Virtual Private Network (VPN)

Größe: px
Ab Seite anzeigen:

Download "Virtual Private Network (VPN)"

Transkript

1 Rheinisch-Westfälische Technische Hochschule Aachen Lehrstuhl für Informatik IV Prof. Dr. rer. nat. Otto Spaniol Virtual Private Network (VPN) Proseminar: Kommunikationsprotokolle 5 Dominik Schulte Matrikelnummer: Betreuung: Tim Seipold Lehrstuhl für Informatik IV, RWTH Aachen

2 Inhaltsverzeichnis: 1. Einleitung in die Thematik Was ist ein VPN? Begriffserläuterungen 2 2. VPN-Typen Remote-Access-VPN Branch-Office-VPN (Intranet) Extranet-VPN Tunneling-Modelle Intra-Provider-Modell Provider-Enterprise-Modell Ende-zu-Ende-Modell 5 3. Anforderungen an VPNs Sicherheit Datenvertraulichkeit Schlüsselmanagement Authentifizierung Integrität Quality-of-Service (QoS) Differentiated-Services (DiffServ) 8 4. VPN-Basistechnologien Layer-2-Tunneling-Protokolle Layer-2-Tunneling-Protocol (L2TP) Point-to-Point-Tunneling-Protocol (PPTP) Layer-2-Forwarding (L2F) Layer-3-Tunneling-Protokolle IP-Security (IPSec) Zusammenfassung 24

3 1. Einleitung in die Thematik Mit dem Sprung in die Informationsgesellschaft sehen sich Unternehmen mit neuen Herausforderungen und Gelegenheiten in der Arbeitswelt und den Märkten konfrontiert. Die zunehmende Verflechtung von Unternehmen und die Globalisierung der Märkte lassen eine steigende Informationsdichte aufkommen, wodurch die Forderung nach professionellen Informations- und Kommunikationstechnologien stetig wächst. Die Dezentralisierung von Geschäftsund Produktionsprozessen fordert zudem eine Kooperation einer Vielzahl von Projektteilnehmern an unterschiedlichen Standorten. Daher bedarf es des Aufbaus von Unternehmensnetze bzw. virtueller Netze, die lokale Netzsegmente an verschiedenen Standorten verbinden. Zur Realisierung dieser Unternehmensnetze werden sich heute unterschiedlichster Technologien bedient. Ein Begriff der im Zusammenhang mit dem Internet immer mehr an Bedeutung gewinnt, ist der des Virtual-Private- Network (VPN). 1.1 Was ist ein VPN? Was ist ein VPN? Ein VPN ist ein privates Netzwerk, das Gebrauch von einer öffentlichen Telekommunikationsinfrastruktur macht und dabei Privatsphäre und Sicherheit durch Tunnelprotokolle und Sicherheitsverfahren bietet. Tunnel bezeichnet dabei eine Technologie, mit der es möglich ist, logische (virtuelle) Verbindungen zwischen Netzwerken über öffentliche Netze herzustellen. Im Gegensatz dazu stehen Systeme mit eigenen oder gemieteten Leitungen, die exklusiv von Unternehmen genutzt werden. Der Einsatz von VPNs hat dabei zum Ziel, die gleichen Fähigkeiten wie die Systeme mit gemieteten Leitungen zu niedrigeren Kosten bereitzustellen. Gerade mit IP-VPNs lassen sich große Einsparungen erreichen. Dies sind virtuelle private Netzwerke, die das Internet als öffentliches Transportmedium verwenden. Tabelle 1.1 zeigt eine aktuelle Beispielrechnung von Cisco Systems, die die monatlichen Einsparungen bei Remote-Access-VPNs durch die Nutzung von IP-VPNs gegenüber Wählverbindungen über Telefonnetze aufführt. Um Telekommunikationskosten zu sparen, setzen daher immer mehr Unternehmen auf die vergleichbar günstigeren VPN-Lösungen. Wie aktuelle Studien von Infonetics Research Inc. zeigen, werden die Ausgaben für VPN-Produkte und Dienstleistungen in Europa zwischen 2002 und 2006 von 5,4 Milliarden US Dollar auf 13,2 Milliarden US Dollar steigen. Die Integration von VPN-Gateways und Clients in bestehende LANs wird sich dabei laut Studie in den nächsten zwei Jahren verdoppeln und damit in Europa sogar über dem Wert in den USA und Kanada liegen, wo derzeit die Ausgaben für VPN Technologien weltweit am höchsten sind [Inf02]. Der Schlüssel zur Kostensenkung ist die Konsolidierung auf eine einzige Infrastruktur mit gemeinsamen Standards. Einige bedeutende Technologien wurden aus diesem Grund bereits durch die IETF standardisiert, andere sollen es noch werden. Sie besitzen dadurch einen hohen Stellenwert auf dem VPN-Markt, der mittlerweile eine Vielzahl von Anbietern und Produkten mit den unterschiedlichsten Technologien umfasst. Im Folgenden werden einige wichtige Technologien ausführlicher erläutert. Zuvor noch die verschiedenen Typen besprochen, auf die Anforderungen eingegangen und schließlich einige wichtige Protokolle diskutiert. Danach folgt eine Zusammenfassung. _ 1/24

4 Monatliche Einwählkosten Remote-Benutzer mit 800 Verbindungen 3000 durchschnittliche Nutzung in x 10 Std./Woche/Arbeitnehmer 800 Nummer Kosten/Minute x $0.08 Min/Std. * Wochen/Monat (konstant) x 240 Monatliche VPN Kosten Einwählbenutzer 3500 insgesamt ISP Kosten x $20 $70,000 Broadband- 500 Benutzer (Kabel, DSL) ISP Kosten x $50 $25,000 Einwählkosten pro Monat insgesamt: $576, VPN monatlich insgesamt: $95, Monatliche Einsparungen: $481,000 Hardware / Kosten 1 Cisco VPN 3060 Concentrator Minimale Hardware-Kosten insgesamt: $40,000 Betrachtungszeitraum: 1 Monat Tabelle 1.1: monatliche Einsparungen durch den Einsatz von IP-VPNs mit Software-Clients [Cis03a] 1.2 Begriffserläuterungen B2B Business-to-Business B2C Business-to-Customer GPRS General Packet Radio Services; eine paketorientierte Technologie mit der sich IP-Pakete über GSM-Netze übertragen lassen GSM Global System for Mobile Communication; ein Mobilfunkstandard der zweiten Generation IETF Internet Engineering Task Force, eine Internet Standardisierungsorganisation ISDN Integrated Services Digital Network ISP Internet Service Provider LAN Local Area Network; lokales Netzwerk OSI-Schichtenmodell Referenzmodell für Rechnerarchitekturen auf Basis von sieben Schichten POP Point of Presence, Zugangsknoten zum Internet PSTN Public Switched Telephone Network; das weltweite Telefonnetz Multicast IP-Kommunikationsmodus bei dem anstelle eines eine Gruppe von Empfängern von einem Sender aus adressiert wird NAT Network Address Translation RAC Remote Access Concentrator S2M ISDN-Primärmultiplexanschluss mit 30 B-Kanälen je 64 Kbit/s V.110 Ein Übertragungsverfahren mit Bitratenadaption, das aus den 80er Jahren, dem Anfangsstadium von ISDN, herrührt V.90 V.90 ist ein Standard (Protokoll) der ITU für die analoge Datenübertragung mit bis zu 56 Kbit/s über Modems WAN Wide Area Network; Weitverkehrsnetz TTL Time-to-Live _ 2/24

5 2. VPN-Typen Bei heutigen VPNs werden drei wesentliche Anwendungsfälle unterschieden, die sich aber nicht ausschließen und somit miteinander kombinieren lassen: Remote-Access-VPN, Branch- Office-VPN und Extranet-VPN. In allen Fällen können die VPNs von den Unternehmen selbst, einem ISP oder einem Netzanbieter betrieben werden. 2.1 Remote-Access-VPN Mit einem Remote-Access-VPN kann von entfernten Systemen auf das Intranet des Unternehmens zugegriffen werden. Außendienstmitarbeiter z.b. können sich mit ihrem Laptop über PSTN, ISDN oder auch per Mobiltelefon über GSM, GPRS in das Firmennetz einwählen und auf bestimmte Ressourcen und Applikationen zugreifen. Es gibt verschiedene Möglichkeiten solche Systeme zu realisieren. Früher wurden hierzu so genannte Remote Access Concentrator (RACs) eingesetzt, die eine Einwahl über öffentliche Telefonsysteme ermöglichen. Die Anbindung kann dabei über einfache ISDN-S0-Anschlüsse oder auch über S2M-Anschlüsse erfolgen, je nach Anzahl der benötigten Ports. S2M-Anschlüsse bestehen aus 30 Nutzdatenkanälen und sind bei vielen anzubindenden Clients günstiger als entsprechende ISDN- Anschlüsse. Spezielle Router, die diese Primärmultiplexanschlüsse unterstützen, müssen dann für die jeweiligen Protokolle wie V.90, ISDN oder V.110 ausgelegt sein, um eine Einwahlmöglichkeit über die oben genannten Netze bereitzustellen. Solche Geräte sind in der Regel sehr teuer. Hinzu kommen die hohen Grundgebühren für die ISDN- oder S2M-Anschlüsse und die jeweiligen Verbindungsentgelte, die gerade bei Verbindungen ins Ausland oft sehr kostenintensiv sind. Deshalb steigen viele Unternehmen auf die günstigeren IP-VPNs um, die gerade die Kostensenkung in diesem Bereich zum Ziel haben. Benötigt wird hierzu ein VPN-Konzentrator, der wesentlich günstiger ist und auch die Verbindungsgebühren senkt. Ein Außendienstarbeiter oder Heimarbeiter braucht sich lediglich über einen ISP ins Internet einzuwählen und kann anschließend mit speziellen Software- Clients eine Verbindung zum VPN-Konzentrator herstellen. Es lassen sich beliebige Technologien für die Verbindung zum ISP einsetzen, z.b. Modems, ISDN oder auch DSL und Kabelmodems, sodass auch günstige Breitbandanbindungen beispielsweise für Heimarbeiter zur Verfügung stehen. Der VPN-Konzentrator terminiert in diesem Fall nur logische Verbindungen (Tunnel). Protokolle die dafür häufig zum Einsatz kommen sind das Layer-2-Tunneling-Protocol (L2TP), das Layer-2-Forwarding-Protokoll (L2F), das Point-to-Point-Tunneling-Protocol (PPTP) oder das IP-Security-Protokoll (IPSec). In Kapitel 4 werden diese Protokolle genauer erläutert. 2.2 Branch-Office-VPN Branch-Office-VPN oder auch Intranet-VPN, Site-to-Site-VPN bezeichnet ein Netzwerk, das die Intranets verschiedener Standorte eines Unternehmens verbindet. An allen Standorten des Unternehmens kann so auf Datenbanken oder Dienste in der Unternehmenszentrale zugegriffen werden. Die verschiedenen Teilnetze verschmelzen zu einem einzigen großen Netzwerk. Natürlich sind solche Netze längst nichts Neues mehr. Einige teilweise schon recht alte Technologien wie Frame-Relay oder ATM haben dies früher schon ermöglicht, sind jedoch im Vergleich zu den Branch-Office-VPNs recht teuer. Gerade wenn weit entfernte Standorte, möglicherweise sogar im Ausland, miteinander verbunden werden sollen, fallen schnell hohe Kosten und ein erheblich größerer Aufwand an, da oftmals viele verschiedene Netzbetreiber mit einbezogen werden müssen. _ 3/24

6 Bei Branch-Office-VPNs ergibt sich keines dieser Probleme, da lediglich ein Internetanschluss bei einem ISP und ein Firewall-System bzw. Router benötigt wird. Eine zusätzliche Client-Software erübrigt sich, wenn der Tunnel zwischen den Firewall-Systemen aufgebaut wird. Sie sind dann für die vollständige Verwaltung der Tunnelverbindung zuständig. Daten werden also von den Clients bis zur Firewall ungesichert übertragen und von da an durch den Tunnel geschützt. 2.3 Extranet-VPN Ein Extranet-VPN baut auf den beiden anderen VPN-Typen auf. Es beinhaltet jedoch die Einbeziehung von Partnern, Lieferanten und Kunden in das Unternehmensnetz. Diesen wird ein zeitlich begrenzter und limitierter Zugang zum Unternehmensnetz gewährt. Auch wird normalerweise nur von einem Extranet gesprochen, wenn Internettechnologie im Unternehmensnetz verwendet wird [Det01]. Mit solchen Netzen sind einige Vorteile verbunden. Ein Extranet begünstigt Bestellvorgänge, Verkauf, Kundenservice und Projektmanagement und ermöglicht insgesamt eine größere zeitliche Effizienz der Geschäftsprozesse. Es hilft auf diese Weise, Einsparungen zu erzielen und bietet somit eine attraktive Kommunikationsplattform für die heutige B2B- und B2C- Kommunikation. Nachteile, die sich jedoch ergeben, sind Probleme bei der Netzwerkadministration und die schwierige Integration von Anwendungen. Auch ist ein aufwendigerer Zugriffsschutz nötig, da häufig mehrere Netze von verschiedenen Netzbetreibern zur Verbindungsherstellung miteinbezogen werden müssen. Für das letztere werden in der Regel entsprechend konfigurierte Firewalls eingesetzt. Sie sind zuständig für die Zugriffsbeschränkung und die Filterung der Pakete. Alles Weitere wird vom VPN-Gateway übernommen. Abbildung 2.1: Einsatzgebiete von VPNs (Remote-Access-VPN, Branch-Office-VPN, Extranet-VPN) _ 4/24

7 2.4 Tunneling-Modelle Zusätzlich zu den genannten Anwendungsfällen wird bei VPN-Verbindungen zwischen Tunneling-Modellen unterschieden. Je nachdem in welchem Maße der ISP in die Verwaltung des VPNs miteinbezogen werden soll, wird hier differenziert. Es zeichnen sich dabei drei Modelle ab: das Intra-Provider-Modell, Provider-Enterprise-Modell und das Ende-zu-Ende-Modell Intra-Provider-Modell Bei diesem Modell beginnen und enden die Tunnel an den POPs des ISPs. Er ist für die Verwaltung der Tunnelverbindung zuständig. Dies hat den Vorteil, dass keine zusätzliche Software für die Clients benötig wird. Bei einer großen Anzahl einzuwählender Clients ist daher der Konfigurationsaufwand wesentlich geringer. Es ist auch kein eigenes VPN-Gateway auf Seiten des Kunden erforderlich. Dem Kunden obliegt lediglich das VPN-Management, wie z.b. die Benutzerverwaltung. Die Systemkonfiguration übernimmt vollständig der ISP. Gegebenenfalls kann natürlich auch das VPN-Management vom ISP durchgeführt werden. Dann aber wäre ein größeres Vertrauen in den ISP nötig und auch die Abhängigkeit von ihm nähme zu, was einen Wechsel wiederum erschweren würde Provider-Enterprise-Modell Im Provider-Enterprise-Modell endet der Tunnel erst am VPN-Gateway des Kunden. Die Clients wählen sich nach wie vor am POP des ISPs ein, von wo aus die Tunnelverbindung aufgebaut wird. Dieses Modell wird hauptsächlich für Remote-Access-VPNs verwendet Ende-zu-Ende-Modell Die Tunnelverbindung wird bei diesem Modell auf den Systemen des Kunden aufgebaut. Er benutzt eine spezielle Client-Software, mit der sich die Clients am VPN-Gateway einwählen. Der ISP stellt lediglich die Internetverbindung. Für die Sicherheit, Wahl der Tunnelprotokolle, etc. ist der Kunde zuständig. Der gesamte Datenverkehr bleibt dann für den ISP verborgen. Er kann nur an dem besonderen Aufbau der IP-Pakete erkennen, dass eine Tunnelverbindung über seine Leitungen hergestellt wurde. 3. Anforderungen an VPNs Im vorherigen Kapitel wurden die Anwendungsfälle für VPNs besprochen. Solche VPNs nutzen meist das Internet als öffentliche Kommunikationsinfrastruktur. Es ergeben sich dabei jedoch einige Probleme, die aus den Anforderungen, die Unternehmen üblicherweise an Netzwerkverbindungen über öffentliche Netze stellen, resultieren. Ein Problem, das viele Unternehmen in der Vergangenheit davon abhielt, auf die günstigeren VPNs umzusteigen, war die mangelnde Sicherheit solcher Systeme. Denn in den seltensten Fällen sollten die Daten bei der Übertragung über solche Netzwerke von anderen mitgelesen werden können. Zu denken sei z.b. an die Übermittlung von Kreditinformationen oder Personendaten. Allerdings hat sich das mittlerweile geändert. Es gibt längst standardisierte Verfahren, die die notwendige Sicherheit bieten. Dennoch gibt es nach wie vor Probleme, die teils erst durch den steigenden Kommunikationsbedarf von Unternehmen mit Partner oder Außenstellen entstan- _ 5/24

8 den sind. Der Trend geht dahin, dass WANs nicht nur zur reinen Datenübertragung, sondern auch zum Übertragen von Sprache oder Video genutzt werden. Allgemein wird dieser Vorgang, das Zusammenführen von getrennten Netzen zu einem einzigen, als Konvergenz bezeichnet [Cis03b]. Das erfordert natürlich höhere Bandbreiten sowie geringe Verzögerungszeiten. In einem Netz, das nach dem Best-Effort-Prinzip arbeitet, wie das Internet, ist das allerdings nicht ohne weiteres umzusetzen. Es gibt allerdings einige Verfahren zur Gewährleistung von Quality-of-Service in IP-VPNs, wovon eins im Anschluss näher erläutert werden wird. Doch zunächst sollen die wichtigsten Anforderungen an die Sicherheit besprochen werden. 3.1 Sicherheit Um eine sichere VPN-Verbindung herzustellen, müssen die VPN-Systeme gleich mehrere Anforderungen abdecken. Dies sind: Vertraulichkeitsschutz der Daten Sicherheit beim Schlüsselaustausch Authentifizierung der Kommunikationspartner Integritätsüberprüfung der ankommenden Daten Datenvertraulichkeit Um zu verhindern, dass Daten bei ihrem Transport über das Internet von Angreifern mit geeigneten Abhörmaßnahmen mitgelesen werden können, müssen die Datenpakete verschlüsselt werden. Dazu gibt es mehrere Verfahren, die die Verschlüsselung auf unterschiedlichen Schichten des OSI-Schichtenmodells durchführen. Auch hier wird bevorzugt auf standardisierte Verfahren zurückgegriffen. Ein beliebtes Protokoll, das auf Ebene 3 betrieben wird und sich in das IP-Protokoll integriert, ist IPSec. Es unterstützt verschiedene Algorithmen und Schlüssellängen zur Datenverschlüsselung. Aufgrund der Geschwindigkeit werden in der Praxis meist symmetrische Verfahren (Sender und Empfänger benötigen den gleichen Schlüssel zum Ver- und Entschlüsseln) verwendet. Der Data-Encryption-Standard (DES) 1 mit einer Schlüssellänge von 56 Bit ist ein solches Verfahren und muss dabei immer implementiert werden, um eine gegenseitige Verständigung der beteiligten Systeme immer zu gewährleisten. Jedoch werden bevorzugt auch andere Algorithmen eingesetzt wie z.b. Tiple-DES mit 168 Bit Schlüssellänge oder als neueres Verfahren der Advanced-Encryption-Standard (AES) 2 mit einer Schlüssellänge von 128 Bit aufwärts, da der Zeitaufwand bei einem Brute-Force-Angriff (alle Schlüsselvarianten werden ausprobiert) zur Ermittlung eines DES-Schlüssels mit 56-Bit mit teueren Parallelrechnern bereits auf wenige Stunden oder gar Minuten reduziert werden kann [Lip01]. Soll zusätzlich ein Ausspionieren des Netzwerkes wie z.b. die IP-Adressen, verwendete Portnummern oder Protokolle verhindert werden, ist es erforderlich, Tunneling- Verfahren einzusetzen (s. Kapitel 2) Schlüsselmanagement Symmetrische Verschlüsselungsverfahren benötigen zur Ver- und Entschlüsselung einen gemeinsamen Schlüssel, der bei einer VPN-Verbindung beiden Kommunikationspartnern bekannt sein muss. Dieser kann manuell ausgetauscht werden z.b. per Post oder durch ein Treffen. Wenn es sich allerdings um viele Personen handelt, die sich an weit voneinander entfernten Orten befinden oder gar nicht vorher kennen, ist dies bereits problematisch. Natürlich dürfen die Schlüssel auf keinen Fall über das Internet übertragen werden, denn sonst könnte jemand mitlesen. _ 1 Standard des US-amerikanischen National Bureau of Standards (NBS), 1977 verabschiedet 2 Standard des US-amerikanischen National Institute of Standards and Technology (NIST), 2001 verabschiedet 6/24

9 Eine Lösung waren erstmals die so genannten asymmetrischen Verschlüsselungsverfahren. Dabei werden zur Ver- und Entschlüsselung unterschiedliche Schlüssel angewandt. Der Schlüssel für die Verschlüsselung kann somit jedem bekannt sein, da die Daten mit ihm nicht wieder entschlüsselt werden können. Dieser wird daher auch als öffentlicher Schlüssel bezeichnet. Der private Schlüssel hingegen darf nur dem Empfänger bekannt sein, der damit in der Lage ist, die Daten wieder zu entschlüsseln. Solche Verfahren sind relativ neu in der Kryptologie brachten Diffie, Hellman und Merkle erstmals ein Verfahren heraus, das Diffie-Hellman-Merkle-Verfahren mit dem es möglich war einen Schlüssel auf diese Weise zu chiffrieren. Ein Jahr später mit dem RSA-Verfahren von Rivest, Shamir und Adleman war es dann auch möglich, Daten zu ver- und entschlüsseln Authentifizierung Um nur berechtigten Personen den Zugriff auf das Intranet über eine VPN-Verbindung zu gewähren, muss sichergestellt werden, dass der andere Kommunikationspartner auch der richtige ist und nicht ein unberechtigter Dritter. Dazu sind genau genommen zwei Überprüfungen notwendig, zwischen denen unterschieden werden muss. Zum einen muss verifiziert werden, dass die erhaltenen Pakete auch tatsächlich von dem am VPN-System angemeldeten Benutzer stammen und zum anderem die Identität des Benutzers nachgewiesen werden. Ohne die erstgenannte Überprüfung wäre es möglich, dass ein Dritter Pakete abfängt, eigene Pakete erstellt und sie anschließend mit gefälschter Absenderadresse an das VPN-System weiterleitet. Das VPN-System würde die Manipulation nicht erkennen können. Heutige VPN-Systeme unterstützen in der Regel mehrere Verfahren zur Benutzerauthentifizierung. Dies können einfache Passwortverfahren, Verfahren mit Tokenkarten oder auch Verfahren mit digitalen Zertifikaten sein, die auf den zuvor genannten asymmetrischen Verschlüsselungsverfahren basieren. Die Paketauthentifizierungsverfahren greifen aus Gründen der Geschwindigkeit hautsächlich auf symmetrische Verschlüsselungsverfahren oder so genannte Pre-shared-secrets zurück Integrität Daran schließt sich die Integritätsprüfung an, die kontrolliert, ob die Pakete auf der Strecke vom Sender zum Empfänger verändert worden sind. Üblicherweise werden dazu Prüfsummen von dem Datenanteil des Pakets erstellt und anschließend mit in das Paket eingefügt. Für deren Berechnung können Hashfunktionen wie MD5 oder SHA genutzt werden. Der IPSec- Standard schreibt unter anderem die Verwendung dieser Funktionen als obligatorische Verfahren vor. Es ist jedoch zu beachten, dass einfache Prüfsummenverfahren nicht vor Manipulationen von Paketen schützen. Ein Angreifer könnte Pakete abfangen, sie manipulieren, deren Prüfsumme neu berechnen und sie anschließend an den Empfänger schicken. Der Empfänger würde dann bei einer erneuten Berechnung der Prüfsumme nicht bemerken, dass in Wirklichkeit eine Veränderung stattgefunden hat. Anders sieht das aus, wenn die Prüfsummen mit einem so genannten Key-Hashing-Verfahren erstellt wurden. Dabei wird der Hashwert nicht nur aus der Nachricht selbst, sondern zusätzlich aus einem Schlüssel, der sowohl dem Sender als auch dem Empfänger bekannt sein muss, erstellt. Darüber hinaus, sollte das VPN-Gateway vor Angriffen sicher sein. Es gibt eine Vielzahl von Angriffsmöglichkeiten. Auf jeden Fall muss das Gateway vor Angriffen aus dem Internet Schutz bieten z.b. davor, dass ein Unbefugter über das Gateway Zugriff auf das Intranet erlangt. Es sollten aber auch Maßnahmen ergriffen werden, das Gateway vor internen Angriffen zu schützen. Dies kann erreicht werden, indem das Gateway z.b. in einer sicheren Umgebung betreiben wird, zu der nur autorisiertes Personal Zugang hat. Zu bedenken sind aber auch An- 7/24

10 3 Bezeichnet das Verhältnis von korrekt übertragenen und zerstörten oder verlorenen Datenpaketen 8/24 griffe aus dem eigenen Intranet. So etwas kommt durchaus nicht selten vor und darf daher bei dem Aufbau geeigneter Sicherheitssysteme nicht unbeachtet bleiben. 3.2 Quality-of-Service (QoS) Unter Quality-of-Service wird allgemein die Zusicherung einer bestimmten Qualität für einen Datenfluss oder eine Verbindung verstanden. Die einzelnen Charakteristika werden für gewöhnlich anhand technischer Aspekte festgemacht. Jedoch gibt es große Unterschiede bei den einzelnen Konzepten, da der Begriff QoS keine spezifizierte Definition besitzt. Motiviert wurde die Einführung eines solchen Dienstes durch die Forderung, Anwendungen mit unterschiedlichen Anforderungen im selben Netz zu betreiben. Diese Anforderungen sind vor allem eine feste Bandbreite, Verzögerungszeit (Delay) sowie deren Variation (Jitter) und die mittlere Fehlerrate 3. Typische Anwendungen sind IP-Telefonie [Cis03c] oder Videokonferenzen, die zunehmend in LANs und VPNs zusammen mit Applikationen für reine Datenübertragung betrieben werden. Sie reagieren sehr empfindlich bei auftretendem Delay oder Jitter im Gegensatz zu einer Dateiübertragung per FTP oder dem Versenden von , wo es lediglich darauf ankommt, dass die Fehlerrate möglichst gering ist. Um nun gleichzeitig eine optimale Auslastung der Netze zu gewährleisten, muss eine Einteilung der Anwendungen in bestimmte Klassen erfolgen, die gemäß den Anforderungen verarbeitet werden. Würde den Teilnehmern in einem Netz lediglich bestimmte Bandbreiten zugewiesen werden, könnte die Kapazität schnell erschöpft sein, ohne dass eine vollständige Ausnutzung stattfindet, da sicherlich nicht immer alle Anwender die gesamte ihnen zur Verfügung stehende Kapazität benötigen. Bei ATM ist QoS von Anfang an vorgesehen worden. Es wurde ursprünglich für Sprach- und Videoübertragungen entwickelt und besitzt eine geringe Verzögerungszeit, so gut wie keinen Jitter und die mittlere Fehlerrate liegt bei fast null. Darüber hinaus lässt es eine hohe Bandbreite zu und ist dadurch besonders für Multimediaanwendungen aber auch für die Übertragung von Daten geeignet. VPNs als Alternative zu Standardfestverbindungen sollen natürlich ähnliche Charakteristika aufweisen. Doch im Internet wird gewöhnlich nach dem Best-Effort-Prinzip bei der Zustellung von Paketen verfahren. Das heißt alle Pakete werden gleich behandelt und eine Unterscheidung nach Priorität findet nicht statt. Erreichen mehr Pakete einen Router als er verarbeiten kann, entstehen Verzögerungen bei der Weiterleitung oder die Pakete werden verworfen. Zur Nutzung von QoS im Internet, muss zurzeit noch auf lokale Dienstleistungen zurückgegriffen werden, falls solche Angebote überhaupt existieren. Eine globale Lösung gibt es nicht. Es gibt zwar bereits Standards der IETF für QoS im Internet, die dafür erforderliche Hardund Softwareumstellung wird jedoch noch einige Zeit in Anspruch nehmen. Das folgende Kapitel beschäftigt sich mit dem Diffenrentiated Services (DiffServ)-Verfahren, das durch die IETF in den RFCs [2474], [2475] und [2598] spezifiziert wurde Differentiated Services (DiffServ) Das DiffServ-Verfahren baut auf dem Class-of-Service (CoS)-Prinzip auf. Dabei werden die zu versendenden Pakete in unterschiedliche Klassen unterteilt, entsprechend gekennzeichnet und gemäß ihrer zugeordneten Priorität im Netz weitergeleitet. In den Routern muss dazu eine geeignete Strategie implementiert sein, die einzelnen Pakete nach ihren Klassen weiterzuleiten. Der Vorteil dieses Verfahren liegt darin, dass nur geringe Ressourcen bei den Vermittlungssystemen beansprucht werden. Das heißt, es muss nicht erst eine Signalisierung an die verwendeten Router stattfinden, um eine gewisse Dienstgüte auf dem Übertragungsweg zu nutzen. Ein Nachteil der sich daraus ergibt, ist natürlich, dass dadurch auch kein tatsächlicher QoS mehr vorhanden ist. Innerhalb der Klassen werden die Pakete wieder nach dem Best- Effort-Verfahren behandelt. Im schlimmsten Fall befinden sich alle Pakete in der höchsten

11 Klasse und der Vorteil für die Teilnehmer bleibt aus. Dennoch werden DiffServ die besten Chancen eingeräumt, sich gegenüber den anderen Verfahren durchzusetzen, da Verfahren mit reservierten Ressourcen wie die Integrated Services (IntServ) oder solche, die Engpässe durch eine Überdimensionierung der benötigten Kapazität versuchen zu umgehen, in der Praxis meist zu große Anforderungen an die Hardware stellen, sodass aus Kostengründen auf deren Einsatz verzichtet werden muss. DiffServ verwendet das CoS Prinzip. Der Standard schreibt eine Einteilung in Klassen vor, denen ein bestimmtes Verhalten, das so genannte Per-Hop-Behaviour (PHB), zugeordnet wird. An den Knoten werden die Pakete nach dem definierten PHB weitergeleitet. Die PHB- Definition gilt dabei nach [RFC2475] für eine DiffServ-Domäne. Diese bezeichnet ein Netzwerk bestehend aus mehreren Knoten mit eindeutig festgelegten Grenzen, wie es von ISPs betrieben wird oder auch als Intranet innerhalb eines Unternehmens. Die Netzbetreiber sind dafür zuständig, Merkmale wie Verzögerungszeit, Jitter oder Fehlerrate je nach getroffenen Service-Level-Agreements (SLAs) mit dem jeweiligen PHB zu verbinden. Eine Klassifizierung der Pakete wird an den Grenzen des Netzwerks vorgenommen. Dafür ist ein spezieller Router oder auch eine Applikation zuständig, die die ausgehenden Pakete markiert. Solche Knoten werden als DS-Boundary-Nodes bezeichnet. Innere Knoten hingegen, die nur zur Weiterleitung dienen, als DS-Interior-Nodes. Nun unterstützt das IP-Protokoll aber kein QoS. Es gibt aber im IP-Header ein Feld das Typeof-Service (TOS)-Feld, das von vornherein für zukünftige Entwicklungen Speicherplatz reservieren sollte. Dieses Feld wird von DiffServ genutzt. Die Länge beträgt 8 Bit. DiffServ beansprucht davon 6 Bit für den DS-Codepoint (DSCP). Die restlichen 2 Bit bleiben frei. In IPv6 wird hierfür das Traffic-Class-Oktett verwendet. [RFC2474] spezifiziert die Nutzung der Felder durch DiffServ. Die ersten 3 Bit bezeichnen dabei die Klasse, in der sich die Pakete befinden und die restlichen 3 die Bevorzugung innerhalb einer Klasse. Der Standard DS- Codepoint ist Er bezeichnet Pakete, die nach dem Best-Effort-Verfahren weitergeleitet werden sollen. Ansonsten findet mit Hilfe einer Mapping-Tabelle die Abbildung eines DSCP auf ein PHB statt. Es können dabei durchaus mehrere DSCP auf ein PHB abgebildet werden. Pakete mit dem DS-Codepoint 11x000 müssen jedoch bevorzugt behandelt werden im Vergleich zu denen mit dem DS-Codepoint Wie schon erwähnt, müssen verschiedene DiffServ-Domänen nicht auf identische PHB- Klassen zurückgreifen. Außerdem sind die Weiterleitungsmechanismen in den lokalen Netzen oft sehr verschieden. Die DS-Boundary-Nodes müssen daher Pakete die das lokale Netzwerk verlassen, anhand des DSCP-Feldes und den Spezifikationen des anderen Netzes neu klassifizieren. In VPNs eignet sich besonders das IPSec-Protokoll zum kombinierten Einsatz mit DiffServ. Eine Neuklassifizierung, wie oben beschrieben, ist damit problemlos möglich, da bei der Einkapselung der Pakete, die z.b. beim Verlassen des Intranets eines Unternehmens vorgenommen wird, das DSCP-Feld aus dem Header in den neuen Header übernommen wird oder aber ein neuer Wert in den neuen Header eingetragen werden kann, ohne dass sich der alte Wert im eingekapselten Paket ändert. Erreicht das IPSec-Paket das Zielnetzwerk, kann die Weiterleitung daher mit Hilfe des ursprünglichen DSCP-Wertes fortgesetzt werden. In Zusammenhang mit IPSec wird dies noch ausführlicher erläutert (s. Kapitel 4.2.1). 4. VPN-Basistechnologien In Kapitel 2 wurden bereits die Tunneling-Verfahren besprochen. Ein Tunnel bildet das Kernstück einer VPN-Verbindung. Er dient dazu, Pakete eines Netzwerkprotokolls in neue Pakete 9/24

12 des gleichen oder eines anderen Protokolls zu kapseln (Encapsulation). Dadurch lassen sich z.b. IPX-Pakete über ein IP-Netz wie das Internet übertragen. Er bietet außerdem zusätzliche Sicherheit, da die ursprüngliche Absenderadresse eines Pakets und auch die tatsächliche Empfängeradresse verborgen bleiben, wenn der Tunnel nicht direkt von den Client-Systemen ausgeht. Gegenstand dieses Kapitels sollen die dafür verwendeten Tunnelprotokolle sein. Sie werden nach der Schicht des OSI-Schichten-Modells unterschieden, dessen Pakete sie einkapseln. In der Praxis haben sich PPTP, L2F und L2TP als Layer-2 und IPSec als Layer-3-Protokoll durchsetzen können. Davon werden jedoch L2TP und IPSec die größten Chancen eingeräumt, den Markt zu dominieren. Sie sind im Vergleich zu PPTP und L2F weitreichend von der IETF standardisiert worden und besitzen für die in Kapitel 3 genannten Anforderungen umfangreiche Spezifikationen. In diesem Kapitel soll daher hauptsächlich auf diese Technologien eingegangen werden, es soll aber auch eine kurze Beschreibung von PPTP und L2F liefern. Zu nennen sind in diesem Zusammenhang auch noch Verfahren auf den Schichten 4 und 5 wie SSL/TSL und Socks V5, die im heutigen E-Business bevorzugt verwendet werden. SSL/TSL dient dazu eine sichere Verbindung zwischen einem Server und speziellen Anwendungen herzustellen. Socks V5 wird zum sicheren passieren einer Firewall eingesetzt. Sie sind eine Form eines VPNs nach der obigen Definition, benutzen allerdings kein Tunnelverfahren. Auf eine Erläuterung wird daher verzichtet. Genaueres hierzu findet sich in [Det01] und [Böh02]. 4.1 Layer-2-Tunneling-Protokolle Layer-2-Tunnelling-Verfahren haben den generellen Vorteil, dass sie Multiprotokollfähig sind. Das heißt, es lassen sich mehrere Protokolle kapseln z.b. IP, IPX oder NetBUI anstatt nur IP. Außerdem gibt es auch keine Probleme in Systemen, in denen eine NAT vorgenommen wird. Sie basieren vorwiegend auf dem Point-to-Point-Protokoll (PPP). PPP ist Industriestandard nach [RFC-1661] und wird in der Regel in Einwählumgebungen eingesetzt. Die Internetverbindungen eines ISP beispielsweise verwenden weltweit fast ausschließlich PPP. Es lassen sich damit mehrere Protokolle kapseln und über eine serielle Leitung übertragen. Zu den Eigenschaften zählen benutzerorientierte Authentifizierung, Kompression und Verfahren zum Aushandeln von Konfigurationsparametern für die Netzwerkprotokolle der Schicht 3. Die Tunneling-Protokolle machen sich diese Eigenschaften zu Nutze Layer 2-Tunneling-Protocol (L2TP) Das Layer-2-Tunneling-Protocol kombiniert die besten Eigenschaft von PPTP und L2F. PPTP wurde von Microsoft, U.S. Robotics, Ascend Communications, 3Com Corporation und ECI Telematics als gemeinsames Projekt entwickelt. Zeitgleich arbeitete Cisco zusammen mit Northern Telekom und Shiva an L2F. Bei beiden handelt es sich um nicht standardisierte Protokolle. Es liegen zwar RFCs der IETF für diese Protokolle vor, sie spezifizieren jedoch keinen Standard. Zusammen mit der IETF einigten sich die an PPTP und L2F beteiligten Firmen auf L2TP als gemeinsamen Standard, der in [RFC-2661] spezifiziert wurde. L2TP ist abwärtskompatibel, allerdings stärker mit L2F verwandt. Anwendungsfälle Das Einsatzgebiet von L2TP ist vorrangig der Remote-Access im Provider-Enterprise-Modell oder Ende-zu-Ende-Modell. Ein Tunnel wird immer von einem L2TP-Access-Concentrator (LAC) zu einem L2TP-Network-Server (LNS) aufgebaut. Das können auf der einen Seite der RAC eines ISPs oder ein Client-Rechner mit entsprechender Software und auf der anderen Seite ein VPN-Konzentrator oder spezielle Router mit L2TP-Funktionalität sein. In Abbildung 4.1 sind die Anwendungsfälle dargestellt. 10/24

13 Abbildung 4.1: L2TP Remote-Access im Provider-Enterprise- und Ende-zu-Ende-Modell Verbindungseigenschaften Über eine L2TP-Verbindung werden zwei verschiedene Pakettypen übertragen: Steuerungspakete und Datenpakete. Ein Tunnel existiert, sobald eine Steuerungsverbindung hergestellt wurde. In diesem Tunnel können dann mehrere logische PPP-Verbindungen existieren, unabhängig davon welche Netzwerkprotokolle sie kapseln. Auch sind mehrere Tunnel in einer Verbindung möglich, die jeweils ihre eigene Steuerungsverbindung besitzen. Anhand entsprechender Felder im L2TP-Header werden die Pakete den Tunneln und PPP-Verbindungen zugeteilt und durch ein spezielles Bit, dem T-Bit, das sich ganz am Anfang des Headers befindet, nach Steuerungs- (T=1) und Datenrahmen (T=0) unterschieden. Abbildung 4.2 zeigt die Komponenten einer L2TP-Verbindung. Dargestellt ist ein Tunnel mit drei logischen PPP-Verbindungen, die die Netzwerkprotokolle IP, IPX und NetBUI kapseln. Abbildung 4.2: Die Komponenten einer L2TP-Verbindung Verbindungsaufbau Der Aufbau einer L2TP-Verbindung nach dem Provider-Enterprise-Modell läuft folgendermaßen ab. Der Client wählt sich mit entsprechender Software per PPP am RAC des ISPs ein. Mit Hilfe einer speziellen Nummer, die der Client zur Einwahl verwendet oder einer Ergänzung des Benutzernamens, kann der RAC erkennen, ob die Verbindung zum LNS getunnelt werden soll oder eine Einwahl ins Netz des Providers stattzufinden hat. Angenommen, der Client möchte auf das Unternehmensnetz zugreifen. Der RAC konsultiert in diesem Fall seine Datenbank nach Einträgen über die Zieladresse und die Art des zu verwendenden Tunnels. Findet er die erforderlichen Informationen, sendet er einen Start-control-connection-request (SCCRQ) an den LNS. Der LNS antwortet dem LAC mit einem Start-control-connectionreply (SCCRQ). Nachdem vom LNS die Nachricht Start-control-connection-connected (SCCCN) dem LAC mit einer Zero-length-body (ZLB)-Nachricht bestätigt wurde, existiert 11/24

14 eine Steuerungsverbindung zwischen LAC und LNS. Eine ZLB-Nachricht besteht nur aus dem L2TP-Header. Zusammen mit dem Tunnelaufbau kann eine Authentifizierung der Tunnelenden erfolgen. So genannte Attribute-Value-Pairs (AVPs), die dem L2TP-Header angehängt sind, dienen zum Austausch der Parameter. Das sind spezielle Header die neben einigen Flags, einer Herstellerkennung nach [RFC-1700] und der Gesamtlänge des AVPs unter anderem ein Feld für den Bezeichner und den Wert, der variable sein kann, des Attributs besitzen. Es gibt eine Vielzahl solcher AVPs, die für die Verwaltung der Verbindung verwendet werden. Die Authentifizierung tauscht damit Challenge-, Response- und Accept-/Reject-Pakete aus ähnlich dem CHAP-Verfahren bei PPP, um beide Tunnelenden zu authentifizieren. Als nächstes wird eine Session innerhalb des Tunnels für die Übertragung der eigentlichen PPP-Pakete errichtet. Der LAC schickt einen Incoming-call-request (ICRQ) zusammen mit einer Sitzungsnummer an den LNS, dieser bestätigt mit einem Incoming-call-reply (ICRP). Der LAC antwortet mit einer Incomming-call-connected (ICCN)-Nachricht, die zusätzliche Parameter enthalten kann. Der LNS muss mit einer ZLB-Nachricht bestätigen, bevor es möglich ist, eine PPP-Verbindung aufzubauen. Soll umgekehrt eine Session vom LNS aus aufgebaut werden, sendet dieser einen Qutgoingcall-request (OCRQ) mit einer Sitzungsnummer an den LAC. Der LAC antwortet mit einem Outgoing-call-reply (OCRP), falls er die Anforderung akzeptiert und sendet anschließend einen Outgoing-call-connected (OCCN) zusammen mit einigen Parametern an den LNS, die der LNS mit einer ZLB-Nachricht bestätigt, wenn der Sessionaufbau beendet ist. Jetzt kann wiederum eine PPP-Verbindung hergestellt werden. Für eine PPP-Verbindung tauschen LAC und LNS Link-Control-Protocol (LCP)-Nachrichten aus. Sie legen Authentifizierungsverfahren, Datenkompression und Netzwerksteuerungsprotokolle (zur Übertragung von IP, IPX, ) fest (s. [RFC-1661]). Diese Aushandlungen können über den Tunnel direkt zwischen Client und LNS erfolgen. Nach Abschluss dieses Prozesses können nach der Benutzerauthentifizierung Daten über die PPP-Verbindung übertragen werden. Der Abbau des Tunnels folgt analog mit entsprechenden Steuerungspaketen. Zuerst werden die Sessions innerhalb des Tunnels abgebaut, ist keine Session mehr vorhanden, kann auch die Tunnelverbindung beendet werden. Erhält der LAC vom Client eine Clear-Call-Nachricht, sendet er zum Abbruch eine Call-Disconnect-Notify (CDN)-Nachricht, die Angaben über die Abbruchursache enthält, an den LNS. Nach Empfang der ZLB-Nachricht signalisiert der LAC dem Client den Sessionabbau mit einer Clear-Call-Nachricht, woraufhin die Verbindung zwischen LAC und Client beendet wird. Der Tunnel wird mit einer Stop-control-connectionnotification (StopCCN)-Nachricht, die der LAC an den LNS sendet und anschließender ZLB- Nachricht beendet. In Abbildung 4.3 ist der Verbindungsaufbau in Form einer Time-Sequence-Chart dargestellt. Der Sessionaufbau erfolgt vom LAC zum LNS. 12/24

15 Abbildung 4.3: Der L2TP-Verbindungsaufbau Kapselung Wie zu erkennen ist, werden mehrere Header gesetzt bevor die eigentlichen Datenpakete folgen. Abbildung 4.4 soll dies für beide Fälle verdeutlichen. Zunächst zum Provider- 13/24

16 Enterprise-Modell. Der Client benutzt eine PPP-Verbindung, um IP-Pakete an den RAC des ISPs zu übertragen. Der RAC leitet diese Pakete durch den L2TP-Tunnel weiter an den LNS. Als Übertragungsmedium dient das Internet. Den PPP-Paketen wird daher ein L2TP-Header vorangestellt und dieser anschließend mit IP/UDP an den LNS übermittelt. Anders sieht es im Ende-zu-Ende-Modell aus. Hier beginnt der Tunnel bereits beim Client. Dieser muss daher die PPP-Pakete mit dem darin enthaltenen Netzwerkprotokoll in entsprechende L2TP-Header kapseln, die wiederum per PPP und IP/UDP an den RAC gesendet werden. Abbildung 4.4: Kapselung der verschiedenen Protokolle einer L2TP-Verbindung über das Internet Der RAC braucht dann nur den PPP-Header zu entfernen, um das Paket an den LNS weiterleiten zu können. Eine Besonderheit, die L2TP besitzt, ist, dass die L2TP-Pakete nicht unbedingt über IP/UDP übertragen werden müssen. L2TP kann auch auf Protokollen niedrigerer Schichten wie ATM, Frame-Relay oder ISDN aufsetzen. Heutzutage wird jedoch vorwiegend IP als Übertragungsmedium verwendet, da es auch dem Internet zu Grunde liegt. Sicherheit Bei einer Übertragung über das Internet ist insbesondere auch die Sicherheit von L2TP zu betrachten. Eigentlich wäre hier von Unsicherheit zu sprechen, denn die Sicherheitsanforderungen, wie sie Kapitel 3 aufzeigt, werden von L2TP unzureichend erfüllt. Das liegt daran, dass L2TP ursprünglich auch nur ein reines Tunnelprotokoll sein sollte. Für eine Absicherung sind Protokolle auf den anderen Schichten zuständig, z.b. könnte SSL/TSL auf der Anwendungsschicht verwendet werden. Am häufigsten anzutreffen ist aber IPSec in Kombination mit L2TP. IPSec hat den Nachteil, dass es nur IP-Pakete kapseln kann. Als Sicherheits- 14/24

17 protokoll bietet es jedoch umfangreiche Funktionen zur Absicherung einer IP-Verbindung. Durch die hauptsächliche Nutzung des Internets als Übertragungsmedium für die L2TP- Verbindung können beide Protokolle daraus profitieren. Das Ergebnis ist eine sichere Tunnelverbindung, über die es möglich ist, beliebige Protokolle zu transportieren. Die IETF hat eine Spezifikation hierfür herausgegeben und empfiehlt den Einsatz von IPSec zur Sicherung einer L2TP-Verbindung [RFC-3193]. Ausgehend von der in Abbildung 4.4 gezeigten Struktur ergibt sich daraus folgender Paketaufbau. Im Provider-Enterprise-Modell werden die IP-Pakete zwischen LAC und LNS zusätzlich von einem IPSec-Header und Trailer umschlossen. Die Daten und die anderen Header sind dann verschlüsselt. Ein LNS, das diese Verbindung terminiert, muss zunächst die IPSec- Pakete entschlüsseln und danach die L2TP-Verarbeitung durchführen, bis die Daten an das Ziel weitergereicht werden können. Abbildung 4.5 zeigt die Kapselung mit dem zusätzlichen IPSec-Header und Trailer. Abbildung 4.5: Kapselung der verschiedenen Protokolle einer L2TP-Verbindung in Kombination mit IPSec Natürlich erfordert diese Verarbeitung einen wesentlich höheren Rechenaufwand. Problematisch wird es im Ende-zu-Ende-Modell. Angenommen 100 oder sogar 1000 Clients wollen sich am LNS anmelden und IPSec zur Verschlüsselung einsetzen. Dem VPN-Konzentrator obliegt dann die Verarbeitung von 1000 PPP-Sessions, L2TP-Tunnel und IPSec- Verbindungen. Das ist in der Tat nicht unmöglich, Systeme mit einer entsprechenden Rechenleistung haben allerdings ihren Preis. Hier gilt es abzuwägen, welche Anforderungen ein solches Netz wirklich zu erfüllen hat. Dennoch stellt IPSec in Kombination mit L2TP eine elegante Möglichkeit dar, eine sichere multiprotokollfähige Tunnelverbindung aufzubauen. Das hat auch Microsoft erkannt und IPSec bzw. L2TP fest in seine Betriebssysteme Windows 2000/XP integriert. L2TP-Verbindungen im Ende-zu-Ende-Modell lassen sich damit ohne größeren Konfigurationsaufbau schnell herstellen. Neben Microsoft gibt es eine ganze Reihe andere Hersteller, die L2TP und IPSec Software- und auch Hardwareprodukte verkaufen z.b. Cisco Systems, Ashley Laurent, Intel, Nokia, SSH Communications Security, um einige zu nennen Point-to-Point-Tunneling-Protocol (PPTP) Das Point-to-Point-Tunneling-Protocol erlangte seine Beliebtheit insbesondere dadurch, dass es in Microsofts Betriebssystem Windows NT 4.0 und später auch in Windows 2000 und 15/24

18 Windows XP integriert wurde. Es wird hauptsächlich im Ende-zu-Ende-Modell eingesetzt, kann aber auch im Provider-Enterprise-Modell verwendet werden. Die Tunnelenden bilden der PPTP-Network-Server (PNS) und der PPTP-Access-Concentrator (PAC), er bezeichnet den Client bzw. den POP eines ISPs. Ähnlich wie bei L2TP benutzt PPTP zwei separate Verbindungen, eine Steuerungs- und eine Tunnelverbindung. Im Gegensatz zu L2TP verlaufen diese jedoch getrennt. Die Steuerungsverbindung verläuft über TCP. Dadurch ist sie im Provider-Enterprise-Modell sehr anfällig für Angriffe. Die PPP-Pakete werden in einer vereinfachten Form des Generic-Routing-Encapsulation- Protokoll der Version 2 (GRE V2) 4 gekapselt. Dieses lässt nur IP als Übertragungsprotokoll zu. Vorteilhaft ist jedoch, dass die Datenpakete verschlüsselt werden können. Mittels der Microsoft Point-to-Point-Encryption (MPPE) werden die PPP-Pakete mit dem RC4- Algorithmus chiffriert. Oftmals in die Kritik geraten ist der Schlüssel, der zwar in den neueren Version 128 Bit anstatt nur 40 Bit lang ist, allerdings während der Authentifizierung mit MS- CHAP 5 ausgetauscht wird, das den Schlüssel aus einem Hashwert des Benutzerpasswort berechnet. Mit Wöterbuchangriffen oder Brute-Force-Angriffen auf das Benutzerpasswort kann der Schlüssel relativ schnell ermittelt werden. Auch die neue Version MS-CHAPv2 weist erhebliche Sicherheitsmängel auf Layer-2-Forwarding (L2F) Wie bereits oben erwähnt, besitzt das Layer-2-Forwarding-Protokoll die größere Ähnlichkeit mit L2TP. Es unterstützt im Gegensatz zu PPTP ebenfalls mehrere Tunnel und lässt sich über verschiedene Infrastrukturen übertragen. Eine Besonderheit gegenüber beiden Protokollen ist, dass anstelle von PPP auch das SLIP-Protokoll 6 unterstützt wird. Dieses war ursprünglich in der Unix-Welt sehr verbreitet, wird aber heute durch PPP vom Markt verdrängt. Ähnlich wie L2TP verfügt L2F über keine Maßnahmen zur Sicherung der Datenübertragung. Es werden lediglich die Tunnelenden authentifiziert. Eine Paketauthentifizierung und ein geeignetes Schlüsselmanagement sind genau wie bei den anderen Protokollen nicht vorgesehen. Hier müssen wieder andere Verfahren wie IPSec für eine sichere Verbindung herangezogen werden. L2F wurde hauptsächlich für den Einsatz im Provider-Enterprise-Modell entwickelt. Softwareimplementierungen sind daher sehr selten vorzufinden. L2TP-Router oder VPN- Konzentratoren mit L2TP-Funktionalität unterstützen jedoch oftmals auch L2F. 4.2 Layer-3-Tunneling-Protokolle Bei Layer-3-Tunneling-Protokollen werden die Netzwerkprotokolle direkt gekapselt. Das hat den Vorteil, dass ein geringerer Paket-Overhead entsteht, da die zusätzlichen UDP- und PPP- Header entfallen. Ein erstes Protokoll dieser Ebene ist das GRE-Protokoll. Es wurde im Zusammenhand mit dem PPTP-Protokoll bereits angesprochen. Die IETF gab 1994 mit GRE erste Spezifikationen für Tunnelprotokolle heraus (s. [RFC-1701] und [RFC-1702]). Es diente oftmals als Vorbild für andere Protokolle und wird heute wegen seiner geringen Sicherheitsfunktionen nur noch selten benutzt. Ein anderes Protokoll auf das jedoch gerade wegen seiner hohen Sicherheit vorwiegend zurückgegriffen wird und auch auf der Schicht 3 arbeitet, ist IPSec. Hauptziel von IPSec ist es, wie auch dem Namen schon zu entnehmen ist, den IP-Datenverkehr abzusichern. Das Internetprotokoll stellt durch die heutige Kommerzialisierung des Internets und den sich daraus ergebenden Anforderungen an die Kommunikationssicherheit, längst keine ausreichenden 4 GRE ist eine erste Standardisierung für Tunnelverfahren durch die IETF ([RFC-1701], [RFC-1702]) 5 Eine von Microsoft weiterentwickelte Version von CHAP für den speziellen Einsatz unter Windows 6 SLIP ist für den Transport von Datenpaketen über serielle Punkt-zu-Punkt-Verbindungen zuständig (s. [RFC- 1055]) 16/24

19 Sicherheitsfunktionen mehr bereit. Daher sind in das neue Internetprotokoll IPv6 oder wie es vorher bezeichnet wurde Next-Generation-Protocol (IPng) neben einer Unterstützung von QoS unter anderem auch entsprechende Sicherheitsfunktionen, bei denen es sich um IPSec handelt, integriert worden. Durch die langsame Verbreitung von IPv6, das inkompatibel zu IPv4 ist, wurden später als Zwischenlösung wichtige Erweiterungen wie Sicherheit auch auf IPv4 übertragen. Mittlerweile liegen für beide IP-Versionen Spezifikationen der IETF vor. IPSec stellt heute den Sicherheitsstandard für die IP-Kommunikation dar. Das folgende Kapitel wird sich näher damit beschäftigen IP-Security (IPSec) Das IP-Security-Protokoll wurde 1998 von der IETF in den RFCs [2401] bis [2412] und [2451] als Standard verabschiedet. Damit ermöglicht es eine sichere herstellerübergreifende Kommunikation auf Basis des IP-Protokolls. Darüber hinaus kann es in den drei Tunneling- Modellen Intra-Provider, Provider-Enterprise und Ende-zu-Ende zum Schutz einer VPN- Verbindung eingesetzt werden. Im Gegensatz zu den Layer-2-Tunneling-Verfahren ist mit IPSec nur IP-in-IP-Tunneling möglich. Zu den Hauptsicherheitsfunktionen zählen: Schutz der Paketintegrität Paketauthentifizierung Paketvertraulichkeit Anti-Replay IPSec arbeitet unabhängig von kryptographischen Verfahren, wodurch es neuen Entwicklungen im Bereich der Kryptographie offen steht. Auf Grund der Geschwindigkeit werden derzeit symmetrische Verschlüsselungsverfahren eingesetzt, wie sie in Kapitel erläutert werden. Ein Schlüsselmanagement für die dafür benötigten Schlüssel besitzt IPSec nicht. Es greift stattdessen auf das Internet-Key-Exchange (IKE)-Protokoll zurück, das für den Verbindungsaufbau und die Verteilung der benötigten Schlüssel zuständig ist. IKE ist ein Hybrid aus dem Internet-Security-Association-and-Key-Management-Protocol (ISAKMP), dem Oakley Key-Determination-Protocol und dem Secure-Key-Exchange-Mechanism (SKEME). Das ISAKMP beschreibt ein Rahmensystem, um so genannte Security-Associations (SAs) auszuhandeln und ist unabhängig von Schlüsselaustausch-, Schlüsselerstellungs- und Authentifizierungsverfahren. IKE hingegen definiert eine Implementierung eines Schlüsselaustauschverfahrens, für das das ISAKMP und die Schlüsselaustauschprotokolle SKEME und Oakley als Grundlage dienten. Es legt fest, wie Sicherheitsassoziazionen ausgehandelt, die Authentifizierung durchgeführt und die Schlüssel erstellt werden müssen. ISAKMP und IKE sind in [RFC- 2408] und [RFC-2409] standardisiert. Der Nachrichtenaustausch wird nach Spezifikation über UDP-Port 500 vorgenommen. Es sind auch andere Protokolle oder Portnummern möglich, in heutigen Implementierungen wird jedoch überwiegend UDP-Port 500 für ISAKMP- Meldungen benutzt. Welche Verschlüsselungs-, Authentifizierungsverfahren und Schlüssel eine IPSec geschützte Verbindung benutzt, wird in den genannten SAs gespeichert. Nachdem die SAs mit IKE ausgetauscht wurden, speichert IPSec sie in der Security-Association-Database (SAD). Diese arbeitet mit der Security-Policy-Database (SPD) zusammen, die Richtlinien für den IPSec- Verkehr enthält, während in der SAD bzw. in den SAs die Parameter für eine Verbindung genannt werden. Beide arbeiten unidirektional, das heißt, für den ein- und ausgehenden Datenverkehr sind unterschiedliche Datenbanken notwendig. Die Einträge der SPD besitzen mehrere Selektoren wie Quell- und Zieladresse oder Transportschichtprotokoll, anhand derer die ein- und ausgehenden Pakete analysiert und entweder verworfen, direkt weiterverarbeitet oder zuerst durch IPSec verarbeitet werden. Im letzteren Fall verfügt ein Eintrag über einen Verweis auf eine SA, die die Parameter für die IPSec-Verarbeitung enthält. Die Verarbeitung 17/24

20 erfolgt in chronologischer Reihenfolge. Treffen die Selektoren eines Eintrags auf ein Paket zu, so wird der erste Eintrag für den dies gilt, auf das Paket angewandt. Die Einträge müssen daher mit geeigneten Applikationen zuvor entsprechend konfiguriert werden. Anders sieht es bei der SAD aus, hier spielt die Reihenfolge der Einträge keine Rolle. Jeder SA-Eintrag wird eindeutig durch den Security-Parameter-Index (SPI), der im IPSec- Protokoll-Header gespeichert ist, die Quell- und Zieladresse und das verwendete IPSec- Protokoll (Authentication-Header (AH) oder Encapsulating-Security-Payload (ESP)) identifiziert. Ein Eintrag besteht aus mehreren Feldern z.b. der Lebensdauer der SA, die anzeigt, wann eine SA abläuft und ob eine SA beendet oder durch eine neue ersetzt werden soll. Trifft eine SA auf ein eingehendes Paket zu, wird es mit den in den Feldern gespeicherten Parametern, die später noch näher erläutert werden, verarbeitet. Ansonsten wird das Paket verworfen. Bei ausgehenden Paketen wird eine neue SA mit dem IKE-Verfahren erzeugt. IPSec definiert zwei Protokolle, das Authentication-Header-Protokoll und das Encapsulating- Security-Payload-Protokoll. Authentication-Header (AH) Das Authentication-Header-Protokoll ist in [RFC-2402] spezifiziert. Zu den Funktionen zählen Integritätsüberprüfung, Paketauthentifizierung und Schutz vor Replay-Angriffen. Eine Verschlüsselung der Datenpakete kann mit AH nicht durchgeführt werden. Jedoch wird eine verschlüsselte Prüfsumme in den Header eingefügt, die die Pakete authentifizieren soll. Dies geschieht mit Hilfe der in Kapitel besprochenen Key-Hashing-Verfahren. Mit ihnen lassen sich Hashwerte errechnen, die keinem anderen Hashwert gleichen, ohne dass der gleiche Schlüssel zur Berechnung verwendet wurde. Abbildung 4.6 zeigt eine Darstellung des Headers. Abbildung 4.6: Authentication-Header-Format Next-Header: identifiziert die nächste Nutzlast nach dem AH gemäß [RFC-1700] Payload-Length: enthält die Länge des AH in 32 Bit Werten Reserved: ist für den künftigen Gebrauch reserviert Security-Parameter-Index (SPI): enthält einen 32 Bit Wert zur Identifikation der SA, zu der das Paket gehört. Die Werte 1 bis 255 sind von der IANA für den künftigen Gebrauch reserviert worden Sequence-Number: Sequence-Number ist ein 32 Bit Wert, der als fortlaufender Zähler dient. Sie wird benutzt, um ein Replay von Paketen zu verhindern. Laut Spezifikation muss auf Senderseite die Anti-Replay-Funktion immer aktiv sein, während sie auf Empfängerseite optional aktiviert werden kann 18/24

Kurzeinführung VPN. Veranstaltung. Rechnernetze II

Kurzeinführung VPN. Veranstaltung. Rechnernetze II Kurzeinführung VPN Veranstaltung Rechnernetze II Übersicht Was bedeutet VPN? VPN Typen VPN Anforderungen Was sind VPNs? Virtuelles Privates Netzwerk Mehrere entfernte lokale Netzwerke werden wie ein zusammenhängendes

Mehr

VPN Techniken im Vergleich

VPN Techniken im Vergleich VPN Techniken im Vergleich Welche Technik ist wo die Richtige? 1. Grundlagen 1.1. Was ist VPN? Definition: Ein privates Netz wird über ein öffentliches Netz betrieben, jedoch so, dass die Privatheit, d.

Mehr

VPN. Virtuelles privates Netzwerk. Vortrag von Igor Prochnau Seminar Internet- Technologie

VPN. Virtuelles privates Netzwerk. Vortrag von Igor Prochnau Seminar Internet- Technologie VPN Virtuelles privates Netzwerk Vortrag von Igor Prochnau Seminar Internet- Technologie Einleitung ist ein Netzwerk, das ein öffentliches Netzwerk benutzt, um private Daten zu transportieren erlaubt eine

Mehr

VPN / Tunneling. 1. Erläuterung

VPN / Tunneling. 1. Erläuterung 1. Erläuterung VPN / Tunneling Ein virtuelles privates Netzwerk (VPN) verbindet die Komponenten eines Netzwerkes über ein anderes Netzwerk. Zu diesem Zweck ermöglicht das VPN dem Benutzer, einen Tunnel

Mehr

VPN Gateway (Cisco Router)

VPN Gateway (Cisco Router) VPN Gateway (Cisco Router) Mario Weber INF 03 Inhalt Inhalt... 2 1 VPN... 3 1.1 Virtual Private Network... 3 1.1.1 Allgemein... 3 1.1.2 Begriffsklärung... 4 1.2 Tunneling... 4 1.3 Tunnelprotkolle... 5

Mehr

Prinzipiell wird bei IP-basierenden VPNs zwischen zwei unterschiedlichen Ansätzen unterschieden:

Prinzipiell wird bei IP-basierenden VPNs zwischen zwei unterschiedlichen Ansätzen unterschieden: Abkürzung für "Virtual Private Network" ein VPN ist ein Netzwerk bestehend aus virtuellen Verbindungen (z.b. Internet), über die nicht öffentliche bzw. firmeninterne Daten sicher übertragen werden. Die

Mehr

P107: VPN Überblick und Auswahlkriterien

P107: VPN Überblick und Auswahlkriterien P107: VPN Überblick und Auswahlkriterien Referent: Christoph Bronold BKM Dienstleistungs GmbH 2004 BKM Dienstleistungs GmbH VPN Überblick VPN Technologien für IP VPN Netzwerk Design VPN Auswahlkriterien

Mehr

VIRTUAL PRIVATE NETWORKS

VIRTUAL PRIVATE NETWORKS VIRTUAL PRIVATE NETWORKS Seminar: Internet-Technologie Dozent: Prof. Dr. Lutz Wegner Virtual Private Networks - Agenda 1. VPN Was ist das? Definition Anforderungen Funktionsweise Anwendungsbereiche Pro

Mehr

VPN unterstützt 3 verschiedene Szenarien: Host to Host: Dies kennzeichnet eine sichere 1:1 Verbindung zweier Computer, z.b. über das Internet.

VPN unterstützt 3 verschiedene Szenarien: Host to Host: Dies kennzeichnet eine sichere 1:1 Verbindung zweier Computer, z.b. über das Internet. 1. VPN Virtual Private Network Ein VPN wird eingesetzt, um eine teure dedizierte WAN Leitung (z.b. T1, E1) zu ersetzen. Die WAN Leitungen sind nicht nur teuer, sondern auch unflexibel, da eine Leitung

Mehr

Virtual Private Networks. Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH

Virtual Private Networks. Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH Virtual Private Networks Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH Inhalt Einleitung Grundlagen Kryptographie IPSec Firewall Point-to-Point Tunnel Protokoll Layer 2 Tunnel Protokoll Secure Shell

Mehr

Virtual Private Network / IPSec

Virtual Private Network / IPSec 1. Einführung 1.1 Was ist ein Virtual Private Network? Mit einem Virtual Private Network (virtuelles privates Netzwerk, VPN) können zwei Netzwerke über ein öffentliches Netzwerk (Internet) miteinander

Mehr

NAT & VPN. Adressübersetzung und Tunnelbildung. Bastian Görstner

NAT & VPN. Adressübersetzung und Tunnelbildung. Bastian Görstner Adressübersetzung und Tunnelbildung Bastian Görstner Gliederung 1. NAT 1. Was ist ein NAT 2. Kategorisierung 2. VPN 1. Was heißt VPN 2. Varianten 3. Tunneling 4. Security Bastian Görstner 2 NAT = Network

Mehr

Netze und Protokolle für das Internet

Netze und Protokolle für das Internet Inhalt Netze und Protokolle für das Internet 8. Virtuelle Private Netze Virtuelle Private Netze Layer- 2-und Layer- 3- VPNs Virtuelle Private Netze mit MPLS Entfernter VPN- Zugriff L2TP und RADIUS IP Security

Mehr

VPN Virtual Private Network

VPN Virtual Private Network VPN Virtual Private Network LF10 - Betreuen von IT-Systemen Marc Schubert FI05a - BBS1 Mainz Lernfeld 10 Betreuen von IT-Systemen VPN Virtual Private Network Marc Schubert FI05a - BBS1 Mainz Lernfeld 10

Mehr

IPsec. Vortrag im Rahmen des Seminars Neue Internet Technologien

IPsec. Vortrag im Rahmen des Seminars Neue Internet Technologien IPsec Vortrag im Rahmen des Seminars Neue Internet Technologien Friedrich Schiller Universität Jena Wintersemester 2003/2004 Thomas Heinze, Matrikel xxxxx Gliederung IPsec? - Motivation, Grundbegriffe,

Mehr

Virtual Private Network. David Greber und Michael Wäger

Virtual Private Network. David Greber und Michael Wäger Virtual Private Network David Greber und Michael Wäger Inhaltsverzeichnis 1 Technische Grundlagen...3 1.1 Was ist ein Virtual Private Network?...3 1.2 Strukturarten...3 1.2.1 Client to Client...3 1.2.2

Mehr

VPN Virtual Private Networks

VPN Virtual Private Networks Wolfgang Böhmer VPN Virtual Private Networks Die reale Welt der virtuellen Netze HANSER Inhaltsverzeichnis Teil I VPN-Grundlagen und Techniken 1 1 Einleitung 3 1.1 Was ist ein VPN? 7 1.2 Welche VPN-Varianten

Mehr

Virtuelle Private Netzwerke

Virtuelle Private Netzwerke Virtuelle Private Netzwerke VPN Dortmund, Oktober 2004 Prof. Dr. Heinz-Michael Winkels, Fachbereich Wirtschaft FH Dortmund Emil-Figge-Str. 44, D44227-Dortmund, TEL.: (0231)755-4966, FAX: (0231)755-4902

Mehr

Vorlesung VPN: Drahtgebunden und drahtlos Fachbereich Informatik (FB 20) Lehrstuhl Prof. J. Buchmann

Vorlesung VPN: Drahtgebunden und drahtlos Fachbereich Informatik (FB 20) Lehrstuhl Prof. J. Buchmann Vorlesung VPN: Drahtgebunden und drahtlos Fachbereich Informatik (FB 20) Lehrstuhl Prof. J. Buchmann WS-05 / V2-20.205.1 In Zusammenarbeit mit dem CAST-Forum Dr. Wolfgang Böhmer Skript: http://www.cdc.informatik.tudarmstadt.de/~wboehmer/

Mehr

VPN - Virtual Private Networks

VPN - Virtual Private Networks VPN - Virtual Private Networks Wolfgang Böhmer Kommunikationssicherheit in VPN- und IP-Netzen, über GPRS und WLAN ISBN 3-446-22930-2 Inhaltsverzeichnis Weitere Informationen oder Bestellungen unter http://www.hanser.de/3-446-22930-2

Mehr

VPN Virtual Private Network

VPN Virtual Private Network VPN Virtual Private Network DEFINITION Was ist eigentlich ein Virtual Private Network (VPN)? Definition: Was ist eigentlich ein VPN? Übliche Bezeichnung: Virtual Virtuelles Private Privates Network - Netz

Mehr

VPN: Virtual-Private-Networks

VPN: Virtual-Private-Networks Referate-Seminar WS 2001/2002 Grundlagen, Konzepte, Beispiele Seminararbeit im Fach Wirtschaftsinformatik Justus-Liebig-Universität Giessen 03. März 2002 Ziel des Vortrags Beantwortung der folgenden Fragen:

Mehr

Prof. Dr. Martin Leischner Netzwerksysteme und TK. Hochschule Bonn-Rhein-Sieg. Modul 5: IPSEC

Prof. Dr. Martin Leischner Netzwerksysteme und TK. Hochschule Bonn-Rhein-Sieg. Modul 5: IPSEC Modul 5: IPSEC Teil 1: Transport- und Tunnelmode / Authentication Header / Encapsulating Security Payload Security Association (SAD, SPD), IPsec-Assoziationsmanagements Teil 2: Das IKE-Protokoll Folie

Mehr

Virtuelle Private Netze (VPN) Copyright und Motivation und sowas

Virtuelle Private Netze (VPN) Copyright und Motivation und sowas Virtuelle Private Netze (VPN) Geschrieben von ~Creepy~Mind~ Version 1.3 ;-) (Wybe Dijkstra: "Tue nur, was nur Du tun kannst.") Copyright und Motivation und sowas Naja was soll ich hierzu groß schreiben...

Mehr

Handout. Holger Christian. Thema: VPN

Handout. Holger Christian. Thema: VPN Handout Holger Christian Thema: VPN VPN-Definition: Ein virtuelles privates Netz (VPN) ist ein Netz von logischen Verbindungen zur Übermittlung von privaten Daten/Informationen bzw. Datenverkehr. Eine

Mehr

Rechnernetze II SS 2015. Betriebssysteme / verteilte Systeme rolanda.dwismuellera@duni-siegena.de Tel.: 0271/740-4050, Büro: H-B 8404

Rechnernetze II SS 2015. Betriebssysteme / verteilte Systeme rolanda.dwismuellera@duni-siegena.de Tel.: 0271/740-4050, Büro: H-B 8404 Rechnernetze II SS 2015 Betriebssysteme / verteilte Systeme rolanda.dwismuellera@duni-siegena.de Tel.: 0271/740-4050, Büro: H-B 8404 Stand: 14. Juli 2015 Betriebssysteme / verteilte Systeme Rechnernetze

Mehr

Zentrum für Informationsdienste und Hochleistungsrechnen (ZIH) Technische Grundlagen und Beispiele. Christian Hoffmann & Hanjo, Müller

Zentrum für Informationsdienste und Hochleistungsrechnen (ZIH) Technische Grundlagen und Beispiele. Christian Hoffmann & Hanjo, Müller Zentrum für Informationsdienste und Hochleistungsrechnen (ZIH) VPN (Virtual Private Network) Technische Grundlagen und Beispiele Christian Hoffmann & Hanjo, Müller Dresden, 3. April 2006 Übersicht Begriffsklärung

Mehr

VPN: SSL vs. IPSec. erfrakon - Erlewein, Frank, Konold & Partner Martin Konold Dr. Achim Frank. Präsentation auf dem

VPN: SSL vs. IPSec. erfrakon - Erlewein, Frank, Konold & Partner Martin Konold Dr. Achim Frank. Präsentation auf dem VPN: SSL vs. IPSec erfrakon - Erlewein, Frank, Konold & Partner Martin Konold Dr. Achim Frank Präsentation auf dem IT Security Forum 9. November 2005, Frankfurt erfrakon Erlewein, Frank, Konold & Partner

Mehr

1 Praktikum Protokolle SS2007 Fachhochschule OOW 15.05.2007. VPN Dokumentation. Erstellt von: Jens Nintemann und Maik Straub

1 Praktikum Protokolle SS2007 Fachhochschule OOW 15.05.2007. VPN Dokumentation. Erstellt von: Jens Nintemann und Maik Straub 1 Praktikum Protokolle SS2007 Fachhochschule OOW VPN Dokumentation 1 2 Praktikum Protokolle SS2007 Fachhochschule OOW Inhaltsverzeichnis Thema Seite 1. Einleitung 3 2. Unsere Aufbaustruktur 3 3. Installation

Mehr

Modul 4 Virtuelle Private Netze (VPNs) und Tunneling

Modul 4 Virtuelle Private Netze (VPNs) und Tunneling Modul 4 Virtuelle Private Netze (VPNs) und Tunneling 14.11.2011 17:47:26 M. Leischner Sicherheit in Netzen Folie 1 Virtuelle Private Netze - Begriffsdefinition Wiki-Definition " Virtual Private Network

Mehr

L2TP over IPSEC. Built-in VPN für Windows 10 / 8 / 7 und MacOS X

L2TP over IPSEC. Built-in VPN für Windows 10 / 8 / 7 und MacOS X FORSCHUNGSZENTRUM JÜLICH GmbH Jülich Supercomputing Centre 52425 Jülich, (02461) 61-6402 Beratung und Betrieb, (02461) 61-6400 Technische Kurzinformation FZJ-JSC-TKI-0387 W.Anrath,S.Werner,E.Grünter 26.08.2015

Mehr

TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL

TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL 1 TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL Kleine Auswahl bekannter Sicherheitsprotokolle X.509 Zertifikate / PKIX Standardisierte, häufig verwendete Datenstruktur zur Bindung von kryptographischen

Mehr

SSL Algorithmen und Anwendung

SSL Algorithmen und Anwendung SSL Algorithmen und Anwendung Stefan Pfab sisspfab@stud.uni-erlangen.de Abstract Viele Anwendungen erfordern nicht nur eine eindeutige und zuverlässige Identifizierung der an einer Kommunikation beteiligten

Mehr

Netzwerk-Administration Virtual Private Network mittels IPsec

Netzwerk-Administration Virtual Private Network mittels IPsec Netzwerk-Administration Virtual Private Network mittels IPsec Beleg von Mario Apitz André Grüneberg Janko Lötzsch Version: 2.0 vom 15. Juli 2003 Inhaltsverzeichnis Abbildungsverzeichnis II 1 Zielbestimmung

Mehr

Lösungen zu 978-3-8045-5387-3 Informations- und Telekommunikationstechnik - Arbeitsheft

Lösungen zu 978-3-8045-5387-3 Informations- und Telekommunikationstechnik - Arbeitsheft Lösungen zu ---- Informations- und Telekommunikationstechnik - Arbeitsheft Handlungsschritt Aufgabe a) Die TCP/IP-Protokollfamilie verwendet logischen Adressen für die Rechner (IP- Adressen), die eine

Mehr

4 Netzwerkzugriff. 4.1 Einführung. Netzwerkzugriff

4 Netzwerkzugriff. 4.1 Einführung. Netzwerkzugriff 4 Netzwerkzugriff Prüfungsanforderungen von Microsoft: Configuring Network Access o Configure remote access o Configure Network Access Protection (NAP) o Configure network authentication o Configure wireless

Mehr

Virtuelle Netze. Virtuelle Netze von Simon Knierim und Benjamin Skirlo 1 Von 10-16.04.07. Simon Knierim & Benjamin Skirlo.

Virtuelle Netze. Virtuelle Netze von Simon Knierim und Benjamin Skirlo 1 Von 10-16.04.07. Simon Knierim & Benjamin Skirlo. 1 Von 10-16.04.07 Virtuelle Netze Simon Knierim & Benjamin Skirlo für Herrn Herrman Schulzentrum Bremen Vegesack Berufliche Schulen für Metall- und Elektrotechnik 2 Von 10-16.04.07 Inhaltsverzeichnis Allgemeines...

Mehr

Technischer Anhang. Version 1.2

Technischer Anhang. Version 1.2 Technischer Anhang zum Vertrag über die Zulassung als IP-Netz-Provider im electronic cash-system der deutschen Kreditwirtschaft Version 1.2 30.05.2011 Inhaltsverzeichnis 1 Einleitung... 3 2 Anforderungen

Mehr

Site2Site VPN S T E F A N K U S I E K B F W L E I P Z I G

Site2Site VPN S T E F A N K U S I E K B F W L E I P Z I G Site2Site VPN S T E F A N K U S I E K B F W L E I P Z I G Übersicht Einleitung IPSec SSL RED Gegenüberstellung Site-to-Site VPN Internet LAN LAN VPN Gateway VPN Gateway Encrypted VPN - Technologien Remote

Mehr

1E05: VPN Verbindungen zwischen Data Center und Branch Office

1E05: VPN Verbindungen zwischen Data Center und Branch Office 1E05: VPN Verbindungen zwischen Data Center und Branch Office Referent: Christoph Bronold BKM Dienstleistungs GmbH 2008 BKM Dienstleistungs GmbH VPN Verbindungen Data Center und Backup Data Center Data

Mehr

TCP/IP-Protokollfamilie

TCP/IP-Protokollfamilie TCP/IP-Protokollfamilie Internet-Protokolle Mit den Internet-Protokollen kann man via LAN- oder WAN kommunizieren. Die bekanntesten Internet-Protokolle sind das Transmission Control Protokoll (TCP) und

Mehr

Dokumentation über IPSec

Dokumentation über IPSec Dokumentation über IPSec von Joana Schweizer und Stefan Schindler Inhaltsverzeichnis 1 Einleitung...3 1.1 Warum Sicherheit?...3 1.2 Datenschutz allgemein...3 1.3 Datenschutz für eine Firma...3 1.4 Eine

Mehr

VPN Sicherheit. Marina Sturm (sturmm@in.tum.de) Hauptseminar: Sicherheit in Kommunikationsnetzen Technische Universität München

VPN Sicherheit. Marina Sturm (sturmm@in.tum.de) Hauptseminar: Sicherheit in Kommunikationsnetzen Technische Universität München VPN Sicherheit Marina Sturm (sturmm@in.tum.de) Hauptseminar: Sicherheit in Kommunikationsnetzen Technische Universität München WS 2002 (Version 13.12.2002) Zusammenfassung Dieses Papier behandelt den Aufbau

Mehr

Virtual Private Network

Virtual Private Network Virtual Private Network Unter einem Virtual Private Network (VPN) versteht man eine durch geeignete Verschlüsselungs- und Authentifizierungsmechanismen geschützte Verbindung zwischen 2 Rechnern ( und VPN-Gateway)

Mehr

Denn es geht um ihr Geld:

Denn es geht um ihr Geld: Denn es geht um ihr Geld: [A]symmetrische Verschlüsselung, Hashing, Zertifikate, SSL/TLS Warum Verschlüsselung? Austausch sensibler Daten über das Netz: Adressen, Passwörter, Bankdaten, PINs,... Gefahr

Mehr

IPSec. Michael Gschwandtner, Alois Hofstätter, Roland Likar, Horst Stadler. Jänner 2003

IPSec. Michael Gschwandtner, Alois Hofstätter, Roland Likar, Horst Stadler. Jänner 2003 IPSec Michael Gschwandtner, Alois Hofstätter, Roland Likar, Horst Stadler Jänner 2003 Gschwandtner/Hofstätter/Likar/Stadler - IPsec 1 Einleitung (1) Ziele des Datenverkehrs Geschwindigkeit Verlässlichkeit

Mehr

Konfigurieren von Remotezugriff

Konfigurieren von Remotezugriff Unterrichtseinheit 7: Konfigurieren von Remotezugriff Über Remotezugriff können Benutzer an einem Remotestandort eine Verbindung zu Ihrem Netzwerk herstellen. Aufbau einer RAS-Verbindung (siehe Kapitel

Mehr

HOBLink VPN 2.1 Gateway

HOBLink VPN 2.1 Gateway Secure Business Connectivity HOBLink VPN 2.1 Gateway die VPN-Lösung für mehr Sicherheit und mehr Flexibilität Stand 02 15 Mehr Sicherheit für Unternehmen Mit HOBLink VPN 2.1 Gateway steigern Unternehmen

Mehr

Aufbau Danksagung. 3.1 Tunneling-Modelle 3.1.1 Das Intra-Provider-Modell

Aufbau Danksagung. 3.1 Tunneling-Modelle 3.1.1 Das Intra-Provider-Modell Inhaltsverzeichnis Vorwort 1 Virtuelle Private Netze 2 Anforderungen an VPN 3 Tunneling 4 Sicherheitstechnologie 5 IP Security (IPSec) 6 Das IKE-Protokoll SSL-PN 8 L2TP/IPSec-Transport 9 Quality of Service

Mehr

Electronic Commerce und Digitale Unterschriften

Electronic Commerce und Digitale Unterschriften Electronic Commerce und Digitale Unterschriften Sichere Internetprotokolle IPSec und IPv6 Proseminarleiter: Dr. U. Tamm Vortragender: Andreas Galjad Abstract: Dieser Proseminarvortrag beschäftigt sich

Mehr

Domain Name Service (DNS)

Domain Name Service (DNS) Domain Name Service (DNS) Aufgabe: den numerischen IP-Adressen werden symbolische Namen zugeordnet Beispiel: 194.94.127.196 = www.w-hs.de Spezielle Server (Name-Server, DNS) für Listen mit IP-Adressen

Mehr

Um IPSec zu konfigurieren, müssen Sie im Folgenden Menü Einstellungen vornehmen:

Um IPSec zu konfigurieren, müssen Sie im Folgenden Menü Einstellungen vornehmen: 1. IPSec Verbindung zwischen IPSec Client und Gateway 1.1 Einleitung Im Folgenden wird die Konfiguration einer IPSec Verbindung vom Bintec IPSec Client zum Gateway gezeigt. Dabei spielt es keine Rolle,

Mehr

Verteilte Systeme. 10.1 Unsicherheit in Verteilten Systemen

Verteilte Systeme. 10.1 Unsicherheit in Verteilten Systemen Verteilte Systeme Übung 10 Jens Müller-Iden Gruppe PVS (Parallele und Verteilte Systeme) Institut für Informatik Westfälische Wilhelms-Universität Münster Sommersemester 2007 10.1 Unsicherheit in Verteilten

Mehr

Thema IPv6. Geschichte von IPv6

Thema IPv6. Geschichte von IPv6 Geschichte von IPv6 IPv6 ist der Nachfolger des aktuellen Internet Protokolls IPv4, welches für die Übertragung von Daten im Internet zuständig ist. Schon Anfang der 90er Jahre wurde klar, dass die Anzahl

Mehr

Firewalls und Virtuelle Private Netze

Firewalls und Virtuelle Private Netze s und Virtuelle Private Netze Jürgen Quittek Institut für Informatik Freie Universität Berlin C&C Research Laboratories NEC Europe Ltd., Berlin Vorlesung Datensicherheit Institut für Informatik Freie Universität

Mehr

Sichere Kommunikation mit IPsec

Sichere Kommunikation mit IPsec Proseminar Konzepte von Betriebssystem-Komponenten: Schwerpunkt Sicherheit Sichere Kommunikation mit IPsec Markus Weiten markus@weiten.de Inhalt 1 Motivation 2 IPsec im Überblick 3 IPsec Modi 3a Transportmodus

Mehr

Verteilte Systeme. Übung 10. Jens Müller-Iden

Verteilte Systeme. Übung 10. Jens Müller-Iden Verteilte Systeme Übung 10 Jens Müller-Iden Gruppe PVS (Parallele und Verteilte Systeme) Institut für Informatik Westfälische Wilhelms-Universität Münster Sommersemester 2007 10.1 Unsicherheit in Verteilten

Mehr

2L03: VPN Verbindungen zwischen RZ und Standorten

2L03: VPN Verbindungen zwischen RZ und Standorten 2L03: VPN Verbindungen zwischen RZ und Standorten Referent: Christoph Bronold BKM Dienstleistungs GmbH 2006 BKM Dienstleistungs GmbH VPN Überblick VPN Verbindungen zwischen Standorten VPN Verbindungen

Mehr

Security Associations Schlüsseltausch IKE Internet Key Exchange Automatischer Schlüsseltausch und Identitätsnachweis

Security Associations Schlüsseltausch IKE Internet Key Exchange Automatischer Schlüsseltausch und Identitätsnachweis Wie Interoperabel ist IPsec? Ein Erfahrungsbericht Arturo Lopez Senior Consultant März 2003 Agenda Internet Protokoll Security (IPsec) implementiert Sicherheit auf Layer 3 in OSI Modell Application Presentation

Mehr

Verschlüsselung der Kommunikation zwischen Rechnern

Verschlüsselung der Kommunikation zwischen Rechnern Verschlüsselung der Kommunikation zwischen Rechnern Stand: 11. Mai 2007 Rechenzentrum Hochschule Harz Sandra Thielert Hochschule Harz Friedrichstr. 57 59 38855 Wernigerode 03943 / 659 0 Inhalt 1 Einleitung

Mehr

Remote Access. Virtual Private Networks. 2000, Cisco Systems, Inc.

Remote Access. Virtual Private Networks. 2000, Cisco Systems, Inc. Remote Access Virtual Private Networks 2000, Cisco Systems, Inc. 1 Remote Access Telefon/Fax WWW Banking E-mail Analog (?) ISDN xdsl... 2 VPNs... Strong encryption, authentication Router, Firewalls, Endsysteme

Mehr

Workshop: IPSec. 20. Chaos Communication Congress

Workshop: IPSec. 20. Chaos Communication Congress Cryx (cryx at h3q dot com), v1.1 Workshop: IPSec 20. Chaos Communication Congress In diesem Workshop soll ein kurzer Überblick über IPSec, seine Funktionsweise und Einsatzmöglichkeiten gegeben werden.

Mehr

Remote Access VPN und IPSec.

Remote Access VPN und IPSec. Remote Access VPN und IPSec. IPSec gilt heute als absoluter Standard und das für jede Netzwerktopologie einsetzbare VPN-Protokoll. Der aktuelle Wissensstand hat jedoch einige seiner ursprünglichen Initiatoren

Mehr

Collax Business Server NCP Secure Entry Client Interoperability Guide V. 1.3. Collax Business Server (V. 3.0.12) NCP Secure Entry Client 8.

Collax Business Server NCP Secure Entry Client Interoperability Guide V. 1.3. Collax Business Server (V. 3.0.12) NCP Secure Entry Client 8. Collax Business Server NCP Secure Entry Client Interoperability Guide V. 1.3 Collax Business Server (V. 3.0.12) NCP Secure Entry Client 8.21 Dies ist eine Anleitung, die die Konfigurationsschritte beschreibt,

Mehr

Content-Verwertungsmodelle und ihre Umsetzung in mobilen Systemen

Content-Verwertungsmodelle und ihre Umsetzung in mobilen Systemen Content-Verwertungsmodelle und ihre Umsetzung in mobilen Systemen Digital Rights Management 4FriendsOnly.com Internet Technologies AG Vorlesung im Sommersemester an der Technischen Universität Ilmenau

Mehr

Netzsicherheit 4: Layer 2-Sicherheit Das Point-to-Point- Protokoll und seine Erweiterungen

Netzsicherheit 4: Layer 2-Sicherheit Das Point-to-Point- Protokoll und seine Erweiterungen Netzsicherheit 4: Layer 2-Sicherheit Das Point-to-Point- Protokoll und seine Erweiterungen Das TCP/IP-Schichtenmodell Anwendungsschicht (FTP, HTTP, SMTP,...) Transportschicht (TCP, UDP) Internetschicht

Mehr

ISA Server 2004 Site to Site VPN mit L2TP/IPSEC - Von Marc Grote

ISA Server 2004 Site to Site VPN mit L2TP/IPSEC - Von Marc Grote ISA Server 2004 Site to Site VPN mit L2TP/IPSEC - Von Marc Grote Die Informationen in diesem Artikel beziehen sich auf:? Microsoft ISA Server 2004 Einleitung Dieser Artikel beschreibt die Einrichtung eines

Mehr

Sichere Netzwerke mit IPSec. Christian Bockermann

Sichere Netzwerke mit IPSec. Christian Bockermann <christian@ping.de> Sichere Netzwerke mit IPSec Christian Bockermann Überblick Gefahren, Ziele - Verschlüsselung im OSI-Modell IPSec - Architektur - Schlüssel-Management - Beispiele Unsichere Kommunikation

Mehr

2 Typische Angriffe. 3 Sichere Kommunikationsdienste. 4 Einbruchssicherung. 5 Sicherung von Anwendungsdiensten

2 Typische Angriffe. 3 Sichere Kommunikationsdienste. 4 Einbruchssicherung. 5 Sicherung von Anwendungsdiensten Inhalt 1 Einführung 2 Typische Angriffe 3 Sichere Kommunikationsdienste 4 Einbruchssicherung 5 Sicherung von Anwendungsdiensten 6 Privacy NS-3.1 1 3 Sichere Kommunikationsdienste NS-3.1 2 Kommunikationssicherheit

Mehr

Einfache VPN Theorie. Von Valentin Lätt (www.valentin-laett.ch)

Einfache VPN Theorie. Von Valentin Lätt (www.valentin-laett.ch) Einfache VPN Theorie Von Valentin Lätt (www.valentin-laett.ch) Einführung Der Ausdruck VPN ist fast jedem bekannt, der sich mindestens einmal grob mit der Materie der Netzwerktechnik auseinandergesetzt

Mehr

Exkurs: IPSec. Brandenburg an der Havel, den 5. Juni 2005

Exkurs: IPSec. <muehlber@fh-brandenburg.de> Brandenburg an der Havel, den 5. Juni 2005 Exkurs: IPSec Brandenburg an der Havel, den 5. Juni 2005 1 Gliederung 1. IPSec: Problem und Lösung 2. Übertragungsmodi 3. Encapsulating Security Payload 4. Authentication Header

Mehr

Digital Rights Management (DRM) Verfahren, die helfen Rechte an virtuellen Waren durchzusetzen. Public-Key-Kryptographie (2 Termine)

Digital Rights Management (DRM) Verfahren, die helfen Rechte an virtuellen Waren durchzusetzen. Public-Key-Kryptographie (2 Termine) Digital Rights Management (DRM) Verfahren, die helfen Rechte an virtuellen Waren durchzusetzen Vorlesung im Sommersemester 2010 an der Technischen Universität Ilmenau von Privatdozent Dr.-Ing. habil. Jürgen

Mehr

VPN mit Windows Server 2003

VPN mit Windows Server 2003 VPN mit Windows Server 2003 Virtuelle private Netzwerke einzurichten, kann eine sehr aufwendige Prozedur werden. Mit ein wenig Hintergrundwissen und dem Server- Konfigurationsassistenten von Windows Server

Mehr

bintec Secure IPSec Client - für professionellen Einsatz bintec IPSec Client

bintec Secure IPSec Client - für professionellen Einsatz bintec IPSec Client bintec Secure IPSec Client - für professionellen Einsatz Unterstützt 32- und 64-Bit Betriebssysteme Windows 7, Vista, Windows XP Integrierte Personal Firewall Einfache Installation über Wizard und Assistent

Mehr

Digitale Signaturen für Ï Signaturzertifikate für geschützte email-kommunikation

Digitale Signaturen für Ï Signaturzertifikate für geschützte email-kommunikation Digitale Signaturen für Ï Signaturzertifikate für geschützte email-kommunikation Ein Großteil der heutigen Kommunikation geschieht per email. Kaum ein anderes Medium ist schneller und effizienter. Allerdings

Mehr

Werner Anrath. Inhalt

Werner Anrath. Inhalt Vortrag 2G01 L2TP over IPSEC Remote Access VPN Werner Anrath Forschungszentrum Jülich Zentralinstitut für Angewandte Mathematik IT Symposium 2004 in Bonn 21.04.2004 Inhalt Definition VPN und Überblick

Mehr

Konfigurationsbeispiel USG

Konfigurationsbeispiel USG ZyWALL USG L2TP VPN over IPSec Dieses Konfigurationsbeispiel zeigt das Einrichten einer L2TP Dial-Up-Verbindung (Windows XP, 2003 und Vista) auf eine USG ZyWALL. L2TP over IPSec ist eine Kombination des

Mehr

VPN - Virtual Private Networks

VPN - Virtual Private Networks VPN - Virtual Private Networks Kommunikationssicherheit in VPN- und IP-Netzen, über GPRS und WLAN ISBN 3-446-22930-2 Vorwort Weitere Informationen oder Bestellungen unter http://www.hanser.de/3-446-22930-2

Mehr

Virtuelle Private Netze

Virtuelle Private Netze Virtuelle Private Netze VPN mit openvpn und openssl michael dienert, peter maaß Walther-Rathenau-Gewerbeschule Freiburg 30. April 2012 Inhalt Was ist ein VPN Rahmen, Pakete, virtuelle Verbindungen Die

Mehr

LANCOM Techpaper Performance-Analyse der LANCOM Router

LANCOM Techpaper Performance-Analyse der LANCOM Router Steigende Bandbreiten durch DSL-Technologien der zweiten Generation wie ADSL2+ oder VDSL2 sowie neue Dienste wie zum Beispiel Voice over IP (VoIP) stellen immer höhere Anforderungen an die Durchsatz- und

Mehr

IRF2000, IF1000 Application Note Network Mapping mit 1:1 NAT

IRF2000, IF1000 Application Note Network Mapping mit 1:1 NAT Version 2.1 Original-Application Note ads-tec GmbH IRF2000, IF1000 Application Note Network Mapping mit 1:1 NAT Stand: 28.10.2014 ads-tec GmbH 2014 Big-LinX 2 Inhaltsverzeichnis 1 Einführung... 3 1.1 NAT

Mehr

1 Hochverfügbarkeit. 1.1 Einführung. 1.2 Network Load Balancing (NLB) Quelle: Microsoft. Hochverfügbarkeit

1 Hochverfügbarkeit. 1.1 Einführung. 1.2 Network Load Balancing (NLB) Quelle: Microsoft. Hochverfügbarkeit 1 Hochverfügbarkeit Lernziele: Network Load Balancing (NLB) Failover-Servercluster Verwalten der Failover Cluster Rolle Arbeiten mit virtuellen Maschinen Prüfungsanforderungen von Microsoft: Configure

Mehr

Thema: Virtual Private Network

Thema: Virtual Private Network Thema: Virtual Private Network Vertiefungsarbeit von Carola Schmidt aus Berlin BERUFSAKADEMIE LÖRRACH STAATLICHE STUDIENAKADEMIE UNIVERSITY OF COOPERATIVE EDUCATION Ausbildungsbereich Wirtschaft Betreuende(r)

Mehr

Collax PPTP-VPN. Howto

Collax PPTP-VPN. Howto Collax PPTP-VPN Howto Dieses Howto beschreibt wie ein Collax Server innerhalb weniger Schritte als PPTP-VPN Server eingerichtet werden kann, um Clients Zugriff ins Unternehmensnetzwerk von außen zu ermöglichen.

Mehr

CARL HANSER VERLAG. Wolfgang Böhmer. VPN - Virtual Private Networks Die reale Welt der virtuellen Netze 3-446-21532-8. www.hanser.

CARL HANSER VERLAG. Wolfgang Böhmer. VPN - Virtual Private Networks Die reale Welt der virtuellen Netze 3-446-21532-8. www.hanser. CARL HANSER VERLAG Wolfgang Böhmer VPN - Virtual Private Networks Die reale Welt der virtuellen Netze 3-446-21532-8 www.hanser.de Inhaltsverzeichnis Teil I VPN-Grundlagen und Techniken 1 1 Einleitung 3

Mehr

NGN - Next Generation Network

NGN - Next Generation Network NGN - Next Generation Network NGN - Next Generation Network... 1 1 Funktionelle Anforderung an das NGN... 3 2 NGN Netzarchitektur... 3 3 IPsec - Security Architecture for IP... 4 3.1 IPsec Vertrauensstellungen

Mehr

VPN-Technologien Alternativen und Bausteine einer erfolgreichen Lösung von Dipl.-Inform. Andreas Meder

VPN-Technologien Alternativen und Bausteine einer erfolgreichen Lösung von Dipl.-Inform. Andreas Meder VPN-Technologien Alternativen und Bausteine einer erfolgreichen Lösung von Dipl.-Inform. Andreas Meder Technologie-Report: VPN Technologien Seite 3-78 3.5 IPSec Bekanntermaßen bergen die TCP/IP-Protokolle

Mehr

Der Weg ins Internet von Jens Bretschneider, QSC AG, Geschäftsstelle Bremen, im Oktober 2004

Der Weg ins Internet von Jens Bretschneider, QSC AG, Geschäftsstelle Bremen, im Oktober 2004 Der Weg ins Internet 1 Übersicht Internetverbindung aus Sicht von QSC als ISP Struktur Technik Routing 2 Layer Access-Layer Distribution-Layer Core-Layer Kupfer- Doppelader (TAL) Glasfaser (STM-1) Glasfaser

Mehr

VPN (Virtual Private Network)

VPN (Virtual Private Network) VPN (Virtual Private Network) basierend auf Linux (Debian) Server Praktikum Protokolle Bei Prof. Dr. Gilbert Brands Gliederung Gliederung 1. Was ist VPN 2. VPN-Implementierungen 3. Funktionsweise von OpenVPN

Mehr

FTP-Leitfaden RZ. Benutzerleitfaden

FTP-Leitfaden RZ. Benutzerleitfaden FTP-Leitfaden RZ Benutzerleitfaden Version 1.4 Stand 08.03.2012 Inhaltsverzeichnis 1 Einleitung... 3 1.1 Zeitaufwand... 3 2 Beschaffung der Software... 3 3 Installation... 3 4 Auswahl des Verbindungstyps...

Mehr

IT-Sicherheit Kapitel 11 SSL/TLS

IT-Sicherheit Kapitel 11 SSL/TLS IT-Sicherheit Kapitel 11 SSL/TLS Dr. Christian Rathgeb Sommersemester 2014 1 Einführung SSL/TLS im TCP/IP-Stack: SSL/TLS bietet (1) Server-Authentifizierung oder Server und Client- Authentifizierung (2)

Mehr

Überblick zu Teredo. (Engl. Originaltitel: Teredo Overview) Veröffentlich im Januar 2003

Überblick zu Teredo. (Engl. Originaltitel: Teredo Overview) Veröffentlich im Januar 2003 Überblick zu Teredo (Engl. Originaltitel: Teredo Overview) Veröffentlich im Januar 2003 Inhaltsverzeichnis Inhaltsverzeichnis...2 Übersicht...3 Mitarbeiter...3 Einleitung...3 Überblick zu NAT (Network

Mehr

Root-Server für anspruchsvolle Lösungen

Root-Server für anspruchsvolle Lösungen Root-Server für anspruchsvolle Lösungen I Produktbeschreibung serverloft Internes Netzwerk / VPN Internes Netzwerk Mit dem Produkt Internes Netzwerk bietet serverloft seinen Kunden eine Möglichkeit, beliebig

Mehr

KNX IP Interface 730 KNX IP Router 750 KNX IP LineMaster 760 KNX IP BAOS 770 KNX IP BAOS 771 KNX IP BAOS 772 KNX IP BAOS 777

KNX IP Interface 730 KNX IP Router 750 KNX IP LineMaster 760 KNX IP BAOS 770 KNX IP BAOS 771 KNX IP BAOS 772 KNX IP BAOS 777 KNX IP Interface 730 KNX IP Router 750 KNX IP LineMaster 760 KNX IP BAOS 770 KNX IP BAOS 771 KNX IP BAOS 772 KNX IP BAOS 777 Fernzugriff mit der ETS Achatz 3 84508 Burgkirchen Tel.: 08677 / 91 636 0 Fax:

Mehr

Lösungen zu 978-3-8045-5387-3 Informations- und Telekommunikationstechnik Arbeitsheft, 3. Auflage. RAM empfohlen. RAM maximal

Lösungen zu 978-3-8045-5387-3 Informations- und Telekommunikationstechnik Arbeitsheft, 3. Auflage. RAM empfohlen. RAM maximal 1. HANDLUNGSSCHRITT Aufgabe 13 Betriebssystem Prozessortakt RAM empfohlen RAM maximal Installationsgröße SMP Anzahl Prozessoren Windows 7 Ultimate 2008 Web 2008 Standard 2008 Enterprise 2008 Datacenter

Mehr

Secure Socket Layer (SSL) 1: Allgemeiner Überblick. Gilt für die Geräte: HL-4040CN HL-4050CDN HL-4070CDW DCP-9040CN DCP-9045CDN MFC-9440CN MFC-9840CDW

Secure Socket Layer (SSL) 1: Allgemeiner Überblick. Gilt für die Geräte: HL-4040CN HL-4050CDN HL-4070CDW DCP-9040CN DCP-9045CDN MFC-9440CN MFC-9840CDW Secure Socket Layer (SSL) Gilt für die Geräte: HL-4040CN HL-4050CDN HL-4070CDW DCP-9040CN DCP-9045CDN MFC-9440CN MFC-9840CDW Inhalt 1) Allgemeiner Überblick 2) Kurzer geschichtlicher Rückblick 3) Vorteile

Mehr

LANCOM Advanced VPN Client:

LANCOM Advanced VPN Client: LANCOM Advanced VPN Client: Eine ganze Reihe von LANCOM-Modellen verfügt über VPN-Funktionalität und damit über die Möglichkeit, entfernten Rechnern einen Einwahlzugang (RAS) über eine gesicherte, verschlüsselte

Mehr

VPN: wired and wireless

VPN: wired and wireless VPN: wired and wireless Fachbereich Informatik (FB 20) Fachgruppe: Security Engineering Modul: 2000096VI LV-07 er Skriptum und Literatur: http://www.seceng.informatik.tu-darmstadt.de/teaching/ws11-12/vpn11

Mehr

Wiederholung: Informationssicherheit Ziele

Wiederholung: Informationssicherheit Ziele Wiederholung: Informationssicherheit Ziele Vertraulichkeit: Schutz der Information vor unberechtigtem Zugriff bei Speicherung, Verarbeitung und Übertragung Integrität: Garantie der Korrektheit (unverändert,

Mehr

VPN Tracker für Mac OS X

VPN Tracker für Mac OS X VPN Tracker für Mac OS X How-to: Kompatibilität mit DrayTek Vigor Routern Rev. 1.0 Copyright 2003 equinux USA Inc. Alle Rechte vorbehalten. 1. Einführung 1. Einführung Diese Anleitung beschreibt, wie eine

Mehr