Virtuelles Privates Netz (ISi-VPN)

Größe: px
Ab Seite anzeigen:

Download "Virtuelles Privates Netz (ISi-VPN)"

Transkript

1 BSI-Leitlinie zur Internet-Sicherheit (ISi-L) Version 1.0

2 ISi-Reihe Virtuelles Privates Netz (ISi-VPN) Vervielfältigung und Verbreitung Bitte beachten Sie, dass das Werk einschließlich aller Teile urheberrechtlich geschützt ist. Erlaubt sind die Vervielfältigung und Verbreitung zu nicht-kommerziellen Zwecken, insbesondere zu Zwecken der Ausbildung, Schulung, Information oder hausinternen Bekanntmachung, sofern sie unter Hinweis auf die ISi-Reihe des BSI als Quelle erfolgen. Dies ist ein Werk der ISi-Reihe. Ein vollständiges Verzeichnis der erschienenen Bände finden Sie auf den Internet-Seiten des BSI. oder Bundesamt für Sicherheit in der Informationstechnik ISi-Projektgruppe Postfach Bonn Tel. +49 (0) Internet: Bundesamt für Sicherheit in der Informationstechnik Bundesamt für Sicherheit in der Informationstechnik

3 ISi-Reihe Inhaltsverzeichnis 1 Leitlinie Virtuelles Privates Netz (VPN) Management Summary Einführung und Nutzung Anwendungsszenarien Typische VPN-Realisierungen Trusted VPN versus Krypto-VPN (Secure VPN) Wie funktioniert ein VPN? Übertragungsprotokoll IPSec (Internet Protocol Security) Übertragungsprotokoll L2TP over IPSec (Layer 2 Tunneling Protocol) VPN über SSL Übersicht der verschiedenen VPN-Realisierungen Authentisierung Datenverschlüsselung Wesentliche Ergebnisse der Gefährdungsanalyse Wesentliche Empfehlungen Fazit Glossar Stichwortverzeichnis Literaturverzeichnis...25 Bundesamt für Sicherheit in der Informationstechnik 3

4 ISi-Reihe Virtuelles Privates Netz (ISi-VPN) 4 Bundesamt für Sicherheit in der Informationstechnik

5 ISi-Reihe 1 Leitlinie Virtuelles Privates Netz (VPN) Der mobile Zugriff auf Daten des internen Netzes, die Anbindung vom Telearbeitsplätzen (Home Office) und die Zusammenarbeit an verschiedenen Standorten erfordern eine gesicherte Verbindung zwischen den Kommunikationspartnern. Virtuelle Private Netze (VPN - Virtual Private Network) bieten hier den notwendigen Rahmen zur Absicherung der Sicherheitsgrundwerte Vertraulichkeit und Integrität. Im Folgenden soll ein kurzer Überblick über die gebräuchlichsten VPN-Techniken und deren Sicherheitseigenschaften gegeben werden. In diesem Leitfaden werden die wichtigsten Verfahren vorgestellt, über die VPNs aufgebaut werden können. Er basiert auf der Veröffentlichung des BSI zum Aufbau von Virtual Private Networks [BSI VPN]. Nutzung, Aufbau und Konfiguration der zur Realisierung eines VPN notwendigen Komponenten werden im Modul ISi-Fern [ISi-Fern] der ISi-Reihe beschrieben. 1.1 Management Summary Der hier vorgestellte Leitfaden behandelt die zugrunde liegenden Techniken von Virtuellen Privaten Netzen (VPN - Virtual Private Network). VPNs werden u. a. benutzt um Außendienstmitarbeitern einen verschlüsselten Zugriff auf Daten im internen Netz zu gewähren oder auch um zwei Standorte sicher miteinander zu verbinden. Bei der Nutzung eines VPN muss notwendigerweise ein Kommunikationskanal in das interne Netz geöffnet werden, der ggf. von einem Angreifer missbraucht werden kann und den es gut zu schützen gilt. Auch wenn die vorgestellten Verfahren als sicher gelten, liegt in der konkreten Umsetzung (Konfiguration) und Handhabung (v. a. bei der Nutzerauthentisierung) ein Risiko, dem größte Aufmerksamkeit gezollt werden muss. In den meisten Fällen dient das Internet als Transportmedium. Da das Internet als unsicher betrachtet werden muss, sind Sicherungsmaßnahmen zu treffen die gewährleisten, dass sich Unbefugte keinen Zugang zum internen Netz verschaffen (Authentisierung) und die Daten auf dem Weg durch das Internet nicht mit gelesen werden können (Verschlüsselung). Zur sicheren Authentisierung des VPN-Nutzers gibt es unterschiedliche Verfahren. Sie können auf folgenden Faktoren basieren: Wissen, Besitz und biometrisches Merkmal. Empfohlen wird eine 2-Faktor-Authentisierung bei der zwei der drei Faktoren verwendet werden. Am gebräuchlichsten ist die Nutzung der Faktoren Wissen und Besitz. Der Authentisierungsschlüssel wird hierbei in einer Hardware z. B. Chipkarte gespeichert (Faktor Besitz) die nur durch Eingabe einer PIN eingesetzt werden kann (Faktor Wissen). Je nach Sicherheitsanforderungen kann der Schlüssel auch auf dem Client (z. B. Notebook) bzw. dem VPN-Server im Netz der Organisation gespeichert sein. Alternativ kann die Nutzung einer Public-Key-Infrastruktur (PKI) empfohlen werden, die auf digitale Signaturen und asymmetrischen Kryptografieverfahren basiert. Die Gültigkeit der Signaturen wird über eine anerkannte Zertifizierungsstelle (CA Certificate Authority) überprüft. Die Länge des Schlüssels bzw. der Signatur korreliert mit der Sicherheit des verwendeten Kryptoverfahrens. Für die Verschlüsselung der Daten auf dem Weg durch das Internet existieren verschiedene Kryptoalgorithmen, die nach dem momentanen Stand mit entsprechenden Schlüssellängen als sicher gelten (z. B. AES). Ältere Verfahren (wie z. B. DES) bieten keinen ausreichenden Schutz mehr, da sie mit entsprechendem Aufwand entschlüsselt werden können. Zum Aufbau des VPN stehen verschiedene Verfahren zur Wahl, die sichere Authentisierungsmethoden und Verschlüsselungsverfahren bieten. Am weitesten verbreitet sind die Protokolle IPSec (Internet Protocol Security), L2TP over IPSec (Layer-2-Tunneling-Protocol) und SSL (Secure Bundesamt für Sicherheit in der Informationstechnik 5

6 ISi-Reihe Virtuelles Privates Netz (ISi-VPN) Socket Layer). Der konkrete Einsatzzweck legt die Auswahl des geeigneten Protokolls fest. Dies ist im Folgenden und in der zu Grunde liegenden Studie weiter ausgeführt. 1.2 Einführung und Nutzung Die zunehmende Vernetzung von Rechnern und ganzen Netzen sowie die Möglichkeit, das Internet überall zu nutzen, hat einen Wandel im Kommunikationsverhalten von Unternehmen und Behörden (im weiteren Institution genannt) bewirkt. Das Internet unterstützt bei der Suche nach Informationen und wird zunehmend als universelles Transportmedium für Daten benutzt. Da es an sich ein nicht vertrauenswürdiges Netz ist, muss man Wege finden, Daten durch Sicherungsmaßnahmen wie Verschlüsselung auf dem Weg durch das Internet zu schützen (Tunneling) und den Zugang zum internen Netz zu regeln (Authentisierung). Hierzu dienen Virtuelle Private Netze (VPN - Virtual Private Networks). Die folgenden Unterabschnitte skizzieren unterschiedliche Nutzungsszenarios, typische VPN-Realisierungen und den Unterschied zwischen Trusted-VPN und Krypto-VPN, um einen Einstieg in das Thema zu geben Anwendungsszenarien Wie soll das VPN genutzt werden und welchem Kreis von Anwendern zur Verfügung gestellt werden? Die Antwort auf diese Fragen legt fest, wie das VPN ausgelegt werden muss. Dem mobilen Mitarbeiter wird von unterschiedlichen Orten der Zugriff auf Daten innerhalb der Institution über einen Internetanschluss gewährt. Das VPN soll unabhängig vom verwendeten Internet-Zugang (DSL-Leitung, Mobilfunknetz, usw.) sein. An einem Heimarbeitsplatz (Telearbeit, Home Office) greift der Mitarbeiter von einem festen Standort aus auf das Netz der Institution zu. Zum Verbindungsaufbau steht ihm nur ein bestimmter Internet-Zugang zur Verfügung (z. B. DSL-Anschluss). Bei der Standortvernetzung werden zwei oder mehr unter eigener Kontrolle stehende, vertrauenswürdige Netze über das Internet sicher miteinander verbunden. Bei einer Kunden- und Partner-Anbindung können externe Mitarbeiter bestimmte Dienste oder Daten innerhalb der Institution nutzen (z. B. SCHUFA-Abfrage). Unter Fernwartung versteht man privilegierte Administratorenzugänge, um das Netz der Institution sowie dessen Komponenten aus der Ferne warten zu können. Durch die weitreichenden Nutzerrechte der Administratoren werden besonders hohe Sicherheitsanforderungen an die Absicherung des Zugangs gestellt Typische VPN-Realisierungen VPNs werden je nach Einsatzumgebung und Nutzungsszenario unterschiedlich realisiert. Anzumerken ist hier, dass man das VPN bedarfsgerecht aufbaut und nur die notwendigen Leistungen bereitstellt, um eine möglichst kleine Angriffsfläche für Angreifer zu bieten und dadurch den möglichen Schaden zu minimieren. 6 Bundesamt für Sicherheit in der Informationstechnik

7 ISi-Reihe Client-Server-Lösungen (End-to-End) finden meist Anwendung bei der Nutzung einzelner Programme oder Dienste. Typische Anwendungen sind der Zugriff auf einzelne Datenbanken und auf Terminal-Server. Die Verbindung wird stets vom Client initiiert. Bekommt der Client Zugriff auf das interne Netz (LAN) der Institution spricht man von Client- LAN-Zugriff (Client-to-Site). Der Nutzer verwendet Anwendungen und Daten in der gleichen Weise, wie ein Nutzer im internen Netz. Ein LAN-LAN-Zugriff (Site-to-Site) bezeichnet die Kopplung zweier Netze. So können beispielsweise Dienste und Anwendungen gemeinsam genutzt oder auch der volle Zugriff auf das andere Netz ermöglicht werden Trusted VPN versus Krypto-VPN (Secure VPN) Alternativ zum Aufbau eines eigenen VPN, kann man sich diesen Dienst auch bei externen Unternehmen einkaufen. Der Anbieter trägt dann für die Absicherung dieses VPNs Sorge, indem er entweder dedizierte Leitungen für die Verbindung bereitstellt oder die VPN-Verbindungen logisch von anderen Verbindungen trennt. Da man dem Anbieter das VPN anvertraut spricht man hier von Trusted VPN. Bei der Auswahl eines Trusted VPN muss auf eine ausreichende Verschlüsselung geachtet werden, da manche Produkte zwar VPN genannt werden (z. B. basierend auf MPLS - Multiprotocol Label Switching), aber keine Verschlüsselung beinhalten. Dedizierte Leitungen sind im Vergleich zu normalen Internetanschlüssen vergleichsweise teuer, die Kontrolle über die Sicherheit der Leitungen wird an einen Anbieter übertragen. Die Nutzung des VPN ist beschränkt, da nur Internetverbindungen des VPN-Anbieters verwendet werden können, was zu einer Einschränkung der Nutzung des VPNs führt. Ein Krypto-VPN (Secure VPN) wird in Eigenregie, also unabhängig von Dritten (z. B. Internet Service Provider) aufgebaut. Es basiert darauf, dass die Daten kryptografisch geschützt vom Anwender (z. B. Telearbeiter) zum entsprechenden Dienst (z. B. -Server oder Zugang zum internen Netz) übertragen werden. Die Auswahl, der Aufbau und Betrieb eines Krypto-VPN ist Gegenstand dieser Leitlinie. Im Weiteren wird VPN synonym für Krypto-VPN verwendet. 1.3 Wie funktioniert ein VPN? Im Folgenden werden die grundlegenden Methoden erläutert, mit denen ein VPN aufgebaut wird. Das VPN muss die Sicherheitsgrundwerte Integrität und Vertraulichkeit sichern. Der Sicherheitsgrundwert Verfügbarkeit muss durch eine entsprechende Infrastruktur sichergestellt werden (siehe [ISi-LANA] und [ISi-Fern]). Diese ist nicht Bestandteil das Moduls ISi-VPN. Aufbau einer VPN-Verbindung Der Aufbau einer VPN-Verbindung erfolgt unabhängig vom verwendeten Protokoll in drei Schritten: Authentisierung: Den ersten Schritt zum Aufbau einer VPN-Verbindung stellt die Authentisierung der Kommunikationspartner dar. Hier wird geprüft, ob der Kommunikationspartner wirklich der ist, für den er sich ausgibt und ob er die notwendigen Rechte besitzt die Verbindung herzustellen (Autorisierung). Schlüsselaustausch: Haben sich die Kommunikationspartner authentisiert, so folgt nun die Verhandlung, welche kryptografischen Methoden verwendet werden sollen, sowie der Austausch der Bundesamt für Sicherheit in der Informationstechnik 7

8 ISi-Reihe Virtuelles Privates Netz (ISi-VPN) dafür notwendigen Schlüssel bzw. die Nutzung der bereits bei den Kommunikationspartnern vorhandenen Schlüssel. Datenaustausch: Die Kommunikationspartner sind authentisiert und ein kryptografisches Verfahren ist etabliert, so dass nun Daten gesichert ausgetauscht werden können. Protokolle Die Authentisierung und Verschlüsselung der Daten können mittels verschiedener Protokolle umgesetzt werden, die auf unterschiedlichen Schichten (Layer) des OSI-Schichtenmodells basieren. Gemeinsam ist jedoch allen, dass die Verbindung zwischen den beiden Kommunikationspartnern über das Internet hergestellt wird und die Kommunikation unter Nutzung des IP-Protokolls erfolgt Übertragungsprotokoll IPSec (Internet Protocol Security) IPSec ist eine weit verbreitete Protokollfamilie, in der eine Reihe von Protokollen zusammengefasst sind. Zur aktuell verwendeten Version 4 der Internet Protokolls (IPv4) ist IPSec als Zusatz nutzbar. Im Standard der kommenden Generation des Internet Protokolls (IPv6) ist IPSec bereits aufgenommen, dessen Nutzung aber nicht verpflichtend. In IPSec werden drei unterschiedliche Protokolle definiert: Internet Key Exchange (IKE) zum Schlüsselaustausch und Aufbau der Verbindung, Authentication Header (AH) für die Authentisierung und Encapsulating Security Payload (ESP) für Datenverschlüsselung und Authentisierung. Schlüsselaustausch Das zum sicheren Schlüsselaustausch etablierte IKE-Protokoll kennt zur Authentisierung der Verbindungspartner verschiedene Verfahren (näheres hierzu im Abschnitt 1.3.5). Die Version IKEv2 beseitigt einige Mängel von IKE, die das Protokoll unflexibel und schwer konfigurierbar machten. Authentisierung und Verschlüsselung Zur Authentisierung kann sowohl das Protokoll AH als auch ESP eingesetzt werden. Da ESP zusätzlich auch die Verschlüsselung der Daten beherrscht, wird es vorzugsweise verwendet. AH wird eher zur Authentisierung von Verbindungen innerhalb eines internen Netzes eingesetzt. Beide Protokolle lassen sich in zwei verschiedenen Modi verwenden. Im Transportmode bleiben die Informationen über die Absender-IP-Adresse und die Ziel-IP-Adresse unverändert. So ergibt sich für das Routing (Zustellen) des Datenpakets keine Änderung im Vergleich zu einer ungesicherten IP-Verbindung. Im Tunnelmode wird das gesamte zu sendende Daten-Paket (incl. der IP-Adressen des Senders und Empfängers) authentisiert bzw. verschlüsselt. Zum Transport über das Internet wird diesem Paket ein weiterer IP-Header vorangestellt über den das Datenpaket zugestellt wird. So werden beim Transport der Datenpakete durch das Internet Informationen über interne IP-Adressen des VPN geschützt. Der Tunnelmode ist deshalb die Methode der Wahl, wenn das VPN über das Internet aufgebaut wird, den Transportmode kann man bei VPNs innerhalb des internen Netzes verwenden. Erweiterungen von IPSec Die in die Verschlüsselung einfließenden IP-Adressen bereiteten bei der sogenannten Network Address Translation (NAT) - also die Umsetzung von internen auf externe IP-Adressen - anfangs Schwierigkeiten, da die Quell- und Zieladresse in die Integritätsprüfung bei AH und ESP aufge- 8 Bundesamt für Sicherheit in der Informationstechnik

9 ISi-Reihe nommen sind. Eine Änderung dieser Adressen führt also zu einem negativen Ergebnis der Integritätsprüfung und das Paket wird verworfen. Durch die Ergänzung NAT-Traversal wurde ein Verfahren etabliert, das diese Problematik umgeht. Die Änderung der IP-Adresse während der Verbindung (z. B. bei Wechsel des Netzwerkinterfaces zwischen WLAN und UMTS oder bei einer periodischen Unterbrechung einer ADSL-Verbindung mit dynamischer IP-Adresse) wird mit der Ergänzung MobIKE (IKEv2 Mobility and Multihoming Protocol) möglich Übertragungsprotokoll L2TP over IPSec (Layer 2 Tunneling Protocol) Beim L2TP handelt es sich um eine Weiterentwicklung der Protokolle PPTP (Point-to-Point Tunneling Protocol) und L2F (Layer-2-Forwarding). Mit L2TP können PPP-Pakete (Point-to-Point Protocol), die bei ISDN und analogen Wählverbindungen verwendet werden, über ein IP-Netz (z. B. Internet) getunnelt werden. Der Vorteil von L2TP liegt darin, dass PPP-Pakete wiederum andere Datenpakete beinhalten können (z. B. IP-Pakete) und dass die Authentisierung der Kommunikationspartner über bewährte Zusatzprotokolle zu PPP (CHAP - Challenge Handshake Authentication Protocol bzw. EAP - Extensible Authentication Protocol) ablaufen kann. Allerdings bieten weder L2TP noch PPP die Möglichkeit den Inhalt der Datenpakete zu verschlüsseln, weswegen der L2TP-Tunnel mit IPSec geschützt wird. Der Vorteil von L2TP over IPSec gegenüber IPSec liegt unter Anderem darin, dass mehrere Tunnel gleichzeitig aufgebaut und auch andere Protokolle als IP transportiert werden können. NAT stellt für L2TP kein Problem dar. Zu Schwierigkeiten kann die nicht einfache Konfiguration der Netzkomponenten führen, da für den Endpunkt des L2TP-Tunnels ein weiterer Server benötigt wird VPN über SSL SSL (Secure Socket Layer) wurde ursprünglich von der Firma Netscape entwickelt, um für das ungesicherte HTTP (Hypertext Transfer Protocol) Sicherheitsfunktionen zur Verfügung zu stellen. SSL bietet Mechanismen zur Authentisierung, Verschlüsselung und Integritätssicherung einer Kommunikationsverbindung an. Da SSL noch weitere Parameter zur Konfiguration bereitstellt, lassen sich die Sicherheitsmerkmale feingranular einstellen. Momentan hat sich die Version 3 von SSL (SSLv3, quasi identisch mit TLS - Transport Layer Security) gegenüber der Version 2 durchgesetzt, die einige Sicherheitslücken aufweist und nicht mehr verwendet werden sollte. Zur Authentisierung können Zertifikate verwendet werden, jedoch sind auch einfache Authentisierungsmittel wie Benutzername und Kennwort möglich. SSL-VPNs lassen sich in zwei Gruppen aufteilen: mit und ohne SSL-Client. Beim clientless SSL- VPN verbindet sich der VPN-Client mit Hilfe eines SSL-fähigen Browsers (alle gängigen Browser unterstützen SSL) mit einem SSL-Proxy im internen Netz, über den verschiedene Dienste auf weiteren Servern (z. B. Webmail-Server, Datendienste) angesprochen werden. Es wird also keine weitere Software benötigt. Ein solches VPN kann im Prinzip mit jedem Browser von unterschiedlichen Client-PCs aus genutzt werden. Um einen SSL-Tunnel - ähnlich wie mit IPSec bzw. L2TP - für ein Client-LAN-VPN aufzubauen, muss spezielle SSL-Software (SSL-Client) installiert sein. Diese Programme können sich in der Regel mit einem Zertifikat gegenüber dem Server authentisieren. Nach dem erfolgreichen Tunnelaufbau zwischen dem SSL-Client und dem SSL-Proxy im internen Netz, verhält sich der Client-PC so, Bundesamt für Sicherheit in der Informationstechnik 9

10 ISi-Reihe Virtuelles Privates Netz (ISi-VPN) als ob er im internen Netz stehen würde. Im Vergleich zu IPSec-VPNs sind VPNs mit SSL relativ unproblematisch zu konfigurieren und zu betreiben. SSL ist von IP unabhängig, es gibt keine NAT- Problematik und kann im Gegensatz zu den anderen Verfahren auch nur einen Teil der auf dem kontaktierten Server angebotenen Dienste nutzen, während IPSec keine Unterscheidung zulässt, was auf dem Server genutzt werden darf. Als Nachteil muss gesehen werden, dass beim clientless SSL ein Teil der Sicherheit auf den Anwender übertragen wird, indem er unerwünschte Verbindungen anhand der Zertifikate erkennen muss. Zudem bleibt die Vertrauenswürdigkeit der zertifizierenden Stelle (falls keine eigene PKI genutzt wird) ein Schwachpunkt, der vor allem bei höherem Schutzbedarf ins Auge gefasst werden muss Übersicht der verschiedenen VPN-Realisierungen Merkmal Transportprotokoll Tunnel/ Transport von IPSec L2TP over IPSec SSL clientless SSL-Client PPP über SSL (AH), ESP, UDP 1) ESP, UDP 1) HTTPS SSL/TCP SSL/TCP nicht-ip - x - - x TCP x x - x x UDP x x - h x NAT verträglich h h 2) x x x Komprimierung h h 2) h LAN-LAN-Kopplung möglich Externe Authentisierung möglich x x - - x h h h h h Tabelle 1: Vergleich der VPN-Varianten (x: vorhanden, -: nicht vorhanden, h: herstellerspezifisch) Anmerkungen: 1) In der Regel nur mit NAT-Traversal möglich, da hier üblicherweise IPSec im Transport-Modus verwendet wird 2) Abhängig von der IPSec-Implementierung Die folgende Tabelle stellt kurz die Vor- und Nachteile der einzelnen VPN-Realisierungen gegenüber und gibt deren Haupteinsatzgebiet an. 10 Bundesamt für Sicherheit in der Informationstechnik

11 ISi-Reihe Verfahren Vorteile Nachteile Haupteinsatzgebiet IPSec L2TP/IPSec (z. B. ISDN) SSLv3 Weit verbreitet, sichere Verfahren zur Authentisierung und Verschlüsselung Kann auch Nicht-IP- Netze über das Internet miteinander verbinden. Sichere Verfahren zur Authentisierung und Verschlüsselung Z. T. aufwändige Konfiguration mit vielen Optionen und somit fehleranfällig, NAT nur mit Zusatzmodul NAT Traversal Komplexe Konfiguration des L2TP-Network-Servers und dadurch fehleranfällig Feingranular einstellbar In manchen Szenarien keine sichere Nutzerauthentisierung Tabelle 2: Vor- und Nachteile verschiedener VPN-Realisierungen LAN-LAN-Kopplung, Telearbeitsplatz LAN-LAN-Kopplung, Telearbeitsplatz, Nicht-IP Netze, Mobiler Mitarbeiter, Telearbeitsplatz Authentisierung Die Authentisierung, d. h. die Sicherstellung der Identität der beteiligten Kommunikationspartner, ist eine der zentralen Sicherheitsfunktionen des VPN. Hierzu gibt es verschiedene Realisierungsmöglichkeiten. Statischer Schlüssel Die Authentisierung erfolgt mit einem Schlüssel, den beide Kommunikationspartner besitzen, wobei beispielsweise eine Prüfsumme des Schlüssels den Partner authentisiert, so dass der Schlüssel selbst nicht übertragen werden muss. Der Schlüsselaustausch muss über einen gesicherten Kanal stattfinden. Werden statische Schlüssel für einen sehr langen Zeitraum verwendet, so steigt die Gefahr, dass er durch Abhören des Datenverkehrs und mittels Kryptoanalyse herausgefunden werden kann. Verwenden mehrere Kommunikationspartner den selben Schlüssel steigt diese Gefahr ebenfalls. Werden andererseits für jede Verbindung unterschiedliche Schlüssel verwendet, steigt der Administrationsaufwand bei größeren Netzen erheblich an. Pre-Shared Key (PSK) PSK basiert ebenfalls auf statischen Schlüsseln. Zur Authentisierung wird eine Zufallszahl mit dem PSK verschlüsselt und an den Kommunikationspartner übertragen. Dieser kann die Zufallszahl entschlüsseln und sie für die weitere Kommunikation als Schlüssel verwenden. Da so jeder Kommunikationsaufbau einen neuen Schlüssel verwendet, erschwert dies die Kompromittierung. Public-Key-Verfahren, Zertifikate Hierbei handelt es sich um ein asymmetrisches Verfahren, bei dem jeder Kommunikationspartner einen privaten (Private Key) und einen öffentlichen Schlüssel (Public Key) besitzt. Mit dem Public Key verschlüsselte Nachrichten können nur mit dem zugehörigen Private Key entschlüsselt werden. Zur Authentisierung wird eine (oder mehrere) Zufallszahl(en) verwendet, die auf unterschiedliche Weise mit dem öffentlichen und privaten Schlüssel verschlüsselt ausgetauscht wird, so dass nur die Besitzer des jeweiligen Private Key eine verschlüsselte Kommunikationsverbindung aufbauen können. Der private Schlüssel wird hierbei zu keiner Zeit übertragen. Die ausgetauschte Zufallszahl dient dann als symmetrischer Schlüssel für die Kommunikation. Zur Bundesamt für Sicherheit in der Informationstechnik 11

12 ISi-Reihe Virtuelles Privates Netz (ISi-VPN) Nutzung ist eine PKI (Public Key Infrastruktur) notwendig, die die öffentlichen Schlüssel verwaltet. Einmalpasswörter Einmalpasswörter verlieren nach einmaliger Anwendung ihre Gültigkeit. Das Abhören einer Authentisierungssitzung gibt einem Abhörer keine Möglichkeit, das erlangte Wissen später zu nutzen. Die einfachste Form ist das aus dem Online-Banking bekannte TAN-Verfahren mit Listen. Für den Aufbau von VPN-Verbindungen nutzt man statt Listen Kryptogeräte, die an die zu authentisierenden Benutzer ausgegeben werden. Die Geräte und der Authentisierungsserver haben einen nicht auslesbaren PSK, der zusammen mit einem internen Timer und einem Algorithmus einen Hash-Wert bildet, der als Einmalpasswort verwendet wird. Dieser Wert ist nur innerhalb eines gewissen Zeitfensters gültig, danach wird das nächste Passwort berechnet. Als problematisch können sich hier Zeitdifferenzen zwischen den beiden Partnern erweisen, die das Zeitfenster in dem der Schlüssel gültig ist gegen null gehen lassen können. Challenge-Response-Verfahren Bei diesem Verfahren stellt der Authentisierungsserver eine Frage (Challenge) an den Client, der sich anmelden möchte. Der Client beantwortet diese Frage (Response), was er nur dann korrekt kann, wenn er in Besitz des gleichen Geheimnisses (Key) ist, wie der Server. Es gibt hierzu verschiedene Verfahren, die meist auf Zufallszahlen und Hash-Werten basieren. Wichtig ist hierbei, dass der Schlüssel niemals übertragen werden muss und nicht auslesbar in Hardware gespeichert ist. Abschließender Vergleich der Verfahren Am sichersten sind die Authentisierungsverfahren, deren Schlüssel auf einer externen Hardware nicht auslesbar gespeichert ist (privater Schlüssel auf SmartCard, Einmalpasswörter auf Geräten und Challenge-Response-Gerät). Die zusätzliche manuelle Eingabe einer PIN bietet noch weitergehende Sicherheit, ist jedoch nur bei einer personenbezogenen Authentisierung verwendbar. Zum automatischen Aufbau einer Verbindung (z. B. bei der Kopplung zweier Netze) kann die manuelle Eingabe einer PIN nicht verwendet werden. Pre-Shared Keys sind bei kleineren Netzen nutzbar, jedoch ist der Schlüssel auf dem jeweiligen Rechner gespeichert und somit prinzipiell kompromittierbar. Von der Nutzung statischer Schlüssel wird abgeraten Datenverschlüsselung Die Verfahren zur Authentisierung dienen dem Aufbau eines Kommunikationskanals zwischen zwei Partnern. Dies ermöglicht aber nur, das gesendete Daten angenommen oder verworfen werden, je nachdem ob der Kommunikationspartner authentisiert ist. Da die Daten über das Internet versendet werden, können sie mitgehört werden. Deshalb ist es zusätzlich notwendig, die Nutzdaten zu verschlüsseln. Hierbei kommen i. d. R. symmetrische Kryptoverfahren zum Einsatz, bei denen beide Kommunikationspartner den selben Schlüssel besitzen. Die Algorithmen für symmetrische Kryptografie sind sehr performant. Dies bedingt, dass der Schlüssel beiden Kommunikationspartnern bekannt sein muss. Die meisten der vorgestellten Authentisierungsverfahren bieten die Möglichkeit, einen Schlüssel für symmetrische Kryptografie sicher auszutauschen. Die Nutzung von AES (Advanced Encryption Standard) wird momentan als sicher angesehen, wobei AES mit längeren Schlüsseln auch längerfristig sicher erscheint. Bei der Verschlüsselung von VS eingestuften Daten sind VS-zugelassene Kryptoverfahren zu verwenden. 12 Bundesamt für Sicherheit in der Informationstechnik

13 ISi-Reihe 1.4 Wesentliche Ergebnisse der Gefährdungsanalyse Die VPN-Komponenten sind Teil der Netzinfrastruktur. Ist die Architektur gemäß [ISi-LANA] aufgebaut, sind die einzelnen Komponenten vor grundlegenden Angriffen auf TCP/IP-Ebene ausreichend geschützt. Ein Client-PC, der eine VPN-Verbindung zum internen Netz aufbauen kann, unterliegt zunächst den selben Gefahren wie ein Client-PC im internen Netz. Dementsprechend sind die notwendigen Schutzmaßnahmen eines Client-PC im internen Netz umzusetzten (Viren-Scanner, eingeschränkte Nutzerrechte, zentrale Administration, etc.). Der externe - und unter Umständen mobile - Standort sowie die Art des Verbindungsaufbaus bergen aber noch weitere Gefahren. Was kann konkret passieren? Die Kompromittierung einer VPN-Verbindung hat in der Regel gravierende Folgen, da der VPN- Client ähnliche Rechte hat, wie ein Client im internen Netz. Dies macht den VPN-Client und die VPN-Verbindungen zu einem lohnenswerten Angriffsziel. Die Auswirkungen reichen von Diebstahl oder Manipulation von Informationen bis zur Zerstörung von Daten. Zudem besteht für einen Angreifer die Möglichkeit, eine fremde Identität anzunehmen und so Schaden anzurichten. Kernbedrohung: Eindringen in eine VPN-Verbindung Ist ein PC im internen Netz schon alleine durch seinen Standort geschützt (überwachte Firmenräume), wird es einem Angreifer nur sehr schwer gelingen, einen PC in das interne Netz einzuschleusen. Anders bei einem VPN-Client bzw. einer VPN-Verbindung. Ein Eindringen in diese Verbindung ermöglicht es einem Angreifer sich mit dem internen Netz zu verbinden. Besitz der Authentisierungsfaktoren Ist das VPN mittels einer Kombination aus Hardware und Wissen (Zwei-Faktor-Authentisierung z. B. USB-Token mit PIN) abgesichert, so ist der Verlust der Hardware das größte Risiko, da das zugehörige Wissen in der Regel leichter beschafft oder erraten werden kann. Insbesondere mobile Endgeräte (Notebooks, etc.) sind hier gefährdet. Bei einem Verlust der Hardwarekomponente muss der VPN-Zugang unverzüglich gesperrt werden. Erraten des Passworts Sind VPN-Dienste nur mittels eines Passworts geschützt, hängt die Sicherheit direkt von der Güte des verwendeten Passwortes ab. Regeln für Passwörter können hier eine entscheidende Verbesserung bringen, insbesondere wenn deren Einhaltung mit Hilfe technischer Mittel durchgesetzt wird. Schwache Kryptografie Zu kurze Schlüssel bzw. schwache Verschlüsselungsverfahren stellen eine Schwachstelle dar und sind zu vermeiden. Die vorgestellten Verfahren erlauben ausreichend sichere Schlüssel. Bedrohungen der Sicherheitsgrundwerte Nachfolgend sind einige Beispiele für konkrete Bedrohungen bei der VPN-Nutzung aufgeführt, gegliedert nach den drei elementaren Sicherheitsgrundwerte Verfügbarkeit, Vertraulichkeit und Integrität. Bundesamt für Sicherheit in der Informationstechnik 13

14 ISi-Reihe Virtuelles Privates Netz (ISi-VPN) Bedrohung der Verfügbarkeit Auch wenn der VPN-Server hinter einem Paketfilter steht, kann er Ziel eines Denial of Service (DoS) Angriffs sein. Bei dieser Bedrohung wird der Server mit Anfragen überflutet, so dass der reguläre Verkehr zusammenbricht. Werden zum Aufbau eines SSL-VPN externe Zertifizierungsserver verwendet, so bewirkt eine Unterbrechung der Verbindung zwischen SSL-Server und Zertifizierungsserver, dass keine VPN-Verbindung aufgebaut werden kann, da die Authentizität des Clients nicht geprüft werden kann. Bedrohung der Integrität und Authentizität Man-in-the-Middle-Angriffe stellen eine Bedrohung für die Authentizität, Integrität und Vertraulichkeit der Daten dar. Bei diesem Angriff gibt sich der Angreifer gegenüber dem VPN-Client als VPN-Server und gegenüber dem VPN-Server als VPN-Client aus. Hierzu ist es notwendig, dass der Client so manipuliert wurde, dass die Verbindung anstatt zum VPN-Server zum Angreifer umgelenkt wird. Kommt die Verbindung zwischen VPN-Client und Angreifer zustande, ist der Angreifer ein Endpunkt der Verbindung. Nun stellt der Angreifer mit den Daten des VPN-Clients die Verbindung zum VPN-Server her und authentisiert sich dort. Alle Daten liegen nun unverschlüsselt beim Angreifer vor, auf den Transportwegen sind sie jedoch verschlüsselt. Der Angreifer kann zudem auch eigene Aktionen starten, Daten entwenden, weitere Sicherheitslöcher öffnen oder Daten manipulieren und vernichten. Bedrohung der Vertraulichkeit Wird der Verbindungsschlüssel kompromittiert (z. B. durch Verlust des Schlüssels oder schwache Kryptografie), können mit gelesene Daten in Klartext umgewandelt werden. 1.5 Wesentliche Empfehlungen Die Absicherung des Internetanschlusses, der für den Betrieb eines VPN zwingend erforderlich ist, ist bereits in [ISi-LANA] beschrieben. Die Integration eines VPN-Gateways in der in [ISi-LANA] vorgestellten Grundarchitektur sowie Anforderungen an die Absicherung eines VPN-Clients sind Bestandteil von [ISi-Fern]. Die nachfolgend aufgeführten Maßnahmen beziehen sich ausschließlich auf die verwendeten Technologien, um ein VPN sicher zu planen, zu konfigurieren und zu betreiben. Maßnahmen gegen das Eindringen in VPN-Verbindung Die Auswahl geeigneter Verschlüsselungsverfahren stellt primär den notwendigen Schutz sicher. Von statischen Schlüsseln ist auch bei einem sichern Verschlüsselungsverfahren abzuraten, da dem Angreifer viel Zeit bleibt, den Schlüssel zu ermitteln. Für Client-LAN-VPNs empfehlen sich hardwarebasierte Verfahren (z. B. Kartenleser), die die Eingabe einer PIN erfordern. Zur Authentisierung von LAN-LAN-VPNs können ebenfalls die hardwarebasierten Verfahren herangezogen werden (z. B. Kryptoboxen), wobei aufgrund des automatischen Verbindungsaufbaus die manuelle Eingabe einer PIN nicht möglich ist. Von statischen Passwörtern ist abzuraten, Pre-Shared-Keys sollten durch die oben erwähnten sichereren Verfahren ersetzt werden. 14 Bundesamt für Sicherheit in der Informationstechnik

15 ISi-Reihe Die Parameter für den Aufbau des VPN-Tunnels (Client-LAN) sollten nicht auf dem VPN-Client gespeichert sein, so dass man die VPN-Verbindung ohne die Eingabe eines Kennworts oder einer PIN herstellen kann. Der Verlust des Client-Geräts hätte dann zur Folge, dass der unrechtmäßige Besitzer Zugang zum internen Netz der Institution erhalten würde. Sicherstellung der Verfügbarkeit Die Auswahl der verwendeten VPN-Techniken hat nur in wenigen Fällen Auswirkungen auf die Verfügbarkeit. Basiert die Authentisierung auf Zertifikaten, die von einer öffentlichen Certificate Authority (CA) verwaltet werden, so ist eine erfolgreiche Authentisierung von der Verfügbarkeit dieser CA abhängig. Der Aufbau einer eigenen PKI (Public Key Infrastruktur) führt zu einer Eliminierung der Abhängigkeit von externen CAs, bedeutet aber einen erheblichen Mehraufwand. Sicherstellung der Vertraulichkeit und Integrität: Verschlüsselung Vertraulichkeit und Integrität müssen durch sichere Krypto-Algorithmen (z. B. AES) mit ausreichender Schlüssellänge gewährleistet werden, von älteren Verfahren (z. B. DES) wird abgeraten, da diese als nicht mehr sicher gelten. Die Konfiguration der Verbindungsparameter muss korrekt sein, da die verwendbaren Protokolle (IPSec, SSL, L2TP) auch unsichere Verfahren implementiert haben, die aber aus Sicherheitsgründen nicht angewendet werden sollten. Zum Teil kann bei der Konfiguration auch die Option keine Verschlüsselung gewählt werden, was unter allen Umständen zu verhindern ist. 1.6 Fazit Die Nutzung von VPN bringt für Behörden und Unternehmen einen großen Nutzen. Die vorgestellten Verfahren bieten - bei Auswahl starker Authentisierungs- und Verschlüsselungsverfahren - eine ausreichend hohe Sicherheit. Die genannten Realisierungsmöglichkeiten (IPSec, L2TP over IPSec und SSL) gewähren für unterschiedliche Anwendungsszenarien genügend Schutz der Sicherheitsgrundwerte. Besteht für die Institution eine Abhängigkeit vom VPN, würde ein Ausfall zu einem hohen Schaden führen. Insbesondere die VPN-Zugänge zum internen Netz müssen dagegen geschützt werden (siehe [ISi-LANA] und [ISi-Fern]). Bundesamt für Sicherheit in der Informationstechnik 15

16 ISi-Reihe Virtuelles Privates Netz (ISi-VPN) 2 Glossar Angriff (engl. attack) Ein Angriff ist eine vorsätzliche Form der Gefährdung, nämlich eine unerwünschte oder unberechtigte Handlung mit dem Ziel, sich Vorteile zu verschaffen bzw. einen Dritten zu schädigen. Angreifer können auch im Auftrag von Dritten handeln, die sich Vorteile verschaffen wollen. Anwendungsschicht (engl. application layer) Die Anwendungsschicht ist die oberste Schicht im TCP/IP-Referenzmodell. Sie umfasst alle Protokolle, die von Anwendungsprogrammen, z. B. Browser oder -Client, verarbeitet und für den Austausch anwendungsspezifischer Daten genutzt werden. Beispiele für Protokolle der Anwendungsschicht sind das Hypertext Transfer Protocol (HTTP) oder das Simple Mail Transfer Protocol (SMTP). Authentisierung (engl. authentication) Unter einer Authentisierung versteht man die Vorlage eines Nachweises eines Kommunikationspartners, dass er tatsächlich derjenige ist, der er vorgibt zu sein. Authentizität (engl. authenticity) Mit dem Begriff Authentizität wird die Eigenschaft bezeichnet, die gewährleistet, dass ein Kommunikationspartner tatsächlich derjenige ist, der er vorgibt zu sein. Bei authentischen Informationen ist sichergestellt, dass sie von der angegebenen Quelle erstellt wurden. Der Begriff wird nicht nur verwendet, wenn die Identität von Personen geprüft wird, sondern auch bei IT-Komponenten oder Anwendungen. Autorisierung (engl. authorization) Bei einer Autorisierung wird geprüft, ob eine Person, IT-Komponente oder Anwendung zur Durchführung einer bestimmten Aktion berechtigt ist. Bedrohung (engl. threat) Eine Bedrohung ist ganz allgemein ein Umstand oder Ereignis, durch das ein Schaden entstehen kann. Der Schaden bezieht sich dabei auf einen konkreten Wert wie Vermögen, Wissen, Gegenstände oder Gesundheit. Übertragen in die Welt der Informationstechnik ist eine Bedrohung ein Umstand oder Ereignis, das die Verfügbarkeit, Integrität oder Vertraulichkeit von Informationen bedrohen kann, wodurch dem Besitzer der Informationen ein Schaden entsteht. Betriebssystem (engl. operating system) Das Betriebssystem ist ein Steuerungsprogramm, das es dem Benutzer ermöglicht, seine Dateien zu verwalten, angeschlossene Geräte (z. B. Drucker, Festplatte) zu kontrollieren oder Programme zu starten. Weit verbreitet sind z. B. Windows, Linux oder MacOS. 16 Bundesamt für Sicherheit in der Informationstechnik

17 ISi-Reihe Browser [engl.] Mit Browser (von "to browse", auf deutsch: schmökern, blättern, umherstreifen) wird Software zum Zugriff auf das World Wide Web bezeichnet. Das Programm interpretiert die ankommenden Daten und stellt sie als Text und Bild auf dem Bildschirm dar. BSI (Bundesamt für Sicherheit in der Informationstechnik) (engl. Federal Office for Information Security) Bundesbehörde im Geschäftsbereich des Bundesministerium des Innern. Chipkarte (engl. smartcard) Plastikkarte in EC-Kartengröße mit integriertem Miniaturrechner (Chip). Chipkarten werden über ein entsprechendes Lesegerät an den Computer angeschlossen. Client [engl.] Als Client wird Soft- oder Hardware bezeichnet, die bestimmte Dienste von einem Server in Anspruch nehmen kann. Häufig steht der Begriff Client für einen Arbeitsplatzrechner, der in einem Netz auf Daten und Programme eines Servers zugreift. DoS (Denial of Service [engl.]) Angriffe, mit dem Ziel, die Verfügbarkeit von IT zu schädigen. Gefährdung Eine Gefährdung ist eine Bedrohung, die konkret auf ein Objekt über eine Schwachstelle einwirkt. Eine Bedrohung wird somit erst durch eine vorhandene Schwachstelle zur Gefährdung für ein Objekt. So sind beispielsweise Computer-Viren eine Bedrohung oder eine Gefährdung für Anwender, die im Internet surfen. Nach der oben gegebenen Definition lässt sich feststellen, dass alle Anwender prinzipiell durch Computer-Viren im Internet bedroht sind. Der Anwender, der eine virenbefallene Datei herunterlädt, wird von dem Computer-Virus gefährdet, wenn sein Computer anfällig für diesen Typ Computer-Virus ist. Für Anwender mit einem wirksamen Schutzprogramm, einer Konfiguration, die das Funktionieren des Computer-Virus verhindert, oder einem Betriebssystem, das den Virencode nicht ausführen kann, bedeutet das geladene Schadprogramm hingegen keine Gefährdung. HTML (Hypertext Markup Language [engl.]) Für Web-Seiten verwendete Auszeichnungssprache, die von allen Browsern verstanden wird. HTTP (Hypertext Transfer Protocol [engl.]) Das Hypertext Transfer Protocol dient zur Übertragung von Daten - meist Webseiten - zwischen einem HTTP-Server und einem HTTP-Client, also z. B. einem Browser. Die Daten werden über Uniform Resource Locators (URL) eindeutig bezeichnet. URLs werden meist in der Form Protokoll://Rechner/Pfad/Datei angegeben. Protokoll steht dabei für Protokolle der Anwendungsschicht, Rechner für den Namen oder die Adresse des Servers und der Pfad der Datei gibt den genauen Ort der Datei auf dem Server an. Ein Beispiel für eine URL ist Bundesamt für Sicherheit in der Informationstechnik 17

18 ISi-Reihe Virtuelles Privates Netz (ISi-VPN) HTTPS (HTTP secure [engl.]) Protokoll zur sicheren Übertragung von HTML-Seiten im Internet. SSL/TLS dient dabei zur Absicherung der Client-Server-Kommunikation. Integrität (engl. integrity) Integrität bezeichnet die Sicherstellung der Korrektheit (Unversehrtheit) von Daten und der korrekten Funktionsweise von Systemen. Wenn der Begriff Integrität auf "Daten" angewendet wird, drückt er aus, dass die Daten vollständig und unverändert sind. In der Informationstechnik wird er in der Regel aber weiter gefasst und auf "Informationen" angewendet. Der Begriff "Information" wird dabei für "Daten" verwendet, denen je nach Zusammenhang bestimmte Attribute wie z. B. Autor oder Zeitpunkt der Erstellung zugeordnet werden können. Der Verlust der Integrität von Informationen kann daher bedeuten, dass diese unerlaubt verändert, Angaben zum Autor verfälscht oder Zeitangaben zur Erstellung manipuliert wurden. Integrität ist ein Grundwert der IT-Sicherheit. IP (Internet Protocol [engl.]) Verbindungsloses Protokoll der Internet-Schicht im TCP/IP-Referenzmodell. Ein IP-Header enthält in der Version IPv4 u. a. zwei 32-Bit-Nummern (IP-Adressen) für Ziel und Quelle der kommunizierenden Rechner. IPSec (Internet Protocol Security [engl.]) Erweiterung des Internet-Protokolls IP zur Sicherstellung von Integrität, Authentizität und Vertraulichkeit. IPSec ist in der Version 6 des Internet-Protokolls (IPv6) enthalten. IPv4 (Internet Protocol Version 4 [engl.]) Das Internet Protocol Version 4 ist ein verbindungsloses Protokoll der Vermittlungsschicht und erlaubt den Austausch von Daten zwischen zwei Rechnern ohne vorherigen Verbindungsaufbau. IPv4 setzt nicht voraus, dass das darunterliegende Netz Fehlererkennung ausführt. Ferner verfügt es über keine Verlässlichkeits- oder Flusssteuerungsmechanismen. Die meisten dieser Probleme gibt IPv4 an die nächsthöhere Schicht (die Transportschicht) weiter. IPv6 (Internet Protocol Version 6 [engl.]) Das Internet Protocol Version 6 ist die Nachfolgeversion von IPv4 und soll dieses ablösen, da es u. a. die Zahl der verfügbaren Rechneradressen stark erweitert und Maßnahmen zum Schutz der übertragenen Daten vor dem Verlust der Vertraulichkeit, der Integrität und der Authentizität umfasst. Die Sicherungsmaßnahmen sind unter dem Namen "IPSec" zusammengefasst. IPSec definiert Sicherungsdienste, die durch zwei zusätzliche Header, den "IP Authentication Header" (AH) und den Header "IP Encapsulating Security Payload" (ESP) realisiert werden. Mithilfe der Header können unterschiedliche kryptografische Algorithmen eingebunden werden. IPSec erlaubt die Integration der Header in Datagramme des IPv4 sowie des IPv6. AH- und ESP-Header können einzeln oder gemeinsam in einem IP-Datagramm auftreten. Die Sicherheitsmechanismen schützen IPv4/IPv6 und die darüberliegenden Protokolle. IT-Sicherheit (engl. IT Security) IT-Sicherheit bezeichnet einen Zustand, in dem die Risiken, die beim Einsatz von Informationstechnik aufgrund von Gefährdungen vorhanden sind, durch angemessene Maßnahmen auf ein 18 Bundesamt für Sicherheit in der Informationstechnik

19 ISi-Reihe tragbares Maß beschränkt sind. IT-Sicherheit ist also der Zustand, in dem Vertraulichkeit, Integrität und Verfügbarkeit von Informationen und Informationstechnik durch angemessene Maßnahmen geschützt sind. NAT (Network Address Translation [engl.]) Network Address Translation (NAT) bezeichnet ein Verfahren zum automatischen und transparenten Ersetzen von Adressinformationen in Datenpaketen. NAT-Verfahren kommen meist auf Routern und Sicherheits-Gateways zum Einsatz, vor allem, um den beschränkten IPv4-Adressraum möglichst effizient zu nutzen und um lokale IP-Adressen gegenüber öffentlichen Netzen zu verbergen. Paketfilter (engl. packet filter) Paketfilter sind IT-Systeme mit spezieller Software, die den ein- und ausgehenden Datenverkehr anhand spezieller Regeln filtern. Ihre Aufgabe ist es, Datenpakete anhand der Informationen in den Header-Daten der IP- und Transportschicht (z. B. Quell- und Ziel-Adresse, -Portnummer, TCP-Flags) weiterzuleiten oder zu verwerfen. Der Inhalt des Pakets bleibt dabei unberücksichtigt. PKI (Public Key Infrastructure [engl.]) Sicherheitsinfrastruktur, die es ermöglicht, in nicht gesicherten Netzen (z. B. Internet) auf der Basis eines von einer vertrauenswürdigen Stelle ausgegebenen Schlüsselpaares (vgl. asymmetrische Verschlüsselung) verschlüsselt Daten auszutauschen bzw. Signaturen zu erzeugen und zu prüfen. PPP (Point-to-Point Protokoll [engl.]) Das Point-to-Point Protocol dient im Wesentlichen der Übertragung von IP-Paketen über serielle Leitungen, also z. B. Modemzugänge. Am häufigsten eingesetzt wird PPP, um bei der Einwahl eine Verbindung mit einem Rechner eines Internet-Zugangsproviders aufzubauen und zu kontrollieren. Protokoll (engl. protocol) Beschreibung (Spezifikation) des Datenformats für die Kommunikation zwischen elektronischen Geräten. Proxy Ein Proxy ist eine Art Stellvertreter in Netzen. Er nimmt Daten von einer Seite an und leitet sie an eine andere Stelle im Netz weiter. Mittels eines Proxys lassen sich Datenströme filtern und gezielt weiterleiten. Prüfsumme (engl. checksum) In der Informatik ist eine Prüfsumme eine einfache Maßnahme zur Gewährleistung von Datenintegrität bei der Datenübermittlung oder -speicherung. Bundesamt für Sicherheit in der Informationstechnik 19

20 ISi-Reihe Virtuelles Privates Netz (ISi-VPN) Router [engl.] Ein (IP-)Router ist ein Vermittlungsrechner, der Netze auf IP-Ebene koppelt und Wegewahlentscheidungen anhand von IP-Protokollschicht-Informationen trifft. Router trennen Netze auf der Netzzugangsschicht und begrenzen daher die Broadcast-Domäne eines Ethernets. RSA (Rivest, Shamir, Adleman Public Key Encryption [engl.]) Ein asymmetrisches Verfahren (Public-Key-Verfahren) zur Verschlüsselung und Signatur. Schutzbedarf (engl. protection requirements) Der Schutzbedarf beschreibt, welcher Schutz für die Geschäftsprozesse, die dabei verarbeiteten Informationen und die eingesetzte Informationstechnik ausreichend und angemessen ist. Schwachstelle (engl. vulnerability) Eine Schwachstelle ist ein sicherheitsrelevanter Fehler eines IT-Systems oder einer Institution. Ursachen können in der Konzeption, den verwendeten Algorithmen, der Implementation, der Konfiguration, dem Betrieb sowie der Organisation liegen. Eine Schwachstelle kann dazu führen, dass eine Bedrohung wirksam wird und eine Institution oder ein System geschädigt wird. Durch eine Schwachstelle wird ein Objekt (eine Institution oder ein System) anfällig für Bedrohungen. Server [engl.] Als Server wird Soft- oder Hardware bezeichnet, die bestimmte Dienste anderen (Clients) anbietet. Typischerweise wird damit ein Rechner bezeichnet, der seine Hardware- und Software-Ressourcen in einem Netz anderen Rechnern zugänglich macht. Beispiele sind Applikations-, Daten-, Web- oder -Server. Sicherheits-Gateway Ein Sicherheits-Gateway (oft auch Firewall genannt) gewährleistet die sichere Kopplung von IP- Netzen durch Einschränkung der technisch möglichen auf die in einer IT-Sicherheitsleitlinie als ordnungsgemäß definierte Kommunikation. Sicherheit bei der Netzkopplung bedeutet hierbei im Wesentlichen, dass ausschließlich erwünschte Zugriffe oder Datenströme zwischen verschiedenen Netzen zugelassen und die übertragenen Daten kontrolliert werden. Ein Sicherheits-Gateway für normalen Schutzbedarf besteht im Allgemeinen aus mehreren, in Reihe geschalteten Filterkomponenten. Dabei ist zwischen Paketfilter und Application-Level Gateway (ALG) zu unterscheiden. SSL (Secure Sockets Layer [engl.]) Protokoll zur sicheren Kommunikation über das Internet, insbesondere zwischen Client und Server, basiert auf dem Verschlüsselungsalgorithmus RSA. TAN (Transaktionsnummer) Geheimzahl, die die Freigabe für einen einzelnen Vorgang erteilt. Die Geheimzahl verliert hiernach ihre Gültigkeit. Wird insbesondere beim Internet-Banking in Kombination mit einer PIN eingesetzt. 20 Bundesamt für Sicherheit in der Informationstechnik

VIRTUAL PRIVATE NETWORKS

VIRTUAL PRIVATE NETWORKS VIRTUAL PRIVATE NETWORKS Seminar: Internet-Technologie Dozent: Prof. Dr. Lutz Wegner Virtual Private Networks - Agenda 1. VPN Was ist das? Definition Anforderungen Funktionsweise Anwendungsbereiche Pro

Mehr

Kurzeinführung VPN. Veranstaltung. Rechnernetze II

Kurzeinführung VPN. Veranstaltung. Rechnernetze II Kurzeinführung VPN Veranstaltung Rechnernetze II Übersicht Was bedeutet VPN? VPN Typen VPN Anforderungen Was sind VPNs? Virtuelles Privates Netzwerk Mehrere entfernte lokale Netzwerke werden wie ein zusammenhängendes

Mehr

Prinzipiell wird bei IP-basierenden VPNs zwischen zwei unterschiedlichen Ansätzen unterschieden:

Prinzipiell wird bei IP-basierenden VPNs zwischen zwei unterschiedlichen Ansätzen unterschieden: Abkürzung für "Virtual Private Network" ein VPN ist ein Netzwerk bestehend aus virtuellen Verbindungen (z.b. Internet), über die nicht öffentliche bzw. firmeninterne Daten sicher übertragen werden. Die

Mehr

Virtuelle Netze. Virtuelle Netze von Simon Knierim und Benjamin Skirlo 1 Von 10-16.04.07. Simon Knierim & Benjamin Skirlo.

Virtuelle Netze. Virtuelle Netze von Simon Knierim und Benjamin Skirlo 1 Von 10-16.04.07. Simon Knierim & Benjamin Skirlo. 1 Von 10-16.04.07 Virtuelle Netze Simon Knierim & Benjamin Skirlo für Herrn Herrman Schulzentrum Bremen Vegesack Berufliche Schulen für Metall- und Elektrotechnik 2 Von 10-16.04.07 Inhaltsverzeichnis Allgemeines...

Mehr

VPN Virtual Private Network

VPN Virtual Private Network VPN Virtual Private Network LF10 - Betreuen von IT-Systemen Marc Schubert FI05a - BBS1 Mainz Lernfeld 10 Betreuen von IT-Systemen VPN Virtual Private Network Marc Schubert FI05a - BBS1 Mainz Lernfeld 10

Mehr

VPN Gateway (Cisco Router)

VPN Gateway (Cisco Router) VPN Gateway (Cisco Router) Mario Weber INF 03 Inhalt Inhalt... 2 1 VPN... 3 1.1 Virtual Private Network... 3 1.1.1 Allgemein... 3 1.1.2 Begriffsklärung... 4 1.2 Tunneling... 4 1.3 Tunnelprotkolle... 5

Mehr

Zentrum für Informationsdienste und Hochleistungsrechnen (ZIH) Technische Grundlagen und Beispiele. Christian Hoffmann & Hanjo, Müller

Zentrum für Informationsdienste und Hochleistungsrechnen (ZIH) Technische Grundlagen und Beispiele. Christian Hoffmann & Hanjo, Müller Zentrum für Informationsdienste und Hochleistungsrechnen (ZIH) VPN (Virtual Private Network) Technische Grundlagen und Beispiele Christian Hoffmann & Hanjo, Müller Dresden, 3. April 2006 Übersicht Begriffsklärung

Mehr

VPN: Virtual-Private-Networks

VPN: Virtual-Private-Networks Referate-Seminar WS 2001/2002 Grundlagen, Konzepte, Beispiele Seminararbeit im Fach Wirtschaftsinformatik Justus-Liebig-Universität Giessen 03. März 2002 Ziel des Vortrags Beantwortung der folgenden Fragen:

Mehr

Virtual Private Networks. Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH

Virtual Private Networks. Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH Virtual Private Networks Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH Inhalt Einleitung Grundlagen Kryptographie IPSec Firewall Point-to-Point Tunnel Protokoll Layer 2 Tunnel Protokoll Secure Shell

Mehr

NAT & VPN. Adressübersetzung und Tunnelbildung. Bastian Görstner

NAT & VPN. Adressübersetzung und Tunnelbildung. Bastian Görstner Adressübersetzung und Tunnelbildung Bastian Görstner Gliederung 1. NAT 1. Was ist ein NAT 2. Kategorisierung 2. VPN 1. Was heißt VPN 2. Varianten 3. Tunneling 4. Security Bastian Görstner 2 NAT = Network

Mehr

TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL

TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL 1 TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL Kleine Auswahl bekannter Sicherheitsprotokolle X.509 Zertifikate / PKIX Standardisierte, häufig verwendete Datenstruktur zur Bindung von kryptographischen

Mehr

Verschlüsselung der Kommunikation zwischen Rechnern

Verschlüsselung der Kommunikation zwischen Rechnern Verschlüsselung der Kommunikation zwischen Rechnern Stand: 11. Mai 2007 Rechenzentrum Hochschule Harz Sandra Thielert Hochschule Harz Friedrichstr. 57 59 38855 Wernigerode 03943 / 659 0 Inhalt 1 Einleitung

Mehr

Virtuelle Private Netzwerke

Virtuelle Private Netzwerke Virtuelle Private Netzwerke VPN Dortmund, Oktober 2004 Prof. Dr. Heinz-Michael Winkels, Fachbereich Wirtschaft FH Dortmund Emil-Figge-Str. 44, D44227-Dortmund, TEL.: (0231)755-4966, FAX: (0231)755-4902

Mehr

VPN - Virtual Private Networks

VPN - Virtual Private Networks VPN - Virtual Private Networks Wolfgang Böhmer Kommunikationssicherheit in VPN- und IP-Netzen, über GPRS und WLAN ISBN 3-446-22930-2 Inhaltsverzeichnis Weitere Informationen oder Bestellungen unter http://www.hanser.de/3-446-22930-2

Mehr

Verteilte Systeme. Übung 10. Jens Müller-Iden

Verteilte Systeme. Übung 10. Jens Müller-Iden Verteilte Systeme Übung 10 Jens Müller-Iden Gruppe PVS (Parallele und Verteilte Systeme) Institut für Informatik Westfälische Wilhelms-Universität Münster Sommersemester 2007 10.1 Unsicherheit in Verteilten

Mehr

Site2Site VPN S T E F A N K U S I E K B F W L E I P Z I G

Site2Site VPN S T E F A N K U S I E K B F W L E I P Z I G Site2Site VPN S T E F A N K U S I E K B F W L E I P Z I G Übersicht Einleitung IPSec SSL RED Gegenüberstellung Site-to-Site VPN Internet LAN LAN VPN Gateway VPN Gateway Encrypted VPN - Technologien Remote

Mehr

Verteilte Systeme. 10.1 Unsicherheit in Verteilten Systemen

Verteilte Systeme. 10.1 Unsicherheit in Verteilten Systemen Verteilte Systeme Übung 10 Jens Müller-Iden Gruppe PVS (Parallele und Verteilte Systeme) Institut für Informatik Westfälische Wilhelms-Universität Münster Sommersemester 2007 10.1 Unsicherheit in Verteilten

Mehr

VPN. Virtuelles privates Netzwerk. Vortrag von Igor Prochnau Seminar Internet- Technologie

VPN. Virtuelles privates Netzwerk. Vortrag von Igor Prochnau Seminar Internet- Technologie VPN Virtuelles privates Netzwerk Vortrag von Igor Prochnau Seminar Internet- Technologie Einleitung ist ein Netzwerk, das ein öffentliches Netzwerk benutzt, um private Daten zu transportieren erlaubt eine

Mehr

VPN / Tunneling. 1. Erläuterung

VPN / Tunneling. 1. Erläuterung 1. Erläuterung VPN / Tunneling Ein virtuelles privates Netzwerk (VPN) verbindet die Komponenten eines Netzwerkes über ein anderes Netzwerk. Zu diesem Zweck ermöglicht das VPN dem Benutzer, einen Tunnel

Mehr

4 Netzwerkzugriff. 4.1 Einführung. Netzwerkzugriff

4 Netzwerkzugriff. 4.1 Einführung. Netzwerkzugriff 4 Netzwerkzugriff Prüfungsanforderungen von Microsoft: Configuring Network Access o Configure remote access o Configure Network Access Protection (NAP) o Configure network authentication o Configure wireless

Mehr

Denn es geht um ihr Geld:

Denn es geht um ihr Geld: Denn es geht um ihr Geld: [A]symmetrische Verschlüsselung, Hashing, Zertifikate, SSL/TLS Warum Verschlüsselung? Austausch sensibler Daten über das Netz: Adressen, Passwörter, Bankdaten, PINs,... Gefahr

Mehr

VPN: SSL vs. IPSec. erfrakon - Erlewein, Frank, Konold & Partner Martin Konold Dr. Achim Frank. Präsentation auf dem

VPN: SSL vs. IPSec. erfrakon - Erlewein, Frank, Konold & Partner Martin Konold Dr. Achim Frank. Präsentation auf dem VPN: SSL vs. IPSec erfrakon - Erlewein, Frank, Konold & Partner Martin Konold Dr. Achim Frank Präsentation auf dem IT Security Forum 9. November 2005, Frankfurt erfrakon Erlewein, Frank, Konold & Partner

Mehr

Handout. Holger Christian. Thema: VPN

Handout. Holger Christian. Thema: VPN Handout Holger Christian Thema: VPN VPN-Definition: Ein virtuelles privates Netz (VPN) ist ein Netz von logischen Verbindungen zur Übermittlung von privaten Daten/Informationen bzw. Datenverkehr. Eine

Mehr

Sicherer mobiler Zugriff in Ihr Unternehmen warum SSL VPN nicht das Allheilmittel ist

Sicherer mobiler Zugriff in Ihr Unternehmen warum SSL VPN nicht das Allheilmittel ist Sicherer mobiler Zugriff in Ihr Unternehmen warum SSL VPN nicht das Allheilmittel ist Ein Vergleich verschiedener VPN-Technologien Seite 1 Überblick Überblick VPN Technologien SSL VPN Sicherheitsrisiken

Mehr

Virtuelle Private Netze (VPN) Copyright und Motivation und sowas

Virtuelle Private Netze (VPN) Copyright und Motivation und sowas Virtuelle Private Netze (VPN) Geschrieben von ~Creepy~Mind~ Version 1.3 ;-) (Wybe Dijkstra: "Tue nur, was nur Du tun kannst.") Copyright und Motivation und sowas Naja was soll ich hierzu groß schreiben...

Mehr

SSL-Protokoll und Internet-Sicherheit

SSL-Protokoll und Internet-Sicherheit SSL-Protokoll und Internet-Sicherheit Christina Bräutigam Universität Dortmund 5. Dezember 2005 Übersicht 1 Einleitung 2 Allgemeines zu SSL 3 Einbindung in TCP/IP 4 SSL 3.0-Sicherheitsschicht über TCP

Mehr

VPN Virtual Private Networks

VPN Virtual Private Networks Wolfgang Böhmer VPN Virtual Private Networks Die reale Welt der virtuellen Netze HANSER Inhaltsverzeichnis Teil I VPN-Grundlagen und Techniken 1 1 Einleitung 3 1.1 Was ist ein VPN? 7 1.2 Welche VPN-Varianten

Mehr

Rechnernetze II SS 2015. Betriebssysteme / verteilte Systeme rolanda.dwismuellera@duni-siegena.de Tel.: 0271/740-4050, Büro: H-B 8404

Rechnernetze II SS 2015. Betriebssysteme / verteilte Systeme rolanda.dwismuellera@duni-siegena.de Tel.: 0271/740-4050, Büro: H-B 8404 Rechnernetze II SS 2015 Betriebssysteme / verteilte Systeme rolanda.dwismuellera@duni-siegena.de Tel.: 0271/740-4050, Büro: H-B 8404 Stand: 14. Juli 2015 Betriebssysteme / verteilte Systeme Rechnernetze

Mehr

Karlsruher IT-Sicherheitsinitiative - 26. April 2001. "For your eyes only" Sichere E-Mail in Unternehmen. Dr. Dörte Neundorf neundorf@secorvo.

Karlsruher IT-Sicherheitsinitiative - 26. April 2001. For your eyes only Sichere E-Mail in Unternehmen. Dr. Dörte Neundorf neundorf@secorvo. Karlsruher IT-Sicherheitsinitiative - 26. April 2001 "For your eyes only" Sichere E-Mail in Unternehmen Dr. Dörte Neundorf neundorf@secorvo.de Secorvo Security Consulting GmbH Albert-Nestler-Straße 9 D-76131

Mehr

Internet - Grundzüge der Funktionsweise. Kira Duwe

Internet - Grundzüge der Funktionsweise. Kira Duwe Internet - Grundzüge der Funktionsweise Kira Duwe Gliederung Historische Entwicklung Funktionsweise: -Anwendungen -Rechnernetze -Netzwerkschichten -Datenkapselung -RFC -Verschiedene Protokolle (Ethernet,

Mehr

Stammtisch 04.12.2008. Zertifikate

Stammtisch 04.12.2008. Zertifikate Stammtisch Zertifikate Ein Zertifikat ist eine Zusicherung / Bestätigung / Beglaubigung eines Sachverhalts durch eine Institution in einem definierten formalen Rahmen 1 Zertifikate? 2 Digitale X.509 Zertifikate

Mehr

Internet-Sicherheit. Browser, Firewalls und Verschlüsselung. von Kai Fuhrberg. 2. Auflage

Internet-Sicherheit. Browser, Firewalls und Verschlüsselung. von Kai Fuhrberg. 2. Auflage Internet-Sicherheit Browser, Firewalls und Verschlüsselung von Kai Fuhrberg 2. Auflage Internet-Sicherheit Fuhrberg schnell und portofrei erhältlich bei beck-shop.de DIE FACHBUCHHANDLUNG Hanser München

Mehr

VPN unterstützt 3 verschiedene Szenarien: Host to Host: Dies kennzeichnet eine sichere 1:1 Verbindung zweier Computer, z.b. über das Internet.

VPN unterstützt 3 verschiedene Szenarien: Host to Host: Dies kennzeichnet eine sichere 1:1 Verbindung zweier Computer, z.b. über das Internet. 1. VPN Virtual Private Network Ein VPN wird eingesetzt, um eine teure dedizierte WAN Leitung (z.b. T1, E1) zu ersetzen. Die WAN Leitungen sind nicht nur teuer, sondern auch unflexibel, da eine Leitung

Mehr

Virtual Private Network / IPSec

Virtual Private Network / IPSec 1. Einführung 1.1 Was ist ein Virtual Private Network? Mit einem Virtual Private Network (virtuelles privates Netzwerk, VPN) können zwei Netzwerke über ein öffentliches Netzwerk (Internet) miteinander

Mehr

Verteilte Systeme. Sicherheit. Prof. Dr. Oliver Haase

Verteilte Systeme. Sicherheit. Prof. Dr. Oliver Haase Verteilte Systeme Sicherheit Prof. Dr. Oliver Haase 1 Einführung weitere Anforderung neben Verlässlichkeit (zur Erinnerung: Verfügbarkeit, Zuverlässigkeit, Funktionssicherheit (Safety) und Wartbarkeit)

Mehr

Sicherheitsdienste in IPv6

Sicherheitsdienste in IPv6 Sicherheitsdienste in IPv6 Dr. Hannes P. Lubich Bank Julius Bär Zürich IP Next Generation - Sicherheitsdienste in IPv6 (1) Motivation Die neuen Benutzungsformen des Internet für Electronic Commerce und

Mehr

1E05: VPN Verbindungen zwischen Data Center und Branch Office

1E05: VPN Verbindungen zwischen Data Center und Branch Office 1E05: VPN Verbindungen zwischen Data Center und Branch Office Referent: Christoph Bronold BKM Dienstleistungs GmbH 2008 BKM Dienstleistungs GmbH VPN Verbindungen Data Center und Backup Data Center Data

Mehr

Informations- und Kommunikationssysteme

Informations- und Kommunikationssysteme Informations- und Kommunikationssysteme Netztechnologien / Repetition Karl Meier karl.meier@kasec.ch 16.12.2006 Agenda 1 2 3 4 5 6 7 Internet und Protokolle, IP Adressierung Die Transportprotokolle UDP

Mehr

Web Service Security

Web Service Security Hochschule für Angewandte Wissenschaften Hamburg Fachbereich Elektrotechnik und Informatik SS 2005 Masterstudiengang Anwendungen I Kai von Luck Web Service Security Thies Rubarth rubart_t@informatik.haw-hamburg.de

Mehr

Sichere Netzwerke mit IPSec. Christian Bockermann

Sichere Netzwerke mit IPSec. Christian Bockermann <christian@ping.de> Sichere Netzwerke mit IPSec Christian Bockermann Überblick Gefahren, Ziele - Verschlüsselung im OSI-Modell IPSec - Architektur - Schlüssel-Management - Beispiele Unsichere Kommunikation

Mehr

Secure Sockets Layer (SSL) Prof. Dr. P. Trommler

Secure Sockets Layer (SSL) Prof. Dr. P. Trommler Secure Sockets Layer (SSL) Prof. Dr. P. Trommler Übersicht Internetsicherheit Protokoll Sitzungen Schlüssel und Algorithmen vereinbaren Exportversionen Public Keys Protokollnachrichten 29.10.2003 Prof.

Mehr

Technischer Anhang. Version 1.2

Technischer Anhang. Version 1.2 Technischer Anhang zum Vertrag über die Zulassung als IP-Netz-Provider im electronic cash-system der deutschen Kreditwirtschaft Version 1.2 30.05.2011 Inhaltsverzeichnis 1 Einleitung... 3 2 Anforderungen

Mehr

Sichere Abwicklung von Geschäftsvorgängen im Internet

Sichere Abwicklung von Geschäftsvorgängen im Internet Sichere Abwicklung von Geschäftsvorgängen im Internet Diplomarbeit von Peter Hild Theoretische Grundlagen der Kryptologie Vorhandene Sicherheitskonzepte für das WWW Bewertung dieser Konzepte Simulation

Mehr

2 Typische Angriffe. 3 Sichere Kommunikationsdienste. 4 Einbruchssicherung. 5 Sicherung von Anwendungsdiensten

2 Typische Angriffe. 3 Sichere Kommunikationsdienste. 4 Einbruchssicherung. 5 Sicherung von Anwendungsdiensten Inhalt 1 Einführung 2 Typische Angriffe 3 Sichere Kommunikationsdienste 4 Einbruchssicherung 5 Sicherung von Anwendungsdiensten 6 Privacy NS-3.1 1 3 Sichere Kommunikationsdienste NS-3.1 2 Kommunikationssicherheit

Mehr

Sicherheit in Wireless LANs

Sicherheit in Wireless LANs Sicherheit in Wireless LANs VS-Seminar Wintersemester 2002/2003 Betreuer: Stefan Schmidt Übersicht Funktion und Aufbau von Infrastruktur Wireless LAN Sicherheit in Wireless LANs Sicherungsmechanismen in

Mehr

IPsec. Vortrag im Rahmen des Seminars Neue Internet Technologien

IPsec. Vortrag im Rahmen des Seminars Neue Internet Technologien IPsec Vortrag im Rahmen des Seminars Neue Internet Technologien Friedrich Schiller Universität Jena Wintersemester 2003/2004 Thomas Heinze, Matrikel xxxxx Gliederung IPsec? - Motivation, Grundbegriffe,

Mehr

P107: VPN Überblick und Auswahlkriterien

P107: VPN Überblick und Auswahlkriterien P107: VPN Überblick und Auswahlkriterien Referent: Christoph Bronold BKM Dienstleistungs GmbH 2004 BKM Dienstleistungs GmbH VPN Überblick VPN Technologien für IP VPN Netzwerk Design VPN Auswahlkriterien

Mehr

L2TP over IPSEC. Built-in VPN für Windows 10 / 8 / 7 und MacOS X

L2TP over IPSEC. Built-in VPN für Windows 10 / 8 / 7 und MacOS X FORSCHUNGSZENTRUM JÜLICH GmbH Jülich Supercomputing Centre 52425 Jülich, (02461) 61-6402 Beratung und Betrieb, (02461) 61-6400 Technische Kurzinformation FZJ-JSC-TKI-0387 W.Anrath,S.Werner,E.Grünter 26.08.2015

Mehr

1 Praktikum Protokolle SS2007 Fachhochschule OOW 15.05.2007. VPN Dokumentation. Erstellt von: Jens Nintemann und Maik Straub

1 Praktikum Protokolle SS2007 Fachhochschule OOW 15.05.2007. VPN Dokumentation. Erstellt von: Jens Nintemann und Maik Straub 1 Praktikum Protokolle SS2007 Fachhochschule OOW VPN Dokumentation 1 2 Praktikum Protokolle SS2007 Fachhochschule OOW Inhaltsverzeichnis Thema Seite 1. Einleitung 3 2. Unsere Aufbaustruktur 3 3. Installation

Mehr

VPN Virtual Private Network

VPN Virtual Private Network VPN Virtual Private Network DEFINITION Was ist eigentlich ein Virtual Private Network (VPN)? Definition: Was ist eigentlich ein VPN? Übliche Bezeichnung: Virtual Virtuelles Private Privates Network - Netz

Mehr

SSL Algorithmen und Anwendung

SSL Algorithmen und Anwendung SSL Algorithmen und Anwendung Stefan Pfab sisspfab@stud.uni-erlangen.de Abstract Viele Anwendungen erfordern nicht nur eine eindeutige und zuverlässige Identifizierung der an einer Kommunikation beteiligten

Mehr

Exkurs: IPSec. Brandenburg an der Havel, den 5. Juni 2005

Exkurs: IPSec. <muehlber@fh-brandenburg.de> Brandenburg an der Havel, den 5. Juni 2005 Exkurs: IPSec Brandenburg an der Havel, den 5. Juni 2005 1 Gliederung 1. IPSec: Problem und Lösung 2. Übertragungsmodi 3. Encapsulating Security Payload 4. Authentication Header

Mehr

Secure Socket Layer V.3.0

Secure Socket Layer V.3.0 Konzepte von Betriebssystem-Komponenten Schwerpunkt Internetsicherheit Secure Socket Layer V.3.0 (SSLv3) Zheng Yao 05.07.2004 1 Überblick 1.Was ist SSL? Bestandteile von SSL-Protokoll, Verbindungherstellung

Mehr

Seminar Neue Techologien in Internet und WWW

Seminar Neue Techologien in Internet und WWW Seminar Neue Techologien in Internet und WWW Sicherheit auf der Anwendungsschicht: HTTP mit SSL, TLS und dabei verwendete Verfahren Christian Raschka chrisra@informatik.uni-jena.de Seminar Neue Internettechnologien

Mehr

Security Associations Schlüsseltausch IKE Internet Key Exchange Automatischer Schlüsseltausch und Identitätsnachweis

Security Associations Schlüsseltausch IKE Internet Key Exchange Automatischer Schlüsseltausch und Identitätsnachweis Wie Interoperabel ist IPsec? Ein Erfahrungsbericht Arturo Lopez Senior Consultant März 2003 Agenda Internet Protokoll Security (IPsec) implementiert Sicherheit auf Layer 3 in OSI Modell Application Presentation

Mehr

IPSec. Motivation Architektur Paketsicherheit Sicherheitsrichtlinien Schlüsselaustausch

IPSec. Motivation Architektur Paketsicherheit Sicherheitsrichtlinien Schlüsselaustausch IPSec Motivation Architektur Paketsicherheit Sicherheitsrichtlinien Schlüsselaustausch Motivation Anwendung auf Anwendungsebene Anwendung Netzwerk- Stack Netzwerk- Stack Anwendung Netzwerk- Stack Netz

Mehr

Domain Name Service (DNS)

Domain Name Service (DNS) Domain Name Service (DNS) Aufgabe: den numerischen IP-Adressen werden symbolische Namen zugeordnet Beispiel: 194.94.127.196 = www.w-hs.de Spezielle Server (Name-Server, DNS) für Listen mit IP-Adressen

Mehr

Authentication Header: Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen

Authentication Header: Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen IP Security Zwei Mechanismen: Authentication : Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen Encapsulating Security Payloads (ESP): Verschl., Datenauth. Internet Key Exchange Protokoll:

Mehr

Mindeststandard des BSI nach 8 Abs. 1 Satz 1 BSIG für den Einsatz des SSL/TLS-Protokolls in der Bundesverwaltung

Mindeststandard des BSI nach 8 Abs. 1 Satz 1 BSIG für den Einsatz des SSL/TLS-Protokolls in der Bundesverwaltung Mindeststandard des BSI nach 8 Abs. 1 Satz 1 BSIG für den Einsatz des SSL/TLS-Protokolls in der Bundesverwaltung Bundesamt für Sicherheit in der Informationstechnik Postfach 20 03 63 53133 Bonn Tel.: +49

Mehr

Inhalt Sicherheit im Internet Grundlagen und Methoden

Inhalt Sicherheit im Internet Grundlagen und Methoden ix 1 Sicherheit im Internet Grundlagen und Methoden 1 1.1 Einführung...................................... 1 1.2 Sicherheit....................................... 3 1.2.1 Sicherheitsdienste...........................

Mehr

Sicherer Fernzugriff auf das interne Netz (ISi-Fern) BSI-Leitlinie zur Internet-Sicherheit (ISi-L)

Sicherer Fernzugriff auf das interne Netz (ISi-Fern) BSI-Leitlinie zur Internet-Sicherheit (ISi-L) Sicherer Fernzugriff auf das interne Netz (ISi-Fern) BSI-Leitlinie zur Internet-Sicherheit (ISi-L) ISi-Reihe ISi-L Sicherer Fernzugriff auf das interne Netz Vervielfältigung und Verbreitung Bitte beachten

Mehr

Technical Paper. Filialvernetzung. Filialvernetzung. Stand August 2014

Technical Paper. Filialvernetzung. Filialvernetzung. Stand August 2014 Technical Paper Filialvernetzung Filialvernetzung Stand August 2014 Haftungsausschluss Die in diesem Dokument enthaltenen Informationen können ohne Vorankündigung geändert werden und stellen keine Verpflichtung

Mehr

VPN Techniken im Vergleich

VPN Techniken im Vergleich VPN Techniken im Vergleich Welche Technik ist wo die Richtige? 1. Grundlagen 1.1. Was ist VPN? Definition: Ein privates Netz wird über ein öffentliches Netz betrieben, jedoch so, dass die Privatheit, d.

Mehr

VPN mit mobilen Clients. Handwerkskammer für Oberfranken Kerschensteinerstraße 7 95448 Bayreuth

VPN mit mobilen Clients. Handwerkskammer für Oberfranken Kerschensteinerstraße 7 95448 Bayreuth Virtuelle Private Netzwerke mit IPsec VPN mit mobilen Clients Ralph Schneider, 09.11.2010 Handwerkskammer für Oberfranken Kerschensteinerstraße 7 95448 Bayreuth IPsec Kurzform für Internet Protocol Security

Mehr

Sichere Nutzung von WLAN (ISi-WLAN)

Sichere Nutzung von WLAN (ISi-WLAN) BSI-Leitlinie zur Internet-Sicherheit (ISi-L) Version 1.0 ISi-Reihe Sichere Nutzung von WLAN (ISi-WLAN) Vervielfältigung und Verbreitung Bitte beachten Sie, dass das Werk einschließlich aller Teile urheberrechtlich

Mehr

Motivation Sicherheit. WLAN Sicherheit. Karl Unterkalmsteiner, Matthias Heimbeck. Universität Salzburg, WAP Präsentation, 2005

Motivation Sicherheit. WLAN Sicherheit. Karl Unterkalmsteiner, Matthias Heimbeck. Universität Salzburg, WAP Präsentation, 2005 Universität Salzburg, WAP Präsentation, 2005 Gliederung 1 WLAN die neue drahtlose Welt Gefahren in WLAN Netzwerken Statistische Untersuchen 2 Gliederung WLAN die neue drahtlose Welt Gefahren in WLAN Netzwerken

Mehr

Verschlüsselung des E-Mail-Transports

Verschlüsselung des E-Mail-Transports Verschlüsselung des E-Mail-Transports Whitepaper Version 1.1 Datum 2009-06-08 Vorwort Auf Initiative einiger deutscher Automobilhersteller wurde begonnen, eine Whitepaper-Reihe E-Mail-Sicherheit zu erstellen.

Mehr

Wiederholung: Informationssicherheit Ziele

Wiederholung: Informationssicherheit Ziele Wiederholung: Informationssicherheit Ziele Vertraulichkeit: Schutz der Information vor unberechtigtem Zugriff bei Speicherung, Verarbeitung und Übertragung Integrität: Garantie der Korrektheit (unverändert,

Mehr

IPSec. Michael Gschwandtner, Alois Hofstätter, Roland Likar, Horst Stadler. Jänner 2003

IPSec. Michael Gschwandtner, Alois Hofstätter, Roland Likar, Horst Stadler. Jänner 2003 IPSec Michael Gschwandtner, Alois Hofstätter, Roland Likar, Horst Stadler Jänner 2003 Gschwandtner/Hofstätter/Likar/Stadler - IPsec 1 Einleitung (1) Ziele des Datenverkehrs Geschwindigkeit Verlässlichkeit

Mehr

HOBLink VPN 2.1 Gateway

HOBLink VPN 2.1 Gateway Secure Business Connectivity HOBLink VPN 2.1 Gateway die VPN-Lösung für mehr Sicherheit und mehr Flexibilität Stand 02 15 Mehr Sicherheit für Unternehmen Mit HOBLink VPN 2.1 Gateway steigern Unternehmen

Mehr

TCP/IP-Protokollfamilie

TCP/IP-Protokollfamilie TCP/IP-Protokollfamilie Internet-Protokolle Mit den Internet-Protokollen kann man via LAN- oder WAN kommunizieren. Die bekanntesten Internet-Protokolle sind das Transmission Control Protokoll (TCP) und

Mehr

The Second Generation Onion Router. Stefan Hasenauer, Christof Kauba, Stefan Mayer

The Second Generation Onion Router. Stefan Hasenauer, Christof Kauba, Stefan Mayer The Second Generation Onion Router Übersicht Einleitung Verfahren zur Anonymisierung Allgemeines über Tor Funktionsweise von Tor Hidden Services Mögliche Angriffe 2 Einleitung Identifizierung im Internet

Mehr

Sicherer Betrieb von E-Mail-Servern (ISi-Mail-Server)

Sicherer Betrieb von E-Mail-Servern (ISi-Mail-Server) Sicherer Betrieb von E-Mail-Servern (ISi-Mail-Server) BSI-Leitlinie zur Internet-Sicherheit (ISi-L) Version 1.0 ISi-Reihe ISi-L Sicherer Betrieb von E-Mail-Servern Vervielfältigung und Verbreitung Bitte

Mehr

SSL/TLS und SSL-Zertifikate

SSL/TLS und SSL-Zertifikate SSL/TLS und SSL-Zertifikate Konzepte von Betriebssystem-Komponenten Informatik Lehrstuhl 4 16.06.10 KvBK Wolfgang Hüttenhofer sethur_blackcoat@web.de Motivation Sichere, verschlüsselte End-to-End Verbindung

Mehr

Warum noch IPsec benutzen?

Warum noch IPsec benutzen? Erlanger Linux User Group OpenVPN Warum noch IPsec benutzen? Klaus Thielking-Riechert ktr@erlug.de 3. Erlanger Linuxtage 15./16. Januar 2005 Was ist ein VPN? ein Mechanismus zur sicheren Kommunikation

Mehr

Secure Socket Layer (SSL) 1: Allgemeiner Überblick. Gilt für die Geräte: HL-4040CN HL-4050CDN HL-4070CDW DCP-9040CN DCP-9045CDN MFC-9440CN MFC-9840CDW

Secure Socket Layer (SSL) 1: Allgemeiner Überblick. Gilt für die Geräte: HL-4040CN HL-4050CDN HL-4070CDW DCP-9040CN DCP-9045CDN MFC-9440CN MFC-9840CDW Secure Socket Layer (SSL) Gilt für die Geräte: HL-4040CN HL-4050CDN HL-4070CDW DCP-9040CN DCP-9045CDN MFC-9440CN MFC-9840CDW Inhalt 1) Allgemeiner Überblick 2) Kurzer geschichtlicher Rückblick 3) Vorteile

Mehr

IT-Sicherheit Kapitel 11 SSL/TLS

IT-Sicherheit Kapitel 11 SSL/TLS IT-Sicherheit Kapitel 11 SSL/TLS Dr. Christian Rathgeb Sommersemester 2014 1 Einführung SSL/TLS im TCP/IP-Stack: SSL/TLS bietet (1) Server-Authentifizierung oder Server und Client- Authentifizierung (2)

Mehr

Konfigurationsbeispiel

Konfigurationsbeispiel ZyWALL 1050 dynamisches VPN Dieses Konfigurationsbeispiel zeigt, wie man einen VPN-Tunnel mit einer dynamischen IP-Adresse auf der Client-Seite und einer statischen öffentlichen IP-Adresse auf der Server-Seite

Mehr

Collax Business Server NCP Secure Entry Client Interoperability Guide V. 1.3. Collax Business Server (V. 3.0.12) NCP Secure Entry Client 8.

Collax Business Server NCP Secure Entry Client Interoperability Guide V. 1.3. Collax Business Server (V. 3.0.12) NCP Secure Entry Client 8. Collax Business Server NCP Secure Entry Client Interoperability Guide V. 1.3 Collax Business Server (V. 3.0.12) NCP Secure Entry Client 8.21 Dies ist eine Anleitung, die die Konfigurationsschritte beschreibt,

Mehr

Verschlüsselung und Signatur

Verschlüsselung und Signatur Verschlüsselung und Signatur 1 Inhalt Warum Verschlüsseln Anforderungen und Lösungen Grundlagen zum Verschlüsseln Beispiele Fragwürdiges rund um das Verschlüsseln Fazit Warum verschlüsseln? Sichere Nachrichtenübertragung

Mehr

Service-Orientierte Architekturen

Service-Orientierte Architekturen Hochschule Bonn-Rhein-Sieg Service-Orientierte Architekturen Kapitel 7: Web Services IV Exkurs über Sicherheitsanforderungen Vorlesung im Masterstudiengang Informatik Sommersemester 2010 Prof. Dr. Sascha

Mehr

Collax NCP-VPN. Howto

Collax NCP-VPN. Howto Collax NCP-VPN Howto Dieses Howto beschreibt wie eine VPN-Verbindung zwischen einem Collax Server und dem NCP Secure Entry Client (NCP) eingerichtet werden kann. Der NCP ist ein sehr einfach zu bedienender

Mehr

PKI (public key infrastructure)

PKI (public key infrastructure) PKI (public key infrastructure) am Fritz-Haber-Institut 11. Mai 2015, Bilder: Mehr Sicherheit durch PKI-Technologie, Network Training and Consulting Verschlüsselung allgemein Bei einer Übertragung von

Mehr

Secure Socket Layer (SSL) - Zertifikate

Secure Socket Layer (SSL) - Zertifikate e Einführung Zur Übertragung sensibler Daten über das Internet wurde das SSL-Protokoll entwickelt. SSL steht für Secure Socket Layer (dt. "sichere Sockelschicht") das von der Firma Netscape und RSA Data

Mehr

Remote Tools. SFTP Port X11. Proxy SSH SCP. christina.zeeh@studi.informatik.uni-stuttgart.de

Remote Tools. SFTP Port X11. Proxy SSH SCP. christina.zeeh@studi.informatik.uni-stuttgart.de Remote Tools SSH SCP Proxy SFTP Port X11 christina.zeeh@studi.informatik.uni-stuttgart.de Grundlagen SSH Inhalt Remote-Login auf marvin Datentransfer Graphische Anwendungen Tunnel VPN SSH für Fortgeschrittene

Mehr

Netzsicherheit 4: Layer 2-Sicherheit Das Point-to-Point- Protokoll und seine Erweiterungen

Netzsicherheit 4: Layer 2-Sicherheit Das Point-to-Point- Protokoll und seine Erweiterungen Netzsicherheit 4: Layer 2-Sicherheit Das Point-to-Point- Protokoll und seine Erweiterungen Das TCP/IP-Schichtenmodell Anwendungsschicht (FTP, HTTP, SMTP,...) Transportschicht (TCP, UDP) Internetschicht

Mehr

Sicherheitskonzept und Sicherheitspru fung. Internetanbindung Befundserver MVZ Labor PD Dr. Volkmann und Kollegen GbR

Sicherheitskonzept und Sicherheitspru fung. Internetanbindung Befundserver MVZ Labor PD Dr. Volkmann und Kollegen GbR Sicherheitskonzept und Sicherheitspru fung Internetanbindung Befundserver MVZ Labor PD Dr. Volkmann und Kollegen GbR Einführung Die Firma MVZ Labor PD Dr. Volkmann und Kollegen GbR, nachstehend als Labor

Mehr

Teldat Secure IPSec Client - für professionellen Einsatz Teldat IPSec Client

Teldat Secure IPSec Client - für professionellen Einsatz Teldat IPSec Client Teldat Secure IPSec Client - für professionellen Einsatz Unterstützt Windows 8 Beta, 7, XP (32-/64-Bit) und Vista IKEv1, IKEv2, IKE Config Mode, XAuth, Zertifikate (X.509) Integrierte Personal Firewall

Mehr

VPN (Virtual Private Network)

VPN (Virtual Private Network) VPN (Virtual Private Network) basierend auf Linux (Debian) Server Praktikum Protokolle Bei Prof. Dr. Gilbert Brands Gliederung Gliederung 1. Was ist VPN 2. VPN-Implementierungen 3. Funktionsweise von OpenVPN

Mehr

Vorlesung VPN: Drahtgebunden und drahtlos Fachbereich Informatik (FB 20) Lehrstuhl Prof. J. Buchmann

Vorlesung VPN: Drahtgebunden und drahtlos Fachbereich Informatik (FB 20) Lehrstuhl Prof. J. Buchmann Vorlesung VPN: Drahtgebunden und drahtlos Fachbereich Informatik (FB 20) Lehrstuhl Prof. J. Buchmann WS-05 / V2-20.205.1 In Zusammenarbeit mit dem CAST-Forum Dr. Wolfgang Böhmer Skript: http://www.cdc.informatik.tu-darmstadt.de/~wboehmer/

Mehr

ISA Server 2004 Site to Site VPN mit L2TP/IPSEC - Von Marc Grote

ISA Server 2004 Site to Site VPN mit L2TP/IPSEC - Von Marc Grote ISA Server 2004 Site to Site VPN mit L2TP/IPSEC - Von Marc Grote Die Informationen in diesem Artikel beziehen sich auf:? Microsoft ISA Server 2004 Einleitung Dieser Artikel beschreibt die Einrichtung eines

Mehr

Daten-Kommunikation mit crossinx

Daten-Kommunikation mit crossinx Daten-Kommunikation mit Datenübertragung.doc Seite 1 von 8 Inhaltsverzeichnis 1 Einführung... 3 1.1 Datenübertragung an... 3 1.2 Datenversand durch... 3 2 X.400... 4 3 AS2... 4 4 SFTP (mit fester Sender

Mehr

Rechneranmeldung mit Smartcard oder USB-Token

Rechneranmeldung mit Smartcard oder USB-Token Rechneranmeldung mit Smartcard oder USB-Token Verfahren zur Authentifizierung am Rechnersystem und angebotenen Diensten, SS2005 1 Inhalt: 1. Systemanmeldung 2. Grundlagen 3. Technik (letzte Woche) 4. Standards

Mehr

Rainbow Technologies GmbH. Bedeutung von SSL in Ihrem Unternehmen

Rainbow Technologies GmbH. Bedeutung von SSL in Ihrem Unternehmen Rainbow Technologies GmbH Markus Kahmen Bedeutung von SSL in Ihrem Unternehmen Thursday, April 19, 2001 http://europe.rainbow.com 1 Das Internet Die Internet-Ära verspricht für die nächsten 10 Jahre mehr

Mehr

E-Mails versenden aber sicher! Secure E-Mail

E-Mails versenden aber sicher! Secure E-Mail E-Mails versenden aber sicher! Secure E-Mail Leitfaden S Kreisparkasse Verden 1 Vorwort Wir alle leben in einem elektronischen Zeitalter. Der Austausch von Informationen erfolgt zunehmend über elektronische

Mehr

Workshop Sicherheit im Netz KZO Wetzikon. Peter Skrotzky, 4. Dezember 2013

Workshop Sicherheit im Netz KZO Wetzikon. Peter Skrotzky, 4. Dezember 2013 Workshop Sicherheit im Netz KZO Wetzikon Peter Skrotzky, 4. Dezember 2013 Zentrale Fragen! Wie kann sich jemand zu meinem Computer Zugriff verschaffen?! Wie kann jemand meine Daten abhören oder manipulieren?!

Mehr

SNMP 1 -basierte dynamische Netzwerkkonfiguration und analyse

SNMP 1 -basierte dynamische Netzwerkkonfiguration und analyse Fakultät Informatik Institut für Systemarchitektur Professur für Rechnernetze SNMP 1 -basierte dynamische Netzwerkkonfiguration und analyse Versuchsvorgaben (Aufgabenstellung) Der neu zu gestaltende Versuch

Mehr

VoIP Grundlagen und Risiken

VoIP Grundlagen und Risiken VoIP Grundlagen und Risiken Hochschule Bremen Fakultät Elektrotechnik und Informatik 1 Zu meiner Person Informatik-Professor an der Hochschule Bremen Aktuelle Lehrgebiete: Rechnernetze Informationssicherheit

Mehr

CARL HANSER VERLAG. Wolfgang Böhmer. VPN - Virtual Private Networks Die reale Welt der virtuellen Netze 3-446-21532-8. www.hanser.

CARL HANSER VERLAG. Wolfgang Böhmer. VPN - Virtual Private Networks Die reale Welt der virtuellen Netze 3-446-21532-8. www.hanser. CARL HANSER VERLAG Wolfgang Böhmer VPN - Virtual Private Networks Die reale Welt der virtuellen Netze 3-446-21532-8 www.hanser.de Inhaltsverzeichnis Teil I VPN-Grundlagen und Techniken 1 1 Einleitung 3

Mehr

Sichere Anbindung von beliebigen Standorten

Sichere Anbindung von beliebigen Standorten Sichere Anbindung von beliebigen Standorten Vortrag im Rahmen der Veranstaltung: Erfolgsfaktor IT-Sicherheit - Wer will erst aus Schaden klug werden? Veranstalter: IHK-Potsdam 16. 08.2006 Christian Schubert

Mehr