Univ.-Prof. Dr. M.-R. Wolff WI 4: Rechnernetze BWL / Wirtschaftsinformatik Übertragungswege Seite 1

Transkript

1 WI 4: Rechnernetze Übertragungswege Seite 1

2 1 Das Internet Übersicht über das Internet Grundlegende Strukturen des Internets Merkmale des Internets Zugang von und zu anderen Netzen Gateways IP-Adresse und Domain Name Wegewahl Routing Zugangsarten zum Internet und damit verbundene Kosten Kostenstruktur des Internetzuganges Multicast-Backbone Sicherung von Internetübertragungen und Rechnern Problemstellung Sicherungsverfahren Im Netz: VPN /Extranetz durch Tunnelung Anfang / Ende des Tunnel-Dienstes VPN-Lösungen Neuer Standard: L2TP Seite 2

3 Ablauf einer VPN-Tunnelung Firewalls (FW) Paketfilter Circuit Level Gateways Applications Level Gateways Seite 3

4 1 Das Internet Das Internet als Netz von heterogenen Subnetzen, die durch ein standardisiertes Protokoll der Zugangsrechner auf der Anwendungsschicht kommunizieren. 1.1 Übersicht über das Internet Entwicklung: Die Entwicklung des Internets geht auf die späten 60er Jahre zurück, als man in den USA seitens der ARPA (Advanced Research Projects Agency) begann, über die Vernetzung von Rechnern nachzudenken. Die Zielsetzungen waren ursprünglich: Absicherung der Kommunikationswege und der Rechnerleistung im Verteidigungsfall (Störung durch α-teilchen, Leitungstrennung). Hierzu wurde ein vermaschtes Netz von Kommunikationsrechnern aufgebaut, charakterisiert durch - autonome Knoten - alternative Wegstrecken der Datenpakete, ARPA-Netz. Lösung: Funktionsverbund heterogener Rechner, verteiltes IKS, Verbund von zunächst militärischen, heute wissenschaftlichen und kommerziellen Subnetzen zwecks Inter-Net-Working mit einem verbindungslosem Protokoll für automatische, alternative Wegwahl, alternatives Routing bei Knotenausfall durch Vermaschung robustes Netzwerk wurde ASCII (American Standard Code for Information Interchange ) entwickelt. Es handelt sich hierbei um einen einheitlichen Code zur Darstellung von Zeichen, wodurch der Austausch von Daten zwischen Computern unterschiedlicher Hersteller möglich wurde. Ende 1969 entstand ein erster ex- Seite 4

5 perimenteller Verbund von vier Rechnern, das ARPANET aufgebaut. Ein Jahr später entstand ein Protokoll zur Regelung des Datenaustausches: Das FTP (File Transfer Protokoll). Das weltweite Internet entstand aus diesem Rechnerverbund des ARPANET heraus, wobei Anfang 1994 über Netze mit weit über 2 Mio. Rechnern angeschlossen waren. Im Internet wird das Transport- und Vermittlungsprotokoll TCP/IP (Telecommunication Protocol / Internet Protocol eingesetzt. Vielfach wird der Sammelbegriff TCP/IP auch für eine viel umfassendere Protokollfamilie, die TCP/IP protocol suite, verwendet. Seinen weltweiten Einsatz verdankt TCP/IP der Tatsache, daß sowohl TCP/IP als auch darauf aufbauende Anwendungen wie FTP (Darteitransfer), Telnet (remote login) und in das von der amerikanischen Regierung geförderte Berkley UNIX (BSD Berkley Software Distribution) integriert waren. So setzte sich zusammen mit UNIX auch TCP/IP durch. Charakterisierung: Das Internet ist ein Zusammenschluß heterogener Netzwerke von den verschiedensten Organisationen und Unternehmen, also ein Netz von Subnetzen mit internet working. Weltweites Computerkonglomerat, welches heute aus mehr als miteinander verbundenen Einzelnetzen besteht. Es existieren inzwischen über 2 Mrd. öffentlich zugängliche Seiten, täglich kommen etwa 8 Mio. hinzu. Diese Rechnernetze oder Einzelrechner kommunizieren miteinander über die Protokoll-Familie TCP/IP. Das Internet bezieht sich dabei auf die Schichten 3 und 4 des OSI-Schichtenmodells. - Schicht 1 / 2: Physikalische / Netzwerk Schicht - Schicht 3: Internet-Protokoll (IP) - Schicht 4: Transportprotokolle (TCP, UDP, SMTP usw) Seite 5

6 Die TCP/IP-Protokolle machen das Internet zu einem umfassenden paketvermittelten Netz, in dem alle Daten als einzeln adressierte Datenpakete über die Leitungen geschickt wird. Die verwendeten Übertragungsprotokolle sind äußerst robust, jedoch werden weder verläßliche Verbindungen noch eine Mindestübertragungsrate garantiert. Die Rechner im Internet sind durch eine eindeutige IP-Adresse gekennzeichnet. Das NIC (Network Information Center) in den USA vergibt Adressräume an nationale NIC s (in Deutschland das DE-NIC in Karlsruhe, das die Subnetzbezeichnungen vergibt und verwaltet). Die Benennung der einzelnen nationalen Rechner im Subnetz und das Routing der Datenpakete zum Zielrechner in einem Subnetz bleibt den Betreibern des Subnetzes überlassen. Subnetzbetreiber sind etwa Unternehmen (.com), Organisationen (.org,.gov) oder Universitäten (.edu). ipv6 zusätzliche Domains Der eigentliche Betrieb des Internet ist dezentral organisiert. Anhand des Domain Name System (DNS) werden den IP-Adressen textuelle Namen, die sogenannten domain names, zugeordnet. Diese Namen bilden die eindeutige Kennung (URL) eines Rechner- Servers. Die Vergabe der domain names wird zentral verwaltet. adresse eines Benutzers: user_name@domain_name Leitseite eines Servers: http: // Entsprechend der Struktur des Internets lassen sich verschiedene typische Akteure erkennen: - Teilnehmer - Anwendungsadministrator Seite 6

7 - Netzwerkadministrator - Netzbetreiber Zusätzlich haben sich für vielfältige Koordinationsaufgaben, z.b. für den Standardisisierungsprozeß und die Weiterentwicklung des Internets, verschiedene freiwillige und für alle offene Vereinigungen gebildet, von der einige wichtige in der "Internet Society" institutionalisiert wurden. Das Internet ist ein offenes Netz. Jeder Unternehmen, Körperschaft oder Privatperson - kann Rechnernetze oder Einzelrechner anschließen und mit anderen Benutzern kommunizieren. Der Anschluss an das Internet erfordert nur einen Browser, alos eine plattformspezifische (BeSy / Prozessor) Systemsoftware. Die Entwicklung und Nutzung der Übertragungsprotokolle fand in enger Zusammenarbeit mit Regierungsstellen und amerikanischen Universitäten statt. Bis 1993 übertraf die akademische Nutzung die kommerzielle Verwendung des Internet bei weitem, obwohl die Zugangsbedingungen 1990 bereits stark gelockert wurden. Das Internet wird zunehmend für zwischenbetriebliche Informationen genutzt: - Electronic Data Interchange (EDI) - Extra-Netze (Supply Chain Management, Customer Relations, Management) - e-commerce - Telefonie: Voice over TCP / IP Durchbruch zum stark wachsenden Netzverbund durch - Hypertext Links: verbinden Dateien / Internet-Seiten entfernter Server - Plattformunabhängige Protokollsuite insbes. Hypertext Transport Protokoll http mit Browsern für alle gängigen BeSy und Prozessoren Seite 7

8 - Öffnung für kommerzielle Betreiber Grundlage für Masseninformationssysteme Um möglichst viele private Teilnehmer zu erreichen, bietet sich das Internet auf Grund der geringen Zugangskosten und der Vielzahl von Teilmengen bzw. Servern an. Zum Zugang ist erforderlich: - Telefon- oder sonstige Datenleitung zu einem Internet- Provider - Datenstation (Modem) oder ISDN-Steuerkarte - Software (Protokoll-Stack des Browsers) 1.2 Grundlegende Strukturen des Internets Abbildung 1: LAN-to-LAN-Kopplung am Beispiel des Internets Seite 8

9 Abbildung 2: Situation ohne LAN-to-LAN-Kopplung Abbildung 3: Mit LAN-to-LAN-Kopplung über das Internet 1.3 Merkmale des Internets Die Einwahl ins Internet erfolgt über ein Datenendgerät, Modem, Internet-Server, Telefon - oder Datenleitung zum Betreiber eines Internet-Zugangs (Internet Access Provider). Der Provider bedient sich oft der Datenübertragungsdienste anderer Netzbetreiber (Telekom), um seine (regionale) Infrastruktur und die Verbindungen zu den Internet-Hauptknoten zu schaffen. (Der Internet-Provider vertreibt einen Mehrwertdienst.) Seite 9

10 Das Internet ist somit aus Sub-Netzverbindungen aufgebaut, die mit Hilfe von Datenübertragungsdiensten der Telekom-Gesellschaften und von privaten Netzbetreibern realisiert werden. Die Kosten des Internetzugangs setzen sich neben den Anschaffungs- und Betriebskosten der Datenstationen und Netzknoten aus den Kosten für die Datenübertragungsdienste der Netzbetreiber zusammen. Jede Datenstation nicht nur die Einwahlknoten der Internet- Provider kann als Server für Internet-Dienste fungieren: WWW/HTTP, FTP, Usenet-News, Terminal-Emulationen, etc. 1.4 Zugang von und zu anderen Netzen Gateways Gateways ins Internet werden von kommerziellen On-line-Diensten angeboten, die nicht das Internet-Protokoll TCP/IP verwenden. Gateways sind Computer bzw. darauf laufende Programme, die Daten einer Protokollart in eine andere umsetzen und so die Verbindung zwischen Rechnernetzen mit unterschiedlichen Übertragungsprotokollen ermöglichen. Diese Zugänge gibt es zu 1. proprietären in-house-postsystemen, wie auch zu X.400- Systemen (Mail-Systemen) der Telekom-Gesellschaften. 2. Proprietären Netzen (e.g. SNA, Transdata / UTM) Seite 10

11 1.5 IP-Adresse und Domain Name Jeder Internet-Rechner besitzt eine eindeutige IP-Adresse (Internet-Protokoll- Adresse) und kann anhand dieser identifiziert werden. Dabei weisen diese IP- Adressen folgende Eigenschaften auf: Im herkömmlichen IPv4-Standard ist jede IP-Adresse 32 Bits lang. IP-Adressen werden durch vier voneinander durch Punkte getrennte Zahlen (Oktetts) dargestellt, wie z.b. die IP-Adresse Für jedes Oktett stehen acht Bits zur Verfügung, womit sie maximal 256 Werte annehmen können (0-255). Da die Zahl der Rechner im Internet beständig ansteigt, wurde ein neuer Standard (IPv6) für IP-Adressen verabschiedet. Die Adressen in diesem Standard werden 128 Bits lang sein ( ~ 64 Mio. Adressen) Die Verwaltung der IP-Adressen obliegt weltweit zentral dem Internic Registration Service. Für einige Länder außerhalb der USA mit hoher Zahl an Netzwerken hat das Internic diese Aufgabe an nationale Network Information Center (NICs) delegiert; in Deutschland an das Rechenzentrum der Universität Karlsruhe (DE-NIC). Die IP-Adressen werden nicht für jeden Rechner einzeln, sondern in Adreßbereichen vergeben, innerhalb deren der Netzwerkbetreiber seinen Rechner die IP-Adressen zuweisen kann. Netzwerk-Klassen Sie werden, je nach Größenordnung des zu adressierenden Netzwerks, in Klassen vergeben. - Daimler-Benz hat beispielsweise ein Klasse A-Netz, d.h. die ersten 8 bit sind fest zugewiesen (53.xxx.xxx.xxx). Die restlichen Seite 11

12 24 bit können die Netzwerkadministratoren den Rechnern beliebig zuweisen. - Kellogg dagegen hat ein Klasse C-Netz, d.h. 24 bit (3 Oktetts) sind vorgegeben ( xxx). Die restlichen 8 bit kann die Firma vergeben, womit maximal etwas über 200 Rechner eindeutig gekennzeichnet werden können. DNS Domain Name System: Die Benutzung von IP-Adressen ist zur eindeutigen Kennung jedes Rechners im Internet ausreichend, jedoch z. B. für den Austausch von -Adressen oder anderer Nutzung durch die Teilnehmer unhandlich. Darüber hinaus ist sie unflexibel, man kann z.b. nicht ein ganzes Netzwerk adressieren (z.b. das Netzwerk der TU Berlin), um darin einen Teilnehmer zu erreichen, sondern man muß die jeweilige die IP-Adresse des Rechners kennen, auf dem der Teilnehmer bekannt ist. Daher wurde über die Struktur der IP-Adressen eine weitere Namensstruktur eingeführt, das Domain Name System (DNS), mit der Domainnamen jeweils einer bestimmten IP-Adresse zugeordnet werden. Dadurch ist es z.b. möglich, jemanden an der TU Berlin mit der Kennung nobody@tu-berlin.de zu erreichen, statt nobody@ angeben zu müssen. Das System erlaubt es zudem, dass mehrere Domainnamen auf dieselbe IP- Adresse zeigen, womit bestimmte, mit Anwendungen verknüpfte Namen (wie mail.tu-berlin.de für oder für das World Wide Web) einer IP-Adresse und somit einem Rechner zugeordnet werden können. Das System besteht im Prinzip aus mehreren replizierten Datenbanken, die die Zuordnung und Auflösung eines domain name zu einer IP-Adresse Seite 12

13 (wie z.b. ftp.uni-stuttgart.de ) leisten. Die domain names müssen wie IP-Adressen angemeldet werden; und wie bei den IP-Adressen erfolgt die Vergabe und Administration der domain names durch die Internic Registration Services. Außerdem kann mit dem domain name und der user ID (Kennung in einem Einzelnetzwerk) ein Teilnehmer im Internet per elektronischer Post erreicht werden: Form: z.b. Adressauflösung im Internet: Abbildung 4: Adressauflösung im Internet IP-Adressformate: Damit eine ausreichende Anzahl von Stationen in den Subnetzen adressiert Seite 13

14 werden kann, ist die von 32 bit Länge IP-Adresse derzeit in 5 Adressformaten organisiert. Die IP-Adresse setzen sich dabei zusammen aus der Netzwerkadresse und der Stationsadresse Netzwerk Lokale Adresse Netzwerk Lokale Adresse Netzwerk Lokale Adresse Multicast - Address Reserviert Abbildung 5: IP-Adressformate Beispiel zu IP-Adresse und Domain-Name: Die IP-Adresse bezeichnet einen Computer im Netz der Wirtschaftsuniversität Wien. Im Internet-Jargon spricht man dabei von der Domain (= Verwaltungsgebiet), der ein bestimmter Internet-Rechner zugehört. In diesem Beispiel würde der Domain-Name wu-wien.ac.at lauten. - at gibt an, daß sich der Rechner in Österreich (engl.: Austria) befindet. Seite 14

15 - ac gibt an, daß er dem akademischen (engl.: academic) Netz zugeordnet ist. - wu-wien schließlich beschreibt einen Teilbereich dieses Netzes (die Wirtschaftsuniversität Wien). Internet-Computer besitzen jeweils einen Namen. Will man einen Computer nun im Internet erreichen, so ist dazu entweder - seine IP-Adresse (zum Beispiel ) oder - sein vollständiger Name, beispielsweise isis.wu-wien.ac.at erforderlich. Die Namen sollen dabei den Benutzern die Navigation erleichtern. Sie werden von dezidierten Rechnern, den Name-Servern, in entsprechende IP-Adressen übersetzt. 1.6 Wegewahl Routing Das Routing (von engl.: route, das heißt Route, Weg) bzw. die Wegewahl beschreibt den Vorgang, wie Daten von einem Internet-Rechner zum anderen gelangen. Diese Routing wird dabei von spezialisierten Rechnern im Internet durchgeführt (sog. Router). Sogenannte Internetrouter tauschen im Rahmen von eigenen Managementprotokollen Informationen unter sich aus, um Wege durch die sie verbindenden Netze zu schalten. Sie erhöhen damit die Gesamtzuverlässigkeit der Internetumgebung, da sie adaptive Routing-Algorithmen, alternative Wegetabellen, Filter und zusätzliche Sicherheitsfunktionen besitzen. Seite 15

16 Abbildung 6: Wegewahl Routing im Internet 1.7 Zugangsarten zum Internet und damit verbundene Kosten 1. Möglichkeit: Dial-in Der Computer/die Datenstation ist dabei über eine Modem- Verbindung mit einem anderen Internet-Rechner verbunden und a- giert für diesen Fremdrechner wie ein peripheres Endgerät (Terminal). Er besitzt somit keine eigene feste, sondern eine temporäre IP- Adresse. Der temporäre Internet-Zugang über ISDN ist durch Kanalbündelung mit weit höheren Übertragungsraten möglich. (Primär-Multiplex- Anschluß bis 2 Mbit/s) Die Prozessorleistung des Terminal-Computers wird nur für die Kommunikationssoftware gebraucht. Seite 16

17 Der Vorteil dieser Zugangsart liegt in der Einfachheit der technischen Realisierung. Nachteile sind vor allem die Beschränkung auf die reine Textdarstellung. Die Multimedialität des Internet-Dienstes World Wide Web kann nicht genutzt werden. 2. Möglichkeit: Dial-up-IP Mit Hilfe von SLIP oder PPP werden IP-Datenpakete über die Telefonwählleitung (Verbindung über Modem) geleitet. Ebenso wie beim Dial-In ist der Internet-Zugang über ISDN mit Kanalbündelung möglich. Dem Computer wird eine temporäre IP-Adresse zugewiesen, wodurch er für die Dauer der On-line-Verbindung zu einem Internet- Recher wird. Ebenso wie beim Dial-In ist der Internet-Zugang über ISDN mit denselben Vorteilen möglich. Vorteile sind die günstigen Zugangskosten (vor allem auch für private Benutzer) sowie die Möglichkeit, sämtliche Internet-Dienste zu nutzen. Dies erfordert Ressourcen für einen JAVA-Interpreter und Zusatzdienste (Verschlüsselung, Video-Streaming, Bildaufbau, etc.) Nachteile sind die geringen Datentransferraten von Modemverbindungen, die das Übertragen von Multimediaelementen wie Grafiken oder Tondateien zu einem (telefonkostenintensiven) Geduldspiel für den Benutzer machen (Abhilfe xdsl, Satellitenverbindung). 3. Möglichkeit: Dauerverbindung Es handelt sich um die komfortabelste Verbindung zum Internet. Es besteht eine permanente Verbindung zum Internet-Provider ü- ber einen Router. Seite 17

18 Alle Internet-Dienste stehen ohne gesonderten Verbindungsaufbau zur Verfügung. Zugleich können andere Internet-Benutzer jederzeit Informationen abrufen, die auf einem derart an das Internet angeschlossenen Computer angeboten werden der Rechner ist zugleich auch ein Internet- Server. Weitere Vorteile sind die in der Regel höheren Transferraten sowie die Möglichkeit, ein Subnetz (LAN) über den Server an das Internet anzubinden. Abbildung Kostenstruktur des Internetzuganges Kosten bei Dial-in und Dial-up: - Entgelt des Internet-Zugangsanbieters pro Zeiteinheit des Zugangs - Einwahlentgelt der Wählleitung bis zum Provider Kosten für Dauerverbindungen: - Die Kosten werden nach der Bandbreite (und der Länge) der Leitungsstrecke bis zum Internetanbieter errechnet. - Sind die Datenpakete erst einmal beim Internet-Anbieter, so entstehen keine weiteren entfernungsabhängigen Kosten. - Pauschalisiertes Zugangsentgelt der Dauerverbindung: flat rate Seite 18

19 1.9 Multicast-Backbone Auf der Konferenz der Internet Engineering Task Force im März 1992 wurden anhand spezieller Programme Vorträge in Form von Bild- und Toninformationen im Internet übertragen. Bei einer späteren Konferenz wurde für das entstehende Netz, das sich der Multicast-Übertragung bedient und als virtuelles Netz über dem Internet liegt, der Name MBone als Abkürzung für Multicast Backbone gewählt. Inzwischen hat sich dieses Netz von den USA weiter ausgedehnt; mittlerweile sind europäische, japanische und auch osteuropäische Universitäten Teilnehmer des MBone. Da das Datenvolumen bei Audio- und Videoübertragungen die Übertragungskapazität des Internets übersteigt (in Deutschland sind die meisten Universitäten mit 2-34 Mbit/s angeschlossen), gilt zur Zeit die Absprache, daß Video- Signale mit mehr als 128 Kbit/s nicht gesendet werden sollen, um Störungen durch überlastete Router zu vermeiden. Das MBone ist zur Zeit ein äußerst zerbrechliches Netz zu Forschungszwecken, welches das Internet erheblich belastet. Dennoch kann das MBone beim Ausbau zum Internet II mit über 133 Mbit/s zu einem festen Bestandteil der Internet-Dienste werden. Zur Teilnahme am MBone werden speziell dafür entwickelte Programme verwendet, die die Komprimierung und Übertragung von Audio-, Video- und grafischer Information übernehmen (Streaming Protokolle). Diese Programme werden im folgenden aufgezählt: - Zur Videoübertragung stehen drei Programme zur Verfügung, nämlich nv, ivs und vic. Seite 19

20 - Die Audioübertragung wird von den Programmen vat bzw. nevot bewirkt. - Als White-Board wird wb verwendet. - Das Programm imm ermöglicht den Empfang von JPEGkodierten Standbildern. (Im MBone werden Bilder von Wettersatelliten versendet, die mit imm empfangen werden können.) - Zur Koordination und Ankündigung der Übertragungen wird sd verwendet. Dieses Programm zeigt die angekündigten und laufenden Konferenzen/Vorlesungen an und kann die zur Teilnahme benötigten Programme (wie nv oder vat) starten. Diese Programme sind frei verfügbar und können auch verwendet werden, wenn das Netz, in dem sie betrieben werden, nicht am MBone angeschlossen ist. In diesem Fall bleibt ihre Verwendung jedoch auf das lokale Netz beschränkt. Eine Teilnahme am internationalen MBone-Datenverkehr erschließt sich erst durch den Anschluß an dieses virtuelle Netz und den Betrieb des entsprechenden DVMRP-Router. Charakterisierung des Multicast-Dienstes im Internet: Multicast-Übertragungen sind Übertragungen für eine Gruppe von Rechnern vom Typ Rundsendung (Broadcast). Datenübertragung über das Multicast-Backbone (MBone), ein globales Overlay-Netz. Die Multicast-Pakete werden vom Sender über eine virtuelle Baumstruktur zu den Gruppenteilnehmern geschickt. (Unnötiger Mehrverkehr in Netzabschnitten wird dadurch vermieden, daß Daten nur an den Knoten verteilt werden, an denen Äste mit Empfängern sitzen.) Mittlerweile existieren ca multicastfähige Subnetze: Seite 20

21 - In Europa das ATM-Netz mit Stuttgart als Hauptauslandszugang nach Schweden, Großbritannien und Holland. - Dieses Netz läuft auf dem Breitbandwissenschaftsnetz (B-WIN 380 Mbit/s). Eine reguläre Verwaltung des MBones existiert nicht bei Anschlußwunsch kann jeder einen Tunnel zum nächsten Knoten legen. Seite 21

22 2 Sicherung von Internetübertragungen und Rechnern 2.1 Problemstellung Eines der Hauptprobleme im Internet besteht in ungeschützten Zugängen. Diese ungeschützten Zugänge beziehen sich sowohl auf das Internet, als auch auf Unternehmensnetzwerke, die an das Internet angeschlossen sind. Angriffe von außen können in Unternehmensnetzwerken durch abhören oder verfälschen enorme Schäden verursachen. Schlimmer jedoch wäre es, wenn die internen Daten von außen gelöscht würden. Ziel ist es somit, Mittel und Wege zu finden, um die Manipulation und das Abfragen interner Daten über das Internet durch Unbefugte zu unterbinden. Hierzu werden im Folgenden verschiedene Methoden vorgestellt. 2.2 Sicherungsverfahren Im Netz: VPN /Extranetz durch Tunnelung Bei der VPN-Tunnelung werden die ursprünglichen Daten zunächst umge- Packt und mit einem zusätzlichen Tunnel Header vesehen.durch diesen Tunnel Header wird die Verschlüsselung, die Authentifizierung und das Schlüsselmanagement automatisch übernommen. Die Übersendung des mit dem Header versehenen Paket über das Internet geschieht auf dem normalen Weg. Das besondere ist die Tunnelung am Anfang und am Ende der Übermittlung. Seite 22

23 Anfang / Ende des Tunnel-Dienstes Anfang: Ausgangspunkt für die Übermittlung ist ein Client-Rechner mit VPN- Software, von dem aus die sichere Ubermittlung von Daten an einen anderen Rechner erfolgen soll. Die Daten werden mit der oben beschriebenen Technik verarbeitet und über den Zugangsrouter des LAN und den Zugangskonzentrotor des Internet-Providers an des Zielrechner geschickt. Ende: Der Empfangsrechner ist durch einen Firewall geschützt. Dieser Firewall bildet die Schnittstelle zwischen Unternehmen und Internet oder zwischen äußerem und innerem Firewall. Dies nennt man auch DMZ (De Militarisierte Zone). Ein spezieller Tunnel-Switch lässt nur diejenigen Daten durch, die bestimmte vorgegebene Bedingungen erfüllen. Die vielfältigen Möglichkeiten der Implementierung durch VPN-Anbieter (Hardware, Software, Netzanbieter, Firewall-Anbieter) ermöglichen große Gestaltungsspielräume bei dem Einsatz solcher Tunnelungen zur Sicherung der Übertragung VPN-Lösungen Eine weiter Möglichkeit zur Sicherung von Übertragungen ist die Nutzung eines VPN (Virtual Private Network). Hierbei werden meistens Layer-2- Tunneling benutzt bei denen das Internet Schicht-2-Protokoll der Punkt-zu- Punkt-Verbindung (PPP) mit einem Tunnel-Header eingepackt wird (Möglich ist auch eine Tunnelung auf OSI-Schichten 2 und 3, dann aber ohne Authentifizierungsprotokoll). Gängige Verfahren sind hierbei das Point to Seite 23

24 Point Tunneling Protocol (PPTP; Microsoft) und das Layer-2-Forwarding (L2F; Cisco) Neuer Standard: L2TP Ein neuer Standard bei der Tunnelung ist das Layer-2-Tunneling-Protocol, durch das die besten Eigenschaften aus L2F und PPTP erbunden werden sollen. Folgende Featutres werden unterstützt: mehrere Tunnels auf einer Verbindung zusätzliche Weitverkehrsprotokolle, neben IP werden unterstützt: ATM, X.25, Frame Relay IPSec (IP-Security) als Ergänzung für Verschlüsselung und Schlüsselmanagement Die IPSec-Komponenten sind zwei Protokollköpfe IP-Header Authentication Header Encapsulating Security Payload Daten AH: ESP: Authentifizierung des Absenders gegen Transportverfälschung Verschlüsselungsinformationen der nachfolgenden Daten des Pakets ESP oder AH wählbar Seite 24

25 Ablauf einer VPN-Tunnelung Einwahl beim Provider via PPP Zugangskonzentrator erkennt/authentifiziert den Nutzer mittels einer der Authentifizierungsprozeduren (nach PPP): CHAP (Challenge Handshake Authentication Protocol) oder PAP (Password Authentication Protocol) Zugangskonzentrator baut Tunnel zum Internet-Server des Empfängers auf (direkt oder über Internet-Provider der Gegenstelle) Dienste am Tunnel-Anfang/Ende verhandeln die Daten- sicherungsmethode mittels ISAKMP/Oakley-Verfahren. (Internet Security And Key Management Protocol / Oakley Key Determination) Key Determination: verwendet private und öffentliche Schlüssel für Signaturen und Codierung. Problem: Über den noch unsicheren Kanal müssen zwei private Schlüssel ausgetauscht werden. Lösung: Diffie-Hellmann-Schema (Prinzip) - basiert auf RSA - verwendet Hälften von öffentlichen/privaten Schlüsseln - Tunnel-Anfang/End-Dienst errechnen daraus einen dritten geheimen Schlüssel ohne Benutzung des unsicheren Kanals. Verschlüsselung und Verpackung (AH, ESP) zum Transport Seite 25

26 L2TP: steuert die Tunnelung ESP: die Verschlüsselung AH: die beglaubigte Herkunft und Integrität der Datenpakete Verbindungsabbau 2.3 Firewalls (FW) Firewalls dienen der Absicherung des Daten-Transfers von/zu einem Internet- Client über das Internet. Ein Firewall ist Grenzstelle zwischen dem öffentlichen Internet und dem lokalen Netzwerks eines Unternehmens. Das Ziel besteht in der Abweisung unerwünschter Datentransfers, also Datenübertragungen die entweder nicht in das firmeninterne Netzwerk gelangen sollen oder es nicht verlassen dürfen. Beispiele sind: - Kein Fax über Internet versenden - keine interne Software versenden - keine ungeprüfte Software ins LAN weiterleiten (Viren, Trojanische Pferde, etc.) - keine Benutzer- oder Administratorrechte an externe SW-Clients (hacking) zulassen Firewalls bezwecken die Verhinderung von Einbruchs- oder auch Ausbruchsversuchen in/aus private LANs, die über einen Anschluss an öffentliche Netze (Internet, ISDN, X.25) verfügen. Die Funktioneweise eines solchen Firewalls ist folgende: Der Übergangspunkt zwischen LAN und öffentlichem Netz wird mittels eines Firewall-Rechners kontrolliert. Hierbei werdenein- oder Ausbruchsversuchen anhand von Protokoll- oder Inhaltsanalyse erkannt und lösen eine Reaktion der Firewall-Einrichtungen aus. Seite 26

27 Ein Firewall kann auch aus mehreren einzelnen Firewall-Rechner bestehen. Es handelt sich in diesem Fall dann um mehrstufige Firewalls: FTP Server WWW Server Internet inneres Netz - LAN äußeres Gateway De-Militarized Zone Firewall-Bereich Inneres Gateway Solchen mehrstufigen Firewalls können mehrstufige Filter haben.diese sind dann meist im inneren Gateway oder in einer Hierarchie von inneren Gateways geordnet, um die Isolation weiterer Server im Bedarfsfall zu ermöglichen. Die Konfigurationsstrategien für Firewalls sind relativ frei nach dem Grundsatz: - Alles ist erlaubt, was nicht ausdrücklich verboten ist. - Ausschluss gefährdeter Internet-Dienste: ftp, nfs. Der Administrator muss das Benutzerverhalten beaufsichtigen und Gegenmaßnahmen ergreifen. Meistens erfolgen solche Beaufsichtigungen nach der Regel - Alles ist verboten, was nicht ausdrücklich erlaubt ist. Um einen globalen Schutz vor Sicherheitslücken zu ermöglichen erzwingt die Antragsmentalität der internen Benutzer verschiedene Arten von Arten von Firewalls: - Paketfilter - Circuit Level Gateways - Application Level Gateways Seite 27

28 2.3.1 Paketfilter Internet-Ports werden mit Diensten gekoppelt (ftp, telnet, ). Paketfilter überprüfen die Quell- und Zieladresse und den Internet-Service im Paketkopf eines Transfers (IP-Adresse und TCP/UDP-Port-# ). TCP-Port-#: 80 : http-verkehr 20,21: ftp-dienste Nachteilig ist bei Paketfiltern die fehlende Unterscheidung zwischen Nutzern und deren Rechnern für IP-Dienste (globale Filterung anhand Port-#), der Vorteil ist eine einfache Installation und unproblematischer Betrieb sowie schnelle Überprüfung und hohe Transparenz. Eine Weiterentwicklung der Paketfilter stellen sogenannte Intelligente Paketfilter dar. Diese analysieren den Paketinhalt (aufwendige Aktualisierung der zugehörigen Regelbasis/ Nutzer, Aussortierung zur Administrator- Inspektion und Vernichtung/Abweisung) Circuit Level Gateways Cicuit Level Gateways sind vergleichbar mit Paketfiltern, jedoch arbeiten sie auf höherer Ebene des Protokolls. Es besteht eine Verbindung zum Firewall-Host, so dass eine prinzipielle Abschottung zu Informationen über das zu schützende LAN möglich ist Applications Level Gateways Hierbei handelt es sich um Proxy-Server, die eine Unterbrechung der direkten Verbindung zwischen anfragendem externen Client und dem adressierten Server ermöglichen. Auf dem Firewall wird für jede zulässige Seite 28

29 Anwendung ein eigenes Gateway-Programm installiert. Der Client authentifiziert sich gegenüber dem Proxy-Programm. Der Proxy ist Kontrolleur und Stellvertreter des Dienste anfordernden externen (auch internen) Clients und erlaubt Zugangsprofile (Zeiten, Dienste, Rechte, Zielrechner,, Anwendung, wie Virenprüfung oder Inhaltsanalyse der Datenpakete). Die resultierenden Regelsätze sind überschaubar, aber vielfältig. Es handelt sich hierbei um die sicherste, aber auch aufwendigste Lösung eines Firewalls. Nebeneffekte eines Proxys sind: - lokaler Cache von WWW-Seiten (update?) - Abgrenzung von Bereichen unterschiedlicher Sensibilität (Geschäftsführung, Auftragsverfolgung, Finanzplanung, ) - Network Address Translation: IP-Adresse der LAN-Clients wird zum Internet verborgen. - Tunneling-Dienste integrierbar Die größte Gefahr für Rechnernetze droht immer noch von kriminellen Mitarbeitern, die unternehmenskritische Anwendungen und Daten missbrauchen. Seite 29