Studienarbeit Verschlüsselte und PKI authentifizierte VPN Tunnel
|
|
- Fritzi Elvira Brahms
- vor 2 Jahren
- Abrufe
Transkript
1 Studienarbeit Verschlüsselte und PKI authentifizierte VPN Tunnel Andreas Hofmeier Betreuer: Dr. Kai-Oliver Detken Studiengang: ESTI, 7. Semester Martrikelnummer: Zusammenfassung Im ersten Teil gibt dieses Dokument eine Einführung in die Grundlagen der Verschlüsselung. Dabei wird näher auf die Public Key Encryption (PKE) und die darauf aufsetzende Publik Key Infrastructure (PKI) eingegangen. Der zweite Teil gibt eine grundlegende Übersicht über verschiedene Virtual Private Network (VPN) Techniken. Im Anschluss daran wird auf die Funktionsweise von OpenVPN, einer speziellen Lösung, eingegangen. Im letzten Abschnitt wird die versuchsweise Erstellung eines VPN-Tunnels zwischen zwei Computern beschrieben. In diesem Versuch wird ein PKI aufgebaut um die Teilnehmer zu authentifizieren. An dem fertigen VPN wurden einige Versuche vorgenommen. Der Anhang führt die im dritten Abschnitt verwendeten Skripte und Konfigurationsdateien auf. 1
2 Inhaltsverzeichnis 1 Verschlüsselung Probleme bei unverschlüsselter Übertragung Symmetrische Verschlüsselung Publik-Key (unsymmetrische) Verschlüsselung Unterschreiben mit Hashing Public Key Infrastructure (PKI) Erstellung eines Zertifikates Die Grundstruktur der PKI Prüfung eines Schlüssels anhand eines Zertifikates Konkrete Umsetzung Vor- und Nachteile Verschiedene Ebenen der Verschlüsselung Application Layer Zusätzlicher Layer zwischen Anwendung und Transport Layer Network Layer Tunneln VPN Virtual Private Network Übersicht über Verschiedene Techniken OpenVPN IPsec PPTP: MPPE Funktionsweise von OpenVPN Beispiel eines VPNs mittels OpenVPN Verwendete Computer und Software Software LBlacky (Server) Blacky (Client) Erstellen der PKI Setzten von Umgebungsvariablen Erstellung des Roots der CA Erstellung der Diffie-Hellman-Parameter Erstellung von Schlüsselpaaren für Server und Klienten Ausstellung der Zertifikate Kopieren der Schlüssel Aufbauen des VPNs Tests an dem erstellten VPN-Tunnel Geschwindigkeitstest Darf der Computer Server sein? Neuer CA mit gleichen Angaben Revoke
3 Anhang A: Verwendete Easy-RSA-Skripte 37 A.1 00-init-vars A.2 01-build-ca A.3 01-build-ca A.4 03-build-req A.5 04-build-req-server A.6 05-sign-key A.7 07-revoke Anhang B: Verwendete Konfigurationsdateien 41 B.1 Angepasste OpenVPN Beispielkonfigurationsdatei: server.conf.. 41 B.2 Angepasste OpenVPN Beispielkonfigurationsdatei: client.conf B.3 OpenSSL Konfiguartion von Easy-RSA
4 A. Hofmeier, Verschlüsselte und PKI authentifizierte VPNs 1 1 Verschlüsselung Verschlüsselung bezeichnet ein Verfahren, welches entwickelt wurde um Informationen vor unbefugten Zugriff zu schützen. Am einfachsten sind die Prinzipien der Verschlüsselung an mehr oder weniger konkreten Beispielen zu erklären. Daher wird im Folgenden immer wieder auf das Beispiel dreier Personen zurückgegriffen, welche miteinander Kommunizieren: Alice und Bob versuchen sich zu unterhalten und wollen dies so sicher wie möglich halten. Trudy versucht mit verschiedensten Tricks die Unterhaltung abzuhören oder zu manipulieren. Diese Personen sind nicht nur als reale Personen zu betrachten, sondern auch als Endgeräte (z.b. als handelsübliche PCs). 1.1 Probleme bei unverschlüsselter Übertragung Im einfachsten Fall sendet Alice eine unverschlüsselte Nachricht an Bob. Alice Bob Hallo! Hallo! Message Netzwerk Abbildung 1: Alice sendet eine Nachricht unverschlüsselt über das Netzwerk an Bob. Wenn sie zu diesem Zweck ein Computernetzwerk verwendet, entspricht diese Nachricht einer Folge von Nullen und Einsen, von Bits und Bytes. Dies zieht einige Konsequenzen nach sich, die berücksichtigt werden müssen: 1. Vertraulichkeit: Es ist nicht ohne weiteres Möglich, die Nachricht in einem Briefumschlag zu stecken. Die herkömmliche Übertragung von Daten in Computernetzwerken kann eher mit Postkarten verglichen werden: Jeder
5 A. Hofmeier, Verschlüsselte und PKI authentifizierte VPNs 2 der sich in den Weg der Postkarte einklinken kann, kann diese Lesen, ohne das dies Spuren hinterlässt. Alice Hallo! Trudy Bob Hallo! Hallo! Abbildung 2: Alice sendet eine Nachricht an Bob. Trudy greift die Nachricht auf dem Weg ab und ließt sie. 2. Echtheit: Die gleichen Daten (Buchstaben und Zahlen) sehen mehr oder weniger immer gleich aus. Es kann somit keine Handschrift unterschieden werden. Eine Folge hiervon ist, dass der Sender der Nachricht nicht sicher identifiziert werden kann. Alice Trudy Hallo! Bob Hallo! Abbildung 3: Trudy sendet eine Nachricht an Bob und macht ihn glaubend diese stamme von Alice. 3. Unversehrtheit: Die originale Nachricht könnte verändert worden sein, ohne dass dies erkennbare Spuren hinterlässt.
6 A. Hofmeier, Verschlüsselte und PKI authentifizierte VPNs 3 Alice Treffen um 2Uhr Trudy Treffen um 3Uhr Bob Treffen um 2Uhr Treffen um 3Uhr Abbildung 4: Alice sendet eine Nachricht an Bob. Trudy fängt diese ab und sendet sie verändert an Bob weiter. 1.2 Symmetrische Verschlüsselung Verschlüsselung ist ein Versuch, die Vertraulichkeit einer Nachricht zu wahren. Zu diesem Zweck wird die Nachricht mit Hilfe eines mathematischen Verfahrens in die Chiffre 1 umgewandelt. Wer die Nachricht lesen will, muss über ein Verfahren verfügen, welches diese Umwandlung rückgängig macht. Alice Trudy Bob djderh4 Schlüssel Schlüssel Hallo! SV SE Hallo! SV: symmetrische Verschlüsselung SE: symmetrische Entschlüsselung Abbildung 5: Alice sendet eine verschlüsselte Nachricht an Bob. Trudy fängt diese ab kann sie aber nicht verstehen. An dieser Stelle wird davon ausgegangen, dass dieses Verfahren von einem Parameter abhängig ist: dem Schlüssel. Das Verfahren führt daher bei Verwendung 1 oder Geheimschrift
7 A. Hofmeier, Verschlüsselte und PKI authentifizierte VPNs 4 gleicher Eingangsdaten und verschiedener Schlüssel zu verschiedenen Chiffren. Wer diese verschlüsselte Nachricht lesen möchte, muss nicht nur das mathematische Verfahren kennen, sondern ebenfalls den Schlüssel. Diese Form der Verschlüsselung wird als symmetrische Verschlüsselung bezeichnet, da der gleiche Schlüssel zum verschlüsseln und entschlüsseln verwendet wird. Die praktische Umsetzung führt allerdings zu dem Problem der Schlüsselverteilung. Es ist notwendig, dass sich je zwei Personen (hier Alice und Bob) einen einzigartigen Schlüssel teilen. Würden sich mehr als zwei Personen einen Schlüssel Teilen, wäre nicht gewährleistet, dass nur die Zielperson die Nachricht lesen kann. Wird davon ausgegangen, dass Alice den Schlüssel per Zufallsverfahren erzeugt, stellt sich immer noch die Frage, wie wird der Schlüssel von Alice zu Bob übertragen wird. Übermittelt Alice den Schlüssel über das Netzwerk zu Bob, könnte Trudy den Schlüssel abfangen und damit alle nachfolgenden Nachrichten entschlüsseln und somit lesen. Es könnte darüber Nachgedacht werden, den Schlüssel zu verschlüsseln. Bei Anwendung der symmetrischen Verschlüsselung, verschiebt sich dadurch das Problem der Schlüsselverteilung lediglich. Denn der Schlüssel zur Verschlüsselung des Schlüssels müsste ebenfalls übermittelt werden. Alice Schlüssel Trudy Bob Schlüssel?? Schlüssel Aber wie werden Schlüssel ausgetauscht? - Über das Netzwerk? => Trudy kann ebenfalls mitlesen. - Treffen, per Telefon? => Beide müssen sich kennen. Abbildung 6: Wie einigen sich Alice und Bob auf einen Schlüssel? Diese Problem könnte auf der menschlichen Ebene gelöst werden: Alice trifft Bob persönlich zum Austausch des Schlüssels. Alice greift zum Telefon, ruft Bob an und gibt den Schlüssel durch. Bob
8 A. Hofmeier, Verschlüsselte und PKI authentifizierte VPNs 5 erkennt Alices Stimme. In diesem Fall wird auf ein zweites Netzwerk zurückgegriffen, welches als sicherer erachtet wird. Beide Varianten setzen voraus, dass sich Alice und Bob persönlich kennen. Aber wie oft kommt es vor, dass wir den Betreiber einer Webseite persönlich kennen? Selbst wenn wir jede Person (Betreiber eines Services) kennen sollten, wäre der Aufwand immens, die Schlüssel von Hand (z.b. per Telefon) auszutauschen oder sich gar zu treffen. 1.3 Publik-Key (unsymmetrische) Verschlüsselung Etwas neues muss her: Publik Key Encryption (PKE). Dieses Verfahren wird des öfteren als unsymmetrische Verschlüsselung bezeichnet, da verschiedene Schlüssel zum ver- und entschlüsseln verwendet werden. Auch bei Verwendung mittels eines PKEs ist es notwendig, dass sich alle Beteiligten auf einen konkreten Algorithmus verständigen. Das Grundprinzip des PKE-Verfahrens besteht darin, dass Schlüssel immer Paarweise verwendet werden müssen. Statt eines einzelnen Schlüssels, wird ein Schlüsselpaar erzeugt. Wird mit einem dieser zwei Schlüssel verschlüsselt, muss der andere zum entschlüsseln verwendet werden. Des weiteren sollte es praktisch 2 unmöglich oder sehr aufwändig (= unbezahlbar) sein, bei Kenntnis eines Schlüssels, den korrespondierenden Schlüssel zu errechnen. Wenn Alice eine verschlüsselte Nachricht an Bob senden möchte, ist es Notwendig, dass Bob ein Schlüsselpaar erzeugt hat. Einer der beiden Schlüssel wird von da an als öffentlichen Schlüssel (Publik Key) verwendet und öffentlich zugänglich gemacht. Der andere wird als privater Schlüssel (Private Key) verwendet und geheimgehalten. Alice wendet sich entweder direkt an Bob, oder fragt bei einem Publik Key Server nach, um Bobs öffentlicher Schlüssel zu erhalten. Der so erfragte Schlüssel wird verwendet um die Nachricht zu verschlüsseln. Die verschlüsselte Nachricht kann nur von jemandem gelesen werden, der über Bobs privaten Schlüssel verfügt. Bleibt nur zu hoffen, das Bob der einzige ist, der Zugang zu diesem Schlüssel hat. Der Besitz von Bobs öffentlichem Schlüssel ist nicht ausreichend um die Nachricht zu entschlüsseln. Allerdings hat auch diese Sache einen Haken: Wer garantiert Alice, dass das Schlüssel mit der Aufschrift Bob wirklich von Bob stammt? Trudy könnte ein Schlüsselpaar erzeugt haben und behaupten, sie sei Bob. Wie schon erwähnt, 2 d.h. rechnertechnisch
9 A. Hofmeier, Verschlüsselte und PKI authentifizierte VPNs 6 Alice wa6qpg4 Trudy 1. erzeugt Schlüssel Paar Bob UE öffentlicher Schlüssel Bobs öffentlicher Schlüssel Bobs öffentlicher Schlüssel privater Schlüssel 2. Hallo! UV 3. UE Hallo! UV: unsymmetrische (Public Key) Verschlüsselung SE: unsymmetrische (Public Key) Entschlüsselung Abbildung 7: Alice sendet Bob eine Nachricht unter Verwendung eines PKE- Verfahrens. können sich Alice und Bob persönlich treffen oder sich gegenseitig anrufen um die Schlüssel auszutauschen. Dies setzt aber wieder voraus, dass sich beide kennen. Ein weiteres Problem ist, dass es für Bob nicht Möglich ist, festzustellen, ob Alice die Nachricht gesendet hat. Jemand anders könnte sich als Alice ausgeben. 1.4 Unterschreiben mit Hashing Um die beiden eben genannten Probleme zu beseitigen, kommt ein weiteres mathematisches Verfahren zum Einsatz: das Hashing. Dieses mathematische Verfahren wird durch sechs Bedingungen definiert, welche an es gestellt werden: 1. Das Verfahren berechnet aus einer Eingabe mit beliebiger Länge, eine Ausgabe mit fester Länge. Identische Eingaben führen immer zu der gleichen Ausgabe. 2. Bei Kenntnis der Ausgabe ist es rechnerisch unmöglich auf die Eingabe zu schließen. 3. Bei vorgegebener Ausgabe, ist es rechnerisch unmöglich eine Eingabe zu finden, welche bei Anwendung des Hash-Verfahrens zur gewünschten Ausgabe führt.
10 A. Hofmeier, Verschlüsselte und PKI authentifizierte VPNs 7 4. Es ist rechnerisch unmöglich bei vorgegebener Eingabe eine weitere Eingabe zu finden, welche bei Anwendung des Hash-Verfahrens zu der gleichen Ausgabe führt. 5. Es ist rechnerisch unmöglich zwei Eingaben zu erzeugen, welche verschieden sind und die gleiche Ausgabe hervorrufen, wenn das Hash-Verfahrens auf sie angewendet wird. 6. Es ist sehr unwahrscheinlich, dass Zufällig zwei Eingaben entdeckt werden, die bei Anwendung des Hash-Verfahrens die gleiche Ausgabe hervorrufen. Beispiele für solche Hash-Verfahren sind: 1. Secure-Hash-Algorithmus (SHA-1) 2. Message-Digest-Algorithmus (MD5) Zurück zum Beispiel: Alice sendet eine verschlüsselte Nachricht an Bob. Zusätzlich hängt sie eine Signatur (Unterschrift) an ihre Nachricht an. Mit Hilfe von dieser kann Bob überprüfen, ob die empfangene Nachricht wirklich von Alice gesendet wurde. Um die Signatur zu errechnen, wendet Alice zuerst das Hash-Verfahren auf ihre Nachricht 3 an und verschlüsselt dann die Ausgabe des Verfahrens mit ihrem privatem Schlüssel. Bob wendet seinerseits das Hash-Verfahren auf die empfangene Nachricht an. Die empfangene Signatur entschlüsselt er mit Alices öffentlicher Schlüssel. Stimmt beides (Ausgabe des Hash-Verfahrens und entschlüsselte Signatur) überein, ist bewiesen, dass die Nachricht mit Alices privatem Schlüssel unterschrieben wurde. Dies ist durch die paarweise Anwendung der Schlüssel zu erklären: Es muss immer mit dem korrespondierenden Schlüssel entschlüsselt werden, egal, ob es sich um den öffentlichen oder privaten Schlüssel handelt. Jemand, der nicht über Alices privaten Schlüssel verfügt, kann daher keine gültige Unterschrift erzeugen. Zusätzlich ist bewiesen, dass die Nachricht nicht verändert wurde. Denn eine Veränderung der Nachricht würde zu einer veränderten Hash-Ausgabe führen. An dieser Stelle tritt wieder Hacken 1 auf: Woher weiß Bob, dass Alices öffentlicher Schlüssel wirklich zu Alice gehört? 3 Ob das Hash-Verfahren auf die originale Nachricht oder auf die bereits verschlüsselte Nachricht angewendet wird, spielt hierbei keine Rolle. Es muss allerdings beim Sender und Empfänger auf die gleiche Weise gehandhabt werden.
11 A. Hofmeier, Verschlüsselte und PKI authentifizierte VPNs 8 Alice Bob Alices privater Schlüssel Alices öffentlicher Schlüssel =? Hash UV UE Hash Hallo! UV UE Hallo! Bobs öffentlicher Schlüssel Bobs privater Schlüssel Abbildung 8: Alice sendet Bob eine Nachricht unter Verwendung eines PKE- Verfahrens. Zusätzlich unterschreibt sie ihre Nachricht. Bob prüft die Unterschrift. 1.5 Public Key Infrastructure (PKI) Dieser Abschnitt beschäftigt sich mit PKI einem System um zu zertifizieren, dass ein öffentlicher Schlüssel (bzw. ein Schlüsselpaar) zu einer bestimmten Person gehört. Eine PKI verwendet PKE und Hashing um Zertifikate über diesen Sachverhalt auszustellen. Solch ein Zertifikat besteht im allgemeinen aus diesen Teilen: 1. Angaben zum Schlüsselhalter: Name, Organisation, Adresse, etc 2. Organisatorische Angaben: Z.B. Zeitraum der Gültigkeit und Aussteller des Zertifikates 3. Schlüssel des Halters, welcher zertifiziert wird 4. Unterschrift Erstellung eines Zertifikates Zur Erstellung eines Zertifikates werden alle Angaben, außer der Unterschrift, aneinander gehängt. Auf das Ergebnis dieser Verkettung wird das Hash-Verfahren angewendet. Die Ausgabe des Hash-Verfahrens wird zur Unterschrift indem sie mit dem privatem Schlüssel der unterschreibenden Person verschlüsselt wird. Das
12 A. Hofmeier, Verschlüsselte und PKI authentifizierte VPNs 9 fertige Zertifikat ist eine Verkettung der bereits erwähnten Verkettung und der Unterschrift. Sendet Alice eine Nachricht an Bob, kann sie anhand des Zertifikates überprüfen, ob der ihr vorliegende Schlüssel zu Bob gehört. In diesem Fall kann sie ihre Nachricht mit diesem Schlüssel verschlüsseln. Hat sie ihre Nachricht mit dem weiter oben genannten Verfahren unterschrieben, kann Bob die Echtheit (Nachricht ist von Alice) und Unversehrtheit (Nachricht ist unverändert) der selbigen überprüfen. Dazu überprüft er die Nachricht mit Hilfe des ihm vorliegenden Schlüssels (Alices öffentlicher Schlüssel) anhand der Unterschrift und den Schlüssels anhand des Zertifikates. Es wird hiermit Bestätigt, dass der Schlüssel ACED4062 zu Andreas Hofmeier, geb gehört. Ausgestellt von EVA (einer Vertrauenswürdigen Agentur) Gültig vom Hash bis Es wird hiermit Bestätigt, dass der Schlüssel ACED4062 zu Andreas Hofmeier, geb gehört. Ausgestellt von EVA (einer Vertrauenswürdigen Agentur) Gültig vom bis Privater Schlüssel des Ausstellers des Zertifikates UV Unterschrift 68b329da9893e34099c7d8ad5cb9c940 Abbildung 9: Beispiel eines digitalen Zertifikates und wie es erstellt wird Die Grundstruktur der PKI Bleibt nur eine Frage: Wer Zertifiziert die Schlüssel von Alice und Bob? Das könnte zum Beispiel eine von beiden gekannte und als vertrauenswürdig eingestufte dritte Person sein. Soll dies in großen Maßstäben funktionieren, muss hier eine Struktur hineingebracht werden. Wir nähern uns der Public Key Infrastructure. Die PKI geht von einer absolut vertrauenswürdigen Person (oder Organisation)
13 A. Hofmeier, Verschlüsselte und PKI authentifizierte VPNs 10 Z ROOT Z Z Z H1... Z Hn Z H11 H12... H1n U1 Z H111 Z U2 Z... Un Legende: H1 Z Helfer H1 zertifiziert Helfers-Helfer H11 mit Zertifikat Z, dass er Zertifikate ausstellen darf. H11 Abbildung 10: Beispiel für eine PKI (Baum zertifiziertem Helfern) aus. Diese wird in diesem Zusammenhang als Root 4 bezeichnet. Diese Person wäre völlig überfordert Millionen von Schlüsseln zu zertifizieren. Aus diesem Grund braucht diese Person Helfer. Es wäre sehr gefährlich für die Root-Person ihren privaten Schlüssel an ihre Helfer weiter zu geben. Wenn einer der Helfer eine undichte Stelle darstellte, wären alle Zertifikate unbrauchbar geworden. Hat die PKI einen großen Maßstab erreicht, sagen wir weltweit, wäre dieser Fall eine Katastrophe. Um dies zu verhindern, verwenden die Helfer nicht den privaten Schlüssel des Roots, sondern ihren eigenen. Der Root stellt ein Zertifikat aus, welches dem Helfer bescheinigt, dass er im Namen des Roots Zertifikate ausstellen darf. Das ausgestellte Zertifikat folgt den bereits beschriebenen Muster. Zusätzlich wird unter Organisatorisches ein Vermerk eingefügt, dass diese Person berechtigt ist Zertifikate auszustellen. Wenn die PKI weltweit ausgedehnt ist, wäre es für den Root immer noch zu aufwändig jeden einzelnen Helfer zu Zertifizieren. Auf der anderen Seite können Helfer auch keine unendliche Mengen an Zertifikaten ausstellen, aber ihren privaten Schlüssel auch nicht weitergeben. Das führt dazu, dass die Helfer ihrerseits wieder Helfer einstellen und zertifizieren müssen. Das ganze läuft auf eine Baumstruktur hinaus. Der Root zertifiziert seine Helfer, seine Helfer zertifizieren ihre Helfer, und so weiter. Dies wird so lange durchgeführt, bis 4 eng. Wurzel, hier: ranghöchte Person
14 A. Hofmeier, Verschlüsselte und PKI authentifizierte VPNs 11 die Menge an Arbeit und Verantwortung auf ein gesundes Maß aufgeteilt wurde. Die Helfer mit dem niedrigsten Rang stellen im allgemeinen die Zertifikate für die User aus. Helfer höherer Ebenen können ebenfalls User zertifizieren. Die User ihrerseits sind nicht berechtigt im Namen des Roots Zertifikate auszustellen. Eine solche Organisation (Root + alle Helfer) wird im als Certificate Authority (CA) bezeichnet. Sollte einer der Helfers-Helfers-...Helfer undicht werden, müssten lediglich die vom ihm unterschriebenen Zertifikate für ungültig erklärt werden. Wie sollte es anders sein: Dies wird erwartungsgemäß über ein Revoke (Widerruf) Zertifikat gemacht. Dieses Zertifikat enthält das widerrufene Zertifikat, einen Vermerk widerrufen und eine Unterschrift eines in der Rangordnung höhergestellten Helfers. Mit dieser Methode lassen sich auch einzelne Zertifikate widerrufen, wenn sich herausstellt, dass bei ihrer Ausstellung ein Fehler unterlaufen ist Prüfung eines Schlüssels anhand eines Zertifikates Sinn dieser Prüfung ist es, festzustellen, ob der vorliegende Schlüssel tatsächlich zu der genannten Person gehört. Dazu wird das von einem Helfer ausgestellte Zertifikat mit Hilfe des öffentlichen Schlüssels des Helfers überprüft. Dies geschieht indem der Inhalt des Zertifikates gehashed wird und die Unterschrift mit dem öffentlichen Schlüssel entschlüsselt wird. Stimmt beides überein, wird das Zertifikat als gültig anerkannt. Daraufhin wird ein Zertifikat für den Helfer gesucht, welches diesem gestattet seinerseits Zertifikate auszustellen. Das gefundene Zertifikat wird mit Hilfe des öffentlichen Schlüssels des Ausstellers überprüft. Für den Aussteller wird seinerseits wieder ein Zertifikat gesucht, usw. Dies wird solange wiederholt, bis die Root erreicht wurde. Gleichzeitig wird immer nach Revoke-Zertifikaten gesucht. Suchstädten für diese Zertifikate sind öffentliche Schlüssel-Server. Voraussetzung für die Anwendung dieses Verfahrens ist, dass der öffentliche Schlüssel der Roots bekannt ist (d.h. lokal vorliegt). Also das Ziel der Suche definiert ist. Ist dies nicht der Fall, könnte sich jeder als CA ausgeben, indem er einen vom ihm erzeugten Root vorgibt.
15 A. Hofmeier, Verschlüsselte und PKI authentifizierte VPNs 12 Es wird hiermit Bestätigt, dass der Schlüssel ACED4062 zu Andreas Hofmeier, geb gehört. Ausgestellt von EVA (einer Vertrauenswürdigen Agentur) Gültig vom bis Prüfen eines Zertifikates Hash =? 68b329da9893e34099c7d8ad5cb9c940 UE zu prüfender Teilnehmer Öffentlicher Schlüssel des Ausstellers des Zertifikates Muss bekannt sein 1a. Z suchen 1b. Revokes suchen 1c. Z prüfen 2a. Z suchen 2b. Revokes suchen 2c. Z prüfen Z Z Z 3a. Z suchen 3b. Revokes suchen 3c. Z prüfen U1 H111 H11 ROOT Abbildung 11: Prüfen eines Zertifikates. Bezug auf vorhergehendes PKI-(Baum- )Beispiel Konkrete Umsetzung In der Realität stellt sich das Problem, einen Root zu finden, dem alle vertrauen. Bisher wurde keine Lösung für dieses Problem gefunden. Aus diesem Grund existieren viele Roots. Viele Firmen haben die Zertifizierung zu ihrem Geschäft gemacht. Des weiteren stellen viele Organisationen einfach ihren eigenen Root. Soll das Zertifikat eines Teilnehmers überprüft werden, muss dieser von mindestens einem Helfer eines bekannten Roots zertifiziert sein. Am Beispiel des Web- Browsers lässt sich dies gut erkennen: Die meisten Web-Browser bringen eine Liste mit vom Hersteller anerkannten Roots mit. Reicht diese Liste nicht aus, da zum Beispiel der Root-Schlüssel der Hochschule Bremen nicht in die Liste aufge-
16 A. Hofmeier, Verschlüsselte und PKI authentifizierte VPNs 13 nommen wurde, kann dieser manuell hinzugefügt werden. Von da an werden alle von der Hochschule Bremen zertifizierte Server vom Web-Browser anerkannt. Beispiel für ein konkretes Format für ein Zertifikat ist das X.509-Format, welches breite Anwendung findet und durch RFCs standardisiert ist. Auswahl an von Mozilla anerkannten CAs: AOL, GlabalSign, VISA, VeriSign. Diese Organisationen verlangen viel Geld für das Zertifizieren. Daher hat sich eine private Organisation gebildet, die eine Form von kostenlosem Vertrauensnetzwerk aufbaut, um zu zertifizieren: Jeder der von drei zertifizierten Personen zertifiziert wurde, kann selbst Zertifikate (u.a. für andere Personen und für WEB-Server) ausstellen. Dieser Ansatz ist allerdings noch nicht von den gängigen Web-Browsern-Herstellern akzeptiert worden. 1.6 Vor- und Nachteile Unsymmetrische Verschlüsselung ist langsamer, aufwendiger und unsicherer im Vergleich zu der Symmetrischen. Um den Sicherheitsverlust zu kompensieren, werden längere Schlüssel verwendet. Dadurch wird die unsymmetrische Verschlüsselung noch langsamer und aufwendiger. Unsymmetrische Verschlüsselung hat den Vorteil, dass Schlüssel immer paarweise verwendet werden müssen. Dies begünstigt und vereinfacht den Schlüsselaustausch und ist notwendig zum Aufbau einer PKI. Aufgrund des hohen Aufwands des unsymmetrischen Verfahrens, wird es in der Praxis nur zum verschlüsseln von Schlüsseln eingesetzt. Das heißt, dass eine zu sendende Nachricht mit einem symmetrischen Verfahren verschlüsselt wird, wobei der Schlüssel in diesem Fall ein Zufallswert ist. Dieser Schlüssel wird mit einem unsymmetrischen Verfahren verschlüsselt und zusammen mit der verschlüsselten Nachricht übermittelt. Der Empfänger braucht das unsymmetrische Verfahren um den Schlüssel zu entschlüsseln. Erst im nächsten Schritt kann er mit diesem Schlüssel die Nachricht entschlüsseln. Dieses Vorgehen kombiniert die Stärken beider Verfahren.
17 A. Hofmeier, Verschlüsselte und PKI authentifizierte VPNs Verschiedene Ebenen der Verschlüsselung Verschlüsselung kann auf verschiedenen Ebenen angesetzt werden: Application Layer Die Anwendung übernimmt das Verschlüsseln der Daten. (Siehe Abbildung 12, Punkt 1) Ein Beispiele hierfür ist PGP/GnuPG 5, ein Programm zum Verschlüsseln von s und Dateien. Bei dieser Form der Verschlüsselung handelt es sich fast immer um eine End-zu-End Verschlüsselung. Vorteil dieser Lösung ist, dass nicht in die Netzwerkkonfiguration des Computers eingegriffen werden muss. Allerdings muss die Anwendung in der Lage sein zu verschlüsseln. Diese Lösung ist von Vorteil, wenn die Verschlüsselung Anwendungsspezifisch ist. OSI-Model Internet Application Layer Presentation Layer Session Layer Transport Layer Application TCP UDP 1 2 Network Layer IP 3 Data Link Layer MAC/Ethernet Physical Layer Hardware Abbildung 12: Ebenen der Verschlüsselung Zusätzlicher Layer zwischen Anwendung und Transport Layer Die Anwendung setzt auf eine Bibliothek auf um die Verschlüsselung zu realisieren. (ehe Abbildung 12, Punkt 2) Eine weit verbreitete Bibliothek hierfür ist OpenSSL, welche den SSL/TLS-Standard implementiert. Die am weit verbreitetste Anwendung hierfür ist HTTPS, welches die SSL-verschlüsselte Variante des HTTP 6 -Protokolls darstellt. 5 Siehe 6 Protokoll welches vom Web-Browser verwendet wird um Web-Seiten anzufordern.
18 A. Hofmeier, Verschlüsselte und PKI authentifizierte VPNs 15 Bei dieser Herangehensweise muss das Anwenderprogramm neu kompiliert werden. Dies macht oftmals kleinere Änderungen am Programmcode erforderlich, um die Bibliothek einzubinden. Ein Alternative besteht darin, das Programm so zu konfigurieren, dass es alle Netzwerkzugriffe über einen speziellen Proxy (z.b. sslwrap 7 ) durchführt. Dieser ist dann für die Verschlüsselung zuständig Network Layer Tunneln Bei dieser Methode werden alle Pakete in neue Pakete eingepackt oder mit zusätzlichen Headern versehen. (ehe Abbildung 12, Punkt 3) Die Verschlüsselung ist vollkommen transparent. Weder die Anwendung noch der User bemerken sie. Die Verschlüsselung wird vom Netzwerk-Stack des Betriebssystem realisiert oder durch diesen an eine User-Level-Anwendung weitergereicht. Beispiele hierfür sind OpenVPN (auf welches in den folgenden Kapiteln eingegangen wird), IPsec und PPTP. Vorteil ist hierbei, dass keinerlei Eingriffe in das Anwenderprogramm notwendig sind. Allerdings sind Eingriffe in die Netzwerkkonfiguration des Computers notwendig. 7
19 A. Hofmeier, Verschlüsselte und PKI authentifizierte VPNs 16 2 VPN Virtual Private Network 2.1 Übersicht über Verschiedene Techniken Es folgt eine Übersicht über die am häufigsten verwendeten VPN-Systeme. Zudem werden Vor- und Nachteile der Lösungen angeschnitten OpenVPN Weiterführende Informationen: Protokoll: Nutzt den Transport Layer. SSL/TLS über TCP oder UDP. Vorteile: + Einfache Konfiguration + Einfache Installation + Verwendet TUN/TAP (virtueller Netzwerk Treiber). Kein Low-Level- Kernel-Treiber erforderlich. Läuft im User-Mode. + Ein einziger erreichbarer UDP oder TCP-Port auf dem Server ist ausreichend. Daher kann der Klient eine dynamische IP haben und/oder hinter einer Firewall angesiedelt sein. + Kann auch über einen HTTP-Proxy getunnelt werden. (TCP Mode erforderlich) + Betriebssysteme: Linux, Windows 2000/XP oder höher, OpenBSD, FreeBSD, NetBSD, Mac OS X, und Solaris. + Password (preshared key) oder PKI Authentifizierung + Vollständig Frei: GPL + Modularer Aufbau. Verwendet OpenSSL-Bibliothek. Daher können neue Algorithmen durch ein Update dieser Bibliothek auch in OpenVPN verwendet werden. Nachteile: - Eingeschränkte Anwendungsmöglichkeiten - Läuft nicht auf Windows 98 und darunter - Vergrößerter Overhead gegenüber IPsec
20 A. Hofmeier, Verschlüsselte und PKI authentifizierte VPNs IPsec Weiterführende Informationen: Protokoll: Nutzt den Network Layer. Ein Paket kann übertragen werden, indem es in einem neuen Paket komplett eingeschlossen wird (Neuer IP- Header: Tunnel Mode) oder indem ein zusätzlicher Header angefügt wird (Transport Mode). Vorteile: + Weitläufig anerkannter Standard + Sehr weites Spektrum der Einsatz- und Konfigurationsmöglichkeiten + Hardware-Implementationen (z.b. Router) verfügbar + Treiber für fast jedes Betriebssystem Nachteile: - Aufwendige und langwierige Konfiguration - Es ist oftmals schwierig verschiedene IPsec-Implementationen zusammenarbeiten zu lassen (trotz Standard) PPTP: MPPE Dies steht für: Point-to-Point Tunneling Protokoll: Microsoft T M Point-to-Point Encryption Protokoll. Leitet eine Point-to-Point-Verbindung über einen TCP Stream. Weiterführende Informationen: Protokoll: Transport Layer. Leitet eine PPP-Verbindung über einen TCP Stream. Vorteile: + Klient wird als Bestandteil von Microsoft Windows ausgeliefert + Einfache Konfiguration unter Microsoft Windows. + Ein einziger erreichbarer TCP-Port auf dem Server ist ausreichend. Daher kann der Klient eine dynamische IP haben und/oder hinter einer Firewall angesiedelt sein.
Virtual Private Networks mit OpenVPN. Matthias Schmidt Chaostreff Giessen/Marburg
Virtual Private Networks mit OpenVPN Matthias Schmidt Agenda Einführung Szenarien Protokolle Transport Layer Security v1 pre-shared keys Installation Konfiguration Wichtige Parameter
VPN Tunnel Konfiguration. VPN Tunnel Konfiguration IACBOX.COM. Version 2.0.2 Deutsch 11.02.2015
VPN Tunnel Konfiguration Version 2.0.2 Deutsch 11.02.2015 Dieses HOWTO beschreibt die Konfiguration eines VPN Tunnels zu einem (zentralisierten) OpenVPN Server. VPN Tunnel Konfiguration TITEL Inhaltsverzeichnis
Netzwerk- und Datensicherheit
Martin Kappes Netzwerk- und Datensicherheit Eine praktische Einführung Zusatz: OpenVPN Martin Kappes Fachhochschule Frankfurt am Main - University of Applied Sciences Fachbereich 2: Informatik und Ingenieurwissenschaften
VPN (Virtual Private Network)
VPN (Virtual Private Network) basierend auf Linux (Debian) Server Praktikum Protokolle Bei Prof. Dr. Gilbert Brands Gliederung Gliederung 1. Was ist VPN 2. VPN-Implementierungen 3. Funktionsweise von OpenVPN
VPNs mit OpenVPN. von Michael Hartmann
VPNs mit OpenVPN von Michael Hartmann Allgemeines Was ist ein VPN? VPN: Virtual Privat Network (virtuelles, privates Netzwerk) Tunnel zwischen zwei Rechnern durch ein (unsicheres)
Programmiertechnik II
X.509: Eine Einführung X.509 ITU-T-Standard: Information Technology Open Systems Interconnection The Directory: Public Key and attribute certificate frameworks Teil des OSI Directory Service (X.500) parallel
Zusammenfassung aus How To Aufbau einer Wireless Richtfunkstreckemit Hilfe von Linksys und DD-WRT
VPN-Tunnel mobil und Router (DD-WRT,Openwrt,Freifunk) Für alle die ein solches System, mit der o.g. Router-Firmware laufen haben. Hier die Anleitung wie man VPN-Tunnel aufbauen kann, um von unterwegs auf
Anleitung VPN am IDS (Testbetrieb im Rahmen des Projekts Forschungsinfrastruktur)
Anleitung VPN am IDS (Testbetrieb im Rahmen des Projekts Forschungsinfrastruktur) Stand 5. Mai 2010 Inhaltsverzeichnis Hinweise zur VPN-Nutzung...1 VPN-Client installieren...3 VPN-Client starten...9 VPN-Verbindung
HowTo für ein VPN mit X.509 Zertifikaten Intranator <=> Lancom (LCOS v6.x)
HowTo für ein VPN mit X.509 Zertifikaten Intranator Lancom (LCOS v6.x) Zeitabgleich Die LANCOM überprüft bei der Authentifizierung auch den Gültigkeitszeitraum des Zertifikats. Daher muss die Systemzeit
Netzwerksicherheit Übung 5 Transport Layer Security
Netzwerksicherheit Übung 5 Transport Layer Security Tobias Limmer, Christoph Sommer, David Eckhoff Computer Networks and Communication Systems Dept. of Computer Science, University of Erlangen-Nuremberg,
IT-Sicherheit WS 2012/13. Übung 5. zum 28. November 2012
Prof. Dr. C. Eckert Thomas Kittel IT-Sicherheit WS 2012/13 Übung 5 zum 28. November 2012 Institut für Informatik Lehrstuhl für Sicherheit in der Informatik 1 X.509-Zertifikate Zertifikate nach dem X.509-Standard
Um IPSec zu konfigurieren, müssen Sie im Folgenden Menü Einstellungen vornehmen:
1. IPSec Verbindung zwischen IPSec Client und Gateway 1.1 Einleitung Im Folgenden wird die Konfiguration einer IPSec Verbindung vom Bintec IPSec Client zum Gateway gezeigt. Dabei spielt es keine Rolle,
Anforderungen an elektronische Signaturen. Michel Messerschmidt
Anforderungen an elektronische Signaturen Michel Messerschmidt Übersicht Kryptographische Grundlagen Rechtliche Grundlagen Praxis Michel Messerschmidt, 2006-03-16 2 Kryptographische Grundlagen Verschlüsselung
Praktikum Protokolle SS2007 FH-OOW. VPN Dokumentation. Jian You und Adil Lassaoui Seit 1 von 17
VPN Dokumentation Jian You und Adil Lassaoui Seit 1 von 17 Inhaltsverzeichnis 1. Einleitung...3 1.1 Aufgabenbeschreibung...3 1.2 Unsere Aufbaustruktur...3 2. DHCP Server...4 2.1 Installation des DHCP Servers...4
PKI (public key infrastructure)
PKI (public key infrastructure) am Fritz-Haber-Institut 11. Mai 2015, Bilder: Mehr Sicherheit durch PKI-Technologie, Network Training and Consulting Verschlüsselung allgemein Bei einer Übertragung von
OpenVPN @ LuXeria. VPN für die LuXeria. Emanuel Duss 2015-02-12. Emanuel Duss OpenVPN @ LuXeria 2015-02-12 1 / 21
OpenVPN @ LuXeria VPN für die LuXeria Emanuel Duss 2015-02-12 Emanuel Duss OpenVPN @ LuXeria 2015-02-12 1 / 21 OpenVPN Virtual Private Network VPN: Tunnel zwischen zwei Rechnern Sichere Kommunikation Aufsatz
Netzwerksicherheit Übung 5 Transport Layer Security
Netzwerksicherheit Übung 5 Transport Layer Security Tobias Limmer, Christoph Sommer, Christian Berger Computer Networks and Communication Systems Dept. of Computer Science, University of Erlangen-Nuremberg,
Stammtisch 04.12.2008. Zertifikate
Stammtisch Zertifikate Ein Zertifikat ist eine Zusicherung / Bestätigung / Beglaubigung eines Sachverhalts durch eine Institution in einem definierten formalen Rahmen 1 Zertifikate? 2 Digitale X.509 Zertifikate
Apache Webserver with SSL on Windows
Apache Webserver with SSL on Windows Diese Konfiguration geht davon aus, dass man keine sperate CA Stelle benötigt. Mit OpenSSL ist es ohne weiteres möglich, dass man selber an die Stelle der CA treten
Benutzerhinweise IGW/920-SK/92: Einsatz als VPN-Client
Benutzerhinweise IGW/920-SK/92: Einsatz als VPN-Client Beachten Sie bitte bei der Benutzung des Linux Device Servers IGW/920 mit einem DIL/NetPC DNP/9200 als OpenVPN-basierter Security Proxy unbedingt
Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: - Grundkonfiguration des Routers. - Ein Bootimage ab Version 7.4.x.
7. PPPoE Server 7.1 Einleitung Im Folgenden wird die Konfiguration einer Dialin Verbindung über PPPoE zum Router beschrieben, um eine zusätzliche Authentifizierung durchzuführen. Bei der Einwahl eines
SSL/TLS und SSL-Zertifikate
SSL/TLS und SSL-Zertifikate Konzepte von Betriebssystem-Komponenten Informatik Lehrstuhl 4 16.06.10 KvBK Wolfgang Hüttenhofer sethur_blackcoat@web.de Motivation Sichere, verschlüsselte End-to-End Verbindung
Stefan Dahler. 1. Remote ISDN Einwahl. 1.1 Einleitung
1. Remote ISDN Einwahl 1.1 Einleitung Im Folgenden wird die Konfiguration einer Dialup ISDN Verbindungen beschrieben. Sie wählen sich über ISDN von einem Windows Rechner aus in das Firmennetzwerk ein und
IPsec im Tunnel-Modus zwischen Windows XP Professional und OpenBSD mit Authentifizierung per X.509v3-Zertifikaten
IPsec im Tunnel-Modus zwischen Windows XP Professional und OpenBSD mit Authentifizierung per X.509v3-Zertifikaten Thomas Walpuski 7. Februar 2002 Für das grundlegende Verständnis
ISA Server 2004 Site to Site VPN mit L2TP/IPSEC - Von Marc Grote
ISA Server 2004 Site to Site VPN mit L2TP/IPSEC - Von Marc Grote Die Informationen in diesem Artikel beziehen sich auf:? Microsoft ISA Server 2004 Einleitung Dieser Artikel beschreibt die Einrichtung eines
D-Link VPN-IPSEC Test Aufbau
D-Link VPN-IPSEC Test Aufbau VPN - CLient Router oder NAT GW IPSEC GW (z.b 804 HV) Remote Netzwerk Konfigurationsbeispiel für einen 804-HV: Konfiguration der IPSEC Einstellungen für das Gateway: - Wählen
Secure Sockets Layer (SSL) Prof. Dr. P. Trommler
Secure Sockets Layer (SSL) Prof. Dr. P. Trommler Übersicht Internetsicherheit Protokoll Sitzungen Schlüssel und Algorithmen vereinbaren Exportversionen Public Keys Protokollnachrichten 29.10.2003 Prof.
Virtual Private Networks. Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH
Virtual Private Networks Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH Inhalt Einleitung Grundlagen Kryptographie IPSec Firewall Point-to-Point Tunnel Protokoll Layer 2 Tunnel Protokoll Secure Shell
HowTo: Einrichtung einer IPSec Verbindung mit einem IPSEC VPN Client zum DWC-1000 am Beispiel der Shrewsoft VPN Clientsoftware
HowTo: Einrichtung einer IPSec Verbindung mit einem IPSEC VPN Client zum DWC-1000 am Beispiel der Shrewsoft VPN Clientsoftware [Voraussetzungen] 1. DWC-1000 mit Firmware Version: 4.2.0.3_B502 und höher
Collax VPN. Howto. Vorraussetzungen Collax Security Gateway Collax Business Server Collax Platform Server inkl. Collax Modul Gatekeeper
Collax VPN Howto Dieses Howto beschreibt exemplarisch die Einrichtung einer VPN Verbindung zwischen zwei Standorten anhand eines Collax Business Servers (CBS) und eines Collax Security Gateways (CSG).
How to install freesshd
Enthaltene Funktionen - Installation - Benutzer anlegen - Verbindung testen How to install freesshd 1. Installation von freesshd - Falls noch nicht vorhanden, können Sie das Freeware Programm unter folgendem
1. IKEv2 zwischen Windows 7 und Gateway mit Zertifikaten (PKCS#12)
1. IKEv2 zwischen Windows 7 und Gateway mit Zertifikaten (PKCS#12) 1.1 Einleitung Im Folgenden wird die Konfiguration einer IPSec-Verbindung mit IKEv2 von einem Windows 7 Rechner zum bintec IPSec-Gateway
VPN IPSec Tunnel zwischen zwei DI-804HV / DI-824VUP+
VPN IPSec Tunnel zwischen zwei DI-804HV / DI-824VUP+ Schritt für Schritt Anleitung DI-804HV Firmwarestand 1.41b03 DI-824VUP+ Firmwarestand 1.04b02 Seite 1: Netz 192.168.0.0 / 24 Seite 2: Netz 192.168.1.0
Dynamisches VPN mit FW V3.64
Dieses Konfigurationsbeispiel zeigt die Definition einer dynamischen VPN-Verbindung von der ZyWALL 5/35/70 mit der aktuellen Firmware Version 3.64 und der VPN-Software "ZyXEL Remote Security Client" Die
estos XMPP Proxy 5.1.30.33611
estos XMPP Proxy 5.1.30.33611 1 Willkommen zum estos XMPP Proxy... 4 1.1 WAN Einstellungen... 4 1.2 LAN Einstellungen... 5 1.3 Konfiguration des Zertifikats... 6 1.4 Diagnose... 6 1.5 Proxy Dienst... 7
Betriebssysteme und Sicherheit Sicherheit. Signaturen, Zertifikate, Sichere E-Mail
Betriebssysteme und Sicherheit Sicherheit Signaturen, Zertifikate, Sichere E-Mail Frage Public-Key Verschlüsselung stellt Vertraulichkeit sicher Kann man auch Integrität und Authentizität mit Public-Key
PeDaS Personal Data Safe. - Bedienungsanleitung -
PeDaS Personal Data Safe - Bedienungsanleitung - PeDaS Bedienungsanleitung v1.0 1/12 OWITA GmbH 2008 1 Initialisierung einer neuen SmartCard Starten Sie die PeDaS-Anwendung, nachdem Sie eine neue noch
Kurzanleitung GPG Verschlüsselung Stand vom 13.11.2006
Inhaltsverzeichnis 1. Versenden des eigenen öffentlichen Schlüssels... 2 2. Empfangen eines öffentlichen Schlüssels... 3 3. Versenden einer verschlüsselten Nachricht... 6 4. Empfangen und Entschlüsseln
Collax NCP-VPN. Howto
Collax NCP-VPN Howto Dieses Howto beschreibt wie eine VPN-Verbindung zwischen einem Collax Server und dem NCP Secure Entry Client (NCP) eingerichtet werden kann. Der NCP ist ein sehr einfach zu bedienender
Virtuelle Netze. Virtuelle Netze von Simon Knierim und Benjamin Skirlo 1 Von 10-16.04.07. Simon Knierim & Benjamin Skirlo.
1 Von 10-16.04.07 Virtuelle Netze Simon Knierim & Benjamin Skirlo für Herrn Herrman Schulzentrum Bremen Vegesack Berufliche Schulen für Metall- und Elektrotechnik 2 Von 10-16.04.07 Inhaltsverzeichnis Allgemeines...
ESecuremail Die einfache Email verschlüsselung
Wie Sie derzeit den Medien entnehmen können, erfassen und speichern die Geheimdienste aller Länder Emails ab, egal ob Sie verdächtig sind oder nicht. Die Inhalte von EMails werden dabei an Knotenpunkten
Bernd Blümel. Verschlüsselung. Prof. Dr. Blümel
Bernd Blümel 2001 Verschlüsselung Gliederung 1. Symetrische Verschlüsselung 2. Asymetrische Verschlüsselung 3. Hybride Verfahren 4. SSL 5. pgp Verschlüsselung 111101111100001110000111000011 1100110 111101111100001110000111000011
Einführung in X.509 + S/MIME
Einführung in X.509 + S/MIME Peter Steiert 24.10.2010 Agenda Was ist X.509 X.509 Zertifikate Kurzbeschreibung OpenSSL Elemente einer X.509 PKI Wie komme ich an ein Zertifikat? Import in die Anwendung S/MIME
Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:
13. Secure Socket Layer (SSL) VPN 13.1 Einleitung Sie konfigurieren das Feature SSL VPN für den Zugriff eines Clients auf das Firmennetzwerk. Die UTM in der Zetrale stellt Zertifikate für die VPN Clients
SSL/TLS Sicherheit Warum es sich lohnt, sich mit Ciphersuites zu beschäftigen
SSL/TLS Sicherheit Warum es sich lohnt, sich mit Ciphersuites zu beschäftigen Immo FaUl Wehrenberg immo@ctdo.de Chaostreff Dortmund 16. Juli 2009 Immo FaUl Wehrenberg immo@ctdo.de (CTDO) SSL/TLS Sicherheit
Merkblatt: Sichere E-Mail-Kommunikation zur datenschutz cert GmbH
Version 1.3 März 2014 Merkblatt: Sichere E-Mail-Kommunikation zur datenschutz cert GmbH 1. Relevanz der Verschlüsselung E-Mails lassen sich mit geringen Kenntnissen auf dem Weg durch die elektronischen
Security + Firewall. 3.0 IPsec Client Einwahl. 3.1 Szenario
3.0 IPsec Client Einwahl 3.1 Szenario In dem folgenden Szenario werden Sie eine IPsec Verbindung zwischen einem IPsec Gateway und dem IPsec Client konfigurieren. Die Zentrale hat eine feste IP-Adresse
Seite - 1 - 12. IPsec Client / Gateway mit Zertifikaten (CA / DynDNS) 12.1 Einleitung
12. IPsec Client / Gateway mit Zertifikaten (CA / DynDNS) 12.1 Einleitung Sie konfigurieren eine IPsec Verbindung zwischen dem IPsec Client und der UTM. Die UTM hat eine dynamische IP-Adresse und ist über
Multicast Security Group Key Management Architecture (MSEC GKMArch)
Multicast Security Group Key Management Architecture (MSEC GKMArch) draft-ietf-msec-gkmarch-07.txt Internet Security Tobias Engelbrecht Einführung Bei diversen Internetanwendungen, wie zum Beispiel Telefonkonferenzen
Bibliografische Informationen digitalisiert durch
Auf einen Blick 1 Einführung 17 2 Netzwerkgrundlagen 41 3 Software 85 4 Authentisierung und Verschlüsselungsarten 101 5 OpenVPN konfigurieren 129 6 Plug-ins 181 7 Weitere Konfigurationen 185 8 Tipps 209
Konfigurationsbeispiel
ZyWALL 1050 dynamisches VPN Dieses Konfigurationsbeispiel zeigt, wie man einen VPN-Tunnel mit einer dynamischen IP-Adresse auf der Client-Seite und einer statischen öffentlichen IP-Adresse auf der Server-Seite
Secure Socket Layer V.3.0
Konzepte von Betriebssystem-Komponenten Schwerpunkt Internetsicherheit Secure Socket Layer V.3.0 (SSLv3) Zheng Yao 05.07.2004 1 Überblick 1.Was ist SSL? Bestandteile von SSL-Protokoll, Verbindungherstellung
Collax Business Server NCP Secure Entry Client Interoperability Guide V. 1.3. Collax Business Server (V. 3.0.12) NCP Secure Entry Client 8.
Collax Business Server NCP Secure Entry Client Interoperability Guide V. 1.3 Collax Business Server (V. 3.0.12) NCP Secure Entry Client 8.21 Dies ist eine Anleitung, die die Konfigurationsschritte beschreibt,
Zentrum für Informationsdienste und Hochleistungsrechnen (ZIH) Technische Grundlagen und Beispiele. Christian Hoffmann & Hanjo, Müller
Zentrum für Informationsdienste und Hochleistungsrechnen (ZIH) VPN (Virtual Private Network) Technische Grundlagen und Beispiele Christian Hoffmann & Hanjo, Müller Dresden, 3. April 2006 Übersicht Begriffsklärung
OP-LOG www.op-log.de
Verwendung von Microsoft SQL Server, Seite 1/18 OP-LOG www.op-log.de Anleitung: Verwendung von Microsoft SQL Server 2005 Stand Mai 2010 1 Ich-lese-keine-Anleitungen 'Verwendung von Microsoft SQL Server
SSH. Nun brauchen wir noch das passwd-file. Dieses erstellen wir mit folgendem Befehl: mkpasswd -k -u marco >>..\etc\passwd
SSH 1 Grundlagen... 1 2 Authentifizierung... 1 3 Installation von OpenSSH for Windows... 1 3.1 Anmeldung mit Schlüsselpaar... 3 4 SSH-Tunnel... 4 4.1 Funktionsweise... 5 4.2 Remote-Desktop durch einen
VPN KickStart. Eine Schritt-für-Schritt Anleitung für das sichere Verbinden zweier Netzwerke durch ein mguard basierendes IPsec-VPN
VPN KickStart Eine Schritt-für-Schritt Anleitung für das sichere Verbinden zweier Netzwerke durch ein mguard basierendes IPsec-VPN Der VPN-Aufbau - Zwischen dem Firmennetz (erreichbar unter der IP-Adresse
Verteilte Systeme. 10.1 Unsicherheit in Verteilten Systemen
Verteilte Systeme Übung 10 Jens Müller-Iden Gruppe PVS (Parallele und Verteilte Systeme) Institut für Informatik Westfälische Wilhelms-Universität Münster Sommersemester 2007 10.1 Unsicherheit in Verteilten
VPN mit INSYS-Routern X509.v3-Zertifikate für VPNs mit easy-rsa erzeugen. Konfigurations-Handbuch
VPN mit INSYS-Routern X509.v3-Zertifikate für VPNs mit easy-rsa erzeugen Konfigurations-Handbuch Pos: 1 /Datenkommunikation/Configuration Guide/=== ORGA - Module ===/1 Einführung: Prinzipschaltbild und
Verteilte Systeme. Übung 10. Jens Müller-Iden
Verteilte Systeme Übung 10 Jens Müller-Iden Gruppe PVS (Parallele und Verteilte Systeme) Institut für Informatik Westfälische Wilhelms-Universität Münster Sommersemester 2007 10.1 Unsicherheit in Verteilten
Kryptographie. Nachricht
Kryptographie Kryptographie Sender Nachricht Angreifer Empfänger Ziele: Vertraulichkeit Angreifer kann die Nachricht nicht lesen (Flüstern). Integrität Angreifer kann die Nachricht nicht ändern ohne dass
Acrolinx IQ. Sichern der Kommunikation mit Acrolinx IQ Server mit HTTPS
Acrolinx IQ Sichern der Kommunikation mit Acrolinx IQ Server mit HTTPS 2 Inhalt Sichern der Kommunikation mit Acrolinx IQ Server mit HTTPS 3 Einleitung...3 Konfigurieren von Acrolinx IQ Server für HTTPS...3
E-Mail-Verschlüsselung mit S/MIME
E-Mail-Verschlüsselung mit S/MIME 17. November 2015 Inhaltsverzeichnis 1 Zertifikat erstellen 1 2 Zertifikat speichern 4 3 Zertifikat in Thunderbird importieren 6 4 Verschlüsselte Mail senden 8 5 Verschlüsselte
Verschlüsselung der Kommunikation zwischen Rechnern
Verschlüsselung der Kommunikation zwischen Rechnern Stand: 11. Mai 2007 Rechenzentrum Hochschule Harz Sandra Thielert Hochschule Harz Friedrichstr. 57 59 38855 Wernigerode 03943 / 659 0 Inhalt 1 Einleitung
Beweisbar sichere Verschlüsselung
Beweisbar sichere Verschlüsselung ITS-Wahlpflichtvorlesung Dr. Bodo Möller Ruhr-Universität Bochum Horst-Görtz-Institut für IT-Sicherheit Lehrstuhl für Kommunikationssicherheit bmoeller@crypto.rub.de 12
Eine Open Source SSL VPN Lösung. Patrick Oettinger Deutsche Telekom AG 2. Ausbildungsjahr
p Eine Open Source SSL VPN Lösung Patrick Oettinger Deutsche Telekom AG 2. Ausbildungsjahr Inhaltsverzeichnis Simon Singh über die Verschlüsslungen Facts about OpenVPN Hintergrund Funktionsweise inkl.
Eine Praxis-orientierte Einführung in die Kryptographie
Eine Praxis-orientierte Einführung in die Kryptographie Mag. Lukas Feiler, SSCP lukas.feiler@lukasfeiler.com http://www.lukasfeiler.com/lectures_brg9 Verschlüsselung & Entschlüsselung Kryptographie & Informationssicherheit
Erstellen sicherer ASP.NET- Anwendungen
Erstellen sicherer ASP.NET- Anwendungen Authentifizierung, Autorisierung und sichere Kommunikation Auf der Orientierungsseite finden Sie einen Ausgangspunkt und eine vollständige Übersicht zum Erstellen
Denn es geht um ihr Geld:
Denn es geht um ihr Geld: [A]symmetrische Verschlüsselung, Hashing, Zertifikate, SSL/TLS Warum Verschlüsselung? Austausch sensibler Daten über das Netz: Adressen, Passwörter, Bankdaten, PINs,... Gefahr
INSTALLATION ABACUS ABAWEBCLIENT
INSTALLATION ABACUS ABAWEBCLIENT Mai 2005 / EMO v.2005.1 Diese Unterlagen sind urheberrechtlich geschützt. Alle Rechte, auch die der Übersetzung, des Nachdrucks und der Vervielfältigung der Unterlagen,
[VERSCHLÜSSELUNG: ZERTIFIKATE]
WS2007/2008 Fachhochschule Ostfriesland/Oldenburg/Wilhemshaven Markus Cramer 5011438 Kay Anlauf 5012602 [VERSCHLÜSSELUNG: ZERTIFIKATE] Ausarbeitung zum Thema Zertifikate. Was sind Zertifikate? Wie funktionieren
Das beantragte persönliche Zertifikat wird standardmäßig in den Zertifikatspeicher des Browsers abgelegt, mit dem es beantragt wurde.
1. Zertifikatsinstallation und Anbindung an das Mailkonto Das beantragte persönliche Zertifikat wird standardmäßig in den Zertifikatspeicher des Browsers abgelegt, mit dem es beantragt wurde. Hinweis:
Aufbau einer Testumgebung mit VMware Server
Aufbau einer Testumgebung mit VMware Server 1. Download des kostenlosen VMware Servers / Registrierung... 2 2. Installation der Software... 2 2.1 VMware Server Windows client package... 3 3. Einrichten
Dynamisches VPN mit FW V3.64
Dieses Konfigurationsbeispiel zeigt die Definition einer dynamischen VPN-Verbindung von der ZyWALL 5/35/70 mit der aktuellen Firmware Version 3.64 und der VPN-Software "TheGreenBow". Die VPN-Definitionen
Workshop Sicherheit im Netz KZO Wetzikon. Peter Skrotzky, 4. Dezember 2013
Workshop Sicherheit im Netz KZO Wetzikon Peter Skrotzky, 4. Dezember 2013 Zentrale Fragen! Wie kann sich jemand zu meinem Computer Zugriff verschaffen?! Wie kann jemand meine Daten abhören oder manipulieren?!
BAYERISCHES STAATSMINISTERIUM DES INNERN
BAYERISCHES STAATSMINISTERIUM DES INNERN Bayer. Staatsministerium des Innern 80524 München Einsatznachbearbeitung und vermeintlicher Zertifikatfehler unter Internet Explorer bzw. Mozilla Firefox Bei sicheren
Installationsanleitung für die h_da Zertifikate
Zentrale Serverdienste Installationsanleitung für die h_da Zertifikate Dokumentennummer: IT-ZSD-008 Version 1.3 Stand 23.05.2013 Historie Version Datum Änderung Autor 1.0 22.10.2008 Dokument angelegt tbo
Allgemeine Erläuterungen zu
en zu persönliche Zertifikate Wurzelzertifikate Zertifikatssperrliste/Widerrufsliste (CRL) Public Key Infrastructure (PKI) Signierung und Verschlüsselung mit S/MIME 1. zum Thema Zertifikate Zertifikate
ab Redirector-Version 2.14
Installation: FilterSurf ab Redirector-Version 2.14 Hier werden nun die Schritte erläutert, die nacheinander zu durchlaufen sind, um einen der zentralen FilterSurf -Server verwenden zu können. Die Installationsschritte
GlobalHonknet.local. Implementieren von IPSec - Verschlüsselung im Netzwerk 27.03.2004 05.04.2004
GlobalHonknet.local 1 von 37 GlobalHonknet.local 13158 Berlin Implementieren von IPSec - Verschlüsselung im Netzwerk Einrichten der Verschlüsselung unter Verwendung einer PKI 27.03.2004 05.04.2004 GlobalHonknet.local
Microsoft Outlook Express 5.x (S/MIME-Standard)
Microsoft Outlook Express 5.x (S/MIME-Standard) Das E-Mail-Programm Outlook Express von Microsoft bietet Ihnen durch die Standard- Integration des E-Mail-Verschlüsselungsprotokolls S/MIME (Secure/MIME)
VIRTUAL PRIVATE NETWORKS
VIRTUAL PRIVATE NETWORKS Seminar: Internet-Technologie Dozent: Prof. Dr. Lutz Wegner Virtual Private Networks - Agenda 1. VPN Was ist das? Definition Anforderungen Funktionsweise Anwendungsbereiche Pro
Der Adapter Z250I / Z270I lässt sich auf folgenden Betriebssystemen installieren:
Installationshinweise Z250I / Z270I Adapter IR USB Installation hints Z250I / Z270I Adapter IR USB 06/07 (Laden Sie den Treiber vom WEB, entpacken Sie ihn in ein leeres Verzeichnis und geben Sie dieses
VPN über IPSec. Internet. AK Nord EDV- Vertriebsges. mbh Stormstr Itzehoe. Tel.: +49 (0) Fax:: +49 (0)
VPN über IPSec Internet AK Nord EDV- Vertriebsges. mbh Stormstr. 8 25524 Itzehoe Tel.: +49 (0) 4821 8040350 Fax:: +49 (0) 4821 4083024 Importieren eines Zertifikats Falls Sie mit einem Zertifikat arbeiten
Informatik für Ökonomen II HS 09
Informatik für Ökonomen II HS 09 Übung 5 Ausgabe: 03. Dezember 2009 Abgabe: 10. Dezember 2009 Die Lösungen zu den Aufgabe sind direkt auf das Blatt zu schreiben. Bitte verwenden Sie keinen Bleistift und
1. IPSec Verbindung zwischen 2 Gateways mit dynamischen IP Adressen
1. IPSec Verbindung zwischen 2 Gateways mit dynamischen IP Adressen 1.1 Einleitung Im Folgenden wird die Konfiguration einer IPsec Verbindung mit dynamischen IP-Adressen auf beiden Seiten beschrieben.
Anleitung zur Einrichtung eines Lan-to-Lan Tunnels zwischen einen DI-804HV und einer DSR (Für DI-804HV ab Firmware 1.44b06 und DSR-250N/500N/1000N)
Anleitung zur Einrichtung eines Lan-to-Lan Tunnels zwischen einen DI-804HV und einer DSR (Für DI-804HV ab Firmware 1.44b06 und DSR-250N/500N/1000N) Einrichtung des DI-804HV (Einrichtung des DSR ab Seite
Wortmann AG. Terra Black Dwraf
Terra Black Dwraf Inhalt 1 VPN... 3 2 Konfigurieren der dyndns Einstellungen... 4 3 VPN-Verbindung mit dem IPSec Wizard erstellen... 5 4 Verbindung bearbeiten... 6 5 Netzwerkobjekte anlegen... 8 6 Regel
Vorwort E-Mail ist heute für Unternehmen ein häufig eingesetztes Kommunikationsmittel, das zum Austausch von Informationen verwendet wird.
Vorwort E-Mail ist heute für Unternehmen ein häufig eingesetztes Kommunikationsmittel, das zum Austausch von Informationen verwendet wird. Auch die Unternehmensgruppe ALDI Nord steht mit einer Vielzahl
SSL/TLS, OpenSSL und https
SSL/TLS, OpenSSL und https Holger Jakobs bibjah@bg.bib.de, holger@jakobs.com 2006-09-21 Inhaltsverzeichnis 1 Sicherheit beim Surfen 1 1.1 http und https................................. 2 1.2 Erkennen
Informationen zur sicheren E-Mail-Kommunikation. Unternehmensgruppe ALDI SÜD
Informationen zur sicheren E-Mail-Kommunikation Unternehmensgruppe ALDI SÜD Sichere E-Mail-Kommunikation Vorwort E-Mail ist heute für Unternehmen ein häufig eingesetztes Kommunikationsmittel, das zum Austausch
Verschlüsselte E-Mails: Wie sicher ist sicher?
Verschlüsselte E-Mails: Wie sicher ist sicher? Mein Name ist Jörg Reinhardt Linux-Administrator und Support-Mitarbeiter bei der JPBerlin JPBerlin ist ein alteingesessener Provider mit zwei Dutzend Mitarbeitern
Die Idee des Jahres 2013: Kommunikation verschlüsseln
Die Idee des Jahres 2013: Kommunikation verschlüsseln Kommunikationsschema bei Email MailServer MailServer Internet PC PC Sender Empfänger Verschlüsselung ist... immer eine Vereinbarung zwischen zwei Kommunikationspartnern:
Stefan Dahler. 1. Konfiguration der Stateful Inspection Firewall. 1.1 Einleitung
1. Konfiguration der Stateful Inspection Firewall 1.1 Einleitung Im Folgenden wird die Konfiguration der Stateful Inspection Firewall beschrieben. Es werden Richtlinien erstellt, die nur den Internet Verkehr
Dieses Dokument beschreibt die häufigsten Ursachen für VPN-Verbindungsprobleme.
Dieses Dokument beschreibt die häufigsten Ursachen für VPN-Verbindungsprobleme. Situationsplan Das folgende Diagramm zeigt schematisch die verschiedenen Netzwerk-Situationen. Jedes der Netzwerke 1 bis
Attribut Kürzel Beispiele Bemerkungen Country Name C DE bitte Großbuchstaben State or Province Name ST Nordrhein-Westfalen
Erzeugen eines externen Schlüssels außerhalb des Browsers für Nutzerzertifikate Sollten bei Ihnen Abhängigkeiten zwischen ihrem privaten Schlüsselteil und verwendeter Hardware und oder Software bestehen,
Praktikum Teil II. Realisierung einer LAN-LAN Kopplung auf Basis eines OpenVPN-Tunnels mit Remote Access. (Gruppe 2 Gruppe 1)
Praktikum Teil II Realisierung einer LAN-LAN Kopplung auf Basis eines OpenVPN-Tunnels mit Remote Access (Gruppe 2 Gruppe 1) Planung & Dokumentation Gruppe 2 Andreas Lemke Torsten Eymann Jan-Nicolas Schulze
OpenVPN mit CAcert. Graben eines VPN-Tunnels mittels freien Zertifikaten
OpenVPN mit CAcert Graben eines VPN-Tunnels mittels freien Zertifikaten OpenVPN mit CAcert Veranstalter: Linux User Group Ravensberg Referent: Ralf Neumann 3.5.2007 OpenVPN mit CAcert Eine kleine Einweisung
Installation Manual. Plattformdokumentation. Universitätsstraße 3 56070 Koblenz Deutschland VERSION: 9.0
Installation Manual DOKUMENT: TYP: Installation Manual Plattformdokumentation ERSTELLT VON: nova ratio AG Universitätsstraße 3 56070 Koblenz Deutschland VERSION: 9.0 STAND: 28. August 2015 Inhaltsverzeichnis
FrogSure Installation und Konfiguration
FrogSure Installation und Konfiguration 1 Inhaltsverzeichnis 1 Inhaltsverzeichnis...1 2 Installation...1 2.1 Installation beginnen...2 2.2 Lizenzbedingungen...3 2.3 Installationsordner auswählen...4 2.4