CARL HANSER VERLAG. Wolfgang Böhmer. VPN - Virtual Private Networks Die reale Welt der virtuellen Netze

Transkript

1 CARL HANSER VERLAG Wolfgang Böhmer VPN - Virtual Private Networks Die reale Welt der virtuellen Netze

2 Inhaltsverzeichnis Teil I VPN-Grundlagen und Techniken 1 1 Einleitung WasisteinVPN? WelcheVPN-Variantengibtes? WassolleinVPNleisten? Netzgrundlagen der VPN-Technologie Verfahren der Kommunikationstechnik füreinvpn OffeneKommunikationinDatennetzen DieArchitekturdesOSI-Referenzmodell DiesiebenOSI-Funktionen DieOSI-Dienste DieOSI-Protokolle DasInternet-ProtokollinderVersionIPv4undIPv BOOTP/DHCPundMobile-IP Ende-zu-Ende-FlusskontrollemittelsTCP Dienstgüte(CoS)und(QoS)inIP-Netzen IntegrierteunddifferenzierteDienste Multi-ProtocolLabelSwitching(MPLS) Weitverkehrsnetze(WAN) Fast-Packet-Switching(FPS) Frame-Relay MPLS überframe-relay AsynchronerTransferModus(ATM) ATM-Referenzmodell MPLS überatm-verbindungen IP/MPLS und Multiprotokoll Lambda Switching (ÅÈ Ë)... 91

3 VIII Inhaltsverzeichnis Teil II Realisierung der Privatsphäre in VPN 95 3 Informations- und Kommunikationssicherheit DefinitionIuK-Sicherheit VerfahrenzurErlangungderIuK-Sicherheit Risikoanalysen ITSECundCommonCriteria(CC) VergleichzwischenCCundITSEC KurzüberblickCommonCriteria SicherheitsarchitekturoffenerSysteme SicherheitsphilosophieundSicherheitspyramide EvaluierungderGesamtunternehmenssicherheit Verschlüsselung Verschlüsselungstechniken Substitutionstechniken Transpositionstechniken SymmetrischeKryptosysteme BlockchiffreundStromchiffre DES,TripleDES,IDEAundAES TripleDES IDEA AES RIJNDAEL AsymmetrischeKryptosysteme Schlüsselaustauschverfahren Diffie-Hellman,RSA,ELGamal,DSA KryptograpischeHashfunktionen Digitale Signatur Mechanismen einer digitalen Signatur Bedeutung der digitalen und der elektronischen Signatur PKIundTrustCenter x.500 und x.509v ZertifizierungundValidierung PKI-Unterscheidungsmerkmale Einsatz von Digitalen Zertifikaten

4 Inhaltsverzeichnis IX 5 Verfahren zur Authentifizierung EinfacheAuthentifizierungsverfahren StarkeAuthentifizierungsverfahren Ein-Wege-Authentifizierung Zwei-Wege-Authentifizierung Drei-Wege-Authentifizierung Zwei-Faktoren-AuthentifizierunginderPraxis ZeitsynchroneAuthentifizierungmittelsToken-Cards SpeicherkartenundSmart-Cards AuthentifizierungsverfahreninderAnwendung Die PPP-Verbindung als Voraussetzung für PAP und CHAP PasswordAuthenticationProtocol(PAP) Challenge-Handshake Authentication Protocol (CHAP) Die AAA-Sicherheitsarchitektur RemoteAuthenticationDial-InUserService(RADIUS) Terminal Access Controller Access Control System (TACACS) VergleichzwischenRADIUSundTACACS Kerberos Teil III Die reale Welt der VPN Varianz der VPN-Typen VPN Einsatzmöglichkeiten Intranet-VPN(Site-to-Site) Extranet-VPN(End-to-End) Remote-Access-VPN(End-to-Site) Eckpunkte fürdeneinsatzeinesvpn VPN-Sicherheitspolitik VPNundFirewall VPNundRouter Quality-of-ServiceinVPN DiffservinVPN...227

5 X Inhaltsverzeichnis 7 VPN-Basistechnologien Tunneling Layer-2-Techniken L2F PPTP L2TP L2Sec Layer-3-Techniken Sicherheitsstandard fürdasinternet(ipsec) DasZielvonIPSec Die IPSec-Sicherheitsvereinbarungen (SA) IPSec-AuthentifizierungmittelsAH-Header IPSec-VertraulichkeitmittelsESP-Header Transport-undTunnel-Modus KombinationenvonSecurityAssociations InitiierungeinerSecurityAssociation IPSecundRemoteAccess DasInternet-Key-Exchange-Management(IKE) IKE-Phase IKE-Phase-2 Quick Mode Das Internet Security Association and Key Management Protocol(ISAKMP) Das Oakley-Schlüssel-Protokoll(Oakley) Das Simple Key Management for Internet Protocols (SKIP) Layer-2-undLayer-3-Vergleich Layer-4-Techniken Secure Socket Layer (SSL) und Transport Layer Sicherheit (TLS) VergleichzwischenIPSecundSSL/TLS Layer-5-Techniken SOCKSV

6 Inhaltsverzeichnis XI 8 Provider-Netze sichere Kommunikation u ber fremde Netze Provider Netze und Netzstrukturen IP-VPN über Wählverbindungen VPN über fremde Netze Referenzmodell für ein verwaltetes CE-basierendes VPN Referenzmodell für ein Netzwerk-basierendes VPN Netzwerk-Performance und Management Sicherheitsaspekte Service-Vereinbarungen (SLA) VPN-Klassifizierungen Vergleichsverfahren und Anforderungen Einsatz von Virtuellen Privaten Netzen VPN-Marktbetrachtungen IPSec und MPLS für VPN der zweiten Generation IPSec und Performance Aspekte Planungsaspekte Phasenplan zur Durchführung eines VPN-Projektes Analyse Konzeption Realisierung Betrieb Schlussbemerkung Literaturverzeichnis 358 Stichwortverzeichnis 365