Inhaltsübersicht. Teil I Grundlagen 27. Teil II Praktische Umsetzung 121. Vorwort zur 2. Auflage 23. Einleitung 29

Transkript

1 Inhaltsübersicht Vorwort zur 2. Auflage 23 Teil I Grundlagen 27 Einleitung 29 1 Was ist ein virtuelles privates Netzwerk? 31 2 Aufgaben eines VPN 33 3 Schutz durch ein VPN 41 k Open-Source und Sicherheit 55 5 Kommerzielle Lösungen 59 6 Verschiedene VPN-Szenarien 63 7 Kryptografie 69 8 VPN-Protokolle 89 Teil II Praktische Umsetzung IPsec mit dem Linux-Kernel Manuell verschlüsselte Verbindung Openswan und strongswan U3 12 Konfiguration von Openswan und strongswan Automatische Verbindung mit dem Pluto-IKE-Daemon 173 U Roadwarrior 199 Bibliografische Informationen digitalisiert durch

2 INHALTSÜBERSICHT 15 Konfiguration der Firewall Automatische Verbindung mit racoon OpenBSD Isakmpd Aufbau heterogener virtueller privater Netze 267 Teil III IKEv2 mit strongswan Verbindungen mit PreShared Keys Datei strongswan.conf Verbindungen mit Zertifikaten Hybrid-Modus Configuration Payload Das strongswan Network-Manager-Plug-In Windows 7 und IKEv Hochverfügbarkeit mit strongswan 319 Teil IV Fortgeschrittene Konfiguration und Fehlersuche Keymanagement Aufbau einer Public-Key-Infrastruktur Firewalüng der IPsec-Verbindungen mit IPtables Aufbau einer Verbindung mit dynamischen IP-Adressen auf beiden Seiten Advanced Routing 359

3 INHALTSÜBERSICHT 32 Nicht-IP-Tunnel NAT-Traversal XAuth und IKE-Config-Mode Kerberos Opportunistische Verschlüsselung Einsatz von Hardware-Kryptoprozessoren Prüfung der Zertifikate Dead Peer Detection Hochverfügbarkeit Smartcard-Unterstützung DMVPN Fehlersuche Testumgebungen 421 TeilV OpenVPN2.x Einführung Ein einfacher Tunnel Zertifikate Verteilung von IP-Adressen Zusätzliche Netze Fortgeschrittene Funktionen 469

4 INHALTSÜBERSICHT 51 OpenVPN-Management-Schnittstelle Anmeldung mit Benutzername/Kennwort Smartcards OpenVPN auf Windows Grafische Oberflächen 499 Teil VI Anhang 505 Die CD-ROM zum Buch 507 Literaturverzeichnis 509 Stichwortverzeichnis

5 Inhaltsverzeichnis Vorwort zur 2. Auflage 23 I Grundlagen 27 Einleitung 29 1 Was ist ein virtuelles privates Netzwerk? 31 2 Aufgaben eines VPN Gefahren im Internet Schutz durch eine Firewall Paketfilter Proxy-Firewall Zusammenfassung 39 3 Schutz durch ein VPN Authentifizierung Vertraulichkeit Integrität Vor-und Nachteile eines VPN VPNs und Firewalls 50 A Open-Source und Sicherheit 55 5 Kommerzielle Lösungen Cisco Checkpoint FW-1/VPN Microsoft Windows Microsoft Windows 98/ME/NT SSH Sentinel GreenBow-VPN-Cüent SafeNet SoftRemote OpenBSD. FreeBSD, NetBSD Weitere Produkte 62

6 Verschiedene VPN-Szenarien Kommunikation zwischen zwei Netzwerken Kommunikation zwischen zwei Rechnern Kommunikation zwischen vielen festen Standorten Anbindung von Telearbeitsplätzen an einen Standort Anbindung von Außendienstmitarbeitern (Roadwarriors) an einen Standort Absicherung eines Wireless LAN Opportunistische Verschlüsselung 67 Kryptografie Einleitung Geschichte Symmetrische Verschlüsselung Data Encryption Standard (DES) DES International Data Encryption Algorithm (IDEA) RC4/RC5/RC Blowfish Twofish AES Weitere Verfahren Cipher Block Chaining (CBC) Asymmetrische Verschlüsselung Das Beste aus beiden Welten Public-Key-Schlüssellängen RSA ElGamal Digital Signature Algorithm (DSA) Diffie-Hellman Hash-Funktion MD SHA 88 VPN-Protokolle Einleitung Psec Integrität und Authentifizierung bei IPsec 91 12

7 8.4 Verschlüsselung bei IPsec Anti-Replay-Schutz Tunnel- und Transportmodus Authentication Header-AH Encapsulated Security Payload - ESP Security Association Security Policy Internet Key Exchange - IKEv DerMain-Modus Der Aggressive-Modus Der Quick-Modus UDP Encapsulation DHCP-over-IPsec IKEv Überblick IKEv2 im Detail CREATEJiHILD^A-Nachrichten INFORMATIONAL-Nachrichten Cookies Implementierungen L2TP 118 II Praktische Umsetzung IPsec mit dem Linux-Kernel Geschichte Lizenz Installation Kernel Userspace-Befehle Konfiguration Das Kommando setkey Manuell verschlüsselte Verbindung Manuelle Verbindung im Transportmodus Manuelle Verbindung im Tunnelmodus

8 10.3 Erweiterungen und Anmerkungen Fazit Openswan und strongswan Hintergrunde Lizenz U4 n 3 Installation von Openswan Kompilierung und Installation des Sourcecodes Installation von strongswan Kompilierung und Installation des Sourcecodes Openswan-Komponenten StrongSwan-Komponenten Konfiguration von Openswan und strongswan Allgemeine Konfigurationsparameter ipsec.secrets ipsec.conf Setup-Parameter Verbindungsparameter Allgemeine Parameter Der Kommandozeilenbefehl ipsec Openswan ipsec strongswan-ipsec-starter: ipsec Automatische Verbindung mit dem Pluto-IKE-Daemon Konfiguration Authentifizierung mit PreShared Keys (PSKl Aufbau des Tunnels Verbesserungen und Erweiterungen Fazit Automatisch verschlüsselte Verbindung mit X.509-Zertifikaten Erzeugung von X.5O9-Zertifikaten mit OpenSSL Anpassungen m der Konfiguration Aufbau des Tunnels Verbesserungen und Erweiterungen Erweiterte Nutzung der Zertifikate bei strongswan Zertifikate mit Wildcards

9 Nutzung der CA-Zertifikate für Tunnel X.509-Attribute Fazit Roadwarrior Roadwarrior mit PreShared Key!PSK) VPN-Gateway Roadwarrior-Konfiguration Roadwarrior in Aggressive-Modus Fazit Roadwarrior mit X.509-Zertifikaten VPN-Gateway Roadwarrior Fazit Konfiguration der Firewall Nutzung von leftfirewall und rightfirewall Anpassung des _updown-scripts Fazit Automatische Verbindung mit racoon Konfiguration von racoon Start von Racoon Racoon-Konfigurationsdatei Steuerung mit racoonctl Verbindungen mit PreShared Keys Fazit Racoon und X.509-Zertifikate Racoon und Roadwarriors Racoon als Roadwarrior OpenBSD Isakmpd Installation Anwendung mit PSKs Die Konfigurationsdatei isakmpd.conf Die Richtliniendatei isakmpd.policy Start und Test der Verbindung Anwendung mit einem X.509-Zertifikat

10 17.7 Die Konfigurationsdatei isakmpd.conf Die Richtlmiendatei isakmpd.policy Die Erzeugung und Speicherung der X.509-Zertifikate Roadwarriors und der Isakmpd Aggressive-Modus und PSKs IKE-Config-Mode Fazit Aufbau heterogener virtueller privater Netze Einleitung Interoperabilitätsprobleme Microsoft Windows XP, Windows Vista und Windows Markus Müllers ipsec.exe Shrew Soft VPN Client Checkpoint Firewall-1 NG Cisco 283 III IKEv2 mit strongswan Verbindungen mit PreShared Keys PSKs und Roadwarriors Mob-IKE Narrowing der Traffic-Selektoren Datei strongswan.conf Charon Protokollierung libstrongswan Manager Mediator OpenAC Pluto IP-Adressen-Poots SCEPCUent Verbindungen mit Zertifikaten Nutzung von URLs zur Übertragung der Zertifikate

11 22 Hybrid-Modus Radius Configuration Payload Das strongswan Network-Manager-Plug-In Windows 7 und IKEv Hochverfügbarkeit mit strongswan Das Problem der Synchronisation Mögliche Lösungen strongswan-ansatz ClusterlP Konfiguration 324 IV Fortgeschrittene Konfiguration und Fehlersuche Keymanagement Einleitung Zufallszahlen Lebensdauer von Schlüsseln Kennwörter und symmetrische Schlüssel Öffentliche Schlüssel X.509-Zertifikate Aufbau eines X.509-Zertifikats Public-Key-Infrastruktur - PKI Smartcard Aufbau einer Public-Key-Infrastruktur Einleitung Certificate Authority Registration Authority Directory Service TinyCA Installation Aufbau einer CA mit TinyCA Export der Zertifikate

12 28.3 XCA Installation ,3 2 Anwendung von XCA Migration einer CA zum XCA-Werkzeug OpenCA Firewalling der IPsec-Verbindungen mit IPtables Aufbau einer Verbindung mit dynamischen IP-Adressen auf beiden Seiten Advanced Routing Gateway-Routing Nicht-IP-Tunnel GRE L2TP NAT-Traversal Alternative NAT-Konfiguration XAuth und IKE-Config-Mode DHCP-over-IPsec XAuth strongswan Openswan Racoon IKE-Config-Mode Openswan strongswan Racoon Isakmpd Kerberos Opportunistische Verschlüsselung Funktionsweise OE-Imtiator Volle opportunistische Verschlüsselung OE-Gateway

13 36.5 Test der opportunistischen Verschlüsselung Policy-Gruppen Einsatz von Hardware-Kryptoprozessoren VIA Padlock OpenBSD Crypto Framework Prüfung der Zertifikate Automatisches Laden der CRL Racoon und Isakmpd Online Certificate Status Protocol locsp) Dead Peer Detection Hochverfügbarkeit Smartcard-Unterstützung Installation Installation von OpenCT Installation von PCSC-Lite Installation von OpenSC Installation von Openswan und strongswan Konfiguration des Lesegerätes und der Karte Anwendung in strongswan DMVPN NHRP OpenNHRP Fehlersuche 'swan-debugging Debugging bei Racoon Racoon-Fehtermetdungen Debugging beim Isakmpd Weitere Werkzeuge für das Debugging Testumgebungen Testumgebung I Testumgebung II Physikalische Testumgebungen

14 44.4 VMware KVM Aufbau virtueller Netzwerke 424 V OpenVPN2.x A27 45 Einführung 2? 45.1 Betriebssysteme Aufbau Ein einfacher Tunnel Installation von OpenVPN 2.x Manuelle Installation OpenSUSE-RPM Fedora-RPM Debían und Ubuntu Konfiguration von OpenVPN Warum sollten Sie diesen Tunnel nicht verwenden"* Zertifikate Easy-RSA Vanablendefimtion Zertifikatsautontat Zertifikate für Server und Clients Widerruf von Zertifikaten Diffie-Hellman-Parameter Verteilung der Schlüssel Konfigurationsanpassungen Verteilung von IP-Adressen Serverkonfiguration Client-Konfiguration Weitere Clients Weitere Optionen Änderung des Oefault-Gateways Feste Zuweisung von IP-Adressen

15 49 Zusätzliche Netze Zusätzliche Netze auf der Seite des Servers Zusätzliche Netze auf der Seite des Clients Kommunikation der Clients untereinander Fortgeschrittene Funktionen Sicherheit Wechsel des Benutzerkontextes Betrieb ohne jedes Root-Privileg Chroot Schlüssellängen Einsatz von Hardware-Beschleunigung Signatur der Pakete Verfügbarkeit TCP und Proxies TCP Proxy Gemeinsame Portnutzung mit einem Webserver OpenVPN im Bridge-Modus Windows Lastverteilung und Hochverfügbarkeit Quality of Service IQoS) OpenVPN-Management-Schnittstelle Anmeldung mit Benutzername/Kennwort Verzicht auf Client-Zertifikate Smartcards PKCS# Anpassungen in OpenVPN Microsoft CryptoAPI OpenVPN auf Windows Installation Windows? Erzeugung eines eigenen Instaüationsprogramms

16 55 Grafische Oberflächen OpenVPN Management Tool OpenVPN-GUl OpenVPN-Admin KVpnc Tunnelblick 503 VI Anhang 505 Die CD-ROM zum Buch 507 Literaturverzeichnis 509 Stichwortverzeichnis