angesehen werden.}, + Abstract = {Oxford Manual: Auf dem Weg zu den Haager Friedenskonferenzen nach der gescheiterten Brüsseler Deklaration von 1870 kam das sog. Oxford Manual heraus. Es wurde von einem Institut bestehend aus unabhängigen Wissenschaftlern entworfen und entsprach größtenteils den Vorstellungen der Großmächte. Es orientierte sich an der Praxis der europäischen Kriegführung und gestaltete die Bestimmungen der Brüsseler Deklaration dahingehend um. Das kontroverse Thema der Levée en masse wurde nahezu vollständig zugunsten der Großmächte ausgelegt. Nur in noch nicht besetzten Gebieten war es demnach gestattet, dass sich unorganisierte Menschenmengen erheben und gegen die Angreifer vorgehen. Laut dem Oxford Manual hatten die Bewohner der besetzten Gebiete eine Gehorsamspflicht, was notwendigerweise das Recht zur bewaffneten Gegenwehr ausschließt. Vorarbeiten zur ersten Haager Friedenskonferenz: Der russische Außenminister Graf Mouravieff lud im Auftrag von Zar Nikolaus II. zusätzlich zu den in Petersburg diplomatisch vertretenen Nationen auch Luxemburg, Montenegro und Siam ein. Alle Länder nahmen die Einladung ein. Der Kreis der Teilnehmer war mit 26 Teilnehmern damit doppelt so groß, wie bei der letzten Konferenz in Brüssel. Teilnehmer: - Deutschland, England, Frankreich, Italien, Österreich-Ungarn, Russland - Belgien, BUlgarien, Dänemark, Griechenland, Luxemburg, Montenegro, die Niederlande, Portugal, Rumänien, Schweden-Norwegen, die Schweiz, Serbien, Spanien und die Türkei - China, Japan, Persien, Siam - USA und Mexiko Kombattant in der Ersten Haager Landkriegsordnung: Hauptziel der Konferenz war die Entwicklung von Instrumenten zur friedlichen Streitbeilegung und Verhinderung von Kriegen. Rüstungsbeschränkung war daher auch ein Ziel ("Abrüstungskonferenz"). Konferenz begann 18. Mai 1899 in Haag. Levée en masse: Dieser strittige Punkt war der Hauptgrund für das Scheitern von der Brüsseler Konferenz und auch die Haager Friedenskonferenz drohte daran zu scheitern. Der Punkt wurde in der 2. Kommission und dort in der 2. Unterkommission behandelt. Am 20. Juni 1899 hat der deutsche Vertreter, von Schwarzhoff, eine mittlerweile berühmte Rede gehalten. Seine Kernpunkte waren, dass Artikel 9 und 10 (beschäftigen sich mit der Levée en masse) keineswegs die Möglichkeit des Patriotismus und der Abwehr angreifender Truppen ausschließen. Es müsse lediglich sichergestellt werden, dass sich die Erhebenden klar als Kämpfer zu erkennen geben, einen Kommandeur haben, ihre Waffen offen tragen, sich an die Rechte des Kriegs halten und ein gemeinsames Zeichen haben. Ferner erläuterte Schwarzhoff, dass Soldaten auch Menschen seien und daher Humanität erwarten dürften. Wenn Soldaten, erschöpft von einem langen Marsch, in einem Dorf Rast machen, dann müssten sie sicher sein können, dass sich die friedlichen Passanten nicht unerwarteter Weise zu Angreifern wandelten. Der russische und niederländische Vertreter schlossen sich dieser Ausführung an. Martens'sche Klausel: In seiner Eingangsrede zu der obigen Sitzung verlas Martens seine Erklärung, die später in die Präambel der HLKO aufgenommen wurde: "[...]Until a perfectly complete code of the laws of war is issued, the Conference thinks it right to declare that in cases not included in the present arrangement, populations and belligerents remain under the protection and empire of the principles of international law, as they result from the usages established between civilized nations, from the laws of humanity, and the requirements of the public conscience." Artikel 9 und 10: Beide Artikel wurden ohne Änderungen übernommen. Artikel 11: Der Status von Nichtkombattanten in einer Armee wurde durch diesen Artikel gewürdigt. Sie stehen unter dem gleichen Schutz, wie Kombattanten. Vorbereitung zweite Konferenz: Der Impuls für die zweite Konferenz ging von den USA aus, obwohl die formelle Einladung erneut von dem russischen Zaren ausging. Diesmal gab es 44 Teilnehmerstaaten. Zusätzlich zu den Signatarstaaten der ersten Konferenz waren diesmal auch folgende Staaten dabei: Argentinien, Bolivien, Brasilien, Chile, Dominikanische Republik, Equador, Guatemala, Haiti, Kolumbien, Nicaragua, Panama, Paraguay, Peru, El Salvador, Uruguay, Venezuela und Norwegen (diesmal als selbstständiger Staat). Levée en masse: Deutschland möchte, dass Gruppen aus der Bevölkerung, die sich erheben, im Voraus ihr Emblem dem Feind bekannt geben. Frankreich antwortet darauf, dass es in den Wirren des Krieges oftmals nicht möglich ist, diese Information dem Feind zu übermitteln, ohne die eigene Position zu kompromittieren. Stattdessen sei es im Aufgabenbereich einer jeden Armee eine gute Aufklärung zu haben, um zu wissen, wo ihre eigenen Truppen sind und wo sich die des Feindes befinden. Der Vorschlag Deutschlands wurde mehrheitlich abgelehnt. Der zweite Änderungsantrag Deutschlands beschäftigte sich mit der Pflicht von den sich Erhebenden, ihre Waffen offen zu tragen. Dieser Vorschlag wurde mehrheitlich angenommen, da er nur eine Klarstellung war, denn die sich Erhebenden mussten auch vorher schon die Gebräuche des Landkriegs beachten, was den offenen Kampf einschließt. Auswerung der Verhandlungen: Die Haager Friedenskonferenzen können als gelungene Kodifikation in Bezug auf den Kombattantenstatus angesehen werden.}, Bookauthor = {Buß, Regina}, Booktitle = {Der {K}ombattantenstatus}, Owner = {jim}, @@ -357,6 +348,16 @@ Auswerung der Verhandlungen: Die Haager Friedenskonferenzen können als gelungen Organization = {IEEE}, Pages = {217--221}, + Abstract = {IPSec is faster than OpenVPN with the same setup and cipher. + +Details: +IPSec AES > OpenVPN AES +IPSec Blowfish > OpenVPN Blowfish +IPSec 3DES < OpenVPN 3DES + +3DES is a cipher of the past and should not be used anymore. AES and Blowfish have similar results under IPSec and OpenVPN. AES is standardized and has more support than Blowfish. + +IPSec however is far more complex and difficult to set up while setting up OpenVPN is child's play.}, Owner = {jim}, Timestamp = {2014.11.28} }