Virtuelles Privates Netz (ISi-VPN)

Größe: px
Ab Seite anzeigen:

Download "Virtuelles Privates Netz (ISi-VPN)"

Transkript

1 BSI-Leitlinie zur Internet-Sicherheit (ISi-L) Version 1.0

2 ISi-Reihe Virtuelles Privates Netz (ISi-VPN) Vervielfältigung und Verbreitung Bitte beachten Sie, dass das Werk einschließlich aller Teile urheberrechtlich geschützt ist. Erlaubt sind die Vervielfältigung und Verbreitung zu nicht-kommerziellen Zwecken, insbesondere zu Zwecken der Ausbildung, Schulung, Information oder hausinternen Bekanntmachung, sofern sie unter Hinweis auf die ISi-Reihe des BSI als Quelle erfolgen. Dies ist ein Werk der ISi-Reihe. Ein vollständiges Verzeichnis der erschienenen Bände finden Sie auf den Internet-Seiten des BSI. oder Bundesamt für Sicherheit in der Informationstechnik ISi-Projektgruppe Postfach Bonn Tel. +49 (0) Internet: Bundesamt für Sicherheit in der Informationstechnik Bundesamt für Sicherheit in der Informationstechnik

3 ISi-Reihe Inhaltsverzeichnis 1 Leitlinie Virtuelles Privates Netz (VPN) Management Summary Einführung und Nutzung Anwendungsszenarien Typische VPN-Realisierungen Trusted VPN versus Krypto-VPN (Secure VPN) Wie funktioniert ein VPN? Übertragungsprotokoll IPSec (Internet Protocol Security) Übertragungsprotokoll L2TP over IPSec (Layer 2 Tunneling Protocol) VPN über SSL Übersicht der verschiedenen VPN-Realisierungen Authentisierung Datenverschlüsselung Wesentliche Ergebnisse der Gefährdungsanalyse Wesentliche Empfehlungen Fazit Glossar Stichwortverzeichnis Literaturverzeichnis...25 Bundesamt für Sicherheit in der Informationstechnik 3

4 ISi-Reihe Virtuelles Privates Netz (ISi-VPN) 4 Bundesamt für Sicherheit in der Informationstechnik

5 ISi-Reihe 1 Leitlinie Virtuelles Privates Netz (VPN) Der mobile Zugriff auf Daten des internen Netzes, die Anbindung vom Telearbeitsplätzen (Home Office) und die Zusammenarbeit an verschiedenen Standorten erfordern eine gesicherte Verbindung zwischen den Kommunikationspartnern. Virtuelle Private Netze (VPN - Virtual Private Network) bieten hier den notwendigen Rahmen zur Absicherung der Sicherheitsgrundwerte Vertraulichkeit und Integrität. Im Folgenden soll ein kurzer Überblick über die gebräuchlichsten VPN-Techniken und deren Sicherheitseigenschaften gegeben werden. In diesem Leitfaden werden die wichtigsten Verfahren vorgestellt, über die VPNs aufgebaut werden können. Er basiert auf der Veröffentlichung des BSI zum Aufbau von Virtual Private Networks [BSI VPN]. Nutzung, Aufbau und Konfiguration der zur Realisierung eines VPN notwendigen Komponenten werden im Modul ISi-Fern [ISi-Fern] der ISi-Reihe beschrieben. 1.1 Management Summary Der hier vorgestellte Leitfaden behandelt die zugrunde liegenden Techniken von Virtuellen Privaten Netzen (VPN - Virtual Private Network). VPNs werden u. a. benutzt um Außendienstmitarbeitern einen verschlüsselten Zugriff auf Daten im internen Netz zu gewähren oder auch um zwei Standorte sicher miteinander zu verbinden. Bei der Nutzung eines VPN muss notwendigerweise ein Kommunikationskanal in das interne Netz geöffnet werden, der ggf. von einem Angreifer missbraucht werden kann und den es gut zu schützen gilt. Auch wenn die vorgestellten Verfahren als sicher gelten, liegt in der konkreten Umsetzung (Konfiguration) und Handhabung (v. a. bei der Nutzerauthentisierung) ein Risiko, dem größte Aufmerksamkeit gezollt werden muss. In den meisten Fällen dient das Internet als Transportmedium. Da das Internet als unsicher betrachtet werden muss, sind Sicherungsmaßnahmen zu treffen die gewährleisten, dass sich Unbefugte keinen Zugang zum internen Netz verschaffen (Authentisierung) und die Daten auf dem Weg durch das Internet nicht mit gelesen werden können (Verschlüsselung). Zur sicheren Authentisierung des VPN-Nutzers gibt es unterschiedliche Verfahren. Sie können auf folgenden Faktoren basieren: Wissen, Besitz und biometrisches Merkmal. Empfohlen wird eine 2-Faktor-Authentisierung bei der zwei der drei Faktoren verwendet werden. Am gebräuchlichsten ist die Nutzung der Faktoren Wissen und Besitz. Der Authentisierungsschlüssel wird hierbei in einer Hardware z. B. Chipkarte gespeichert (Faktor Besitz) die nur durch Eingabe einer PIN eingesetzt werden kann (Faktor Wissen). Je nach Sicherheitsanforderungen kann der Schlüssel auch auf dem Client (z. B. Notebook) bzw. dem VPN-Server im Netz der Organisation gespeichert sein. Alternativ kann die Nutzung einer Public-Key-Infrastruktur (PKI) empfohlen werden, die auf digitale Signaturen und asymmetrischen Kryptografieverfahren basiert. Die Gültigkeit der Signaturen wird über eine anerkannte Zertifizierungsstelle (CA Certificate Authority) überprüft. Die Länge des Schlüssels bzw. der Signatur korreliert mit der Sicherheit des verwendeten Kryptoverfahrens. Für die Verschlüsselung der Daten auf dem Weg durch das Internet existieren verschiedene Kryptoalgorithmen, die nach dem momentanen Stand mit entsprechenden Schlüssellängen als sicher gelten (z. B. AES). Ältere Verfahren (wie z. B. DES) bieten keinen ausreichenden Schutz mehr, da sie mit entsprechendem Aufwand entschlüsselt werden können. Zum Aufbau des VPN stehen verschiedene Verfahren zur Wahl, die sichere Authentisierungsmethoden und Verschlüsselungsverfahren bieten. Am weitesten verbreitet sind die Protokolle IPSec (Internet Protocol Security), L2TP over IPSec (Layer-2-Tunneling-Protocol) und SSL (Secure Bundesamt für Sicherheit in der Informationstechnik 5

6 ISi-Reihe Virtuelles Privates Netz (ISi-VPN) Socket Layer). Der konkrete Einsatzzweck legt die Auswahl des geeigneten Protokolls fest. Dies ist im Folgenden und in der zu Grunde liegenden Studie weiter ausgeführt. 1.2 Einführung und Nutzung Die zunehmende Vernetzung von Rechnern und ganzen Netzen sowie die Möglichkeit, das Internet überall zu nutzen, hat einen Wandel im Kommunikationsverhalten von Unternehmen und Behörden (im weiteren Institution genannt) bewirkt. Das Internet unterstützt bei der Suche nach Informationen und wird zunehmend als universelles Transportmedium für Daten benutzt. Da es an sich ein nicht vertrauenswürdiges Netz ist, muss man Wege finden, Daten durch Sicherungsmaßnahmen wie Verschlüsselung auf dem Weg durch das Internet zu schützen (Tunneling) und den Zugang zum internen Netz zu regeln (Authentisierung). Hierzu dienen Virtuelle Private Netze (VPN - Virtual Private Networks). Die folgenden Unterabschnitte skizzieren unterschiedliche Nutzungsszenarios, typische VPN-Realisierungen und den Unterschied zwischen Trusted-VPN und Krypto-VPN, um einen Einstieg in das Thema zu geben Anwendungsszenarien Wie soll das VPN genutzt werden und welchem Kreis von Anwendern zur Verfügung gestellt werden? Die Antwort auf diese Fragen legt fest, wie das VPN ausgelegt werden muss. Dem mobilen Mitarbeiter wird von unterschiedlichen Orten der Zugriff auf Daten innerhalb der Institution über einen Internetanschluss gewährt. Das VPN soll unabhängig vom verwendeten Internet-Zugang (DSL-Leitung, Mobilfunknetz, usw.) sein. An einem Heimarbeitsplatz (Telearbeit, Home Office) greift der Mitarbeiter von einem festen Standort aus auf das Netz der Institution zu. Zum Verbindungsaufbau steht ihm nur ein bestimmter Internet-Zugang zur Verfügung (z. B. DSL-Anschluss). Bei der Standortvernetzung werden zwei oder mehr unter eigener Kontrolle stehende, vertrauenswürdige Netze über das Internet sicher miteinander verbunden. Bei einer Kunden- und Partner-Anbindung können externe Mitarbeiter bestimmte Dienste oder Daten innerhalb der Institution nutzen (z. B. SCHUFA-Abfrage). Unter Fernwartung versteht man privilegierte Administratorenzugänge, um das Netz der Institution sowie dessen Komponenten aus der Ferne warten zu können. Durch die weitreichenden Nutzerrechte der Administratoren werden besonders hohe Sicherheitsanforderungen an die Absicherung des Zugangs gestellt Typische VPN-Realisierungen VPNs werden je nach Einsatzumgebung und Nutzungsszenario unterschiedlich realisiert. Anzumerken ist hier, dass man das VPN bedarfsgerecht aufbaut und nur die notwendigen Leistungen bereitstellt, um eine möglichst kleine Angriffsfläche für Angreifer zu bieten und dadurch den möglichen Schaden zu minimieren. 6 Bundesamt für Sicherheit in der Informationstechnik

7 ISi-Reihe Client-Server-Lösungen (End-to-End) finden meist Anwendung bei der Nutzung einzelner Programme oder Dienste. Typische Anwendungen sind der Zugriff auf einzelne Datenbanken und auf Terminal-Server. Die Verbindung wird stets vom Client initiiert. Bekommt der Client Zugriff auf das interne Netz (LAN) der Institution spricht man von Client- LAN-Zugriff (Client-to-Site). Der Nutzer verwendet Anwendungen und Daten in der gleichen Weise, wie ein Nutzer im internen Netz. Ein LAN-LAN-Zugriff (Site-to-Site) bezeichnet die Kopplung zweier Netze. So können beispielsweise Dienste und Anwendungen gemeinsam genutzt oder auch der volle Zugriff auf das andere Netz ermöglicht werden Trusted VPN versus Krypto-VPN (Secure VPN) Alternativ zum Aufbau eines eigenen VPN, kann man sich diesen Dienst auch bei externen Unternehmen einkaufen. Der Anbieter trägt dann für die Absicherung dieses VPNs Sorge, indem er entweder dedizierte Leitungen für die Verbindung bereitstellt oder die VPN-Verbindungen logisch von anderen Verbindungen trennt. Da man dem Anbieter das VPN anvertraut spricht man hier von Trusted VPN. Bei der Auswahl eines Trusted VPN muss auf eine ausreichende Verschlüsselung geachtet werden, da manche Produkte zwar VPN genannt werden (z. B. basierend auf MPLS - Multiprotocol Label Switching), aber keine Verschlüsselung beinhalten. Dedizierte Leitungen sind im Vergleich zu normalen Internetanschlüssen vergleichsweise teuer, die Kontrolle über die Sicherheit der Leitungen wird an einen Anbieter übertragen. Die Nutzung des VPN ist beschränkt, da nur Internetverbindungen des VPN-Anbieters verwendet werden können, was zu einer Einschränkung der Nutzung des VPNs führt. Ein Krypto-VPN (Secure VPN) wird in Eigenregie, also unabhängig von Dritten (z. B. Internet Service Provider) aufgebaut. Es basiert darauf, dass die Daten kryptografisch geschützt vom Anwender (z. B. Telearbeiter) zum entsprechenden Dienst (z. B. -Server oder Zugang zum internen Netz) übertragen werden. Die Auswahl, der Aufbau und Betrieb eines Krypto-VPN ist Gegenstand dieser Leitlinie. Im Weiteren wird VPN synonym für Krypto-VPN verwendet. 1.3 Wie funktioniert ein VPN? Im Folgenden werden die grundlegenden Methoden erläutert, mit denen ein VPN aufgebaut wird. Das VPN muss die Sicherheitsgrundwerte Integrität und Vertraulichkeit sichern. Der Sicherheitsgrundwert Verfügbarkeit muss durch eine entsprechende Infrastruktur sichergestellt werden (siehe [ISi-LANA] und [ISi-Fern]). Diese ist nicht Bestandteil das Moduls ISi-VPN. Aufbau einer VPN-Verbindung Der Aufbau einer VPN-Verbindung erfolgt unabhängig vom verwendeten Protokoll in drei Schritten: Authentisierung: Den ersten Schritt zum Aufbau einer VPN-Verbindung stellt die Authentisierung der Kommunikationspartner dar. Hier wird geprüft, ob der Kommunikationspartner wirklich der ist, für den er sich ausgibt und ob er die notwendigen Rechte besitzt die Verbindung herzustellen (Autorisierung). Schlüsselaustausch: Haben sich die Kommunikationspartner authentisiert, so folgt nun die Verhandlung, welche kryptografischen Methoden verwendet werden sollen, sowie der Austausch der Bundesamt für Sicherheit in der Informationstechnik 7

8 ISi-Reihe Virtuelles Privates Netz (ISi-VPN) dafür notwendigen Schlüssel bzw. die Nutzung der bereits bei den Kommunikationspartnern vorhandenen Schlüssel. Datenaustausch: Die Kommunikationspartner sind authentisiert und ein kryptografisches Verfahren ist etabliert, so dass nun Daten gesichert ausgetauscht werden können. Protokolle Die Authentisierung und Verschlüsselung der Daten können mittels verschiedener Protokolle umgesetzt werden, die auf unterschiedlichen Schichten (Layer) des OSI-Schichtenmodells basieren. Gemeinsam ist jedoch allen, dass die Verbindung zwischen den beiden Kommunikationspartnern über das Internet hergestellt wird und die Kommunikation unter Nutzung des IP-Protokolls erfolgt Übertragungsprotokoll IPSec (Internet Protocol Security) IPSec ist eine weit verbreitete Protokollfamilie, in der eine Reihe von Protokollen zusammengefasst sind. Zur aktuell verwendeten Version 4 der Internet Protokolls (IPv4) ist IPSec als Zusatz nutzbar. Im Standard der kommenden Generation des Internet Protokolls (IPv6) ist IPSec bereits aufgenommen, dessen Nutzung aber nicht verpflichtend. In IPSec werden drei unterschiedliche Protokolle definiert: Internet Key Exchange (IKE) zum Schlüsselaustausch und Aufbau der Verbindung, Authentication Header (AH) für die Authentisierung und Encapsulating Security Payload (ESP) für Datenverschlüsselung und Authentisierung. Schlüsselaustausch Das zum sicheren Schlüsselaustausch etablierte IKE-Protokoll kennt zur Authentisierung der Verbindungspartner verschiedene Verfahren (näheres hierzu im Abschnitt 1.3.5). Die Version IKEv2 beseitigt einige Mängel von IKE, die das Protokoll unflexibel und schwer konfigurierbar machten. Authentisierung und Verschlüsselung Zur Authentisierung kann sowohl das Protokoll AH als auch ESP eingesetzt werden. Da ESP zusätzlich auch die Verschlüsselung der Daten beherrscht, wird es vorzugsweise verwendet. AH wird eher zur Authentisierung von Verbindungen innerhalb eines internen Netzes eingesetzt. Beide Protokolle lassen sich in zwei verschiedenen Modi verwenden. Im Transportmode bleiben die Informationen über die Absender-IP-Adresse und die Ziel-IP-Adresse unverändert. So ergibt sich für das Routing (Zustellen) des Datenpakets keine Änderung im Vergleich zu einer ungesicherten IP-Verbindung. Im Tunnelmode wird das gesamte zu sendende Daten-Paket (incl. der IP-Adressen des Senders und Empfängers) authentisiert bzw. verschlüsselt. Zum Transport über das Internet wird diesem Paket ein weiterer IP-Header vorangestellt über den das Datenpaket zugestellt wird. So werden beim Transport der Datenpakete durch das Internet Informationen über interne IP-Adressen des VPN geschützt. Der Tunnelmode ist deshalb die Methode der Wahl, wenn das VPN über das Internet aufgebaut wird, den Transportmode kann man bei VPNs innerhalb des internen Netzes verwenden. Erweiterungen von IPSec Die in die Verschlüsselung einfließenden IP-Adressen bereiteten bei der sogenannten Network Address Translation (NAT) - also die Umsetzung von internen auf externe IP-Adressen - anfangs Schwierigkeiten, da die Quell- und Zieladresse in die Integritätsprüfung bei AH und ESP aufge- 8 Bundesamt für Sicherheit in der Informationstechnik

9 ISi-Reihe nommen sind. Eine Änderung dieser Adressen führt also zu einem negativen Ergebnis der Integritätsprüfung und das Paket wird verworfen. Durch die Ergänzung NAT-Traversal wurde ein Verfahren etabliert, das diese Problematik umgeht. Die Änderung der IP-Adresse während der Verbindung (z. B. bei Wechsel des Netzwerkinterfaces zwischen WLAN und UMTS oder bei einer periodischen Unterbrechung einer ADSL-Verbindung mit dynamischer IP-Adresse) wird mit der Ergänzung MobIKE (IKEv2 Mobility and Multihoming Protocol) möglich Übertragungsprotokoll L2TP over IPSec (Layer 2 Tunneling Protocol) Beim L2TP handelt es sich um eine Weiterentwicklung der Protokolle PPTP (Point-to-Point Tunneling Protocol) und L2F (Layer-2-Forwarding). Mit L2TP können PPP-Pakete (Point-to-Point Protocol), die bei ISDN und analogen Wählverbindungen verwendet werden, über ein IP-Netz (z. B. Internet) getunnelt werden. Der Vorteil von L2TP liegt darin, dass PPP-Pakete wiederum andere Datenpakete beinhalten können (z. B. IP-Pakete) und dass die Authentisierung der Kommunikationspartner über bewährte Zusatzprotokolle zu PPP (CHAP - Challenge Handshake Authentication Protocol bzw. EAP - Extensible Authentication Protocol) ablaufen kann. Allerdings bieten weder L2TP noch PPP die Möglichkeit den Inhalt der Datenpakete zu verschlüsseln, weswegen der L2TP-Tunnel mit IPSec geschützt wird. Der Vorteil von L2TP over IPSec gegenüber IPSec liegt unter Anderem darin, dass mehrere Tunnel gleichzeitig aufgebaut und auch andere Protokolle als IP transportiert werden können. NAT stellt für L2TP kein Problem dar. Zu Schwierigkeiten kann die nicht einfache Konfiguration der Netzkomponenten führen, da für den Endpunkt des L2TP-Tunnels ein weiterer Server benötigt wird VPN über SSL SSL (Secure Socket Layer) wurde ursprünglich von der Firma Netscape entwickelt, um für das ungesicherte HTTP (Hypertext Transfer Protocol) Sicherheitsfunktionen zur Verfügung zu stellen. SSL bietet Mechanismen zur Authentisierung, Verschlüsselung und Integritätssicherung einer Kommunikationsverbindung an. Da SSL noch weitere Parameter zur Konfiguration bereitstellt, lassen sich die Sicherheitsmerkmale feingranular einstellen. Momentan hat sich die Version 3 von SSL (SSLv3, quasi identisch mit TLS - Transport Layer Security) gegenüber der Version 2 durchgesetzt, die einige Sicherheitslücken aufweist und nicht mehr verwendet werden sollte. Zur Authentisierung können Zertifikate verwendet werden, jedoch sind auch einfache Authentisierungsmittel wie Benutzername und Kennwort möglich. SSL-VPNs lassen sich in zwei Gruppen aufteilen: mit und ohne SSL-Client. Beim clientless SSL- VPN verbindet sich der VPN-Client mit Hilfe eines SSL-fähigen Browsers (alle gängigen Browser unterstützen SSL) mit einem SSL-Proxy im internen Netz, über den verschiedene Dienste auf weiteren Servern (z. B. Webmail-Server, Datendienste) angesprochen werden. Es wird also keine weitere Software benötigt. Ein solches VPN kann im Prinzip mit jedem Browser von unterschiedlichen Client-PCs aus genutzt werden. Um einen SSL-Tunnel - ähnlich wie mit IPSec bzw. L2TP - für ein Client-LAN-VPN aufzubauen, muss spezielle SSL-Software (SSL-Client) installiert sein. Diese Programme können sich in der Regel mit einem Zertifikat gegenüber dem Server authentisieren. Nach dem erfolgreichen Tunnelaufbau zwischen dem SSL-Client und dem SSL-Proxy im internen Netz, verhält sich der Client-PC so, Bundesamt für Sicherheit in der Informationstechnik 9

10 ISi-Reihe Virtuelles Privates Netz (ISi-VPN) als ob er im internen Netz stehen würde. Im Vergleich zu IPSec-VPNs sind VPNs mit SSL relativ unproblematisch zu konfigurieren und zu betreiben. SSL ist von IP unabhängig, es gibt keine NAT- Problematik und kann im Gegensatz zu den anderen Verfahren auch nur einen Teil der auf dem kontaktierten Server angebotenen Dienste nutzen, während IPSec keine Unterscheidung zulässt, was auf dem Server genutzt werden darf. Als Nachteil muss gesehen werden, dass beim clientless SSL ein Teil der Sicherheit auf den Anwender übertragen wird, indem er unerwünschte Verbindungen anhand der Zertifikate erkennen muss. Zudem bleibt die Vertrauenswürdigkeit der zertifizierenden Stelle (falls keine eigene PKI genutzt wird) ein Schwachpunkt, der vor allem bei höherem Schutzbedarf ins Auge gefasst werden muss Übersicht der verschiedenen VPN-Realisierungen Merkmal Transportprotokoll Tunnel/ Transport von IPSec L2TP over IPSec SSL clientless SSL-Client PPP über SSL (AH), ESP, UDP 1) ESP, UDP 1) HTTPS SSL/TCP SSL/TCP nicht-ip - x - - x TCP x x - x x UDP x x - h x NAT verträglich h h 2) x x x Komprimierung h h 2) h LAN-LAN-Kopplung möglich Externe Authentisierung möglich x x - - x h h h h h Tabelle 1: Vergleich der VPN-Varianten (x: vorhanden, -: nicht vorhanden, h: herstellerspezifisch) Anmerkungen: 1) In der Regel nur mit NAT-Traversal möglich, da hier üblicherweise IPSec im Transport-Modus verwendet wird 2) Abhängig von der IPSec-Implementierung Die folgende Tabelle stellt kurz die Vor- und Nachteile der einzelnen VPN-Realisierungen gegenüber und gibt deren Haupteinsatzgebiet an. 10 Bundesamt für Sicherheit in der Informationstechnik

11 ISi-Reihe Verfahren Vorteile Nachteile Haupteinsatzgebiet IPSec L2TP/IPSec (z. B. ISDN) SSLv3 Weit verbreitet, sichere Verfahren zur Authentisierung und Verschlüsselung Kann auch Nicht-IP- Netze über das Internet miteinander verbinden. Sichere Verfahren zur Authentisierung und Verschlüsselung Z. T. aufwändige Konfiguration mit vielen Optionen und somit fehleranfällig, NAT nur mit Zusatzmodul NAT Traversal Komplexe Konfiguration des L2TP-Network-Servers und dadurch fehleranfällig Feingranular einstellbar In manchen Szenarien keine sichere Nutzerauthentisierung Tabelle 2: Vor- und Nachteile verschiedener VPN-Realisierungen LAN-LAN-Kopplung, Telearbeitsplatz LAN-LAN-Kopplung, Telearbeitsplatz, Nicht-IP Netze, Mobiler Mitarbeiter, Telearbeitsplatz Authentisierung Die Authentisierung, d. h. die Sicherstellung der Identität der beteiligten Kommunikationspartner, ist eine der zentralen Sicherheitsfunktionen des VPN. Hierzu gibt es verschiedene Realisierungsmöglichkeiten. Statischer Schlüssel Die Authentisierung erfolgt mit einem Schlüssel, den beide Kommunikationspartner besitzen, wobei beispielsweise eine Prüfsumme des Schlüssels den Partner authentisiert, so dass der Schlüssel selbst nicht übertragen werden muss. Der Schlüsselaustausch muss über einen gesicherten Kanal stattfinden. Werden statische Schlüssel für einen sehr langen Zeitraum verwendet, so steigt die Gefahr, dass er durch Abhören des Datenverkehrs und mittels Kryptoanalyse herausgefunden werden kann. Verwenden mehrere Kommunikationspartner den selben Schlüssel steigt diese Gefahr ebenfalls. Werden andererseits für jede Verbindung unterschiedliche Schlüssel verwendet, steigt der Administrationsaufwand bei größeren Netzen erheblich an. Pre-Shared Key (PSK) PSK basiert ebenfalls auf statischen Schlüsseln. Zur Authentisierung wird eine Zufallszahl mit dem PSK verschlüsselt und an den Kommunikationspartner übertragen. Dieser kann die Zufallszahl entschlüsseln und sie für die weitere Kommunikation als Schlüssel verwenden. Da so jeder Kommunikationsaufbau einen neuen Schlüssel verwendet, erschwert dies die Kompromittierung. Public-Key-Verfahren, Zertifikate Hierbei handelt es sich um ein asymmetrisches Verfahren, bei dem jeder Kommunikationspartner einen privaten (Private Key) und einen öffentlichen Schlüssel (Public Key) besitzt. Mit dem Public Key verschlüsselte Nachrichten können nur mit dem zugehörigen Private Key entschlüsselt werden. Zur Authentisierung wird eine (oder mehrere) Zufallszahl(en) verwendet, die auf unterschiedliche Weise mit dem öffentlichen und privaten Schlüssel verschlüsselt ausgetauscht wird, so dass nur die Besitzer des jeweiligen Private Key eine verschlüsselte Kommunikationsverbindung aufbauen können. Der private Schlüssel wird hierbei zu keiner Zeit übertragen. Die ausgetauschte Zufallszahl dient dann als symmetrischer Schlüssel für die Kommunikation. Zur Bundesamt für Sicherheit in der Informationstechnik 11

12 ISi-Reihe Virtuelles Privates Netz (ISi-VPN) Nutzung ist eine PKI (Public Key Infrastruktur) notwendig, die die öffentlichen Schlüssel verwaltet. Einmalpasswörter Einmalpasswörter verlieren nach einmaliger Anwendung ihre Gültigkeit. Das Abhören einer Authentisierungssitzung gibt einem Abhörer keine Möglichkeit, das erlangte Wissen später zu nutzen. Die einfachste Form ist das aus dem Online-Banking bekannte TAN-Verfahren mit Listen. Für den Aufbau von VPN-Verbindungen nutzt man statt Listen Kryptogeräte, die an die zu authentisierenden Benutzer ausgegeben werden. Die Geräte und der Authentisierungsserver haben einen nicht auslesbaren PSK, der zusammen mit einem internen Timer und einem Algorithmus einen Hash-Wert bildet, der als Einmalpasswort verwendet wird. Dieser Wert ist nur innerhalb eines gewissen Zeitfensters gültig, danach wird das nächste Passwort berechnet. Als problematisch können sich hier Zeitdifferenzen zwischen den beiden Partnern erweisen, die das Zeitfenster in dem der Schlüssel gültig ist gegen null gehen lassen können. Challenge-Response-Verfahren Bei diesem Verfahren stellt der Authentisierungsserver eine Frage (Challenge) an den Client, der sich anmelden möchte. Der Client beantwortet diese Frage (Response), was er nur dann korrekt kann, wenn er in Besitz des gleichen Geheimnisses (Key) ist, wie der Server. Es gibt hierzu verschiedene Verfahren, die meist auf Zufallszahlen und Hash-Werten basieren. Wichtig ist hierbei, dass der Schlüssel niemals übertragen werden muss und nicht auslesbar in Hardware gespeichert ist. Abschließender Vergleich der Verfahren Am sichersten sind die Authentisierungsverfahren, deren Schlüssel auf einer externen Hardware nicht auslesbar gespeichert ist (privater Schlüssel auf SmartCard, Einmalpasswörter auf Geräten und Challenge-Response-Gerät). Die zusätzliche manuelle Eingabe einer PIN bietet noch weitergehende Sicherheit, ist jedoch nur bei einer personenbezogenen Authentisierung verwendbar. Zum automatischen Aufbau einer Verbindung (z. B. bei der Kopplung zweier Netze) kann die manuelle Eingabe einer PIN nicht verwendet werden. Pre-Shared Keys sind bei kleineren Netzen nutzbar, jedoch ist der Schlüssel auf dem jeweiligen Rechner gespeichert und somit prinzipiell kompromittierbar. Von der Nutzung statischer Schlüssel wird abgeraten Datenverschlüsselung Die Verfahren zur Authentisierung dienen dem Aufbau eines Kommunikationskanals zwischen zwei Partnern. Dies ermöglicht aber nur, das gesendete Daten angenommen oder verworfen werden, je nachdem ob der Kommunikationspartner authentisiert ist. Da die Daten über das Internet versendet werden, können sie mitgehört werden. Deshalb ist es zusätzlich notwendig, die Nutzdaten zu verschlüsseln. Hierbei kommen i. d. R. symmetrische Kryptoverfahren zum Einsatz, bei denen beide Kommunikationspartner den selben Schlüssel besitzen. Die Algorithmen für symmetrische Kryptografie sind sehr performant. Dies bedingt, dass der Schlüssel beiden Kommunikationspartnern bekannt sein muss. Die meisten der vorgestellten Authentisierungsverfahren bieten die Möglichkeit, einen Schlüssel für symmetrische Kryptografie sicher auszutauschen. Die Nutzung von AES (Advanced Encryption Standard) wird momentan als sicher angesehen, wobei AES mit längeren Schlüsseln auch längerfristig sicher erscheint. Bei der Verschlüsselung von VS eingestuften Daten sind VS-zugelassene Kryptoverfahren zu verwenden. 12 Bundesamt für Sicherheit in der Informationstechnik

13 ISi-Reihe 1.4 Wesentliche Ergebnisse der Gefährdungsanalyse Die VPN-Komponenten sind Teil der Netzinfrastruktur. Ist die Architektur gemäß [ISi-LANA] aufgebaut, sind die einzelnen Komponenten vor grundlegenden Angriffen auf TCP/IP-Ebene ausreichend geschützt. Ein Client-PC, der eine VPN-Verbindung zum internen Netz aufbauen kann, unterliegt zunächst den selben Gefahren wie ein Client-PC im internen Netz. Dementsprechend sind die notwendigen Schutzmaßnahmen eines Client-PC im internen Netz umzusetzten (Viren-Scanner, eingeschränkte Nutzerrechte, zentrale Administration, etc.). Der externe - und unter Umständen mobile - Standort sowie die Art des Verbindungsaufbaus bergen aber noch weitere Gefahren. Was kann konkret passieren? Die Kompromittierung einer VPN-Verbindung hat in der Regel gravierende Folgen, da der VPN- Client ähnliche Rechte hat, wie ein Client im internen Netz. Dies macht den VPN-Client und die VPN-Verbindungen zu einem lohnenswerten Angriffsziel. Die Auswirkungen reichen von Diebstahl oder Manipulation von Informationen bis zur Zerstörung von Daten. Zudem besteht für einen Angreifer die Möglichkeit, eine fremde Identität anzunehmen und so Schaden anzurichten. Kernbedrohung: Eindringen in eine VPN-Verbindung Ist ein PC im internen Netz schon alleine durch seinen Standort geschützt (überwachte Firmenräume), wird es einem Angreifer nur sehr schwer gelingen, einen PC in das interne Netz einzuschleusen. Anders bei einem VPN-Client bzw. einer VPN-Verbindung. Ein Eindringen in diese Verbindung ermöglicht es einem Angreifer sich mit dem internen Netz zu verbinden. Besitz der Authentisierungsfaktoren Ist das VPN mittels einer Kombination aus Hardware und Wissen (Zwei-Faktor-Authentisierung z. B. USB-Token mit PIN) abgesichert, so ist der Verlust der Hardware das größte Risiko, da das zugehörige Wissen in der Regel leichter beschafft oder erraten werden kann. Insbesondere mobile Endgeräte (Notebooks, etc.) sind hier gefährdet. Bei einem Verlust der Hardwarekomponente muss der VPN-Zugang unverzüglich gesperrt werden. Erraten des Passworts Sind VPN-Dienste nur mittels eines Passworts geschützt, hängt die Sicherheit direkt von der Güte des verwendeten Passwortes ab. Regeln für Passwörter können hier eine entscheidende Verbesserung bringen, insbesondere wenn deren Einhaltung mit Hilfe technischer Mittel durchgesetzt wird. Schwache Kryptografie Zu kurze Schlüssel bzw. schwache Verschlüsselungsverfahren stellen eine Schwachstelle dar und sind zu vermeiden. Die vorgestellten Verfahren erlauben ausreichend sichere Schlüssel. Bedrohungen der Sicherheitsgrundwerte Nachfolgend sind einige Beispiele für konkrete Bedrohungen bei der VPN-Nutzung aufgeführt, gegliedert nach den drei elementaren Sicherheitsgrundwerte Verfügbarkeit, Vertraulichkeit und Integrität. Bundesamt für Sicherheit in der Informationstechnik 13

14 ISi-Reihe Virtuelles Privates Netz (ISi-VPN) Bedrohung der Verfügbarkeit Auch wenn der VPN-Server hinter einem Paketfilter steht, kann er Ziel eines Denial of Service (DoS) Angriffs sein. Bei dieser Bedrohung wird der Server mit Anfragen überflutet, so dass der reguläre Verkehr zusammenbricht. Werden zum Aufbau eines SSL-VPN externe Zertifizierungsserver verwendet, so bewirkt eine Unterbrechung der Verbindung zwischen SSL-Server und Zertifizierungsserver, dass keine VPN-Verbindung aufgebaut werden kann, da die Authentizität des Clients nicht geprüft werden kann. Bedrohung der Integrität und Authentizität Man-in-the-Middle-Angriffe stellen eine Bedrohung für die Authentizität, Integrität und Vertraulichkeit der Daten dar. Bei diesem Angriff gibt sich der Angreifer gegenüber dem VPN-Client als VPN-Server und gegenüber dem VPN-Server als VPN-Client aus. Hierzu ist es notwendig, dass der Client so manipuliert wurde, dass die Verbindung anstatt zum VPN-Server zum Angreifer umgelenkt wird. Kommt die Verbindung zwischen VPN-Client und Angreifer zustande, ist der Angreifer ein Endpunkt der Verbindung. Nun stellt der Angreifer mit den Daten des VPN-Clients die Verbindung zum VPN-Server her und authentisiert sich dort. Alle Daten liegen nun unverschlüsselt beim Angreifer vor, auf den Transportwegen sind sie jedoch verschlüsselt. Der Angreifer kann zudem auch eigene Aktionen starten, Daten entwenden, weitere Sicherheitslöcher öffnen oder Daten manipulieren und vernichten. Bedrohung der Vertraulichkeit Wird der Verbindungsschlüssel kompromittiert (z. B. durch Verlust des Schlüssels oder schwache Kryptografie), können mit gelesene Daten in Klartext umgewandelt werden. 1.5 Wesentliche Empfehlungen Die Absicherung des Internetanschlusses, der für den Betrieb eines VPN zwingend erforderlich ist, ist bereits in [ISi-LANA] beschrieben. Die Integration eines VPN-Gateways in der in [ISi-LANA] vorgestellten Grundarchitektur sowie Anforderungen an die Absicherung eines VPN-Clients sind Bestandteil von [ISi-Fern]. Die nachfolgend aufgeführten Maßnahmen beziehen sich ausschließlich auf die verwendeten Technologien, um ein VPN sicher zu planen, zu konfigurieren und zu betreiben. Maßnahmen gegen das Eindringen in VPN-Verbindung Die Auswahl geeigneter Verschlüsselungsverfahren stellt primär den notwendigen Schutz sicher. Von statischen Schlüsseln ist auch bei einem sichern Verschlüsselungsverfahren abzuraten, da dem Angreifer viel Zeit bleibt, den Schlüssel zu ermitteln. Für Client-LAN-VPNs empfehlen sich hardwarebasierte Verfahren (z. B. Kartenleser), die die Eingabe einer PIN erfordern. Zur Authentisierung von LAN-LAN-VPNs können ebenfalls die hardwarebasierten Verfahren herangezogen werden (z. B. Kryptoboxen), wobei aufgrund des automatischen Verbindungsaufbaus die manuelle Eingabe einer PIN nicht möglich ist. Von statischen Passwörtern ist abzuraten, Pre-Shared-Keys sollten durch die oben erwähnten sichereren Verfahren ersetzt werden. 14 Bundesamt für Sicherheit in der Informationstechnik

15 ISi-Reihe Die Parameter für den Aufbau des VPN-Tunnels (Client-LAN) sollten nicht auf dem VPN-Client gespeichert sein, so dass man die VPN-Verbindung ohne die Eingabe eines Kennworts oder einer PIN herstellen kann. Der Verlust des Client-Geräts hätte dann zur Folge, dass der unrechtmäßige Besitzer Zugang zum internen Netz der Institution erhalten würde. Sicherstellung der Verfügbarkeit Die Auswahl der verwendeten VPN-Techniken hat nur in wenigen Fällen Auswirkungen auf die Verfügbarkeit. Basiert die Authentisierung auf Zertifikaten, die von einer öffentlichen Certificate Authority (CA) verwaltet werden, so ist eine erfolgreiche Authentisierung von der Verfügbarkeit dieser CA abhängig. Der Aufbau einer eigenen PKI (Public Key Infrastruktur) führt zu einer Eliminierung der Abhängigkeit von externen CAs, bedeutet aber einen erheblichen Mehraufwand. Sicherstellung der Vertraulichkeit und Integrität: Verschlüsselung Vertraulichkeit und Integrität müssen durch sichere Krypto-Algorithmen (z. B. AES) mit ausreichender Schlüssellänge gewährleistet werden, von älteren Verfahren (z. B. DES) wird abgeraten, da diese als nicht mehr sicher gelten. Die Konfiguration der Verbindungsparameter muss korrekt sein, da die verwendbaren Protokolle (IPSec, SSL, L2TP) auch unsichere Verfahren implementiert haben, die aber aus Sicherheitsgründen nicht angewendet werden sollten. Zum Teil kann bei der Konfiguration auch die Option keine Verschlüsselung gewählt werden, was unter allen Umständen zu verhindern ist. 1.6 Fazit Die Nutzung von VPN bringt für Behörden und Unternehmen einen großen Nutzen. Die vorgestellten Verfahren bieten - bei Auswahl starker Authentisierungs- und Verschlüsselungsverfahren - eine ausreichend hohe Sicherheit. Die genannten Realisierungsmöglichkeiten (IPSec, L2TP over IPSec und SSL) gewähren für unterschiedliche Anwendungsszenarien genügend Schutz der Sicherheitsgrundwerte. Besteht für die Institution eine Abhängigkeit vom VPN, würde ein Ausfall zu einem hohen Schaden führen. Insbesondere die VPN-Zugänge zum internen Netz müssen dagegen geschützt werden (siehe [ISi-LANA] und [ISi-Fern]). Bundesamt für Sicherheit in der Informationstechnik 15

16 ISi-Reihe Virtuelles Privates Netz (ISi-VPN) 2 Glossar Angriff (engl. attack) Ein Angriff ist eine vorsätzliche Form der Gefährdung, nämlich eine unerwünschte oder unberechtigte Handlung mit dem Ziel, sich Vorteile zu verschaffen bzw. einen Dritten zu schädigen. Angreifer können auch im Auftrag von Dritten handeln, die sich Vorteile verschaffen wollen. Anwendungsschicht (engl. application layer) Die Anwendungsschicht ist die oberste Schicht im TCP/IP-Referenzmodell. Sie umfasst alle Protokolle, die von Anwendungsprogrammen, z. B. Browser oder -Client, verarbeitet und für den Austausch anwendungsspezifischer Daten genutzt werden. Beispiele für Protokolle der Anwendungsschicht sind das Hypertext Transfer Protocol (HTTP) oder das Simple Mail Transfer Protocol (SMTP). Authentisierung (engl. authentication) Unter einer Authentisierung versteht man die Vorlage eines Nachweises eines Kommunikationspartners, dass er tatsächlich derjenige ist, der er vorgibt zu sein. Authentizität (engl. authenticity) Mit dem Begriff Authentizität wird die Eigenschaft bezeichnet, die gewährleistet, dass ein Kommunikationspartner tatsächlich derjenige ist, der er vorgibt zu sein. Bei authentischen Informationen ist sichergestellt, dass sie von der angegebenen Quelle erstellt wurden. Der Begriff wird nicht nur verwendet, wenn die Identität von Personen geprüft wird, sondern auch bei IT-Komponenten oder Anwendungen. Autorisierung (engl. authorization) Bei einer Autorisierung wird geprüft, ob eine Person, IT-Komponente oder Anwendung zur Durchführung einer bestimmten Aktion berechtigt ist. Bedrohung (engl. threat) Eine Bedrohung ist ganz allgemein ein Umstand oder Ereignis, durch das ein Schaden entstehen kann. Der Schaden bezieht sich dabei auf einen konkreten Wert wie Vermögen, Wissen, Gegenstände oder Gesundheit. Übertragen in die Welt der Informationstechnik ist eine Bedrohung ein Umstand oder Ereignis, das die Verfügbarkeit, Integrität oder Vertraulichkeit von Informationen bedrohen kann, wodurch dem Besitzer der Informationen ein Schaden entsteht. Betriebssystem (engl. operating system) Das Betriebssystem ist ein Steuerungsprogramm, das es dem Benutzer ermöglicht, seine Dateien zu verwalten, angeschlossene Geräte (z. B. Drucker, Festplatte) zu kontrollieren oder Programme zu starten. Weit verbreitet sind z. B. Windows, Linux oder MacOS. 16 Bundesamt für Sicherheit in der Informationstechnik

17 ISi-Reihe Browser [engl.] Mit Browser (von "to browse", auf deutsch: schmökern, blättern, umherstreifen) wird Software zum Zugriff auf das World Wide Web bezeichnet. Das Programm interpretiert die ankommenden Daten und stellt sie als Text und Bild auf dem Bildschirm dar. BSI (Bundesamt für Sicherheit in der Informationstechnik) (engl. Federal Office for Information Security) Bundesbehörde im Geschäftsbereich des Bundesministerium des Innern. Chipkarte (engl. smartcard) Plastikkarte in EC-Kartengröße mit integriertem Miniaturrechner (Chip). Chipkarten werden über ein entsprechendes Lesegerät an den Computer angeschlossen. Client [engl.] Als Client wird Soft- oder Hardware bezeichnet, die bestimmte Dienste von einem Server in Anspruch nehmen kann. Häufig steht der Begriff Client für einen Arbeitsplatzrechner, der in einem Netz auf Daten und Programme eines Servers zugreift. DoS (Denial of Service [engl.]) Angriffe, mit dem Ziel, die Verfügbarkeit von IT zu schädigen. Gefährdung Eine Gefährdung ist eine Bedrohung, die konkret auf ein Objekt über eine Schwachstelle einwirkt. Eine Bedrohung wird somit erst durch eine vorhandene Schwachstelle zur Gefährdung für ein Objekt. So sind beispielsweise Computer-Viren eine Bedrohung oder eine Gefährdung für Anwender, die im Internet surfen. Nach der oben gegebenen Definition lässt sich feststellen, dass alle Anwender prinzipiell durch Computer-Viren im Internet bedroht sind. Der Anwender, der eine virenbefallene Datei herunterlädt, wird von dem Computer-Virus gefährdet, wenn sein Computer anfällig für diesen Typ Computer-Virus ist. Für Anwender mit einem wirksamen Schutzprogramm, einer Konfiguration, die das Funktionieren des Computer-Virus verhindert, oder einem Betriebssystem, das den Virencode nicht ausführen kann, bedeutet das geladene Schadprogramm hingegen keine Gefährdung. HTML (Hypertext Markup Language [engl.]) Für Web-Seiten verwendete Auszeichnungssprache, die von allen Browsern verstanden wird. HTTP (Hypertext Transfer Protocol [engl.]) Das Hypertext Transfer Protocol dient zur Übertragung von Daten - meist Webseiten - zwischen einem HTTP-Server und einem HTTP-Client, also z. B. einem Browser. Die Daten werden über Uniform Resource Locators (URL) eindeutig bezeichnet. URLs werden meist in der Form Protokoll://Rechner/Pfad/Datei angegeben. Protokoll steht dabei für Protokolle der Anwendungsschicht, Rechner für den Namen oder die Adresse des Servers und der Pfad der Datei gibt den genauen Ort der Datei auf dem Server an. Ein Beispiel für eine URL ist Bundesamt für Sicherheit in der Informationstechnik 17

18 ISi-Reihe Virtuelles Privates Netz (ISi-VPN) HTTPS (HTTP secure [engl.]) Protokoll zur sicheren Übertragung von HTML-Seiten im Internet. SSL/TLS dient dabei zur Absicherung der Client-Server-Kommunikation. Integrität (engl. integrity) Integrität bezeichnet die Sicherstellung der Korrektheit (Unversehrtheit) von Daten und der korrekten Funktionsweise von Systemen. Wenn der Begriff Integrität auf "Daten" angewendet wird, drückt er aus, dass die Daten vollständig und unverändert sind. In der Informationstechnik wird er in der Regel aber weiter gefasst und auf "Informationen" angewendet. Der Begriff "Information" wird dabei für "Daten" verwendet, denen je nach Zusammenhang bestimmte Attribute wie z. B. Autor oder Zeitpunkt der Erstellung zugeordnet werden können. Der Verlust der Integrität von Informationen kann daher bedeuten, dass diese unerlaubt verändert, Angaben zum Autor verfälscht oder Zeitangaben zur Erstellung manipuliert wurden. Integrität ist ein Grundwert der IT-Sicherheit. IP (Internet Protocol [engl.]) Verbindungsloses Protokoll der Internet-Schicht im TCP/IP-Referenzmodell. Ein IP-Header enthält in der Version IPv4 u. a. zwei 32-Bit-Nummern (IP-Adressen) für Ziel und Quelle der kommunizierenden Rechner. IPSec (Internet Protocol Security [engl.]) Erweiterung des Internet-Protokolls IP zur Sicherstellung von Integrität, Authentizität und Vertraulichkeit. IPSec ist in der Version 6 des Internet-Protokolls (IPv6) enthalten. IPv4 (Internet Protocol Version 4 [engl.]) Das Internet Protocol Version 4 ist ein verbindungsloses Protokoll der Vermittlungsschicht und erlaubt den Austausch von Daten zwischen zwei Rechnern ohne vorherigen Verbindungsaufbau. IPv4 setzt nicht voraus, dass das darunterliegende Netz Fehlererkennung ausführt. Ferner verfügt es über keine Verlässlichkeits- oder Flusssteuerungsmechanismen. Die meisten dieser Probleme gibt IPv4 an die nächsthöhere Schicht (die Transportschicht) weiter. IPv6 (Internet Protocol Version 6 [engl.]) Das Internet Protocol Version 6 ist die Nachfolgeversion von IPv4 und soll dieses ablösen, da es u. a. die Zahl der verfügbaren Rechneradressen stark erweitert und Maßnahmen zum Schutz der übertragenen Daten vor dem Verlust der Vertraulichkeit, der Integrität und der Authentizität umfasst. Die Sicherungsmaßnahmen sind unter dem Namen "IPSec" zusammengefasst. IPSec definiert Sicherungsdienste, die durch zwei zusätzliche Header, den "IP Authentication Header" (AH) und den Header "IP Encapsulating Security Payload" (ESP) realisiert werden. Mithilfe der Header können unterschiedliche kryptografische Algorithmen eingebunden werden. IPSec erlaubt die Integration der Header in Datagramme des IPv4 sowie des IPv6. AH- und ESP-Header können einzeln oder gemeinsam in einem IP-Datagramm auftreten. Die Sicherheitsmechanismen schützen IPv4/IPv6 und die darüberliegenden Protokolle. IT-Sicherheit (engl. IT Security) IT-Sicherheit bezeichnet einen Zustand, in dem die Risiken, die beim Einsatz von Informationstechnik aufgrund von Gefährdungen vorhanden sind, durch angemessene Maßnahmen auf ein 18 Bundesamt für Sicherheit in der Informationstechnik

19 ISi-Reihe tragbares Maß beschränkt sind. IT-Sicherheit ist also der Zustand, in dem Vertraulichkeit, Integrität und Verfügbarkeit von Informationen und Informationstechnik durch angemessene Maßnahmen geschützt sind. NAT (Network Address Translation [engl.]) Network Address Translation (NAT) bezeichnet ein Verfahren zum automatischen und transparenten Ersetzen von Adressinformationen in Datenpaketen. NAT-Verfahren kommen meist auf Routern und Sicherheits-Gateways zum Einsatz, vor allem, um den beschränkten IPv4-Adressraum möglichst effizient zu nutzen und um lokale IP-Adressen gegenüber öffentlichen Netzen zu verbergen. Paketfilter (engl. packet filter) Paketfilter sind IT-Systeme mit spezieller Software, die den ein- und ausgehenden Datenverkehr anhand spezieller Regeln filtern. Ihre Aufgabe ist es, Datenpakete anhand der Informationen in den Header-Daten der IP- und Transportschicht (z. B. Quell- und Ziel-Adresse, -Portnummer, TCP-Flags) weiterzuleiten oder zu verwerfen. Der Inhalt des Pakets bleibt dabei unberücksichtigt. PKI (Public Key Infrastructure [engl.]) Sicherheitsinfrastruktur, die es ermöglicht, in nicht gesicherten Netzen (z. B. Internet) auf der Basis eines von einer vertrauenswürdigen Stelle ausgegebenen Schlüsselpaares (vgl. asymmetrische Verschlüsselung) verschlüsselt Daten auszutauschen bzw. Signaturen zu erzeugen und zu prüfen. PPP (Point-to-Point Protokoll [engl.]) Das Point-to-Point Protocol dient im Wesentlichen der Übertragung von IP-Paketen über serielle Leitungen, also z. B. Modemzugänge. Am häufigsten eingesetzt wird PPP, um bei der Einwahl eine Verbindung mit einem Rechner eines Internet-Zugangsproviders aufzubauen und zu kontrollieren. Protokoll (engl. protocol) Beschreibung (Spezifikation) des Datenformats für die Kommunikation zwischen elektronischen Geräten. Proxy Ein Proxy ist eine Art Stellvertreter in Netzen. Er nimmt Daten von einer Seite an und leitet sie an eine andere Stelle im Netz weiter. Mittels eines Proxys lassen sich Datenströme filtern und gezielt weiterleiten. Prüfsumme (engl. checksum) In der Informatik ist eine Prüfsumme eine einfache Maßnahme zur Gewährleistung von Datenintegrität bei der Datenübermittlung oder -speicherung. Bundesamt für Sicherheit in der Informationstechnik 19

20 ISi-Reihe Virtuelles Privates Netz (ISi-VPN) Router [engl.] Ein (IP-)Router ist ein Vermittlungsrechner, der Netze auf IP-Ebene koppelt und Wegewahlentscheidungen anhand von IP-Protokollschicht-Informationen trifft. Router trennen Netze auf der Netzzugangsschicht und begrenzen daher die Broadcast-Domäne eines Ethernets. RSA (Rivest, Shamir, Adleman Public Key Encryption [engl.]) Ein asymmetrisches Verfahren (Public-Key-Verfahren) zur Verschlüsselung und Signatur. Schutzbedarf (engl. protection requirements) Der Schutzbedarf beschreibt, welcher Schutz für die Geschäftsprozesse, die dabei verarbeiteten Informationen und die eingesetzte Informationstechnik ausreichend und angemessen ist. Schwachstelle (engl. vulnerability) Eine Schwachstelle ist ein sicherheitsrelevanter Fehler eines IT-Systems oder einer Institution. Ursachen können in der Konzeption, den verwendeten Algorithmen, der Implementation, der Konfiguration, dem Betrieb sowie der Organisation liegen. Eine Schwachstelle kann dazu führen, dass eine Bedrohung wirksam wird und eine Institution oder ein System geschädigt wird. Durch eine Schwachstelle wird ein Objekt (eine Institution oder ein System) anfällig für Bedrohungen. Server [engl.] Als Server wird Soft- oder Hardware bezeichnet, die bestimmte Dienste anderen (Clients) anbietet. Typischerweise wird damit ein Rechner bezeichnet, der seine Hardware- und Software-Ressourcen in einem Netz anderen Rechnern zugänglich macht. Beispiele sind Applikations-, Daten-, Web- oder -Server. Sicherheits-Gateway Ein Sicherheits-Gateway (oft auch Firewall genannt) gewährleistet die sichere Kopplung von IP- Netzen durch Einschränkung der technisch möglichen auf die in einer IT-Sicherheitsleitlinie als ordnungsgemäß definierte Kommunikation. Sicherheit bei der Netzkopplung bedeutet hierbei im Wesentlichen, dass ausschließlich erwünschte Zugriffe oder Datenströme zwischen verschiedenen Netzen zugelassen und die übertragenen Daten kontrolliert werden. Ein Sicherheits-Gateway für normalen Schutzbedarf besteht im Allgemeinen aus mehreren, in Reihe geschalteten Filterkomponenten. Dabei ist zwischen Paketfilter und Application-Level Gateway (ALG) zu unterscheiden. SSL (Secure Sockets Layer [engl.]) Protokoll zur sicheren Kommunikation über das Internet, insbesondere zwischen Client und Server, basiert auf dem Verschlüsselungsalgorithmus RSA. TAN (Transaktionsnummer) Geheimzahl, die die Freigabe für einen einzelnen Vorgang erteilt. Die Geheimzahl verliert hiernach ihre Gültigkeit. Wird insbesondere beim Internet-Banking in Kombination mit einer PIN eingesetzt. 20 Bundesamt für Sicherheit in der Informationstechnik

VIRTUAL PRIVATE NETWORKS

VIRTUAL PRIVATE NETWORKS VIRTUAL PRIVATE NETWORKS Seminar: Internet-Technologie Dozent: Prof. Dr. Lutz Wegner Virtual Private Networks - Agenda 1. VPN Was ist das? Definition Anforderungen Funktionsweise Anwendungsbereiche Pro

Mehr

VPN Virtual Private Network

VPN Virtual Private Network VPN Virtual Private Network LF10 - Betreuen von IT-Systemen Marc Schubert FI05a - BBS1 Mainz Lernfeld 10 Betreuen von IT-Systemen VPN Virtual Private Network Marc Schubert FI05a - BBS1 Mainz Lernfeld 10

Mehr

Virtuelle Netze. Virtuelle Netze von Simon Knierim und Benjamin Skirlo 1 Von 10-16.04.07. Simon Knierim & Benjamin Skirlo.

Virtuelle Netze. Virtuelle Netze von Simon Knierim und Benjamin Skirlo 1 Von 10-16.04.07. Simon Knierim & Benjamin Skirlo. 1 Von 10-16.04.07 Virtuelle Netze Simon Knierim & Benjamin Skirlo für Herrn Herrman Schulzentrum Bremen Vegesack Berufliche Schulen für Metall- und Elektrotechnik 2 Von 10-16.04.07 Inhaltsverzeichnis Allgemeines...

Mehr

TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL

TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL 1 TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL Kleine Auswahl bekannter Sicherheitsprotokolle X.509 Zertifikate / PKIX Standardisierte, häufig verwendete Datenstruktur zur Bindung von kryptographischen

Mehr

Kurzeinführung VPN. Veranstaltung. Rechnernetze II

Kurzeinführung VPN. Veranstaltung. Rechnernetze II Kurzeinführung VPN Veranstaltung Rechnernetze II Übersicht Was bedeutet VPN? VPN Typen VPN Anforderungen Was sind VPNs? Virtuelles Privates Netzwerk Mehrere entfernte lokale Netzwerke werden wie ein zusammenhängendes

Mehr

VPN: Virtual-Private-Networks

VPN: Virtual-Private-Networks Referate-Seminar WS 2001/2002 Grundlagen, Konzepte, Beispiele Seminararbeit im Fach Wirtschaftsinformatik Justus-Liebig-Universität Giessen 03. März 2002 Ziel des Vortrags Beantwortung der folgenden Fragen:

Mehr

Zentrum für Informationsdienste und Hochleistungsrechnen (ZIH) Technische Grundlagen und Beispiele. Christian Hoffmann & Hanjo, Müller

Zentrum für Informationsdienste und Hochleistungsrechnen (ZIH) Technische Grundlagen und Beispiele. Christian Hoffmann & Hanjo, Müller Zentrum für Informationsdienste und Hochleistungsrechnen (ZIH) VPN (Virtual Private Network) Technische Grundlagen und Beispiele Christian Hoffmann & Hanjo, Müller Dresden, 3. April 2006 Übersicht Begriffsklärung

Mehr

Virtual Private Networks. Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH

Virtual Private Networks. Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH Virtual Private Networks Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH Inhalt Einleitung Grundlagen Kryptographie IPSec Firewall Point-to-Point Tunnel Protokoll Layer 2 Tunnel Protokoll Secure Shell

Mehr

NAT & VPN. Adressübersetzung und Tunnelbildung. Bastian Görstner

NAT & VPN. Adressübersetzung und Tunnelbildung. Bastian Görstner Adressübersetzung und Tunnelbildung Bastian Görstner Gliederung 1. NAT 1. Was ist ein NAT 2. Kategorisierung 2. VPN 1. Was heißt VPN 2. Varianten 3. Tunneling 4. Security Bastian Görstner 2 NAT = Network

Mehr

Verteilte Systeme. Übung 10. Jens Müller-Iden

Verteilte Systeme. Übung 10. Jens Müller-Iden Verteilte Systeme Übung 10 Jens Müller-Iden Gruppe PVS (Parallele und Verteilte Systeme) Institut für Informatik Westfälische Wilhelms-Universität Münster Sommersemester 2007 10.1 Unsicherheit in Verteilten

Mehr

Verteilte Systeme. 10.1 Unsicherheit in Verteilten Systemen

Verteilte Systeme. 10.1 Unsicherheit in Verteilten Systemen Verteilte Systeme Übung 10 Jens Müller-Iden Gruppe PVS (Parallele und Verteilte Systeme) Institut für Informatik Westfälische Wilhelms-Universität Münster Sommersemester 2007 10.1 Unsicherheit in Verteilten

Mehr

Prinzipiell wird bei IP-basierenden VPNs zwischen zwei unterschiedlichen Ansätzen unterschieden:

Prinzipiell wird bei IP-basierenden VPNs zwischen zwei unterschiedlichen Ansätzen unterschieden: Abkürzung für "Virtual Private Network" ein VPN ist ein Netzwerk bestehend aus virtuellen Verbindungen (z.b. Internet), über die nicht öffentliche bzw. firmeninterne Daten sicher übertragen werden. Die

Mehr

Sicherheit in Netzwerken. Leonard Claus, WS 2012 / 2013

Sicherheit in Netzwerken. Leonard Claus, WS 2012 / 2013 Sicherheit in Netzwerken Leonard Claus, WS 2012 / 2013 Inhalt 1 Definition eines Sicherheitsbegriffs 2 Einführung in die Kryptografie 3 Netzwerksicherheit 3.1 E-Mail-Sicherheit 3.2 Sicherheit im Web 4

Mehr

VPN Gateway (Cisco Router)

VPN Gateway (Cisco Router) VPN Gateway (Cisco Router) Mario Weber INF 03 Inhalt Inhalt... 2 1 VPN... 3 1.1 Virtual Private Network... 3 1.1.1 Allgemein... 3 1.1.2 Begriffsklärung... 4 1.2 Tunneling... 4 1.3 Tunnelprotkolle... 5

Mehr

Karlsruher IT-Sicherheitsinitiative - 26. April 2001. "For your eyes only" Sichere E-Mail in Unternehmen. Dr. Dörte Neundorf neundorf@secorvo.

Karlsruher IT-Sicherheitsinitiative - 26. April 2001. For your eyes only Sichere E-Mail in Unternehmen. Dr. Dörte Neundorf neundorf@secorvo. Karlsruher IT-Sicherheitsinitiative - 26. April 2001 "For your eyes only" Sichere E-Mail in Unternehmen Dr. Dörte Neundorf neundorf@secorvo.de Secorvo Security Consulting GmbH Albert-Nestler-Straße 9 D-76131

Mehr

Sicherheitskonzepte für das Internet

Sicherheitskonzepte für das Internet Martin Raepple Sicherheitskonzepte für das Internet Grundlagen, Technologien und Lösungskonzepte für die kommerzielle Nutzung Technische Universität Darmstadt FACHBEREICH INFORMATIK B I B L 1 O T H E K

Mehr

VPN / Tunneling. 1. Erläuterung

VPN / Tunneling. 1. Erläuterung 1. Erläuterung VPN / Tunneling Ein virtuelles privates Netzwerk (VPN) verbindet die Komponenten eines Netzwerkes über ein anderes Netzwerk. Zu diesem Zweck ermöglicht das VPN dem Benutzer, einen Tunnel

Mehr

Virtuelle Private Netzwerke

Virtuelle Private Netzwerke Virtuelle Private Netzwerke VPN Dortmund, Oktober 2004 Prof. Dr. Heinz-Michael Winkels, Fachbereich Wirtschaft FH Dortmund Emil-Figge-Str. 44, D44227-Dortmund, TEL.: (0231)755-4966, FAX: (0231)755-4902

Mehr

SSL-Protokoll und Internet-Sicherheit

SSL-Protokoll und Internet-Sicherheit SSL-Protokoll und Internet-Sicherheit Christina Bräutigam Universität Dortmund 5. Dezember 2005 Übersicht 1 Einleitung 2 Allgemeines zu SSL 3 Einbindung in TCP/IP 4 SSL 3.0-Sicherheitsschicht über TCP

Mehr

ISA Server 2004 Site to Site VPN mit L2TP/IPSEC - Von Marc Grote

ISA Server 2004 Site to Site VPN mit L2TP/IPSEC - Von Marc Grote ISA Server 2004 Site to Site VPN mit L2TP/IPSEC - Von Marc Grote Die Informationen in diesem Artikel beziehen sich auf:? Microsoft ISA Server 2004 Einleitung Dieser Artikel beschreibt die Einrichtung eines

Mehr

Verschlüsselung der Kommunikation zwischen Rechnern

Verschlüsselung der Kommunikation zwischen Rechnern Verschlüsselung der Kommunikation zwischen Rechnern Stand: 11. Mai 2007 Rechenzentrum Hochschule Harz Sandra Thielert Hochschule Harz Friedrichstr. 57 59 38855 Wernigerode 03943 / 659 0 Inhalt 1 Einleitung

Mehr

VPN - Virtual Private Networks

VPN - Virtual Private Networks VPN - Virtual Private Networks Wolfgang Böhmer Kommunikationssicherheit in VPN- und IP-Netzen, über GPRS und WLAN ISBN 3-446-22930-2 Inhaltsverzeichnis Weitere Informationen oder Bestellungen unter http://www.hanser.de/3-446-22930-2

Mehr

VPN: SSL vs. IPSec. erfrakon - Erlewein, Frank, Konold & Partner Martin Konold Dr. Achim Frank. Präsentation auf dem

VPN: SSL vs. IPSec. erfrakon - Erlewein, Frank, Konold & Partner Martin Konold Dr. Achim Frank. Präsentation auf dem VPN: SSL vs. IPSec erfrakon - Erlewein, Frank, Konold & Partner Martin Konold Dr. Achim Frank Präsentation auf dem IT Security Forum 9. November 2005, Frankfurt erfrakon Erlewein, Frank, Konold & Partner

Mehr

Wiederholung: Informationssicherheit Ziele

Wiederholung: Informationssicherheit Ziele Wiederholung: Informationssicherheit Ziele Vertraulichkeit: Schutz der Information vor unberechtigtem Zugriff bei Speicherung, Verarbeitung und Übertragung Integrität: Garantie der Korrektheit (unverändert,

Mehr

Mindeststandard des BSI nach 8 Abs. 1 Satz 1 BSIG für den Einsatz des SSL/TLS-Protokolls in der Bundesverwaltung

Mindeststandard des BSI nach 8 Abs. 1 Satz 1 BSIG für den Einsatz des SSL/TLS-Protokolls in der Bundesverwaltung Mindeststandard des BSI nach 8 Abs. 1 Satz 1 BSIG für den Einsatz des SSL/TLS-Protokolls in der Bundesverwaltung Bundesamt für Sicherheit in der Informationstechnik Postfach 20 03 63 53133 Bonn Tel.: +49

Mehr

Sicherer mobiler Zugriff in Ihr Unternehmen warum SSL VPN nicht das Allheilmittel ist

Sicherer mobiler Zugriff in Ihr Unternehmen warum SSL VPN nicht das Allheilmittel ist Sicherer mobiler Zugriff in Ihr Unternehmen warum SSL VPN nicht das Allheilmittel ist Ein Vergleich verschiedener VPN-Technologien Seite 1 Überblick Überblick VPN Technologien SSL VPN Sicherheitsrisiken

Mehr

VPN Virtual Private Networks

VPN Virtual Private Networks Wolfgang Böhmer VPN Virtual Private Networks Die reale Welt der virtuellen Netze HANSER Inhaltsverzeichnis Teil I VPN-Grundlagen und Techniken 1 1 Einleitung 3 1.1 Was ist ein VPN? 7 1.2 Welche VPN-Varianten

Mehr

Sicherheitsmanagement in TCP/IP-Netzen

Sicherheitsmanagement in TCP/IP-Netzen Kai Martius Sicherheitsmanagement in TCP/IP-Netzen Aktuelle Protokolle, praktischer Einsatz, neue Entwicklungen vieweg Inhalt Einleitung 1 Was kann man aus diesem Buch erfahren 2 Wegweiser durch das Buch

Mehr

Stammtisch 04.12.2008. Zertifikate

Stammtisch 04.12.2008. Zertifikate Stammtisch Zertifikate Ein Zertifikat ist eine Zusicherung / Bestätigung / Beglaubigung eines Sachverhalts durch eine Institution in einem definierten formalen Rahmen 1 Zertifikate? 2 Digitale X.509 Zertifikate

Mehr

Modul 6 Virtuelle Private Netze (VPNs) und Tunneling

Modul 6 Virtuelle Private Netze (VPNs) und Tunneling Modul 6 Virtuelle Private Netze (VPNs) und Tunneling M. Leischner Sicherheit in Netzen Folie 1 Virtuelle Private Netze - Begriffsdefinition Wiki-Definition " Virtual Private Network (deutsch virtuelles

Mehr

Site2Site VPN S T E F A N K U S I E K B F W L E I P Z I G

Site2Site VPN S T E F A N K U S I E K B F W L E I P Z I G Site2Site VPN S T E F A N K U S I E K B F W L E I P Z I G Übersicht Einleitung IPSec SSL RED Gegenüberstellung Site-to-Site VPN Internet LAN LAN VPN Gateway VPN Gateway Encrypted VPN - Technologien Remote

Mehr

Secure Socket Layer V.3.0

Secure Socket Layer V.3.0 Konzepte von Betriebssystem-Komponenten Schwerpunkt Internetsicherheit Secure Socket Layer V.3.0 (SSLv3) Zheng Yao 05.07.2004 1 Überblick 1.Was ist SSL? Bestandteile von SSL-Protokoll, Verbindungherstellung

Mehr

Denn es geht um ihr Geld:

Denn es geht um ihr Geld: Denn es geht um ihr Geld: [A]symmetrische Verschlüsselung, Hashing, Zertifikate, SSL/TLS Warum Verschlüsselung? Austausch sensibler Daten über das Netz: Adressen, Passwörter, Bankdaten, PINs,... Gefahr

Mehr

The Second Generation Onion Router. Stefan Hasenauer, Christof Kauba, Stefan Mayer

The Second Generation Onion Router. Stefan Hasenauer, Christof Kauba, Stefan Mayer The Second Generation Onion Router Übersicht Einleitung Verfahren zur Anonymisierung Allgemeines über Tor Funktionsweise von Tor Hidden Services Mögliche Angriffe 2 Einleitung Identifizierung im Internet

Mehr

Einführung in die Netzwerktechnik

Einführung in die Netzwerktechnik Ich Falk Schönfeld Seit 8 Jahren bei eurogard GmbH Entwickler für Remoteserviceprodukte Kernkompetenz Linux Mail: schoenfeld@eurogard.de Telefon: +49/2407/9516-15 Ablauf: Was bedeutet Netzwerktechnik?

Mehr

4 Netzwerkzugriff. 4.1 Einführung. Netzwerkzugriff

4 Netzwerkzugriff. 4.1 Einführung. Netzwerkzugriff 4 Netzwerkzugriff Prüfungsanforderungen von Microsoft: Configuring Network Access o Configure remote access o Configure Network Access Protection (NAP) o Configure network authentication o Configure wireless

Mehr

Gestaltung von virtuellen privaten Netzwerken (VPN) - Tunneling und Encryption

Gestaltung von virtuellen privaten Netzwerken (VPN) - Tunneling und Encryption Gestaltung von virtuellen privaten Netzwerken (VPN) - Tunneling und Encryption Markus Keil IBH Prof. Dr. Horn GmbH Gostritzer Str. 61-63 01217 Dresden http://www.ibh.de/ support@ibh.de 1 2 Was ist ein

Mehr

VPN. Virtuelles privates Netzwerk. Vortrag von Igor Prochnau Seminar Internet- Technologie

VPN. Virtuelles privates Netzwerk. Vortrag von Igor Prochnau Seminar Internet- Technologie VPN Virtuelles privates Netzwerk Vortrag von Igor Prochnau Seminar Internet- Technologie Einleitung ist ein Netzwerk, das ein öffentliches Netzwerk benutzt, um private Daten zu transportieren erlaubt eine

Mehr

Handout. Holger Christian. Thema: VPN

Handout. Holger Christian. Thema: VPN Handout Holger Christian Thema: VPN VPN-Definition: Ein virtuelles privates Netz (VPN) ist ein Netz von logischen Verbindungen zur Übermittlung von privaten Daten/Informationen bzw. Datenverkehr. Eine

Mehr

Vorwort E-Mail ist heute für Unternehmen ein häufig eingesetztes Kommunikationsmittel, das zum Austausch von Informationen verwendet wird.

Vorwort E-Mail ist heute für Unternehmen ein häufig eingesetztes Kommunikationsmittel, das zum Austausch von Informationen verwendet wird. Vorwort E-Mail ist heute für Unternehmen ein häufig eingesetztes Kommunikationsmittel, das zum Austausch von Informationen verwendet wird. Auch die Unternehmensgruppe ALDI Nord steht mit einer Vielzahl

Mehr

VPN-Technologien Alternativen und Bausteine einer erfolgreichen Lösung von Dipl.-Inform. Andreas Meder

VPN-Technologien Alternativen und Bausteine einer erfolgreichen Lösung von Dipl.-Inform. Andreas Meder VPN-Technologien Alternativen und Bausteine einer erfolgreichen Lösung von Dipl.-Inform. Andreas Meder Seite i Inhaltsverzeichnis INHALTSVERZEICHNIS I 1 ERSTER ÜBERBLICK 1-1 1.1 Begriffsklärung 1-1 1.2

Mehr

Sichere Abwicklung von Geschäftsvorgängen im Internet

Sichere Abwicklung von Geschäftsvorgängen im Internet Sichere Abwicklung von Geschäftsvorgängen im Internet Diplomarbeit von Peter Hild Theoretische Grundlagen der Kryptologie Vorhandene Sicherheitskonzepte für das WWW Bewertung dieser Konzepte Simulation

Mehr

Collax NCP-VPN. Howto

Collax NCP-VPN. Howto Collax NCP-VPN Howto Dieses Howto beschreibt wie eine VPN-Verbindung zwischen einem Collax Server und dem NCP Secure Entry Client (NCP) eingerichtet werden kann. Der NCP ist ein sehr einfach zu bedienender

Mehr

Secure Sockets Layer (SSL) Prof. Dr. P. Trommler

Secure Sockets Layer (SSL) Prof. Dr. P. Trommler Secure Sockets Layer (SSL) Prof. Dr. P. Trommler Übersicht Internetsicherheit Protokoll Sitzungen Schlüssel und Algorithmen vereinbaren Exportversionen Public Keys Protokollnachrichten 29.10.2003 Prof.

Mehr

Sicherheit in Wireless LANs

Sicherheit in Wireless LANs Sicherheit in Wireless LANs VS-Seminar Wintersemester 2002/2003 Betreuer: Stefan Schmidt Übersicht Funktion und Aufbau von Infrastruktur Wireless LAN Sicherheit in Wireless LANs Sicherungsmechanismen in

Mehr

Rechneranmeldung mit Smartcard oder USB-Token

Rechneranmeldung mit Smartcard oder USB-Token Rechneranmeldung mit Smartcard oder USB-Token Verfahren zur Authentifizierung am Rechnersystem und angebotenen Diensten, SS2005 1 Inhalt: 1. Systemanmeldung 2. Grundlagen 3. Technik (letzte Woche) 4. Standards

Mehr

IT-Sicherheit Kapitel 10 IPSec

IT-Sicherheit Kapitel 10 IPSec IT-Sicherheit Kapitel 10 IPSec Dr. Christian Rathgeb Sommersemester 2014 1 TCP/IP TCP/IP-Schichtenmodell: 2 TCP/IP Sicherheitsmechanismen in den Schichten: 3 TCP/IP TCP verpackt die Anwenderdaten in eine

Mehr

BeamYourScreen Sicherheit

BeamYourScreen Sicherheit BeamYourScreen Sicherheit Inhalt BeamYourScreen Sicherheit... 1 Das Wichtigste im Überblick... 3 Sicherheit der Inhalte... 3 Sicherheit der Benutzeroberfläche... 3 Sicherheit der Infrastruktur... 3 Im

Mehr

Kundenleitfaden Secure E-Mail

Kundenleitfaden Secure E-Mail Vorwort Wir leben in einem elektronischen Zeitalter. Der Austausch von Informationen erfolgt zunehmend über elektronische Medien wie das Versenden von E-Mails. Neben den großen Vorteilen, die uns elektronische

Mehr

Wortmann AG. Terra Black Dwraf

Wortmann AG. Terra Black Dwraf Terra Black Dwraf Inhalt 1 VPN... 3 2 Konfigurieren der dyndns Einstellungen... 4 3 VPN-Verbindung mit dem IPSec Wizard erstellen... 5 4 Verbindung bearbeiten... 6 5 Netzwerkobjekte anlegen... 8 6 Regel

Mehr

IT Sicherheit: Authentisierung

IT Sicherheit: Authentisierung Dr. Christian Rathgeb IT-Sicherheit, Kapitel 4 / 18.11.2015 1/21 IT Sicherheit: Dr. Christian Rathgeb Hochschule Darmstadt, CASED, da/sec Security Group 18.11.2015 Dr. Christian Rathgeb IT-Sicherheit,

Mehr

Sicherheitsdienste für große Firmen => Teil 2: Firewalls

Sicherheitsdienste für große Firmen => Teil 2: Firewalls Seite 21 Sicherheitsdienste für große Firmen => Teil 2: Firewalls Sicherer Zugang zum World Wide Web (HTTP, FTP etc.) Sicherer Übergang zum Internet: Firewalls und Intrusion Detection Verzeichnisdienste

Mehr

Virtuelle Private Netze (VPN) Copyright und Motivation und sowas

Virtuelle Private Netze (VPN) Copyright und Motivation und sowas Virtuelle Private Netze (VPN) Geschrieben von ~Creepy~Mind~ Version 1.3 ;-) (Wybe Dijkstra: "Tue nur, was nur Du tun kannst.") Copyright und Motivation und sowas Naja was soll ich hierzu groß schreiben...

Mehr

Netzwerksicherheit mit Hilfe von IPSec

Netzwerksicherheit mit Hilfe von IPSec Unterrichtseinheit 6: Netzwerksicherheit mit Hilfe von IPSec Bei IPSec (Internet Protocol Security) handelt es sich um ein Gerüst offener Standards, um eine sichere, private Kommunikation über IP-Netzwerke

Mehr

Public Key Infrastruktur. Georg Gruber & Georg Refenner 26.Jänner 2009 ITTK 09

Public Key Infrastruktur. Georg Gruber & Georg Refenner 26.Jänner 2009 ITTK 09 Public Key Infrastruktur Georg Gruber & Georg Refenner 26.Jänner 2009 ITTK 09 Grundlagen Symmetrische Verschlüsselung Asymmetrische Verschlüsselung Hybridverschlüsselung Hashverfahren/Digitale Signaturen

Mehr

Computeranwendung in der Chemie Informatik für Chemiker(innen) 5. Internet

Computeranwendung in der Chemie Informatik für Chemiker(innen) 5. Internet Computeranwendung in der Chemie Informatik für Chemiker(innen) 5. Internet Jens Döbler 2003 "Computer in der Chemie", WS 2003-04, Humboldt-Universität VL5 Folie 1 Dr. Jens Döbler Internet Grundlagen Zusammenschluß

Mehr

KVN-Portal. das Onlineportal der KVN. Dokumentation für Microsoft Windows. Version 4.0 vom 02.12.2015 Kassenärztliche Vereinigung Niedersachsen

KVN-Portal. das Onlineportal der KVN. Dokumentation für Microsoft Windows. Version 4.0 vom 02.12.2015 Kassenärztliche Vereinigung Niedersachsen Kassenärztliche Vereinigung Niedersachsen Inhaltsverzeichnis 1. Allgemein... 3 1.1 Betriebssysteme und Internet Browser... 3 2. Zugang... 4 2.1 Anmeldung... 4 2.2 VPN Verbindung herstellen... 4 2.3 Browser

Mehr

Internet-Sicherheit. Browser, Firewalls und Verschlüsselung. von Kai Fuhrberg. 2. Auflage

Internet-Sicherheit. Browser, Firewalls und Verschlüsselung. von Kai Fuhrberg. 2. Auflage Internet-Sicherheit Browser, Firewalls und Verschlüsselung von Kai Fuhrberg 2. Auflage Internet-Sicherheit Fuhrberg schnell und portofrei erhältlich bei beck-shop.de DIE FACHBUCHHANDLUNG Hanser München

Mehr

Collax Business Server NCP Secure Entry Client Interoperability Guide V. 1.3. Collax Business Server (V. 3.0.12) NCP Secure Entry Client 8.

Collax Business Server NCP Secure Entry Client Interoperability Guide V. 1.3. Collax Business Server (V. 3.0.12) NCP Secure Entry Client 8. Collax Business Server NCP Secure Entry Client Interoperability Guide V. 1.3 Collax Business Server (V. 3.0.12) NCP Secure Entry Client 8.21 Dies ist eine Anleitung, die die Konfigurationsschritte beschreibt,

Mehr

VPN: wired and wireless

VPN: wired and wireless VPN: wired and wireless Fachbereich Informatik (FB 20) Fachgruppe: Security Engineering Modul: 2000096VI LV-9 er Skriptum und Literatur: http://www2.seceng.informatik.tu-darmstadt.de/vpn10/ Wolfgang BÖHMER,

Mehr

Datenzugriff über VPN

Datenzugriff über VPN Leitfaden Datenzugriff über VPN Einführung Ab der Version 3.0 besteht bei einer Installation von SPG-Verein die Möglichkeit, den Programmund Datenbereich getrennt abzulegen. Dadurch kann u. a. der Datenbereich

Mehr

Firewalls und Virtuelle Private Netze

Firewalls und Virtuelle Private Netze s und Virtuelle Private Netze Jürgen Quittek Institut für Informatik Freie Universität Berlin C&C Research Laboratories NEC Europe Ltd., Berlin Vorlesung Rechnernetze Institut für Informatik Freie Universität

Mehr

HowTo: Einrichtung von L2TP over IPSec VPN

HowTo: Einrichtung von L2TP over IPSec VPN HowTo: Einrichtung von L2TP over IPSec VPN [Voraussetzungen] 1. DWC-1000/2000 mit Firmware Version: 4.4.1.2 und höher mit aktivierter VPN-Lizenz 2. DSR-150N,250N,500N,1000N,1000AC mit Firmware Version

Mehr

Mobility Support by HIP

Mobility Support by HIP Mobile Systems Seminar Mobility Support by HIP Universität Zürich Institut für Informatik Professor Dr. Burkhard Stiller Betreuer Peter Racz 8 Mai 2008 Svetlana Gerster 01-728-880 1 Gliederung OSI und

Mehr

Mobile Security. Evren Eren, Kai-Oliver Detken. Risiken mobiler Kommunikation und Lösungen zur mobilen Sicherheit ISBN 3-446-40458-9

Mobile Security. Evren Eren, Kai-Oliver Detken. Risiken mobiler Kommunikation und Lösungen zur mobilen Sicherheit ISBN 3-446-40458-9 Mobile Security Evren Eren, Kai-Oliver Detken Risiken mobiler Kommunikation und Lösungen zur mobilen Sicherheit ISBN 3-446-40458-9 Inhaltsverzeichnis Weitere Informationen oder Bestellungen unter http://www.hanser.de/3-446-40458-9

Mehr

Vorwort. Sichere E-Mail bietet. Kundenleitfaden Sichere E-Mail

Vorwort. Sichere E-Mail bietet. Kundenleitfaden Sichere E-Mail Vorwort Wir alle leben in einem elektronischen Zeitalter. Der Austausch von Informationen erfolgt zunehmend über elektronische Medien wie das Versenden von E-Mails. Neben den großen Vorteilen, die uns

Mehr

IT - Sicherheit. Maximilian Zubke zubke@iwi.uni-hannover.de. Institut für Wirtschaftsinformatik Leibniz Universität Hannover

IT - Sicherheit. Maximilian Zubke zubke@iwi.uni-hannover.de. Institut für Wirtschaftsinformatik Leibniz Universität Hannover IT - Sicherheit Maximilian Zubke zubke@iwi.uni-hannover.de Gäste - & Doktorandenkolloquium 17. Juli 2008 Agenda Grundla agen Praxis Grundlagen der Risiken und Maßnahmen Security Engineering (Allgemeine

Mehr

Client-Server-Prinzip

Client-Server-Prinzip Client-Server-Prinzip Kommunikation im Internet erfolgt nach dem Client-Server-Prinzip: Client sendet eine Anfrage (fordert eine Dienstleistung an) Server sendet die Antwort (bietet eine Dienstleistung

Mehr

SSL Secure Socket Layer Algorithmen und Anwendung

SSL Secure Socket Layer Algorithmen und Anwendung SSL Secure Socket Layer Algorithmen und Anwendung Präsentation vom 03.06.2002 Stefan Pfab 2002 Stefan Pfab 1 Überblick Motivation SSL-Architektur Verbindungsaufbau Zertifikate, Certification Authorities

Mehr

Bernd Blümel. Verschlüsselung. Prof. Dr. Blümel

Bernd Blümel. Verschlüsselung. Prof. Dr. Blümel Bernd Blümel 2001 Verschlüsselung Gliederung 1. Symetrische Verschlüsselung 2. Asymetrische Verschlüsselung 3. Hybride Verfahren 4. SSL 5. pgp Verschlüsselung 111101111100001110000111000011 1100110 111101111100001110000111000011

Mehr

VirtualPrivate Network(VPN)

VirtualPrivate Network(VPN) Deine Windows Mobile Community VirtualPrivate Network(VPN) Yves Jeanrenaud yjeanrenaud, pocketpc.ch VPN-Grundlagen Geräte aus einem Netz in ein anderes, inkompatibles, Netz einbinden: VPN-Tunnel Verschiedene

Mehr

Aufbau des Internets. Nelson & Bruno Quellen: Netplanet

Aufbau des Internets. Nelson & Bruno Quellen: Netplanet Aufbau des Internets Nelson & Bruno Quellen: Netplanet Inhaltsverzeichnis Arten von Netzwerken Host-Architekturen Schichtenmodelle TCP/IP - Haussprache des Internet Übertragung im Netz Routing Topologie

Mehr

TCP/IP-Protokollfamilie

TCP/IP-Protokollfamilie TCP/IP-Protokollfamilie Internet-Protokolle Mit den Internet-Protokollen kann man via LAN- oder WAN kommunizieren. Die bekanntesten Internet-Protokolle sind das Transmission Control Protokoll (TCP) und

Mehr

Aurorean Virtual Network

Aurorean Virtual Network Übersicht der n Seite 149 Aurorean Virtual Network Aurorean ist die VPN-Lösung von Enterasys Networks und ist als eine Enterprise-class VPN-Lösung, auch als EVPN bezeichnet, zu verstehen. Ein EVPN ist

Mehr

TCP/UDP. Transport Layer

TCP/UDP. Transport Layer TCP/UDP Transport Layer Lernziele 1. Wozu dient die Transportschicht? 2. Was passiert in der Transportschicht? 3. Was sind die wichtigsten Protkolle der Transportschicht? 4. Wofür wird TCP eingesetzt?

Mehr

E-Mails versenden aber sicher! Secure E-Mail. Kundenleitfaden. Sparkasse Landshut

E-Mails versenden aber sicher! Secure E-Mail. Kundenleitfaden. Sparkasse Landshut E-Mails versenden aber sicher! Secure E-Mail Kundenleitfaden S Vorwort Wir alle leben in einem elektronischen Zeitalter. Der Austausch von Informationen erfolgt zunehmend über elektronische Medien wie

Mehr

Gefahren aus dem Internet 1 Grundwissen April 2010

Gefahren aus dem Internet 1 Grundwissen April 2010 1 Grundwissen Voraussetzungen Sie haben das Internet bereits zuhause oder an der Schule genutzt. Sie wissen, was ein Provider ist. Sie wissen, was eine URL ist. Lernziele Sie wissen, was es braucht, damit

Mehr

Das Wichtigste im Überblick 3 Sicherheit der Inhalte Sicherheit der Benutzeroberfläche Sicherheit der Infrastruktur.

Das Wichtigste im Überblick 3 Sicherheit der Inhalte Sicherheit der Benutzeroberfläche Sicherheit der Infrastruktur. MIKOGO SICHERHEIT Inhaltsverzeichnis Das Wichtigste im Überblick 3 Sicherheit der Inhalte Sicherheit der Benutzeroberfläche Sicherheit der Infrastruktur Seite 2. Im Einzelnen 4 Komponenten der Applikation

Mehr

Verschlüsselung und Signatur

Verschlüsselung und Signatur Verschlüsselung und Signatur 1 Inhalt Warum Verschlüsseln Anforderungen und Lösungen Grundlagen zum Verschlüsseln Beispiele Fragwürdiges rund um das Verschlüsseln Fazit Warum verschlüsseln? Sichere Nachrichtenübertragung

Mehr

Internet - Grundzüge der Funktionsweise. Kira Duwe

Internet - Grundzüge der Funktionsweise. Kira Duwe Internet - Grundzüge der Funktionsweise Kira Duwe Gliederung Historische Entwicklung Funktionsweise: -Anwendungen -Rechnernetze -Netzwerkschichten -Datenkapselung -RFC -Verschiedene Protokolle (Ethernet,

Mehr

12. Kieler OpenSource und Linux Tage. Wie funktioniert eigentlich Mail? 20.09.2014, Frank Agerholm, Linux User Group Flensburg e.v.

12. Kieler OpenSource und Linux Tage. Wie funktioniert eigentlich Mail? 20.09.2014, Frank Agerholm, Linux User Group Flensburg e.v. 12. Kieler OpenSource und Linux Tage Wie funktioniert eigentlich? 20.09.2014, Frank Agerholm, Linux User Group Flensburg e.v. Frank Agerholm Vorstellung Linux System Engineer RZ-Administration Konzeptionierung

Mehr

IT-Sicherheit. Konzept -Verfahren - Protokolle von Prof. Dr. Claudia Eckert Technische Universität Darmstadt Studienausgabe

IT-Sicherheit. Konzept -Verfahren - Protokolle von Prof. Dr. Claudia Eckert Technische Universität Darmstadt Studienausgabe IT-Sicherheit Konzept -Verfahren - Protokolle von Prof. Dr. Claudia Eckert Technische Universität Darmstadt Studienausgabe Oldenbourg Verlag München Wien Inhaltsverzeichnis 1 Einführung 1 1.1 Grundlegende

Mehr

Kundeninformation zu Secure E-Mail

Kundeninformation zu Secure E-Mail S Sparkasse Höxter Kundeninformation zu Secure E-Mail,,Digitale Raubzüge und Spionageangriffe gehören aktuell zu den Wachstumsbranchen der organisierten Kriminalität. Selbst modernste Sicherheitstechnologie

Mehr

Rechnernetze II SS 2015. Betriebssysteme / verteilte Systeme rolanda.dwismuellera@duni-siegena.de Tel.: 0271/740-4050, Büro: H-B 8404

Rechnernetze II SS 2015. Betriebssysteme / verteilte Systeme rolanda.dwismuellera@duni-siegena.de Tel.: 0271/740-4050, Büro: H-B 8404 Rechnernetze II SS 2015 Betriebssysteme / verteilte Systeme rolanda.dwismuellera@duni-siegena.de Tel.: 0271/740-4050, Büro: H-B 8404 Stand: 14. Juli 2015 Betriebssysteme / verteilte Systeme Rechnernetze

Mehr

IT-Sicherheit Kapitel 11 SSL/TLS

IT-Sicherheit Kapitel 11 SSL/TLS IT-Sicherheit Kapitel 11 SSL/TLS Dr. Christian Rathgeb Sommersemester 2014 1 Einführung SSL/TLS im TCP/IP-Stack: SSL/TLS bietet (1) Server-Authentifizierung oder Server und Client- Authentifizierung (2)

Mehr

Virtual Private Network. David Greber und Michael Wäger

Virtual Private Network. David Greber und Michael Wäger Virtual Private Network David Greber und Michael Wäger Inhaltsverzeichnis 1 Technische Grundlagen...3 1.1 Was ist ein Virtual Private Network?...3 1.2 Strukturarten...3 1.2.1 Client to Client...3 1.2.2

Mehr

Exkurs: IPSec. Brandenburg an der Havel, den 5. Juni 2005

Exkurs: IPSec. <muehlber@fh-brandenburg.de> Brandenburg an der Havel, den 5. Juni 2005 Exkurs: IPSec Brandenburg an der Havel, den 5. Juni 2005 1 Gliederung 1. IPSec: Problem und Lösung 2. Übertragungsmodi 3. Encapsulating Security Payload 4. Authentication Header

Mehr

Übung 6 Lösungsskizze Kryptographie, Sicherheit in verteilten Dateisystemen

Übung 6 Lösungsskizze Kryptographie, Sicherheit in verteilten Dateisystemen Übung zu Verteilte Betriebssysteme (WS 2003) Übung 6 Lösungsskizze Kryptographie, Sicherheit in verteilten Dateisystemen Andreas I. Schmied Verteilte Systeme Universität Ulm Mail zur Übung an vbs@vs.informatik.uni-ulm.de

Mehr

9.3 Firewalls. HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern),

9.3 Firewalls. HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern), 9.3 Firewalls (firewall = Brandmauer) Firewall: HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern), typischerweise an der Übergangsstelle zwischen einem Teilnetz und dem Rest des Internet

Mehr

SSL/TLS und SSL-Zertifikate

SSL/TLS und SSL-Zertifikate SSL/TLS und SSL-Zertifikate Konzepte von Betriebssystem-Komponenten Informatik Lehrstuhl 4 16.06.10 KvBK Wolfgang Hüttenhofer sethur_blackcoat@web.de Motivation Sichere, verschlüsselte End-to-End Verbindung

Mehr

Security Associations Schlüsseltausch IKE Internet Key Exchange Automatischer Schlüsseltausch und Identitätsnachweis

Security Associations Schlüsseltausch IKE Internet Key Exchange Automatischer Schlüsseltausch und Identitätsnachweis Wie Interoperabel ist IPsec? Ein Erfahrungsbericht Arturo Lopez Senior Consultant März 2003 Agenda Internet Protokoll Security (IPsec) implementiert Sicherheit auf Layer 3 in OSI Modell Application Presentation

Mehr

Einfache VPN Theorie. Von Valentin Lätt (www.valentin-laett.ch)

Einfache VPN Theorie. Von Valentin Lätt (www.valentin-laett.ch) Einfache VPN Theorie Von Valentin Lätt (www.valentin-laett.ch) Einführung Der Ausdruck VPN ist fast jedem bekannt, der sich mindestens einmal grob mit der Materie der Netzwerktechnik auseinandergesetzt

Mehr

Konfigurationsbeispiel

Konfigurationsbeispiel ZyWALL 1050 dynamisches VPN Dieses Konfigurationsbeispiel zeigt, wie man einen VPN-Tunnel mit einer dynamischen IP-Adresse auf der Client-Seite und einer statischen öffentlichen IP-Adresse auf der Server-Seite

Mehr

SSL VPNs 2G06. VPNs eine Übersicht. IT-Symposium 2004. Andreas Aurand Network Consultant NWCC, HP. www.decus.de

SSL VPNs 2G06. VPNs eine Übersicht. IT-Symposium 2004. Andreas Aurand Network Consultant NWCC, HP. www.decus.de SSL VPNs 2G06 Andreas Aurand Network Consultant NWCC, HP 2004 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice VPNs eine Übersicht 1 VPNs Virtual

Mehr

IT-Sicherheit. IT-Sicherheit. Axel Pemmann. 03. September 2007

IT-Sicherheit. IT-Sicherheit. Axel Pemmann. 03. September 2007 IT-Sicherheit Axel Pemmann 03. September 2007 1 / 12 1 Authentifizierungsmöglichkeiten Zwei Verschlüsselungsverfahren Authentifizierung von Nachrichten Handshake-Protokolle Verwaltung von Schlüsseln 2

Mehr

Informations- und Kommunikationssysteme

Informations- und Kommunikationssysteme Informations- und Kommunikationssysteme Netztechnologien / Repetition Karl Meier karl.meier@kasec.ch 16.12.2006 Agenda 1 2 3 4 5 6 7 Internet und Protokolle, IP Adressierung Die Transportprotokolle UDP

Mehr

Dipl.-Ök. Thorben Sandner Institut für Wirtschaftsinformatik Leibniz Universität Hannover. sandner@iwi.uni-hannover.de

Dipl.-Ök. Thorben Sandner Institut für Wirtschaftsinformatik Leibniz Universität Hannover. sandner@iwi.uni-hannover.de 23. Juni 2009 Dipl.-Ök. Thorben Sandner sandner@iwi.uni-hannover.de Überblick technische Maßnahmen Authentifizierung Autorisierung Kryptographie Public Key Infrastrukturen Firewalls Sichere Netzwerkverbindungen

Mehr

D r e ISP S P i m K l K as a s s e s n e r n au a m H.Funk, BBS II Leer

D r e ISP S P i m K l K as a s s e s n e r n au a m H.Funk, BBS II Leer Der ISP im Klassenraum H.Funk, BBS II Leer Überblick Agenda: Ziel des Workshops Grundlagen PPPoE Realisierung eines lokalen PPPoE Servers Port-Forwarding DNS / DDNS Ziel des Workshops Ein Netzwerk vergleichbar

Mehr

Verteilte Systeme. Sicherheit. Prof. Dr. Oliver Haase

Verteilte Systeme. Sicherheit. Prof. Dr. Oliver Haase Verteilte Systeme Sicherheit Prof. Dr. Oliver Haase 1 Einführung weitere Anforderung neben Verlässlichkeit (zur Erinnerung: Verfügbarkeit, Zuverlässigkeit, Funktionssicherheit (Safety) und Wartbarkeit)

Mehr

VPN unterstützt 3 verschiedene Szenarien: Host to Host: Dies kennzeichnet eine sichere 1:1 Verbindung zweier Computer, z.b. über das Internet.

VPN unterstützt 3 verschiedene Szenarien: Host to Host: Dies kennzeichnet eine sichere 1:1 Verbindung zweier Computer, z.b. über das Internet. 1. VPN Virtual Private Network Ein VPN wird eingesetzt, um eine teure dedizierte WAN Leitung (z.b. T1, E1) zu ersetzen. Die WAN Leitungen sind nicht nur teuer, sondern auch unflexibel, da eine Leitung

Mehr