M O D U L K A P I T E L

Transkript

1 VPN, WLAN MODUL 551 KAPITEL 17 18

2 Ziele 2 Sie können die Arbeitsweise von VPN erläutern Sie können eine sichere Verbindung über unsichere Netze einrichten Sie können ein WLAN geeignet absichern Offene Fragen sind beantwortet WISS / Th. Fahrni März 08

3 Ablauf des Blocks 3 Fragen & Antworten 10' RAS, VPN 60' WLAN 40' Pause 30' WLAN 65' Zusammenfassung 5' WISS / Th. Fahrni März 08

4 Remote Access Service 4 ERGÄNZUNG ZU MODUL 551 KAPITEL 17

5 RAS: Definition 5 Remote Access Server / Remote Access Service Über Remote Access Service können Windows- Rechner via Modem verbunden werden. Für RAS wird eine Variante des PPP eingesetzt. Bei der Anmeldung werden Username und Password mit Hilfe eines DES-Verschlüsselungs- verfahrens geschützt. t WISS / Th. Fahrni März 08

6 RAS: Ziele 6 Zugangssicherheit (Identifizierung/Authentisierung) Zugriffskontrolle (Autorisierung) Kommunikationssicherheit (Vertraulichkeit, Integrität, Authentizität) t tät) Verfügbarkeit WISS / Th. Fahrni März 08

7 RAS: Gefahren 7 Ausfall IT-System, WAN Unkontrollierter Aufbau von Kommunikationsver- bindungen Fehlende Regelungen für das RAS-SystemSystem Unerlaubte (private) Nutzung Fhl Fehlerhafte hf Administration ii i des RASS RAS-Systems Abhören von Leitungen Vertraulichkeitsverlust schützenswerter Informationen Teuer und veraltet WISS / Th. Fahrni März 08

8 RAS: Resumé 8 Berücksichtigt nicht die Situation der weitverbreiteten Breitbandanbindung Teuer, da Telekomgebühren anfallen Sicherheitstechnik veraltet und unsicher Ziel einen Remotezugang zu gewähren ist aktueller denn je SCHLUSSFOGERUNG: Remote Access ja, aber nicht via RAS sondern via VPN, L2TP und IPSEC WISS / Th. Fahrni März 08

9 Virtual Privat Network 9 MODUL 551 KAPITEL 17

10 VPN: Definition 10 VPN ist eine Technologie zum Verbinden von lokalen l Netzen verschiedener Standorte und zum Verbinden von Einzelarbeitsplätzen und mobilen Mitarbeitern zu einem ganzheitlichen Unternehmensnetzwerk. Da die Basis eine gemeinsam genutzte t Infrastruktur ist, werden Daten und Informationen wirksam vor unberechtigtem Zugriff geschützt.

11 VPN: Ausgangslage g g 11 Welche Art von Verkehr soll übertragen werden? Welche Anwendungen werden eingesetzt t? Wie oft wird das Netz benötigt? Welche Sicherheitsanforderungen bestehen an die Daten, die Anwendungen und die Anwender? Bestehende Systeme, wie Firewalls? Benutzer, B2C, B2B Zugriffe?

12 Remote Access Extranet Intranet VPN: Einsatzbereiche 12

13 VPN: Remote Access Zugriff von Remotebenutzern t über das Internet t 13 VPNs ermöglichen den Remotezugriff auf Unternehmensres- sourcen über das öffentliche Internet t unter Wahrung der Informationssicherheit.

14 VPN: Extranet Verbinden von Netzwerken über das Internet t 14 Man unterscheidet zwei Verfahren, um lokale Netzwerke an Remotestandorten unter Verwendung von VPNs zu verbinden: Verbinden einer Zweigstelle mit dem Unternehmens-LAN über eine Standleitung. Verbinden einer Zweigstelle mit dem Unternehmens-LAN über eine DFÜ-Verbindung.

15 VPN: Intranet Verbinden von Computern über ein Intranet t 15 In einigen firmeneigenen Netzwerken verfügen bestimmte Abteilungen über derart vertrauliche Daten, dass das Abteilungs- LAN physisch vom übrigen firmeneigenen Netzwerk getrennt ist. Einerseits werden so die vertraulichen Abteilungsdaten geschützt, andererseits entstehen für Benutzer, die nicht physisch mit dem separaten LAN verbunden sind, Probleme beim Zugriff auf diese Daten.

16 VPN: Anforderungen Grundlegende d VPN-Anforderungen 16 Ein Unternehmen, das mit einer Remotenetzwerklösung arbeitet, muss in der Regel den kontrollierten Zugriff auf die Unternehmens- ressourcen und -informationen gewährleisten. Die Lösung muss vorsehen, dass sich Clients an wechselnden Standorten oder Remoteclient mit LAN-Ressourcen verbinden können, und sie muss zulassen, dass sich Remotebüros verbinden können, um Ressourcen und Informationen gemeinsam zu verwenden. Weiter muss die Lösung die Sicherheit und Integrität der Daten beim Transport im Internet sicherstellen. Dasselbe gilt für sensitive Daten, die im firmeneigenen Netzwerk transportiert werden.

17 VPN: Leistungsmerkmale 1 Benutzerauthentifizierung th tifi i 17 Die Lösung muss die Identität des Benutzers überprüfen und den VPN-Zugriff ausschliesslich auf autorisierte Benutzer einschränken. Weiter muss sie Überwachungs- und Kontoführungseinträge führen, aus denen hervorgeht, wer wann auf welche Informationen zugegriffen hat. Adressenverwaltung Die Lösung muss die Adresse eines Clients auf dem privaten Netz zuordnen und sicherstellen, dass private Adressen privat bleiben. Datenverschlüsselung Die auf dem öffentlichen Netzwerk übertragenen Daten müssen für nicht ih autorisierte ii Clients auf dem Netzwerk unlesbar sein.

18 VPN: Leistungsmerkmale 2 Shlü Schlüsselmanagementl 18 Die Lösung muss Verschlüsselungsschlüssel für den Client und den Server erzeugen und aktualisieren. Multiprotokollunterstützung Die Lösung muss mit den Protokollen arbeiten können, die im öffentlichen Netzwerk im Allgemeinen verwendet werden. Dazu zählen u. a. IP IPX. Eine Internet-VPN-Lösung auf der Basis des Point-To-Point-Tunneling- Protokolls (PPTP) oder des Layer-2-Tunneling-Protokolls ll (L2TP) erfüllt alle aufgeführten Anforderungen. Andere Lösungen, einschliesslich des neuen IP Security-Protokolls (IPSec) erfüllen nicht alle genannten Anforderungen, sind aber in Spezialfällen nützlich.

19 VPN: Evaluation 1 Werden leistungsfähige Router verwendet ist es naheliegend, diese für ein VPN zu verwenden 19 Gibt es eine Firewall die den gesamten Datenverkehr managt, wäre diese ein guter Ansatzpunkt Baut das Netzwerk mehr auf Servern auf, kommt eine reine Softwarelösung in Frage Bei hohen Anforderungen an den Datendurchsatz empfiehlt sich eine reine Hardwarelösung

20 Router basierend VPN Tauglichkeit (Upgrades) Hardware basierend VPN: Evaluation 2 20 Router mit speziellen Hardware Komponenten (Verschlüsselung, Performance) Software basierend Applikation zu bestehendem OS Firewall basierend Erweiterung der Firewallfunktionalität

21 VPN: Tunneling 1 21 Beim Tunnelverfahren (Tunneling) wird eine vorhandene Netzwerkinfrastruktur verwendet, um Daten für ein Netzwerk über ein anderes Netzwerk zu übertragen. Die zu übertragenden Daten (die Datenpakete) können die Rahmen (oder Pakete) eines anderen Protokolls sein. Das Tunnelprotokoll sendet einen Rahmen nicht in der vom Ausgangsknoten erzeugten Form, sondern kapselt ihn in einen zusätzlichen Header. Er enthält Routinginformationen, aufgrund derer die gekapselten Datenpakete den dazwischen liegenden Transitnetzverbund (Transit Internetwork) passieren können.

22 VPN: Tunneling 2 Die gekapselten Pakete werden zwischen Tunnelendpunkten über das Netzwerk weitergeleitet. Der logische Pfad, den die gekapselten Pakete auf ihrem Weg gdurch das Netzwerk nehmen, wird Tunnel genannt. Das Tunnelverfahren enthält den gesamten Prozess Das Tunnelverfahren enthält den gesamten Prozess (Kapselung, Übertragung und Entkapselung der Pakete). 22

23 VPN: RAS Protokolle Ältere Protokolle, aber noch immer im Einsatz sind: 23 SNA-Tunneling über IP-Netzwerke. Wenn SNA-Verkehr (Systems Network Architecture) über ein Unternehmensnetzwerk gesendet wird, wird der SNARahmen in einen UDP- und IP-Header gekapselt. IPX-Tunneling für Novell NetWare über IP-Netzwerke. Wenn ein IPX-Paket an einen NetWare-Server oder IPX-Router gesendet wird, verpackt der Server oder der Router das IPX-Paket in einen UDP- und IP- Header und sendet es dann über ein IP- Netzwerk.

24 VPN: RAS Protokolle Point-to-Point-Tunneling-Protokoll t P i t P t ll (PPTP) 24 PPTP ermöglicht es, IP-, IPXoder NetBEUI-Verkehr zu verschlüsseln, in einen IP-Header zu kapseln und dann über ein Netzwerk zu senden. Layer-2-Tunneling-Protokoll (L2TP) L2TP ermöglicht es, IP-, IPX- oder NetBEUI-Verkehr zu verschlüsseln und dann über ein Medium zu senden, das Punkt-zu-Punkt-Data- grammübermittlung unterstützt (IP, X.25, Frame Relay oder ATM). IP-Security-Tunnelmodus (IPSec) IPSec-Tunnelmodus ermöglicht es, IPDatenpakete zu verschlüsseln, in einen IP-Header zu kapseln und dann über ein Netzwerk zu senden.

25 VPN: RAS Protokolle 25 Um einen Tunnel einrichten i zu können, müssen Tunnelclient li und Tunnelserver dasselbe Tunnelprotokoll verwenden. Tunneltechnologie kann auf einem Schicht 2- oder einem Schicht 3-Tunnelprotokoll basieren. Beide Schichten entsprechen dem OSI-Referenzmodell. PPTP-, L2TP- und Layer 2 Forwarding (L2F) sind Schicht 2- Tunnelprotokolle. IP-over-IP und IP-Security-Tunnelmodus (IPSec) sind Beispiele für Schicht 3-Tunnelprotokolle. Diese Protokolle kapseln IP-Pakete in einen zusätzlichen IP-Header, bevor sie sie über ein Netzwerk senden.

26 VPN: Schicht 2-Protokolle 26 Für Schicht ht 2-Tunneltechnologien l ist ein Tunnel mit einer Sitzung vergleichbar. Beide Tunnelendpunkte müssen mit dem Tunnel einverstanden sein und Konfigurationsvariablen wie z. B. Adresszuweisung, Verschlüsselungs- oder Komprimierungsparameter aushandeln. In den meisten Fällen werden die über den Tunnel übertragenen Daten unter Verwendung eines datagrammbasierten Protokolls gesendet. Ein Tunnelverwaltungsprotokoll dient als Verwaltungs Ein Tunnelverwaltungsprotokoll dient als Verwaltungsinstrument für den Tunnel.

27 VPN: Schicht 3-Protokolle 27 Shiht Schicht 3-Tunneltechnologien 3T l gehen davon aus, dass alle Konfigurationsparameter bereits ausgehandelt wurden, häufig in manuellen Vorgängen. Für diese Protokolle besteht unter Umständen keine Tunnelverwaltungsphase. Für Schicht 2 Protokolle (PPTP und L2TP) muss jedoch ein Für Schicht 2-Protokolle (PPTP und L2TP) muss jedoch ein Tunnel erstellt, verwaltet und schließlich beendet werden.

28 PPP: die 4 Aushandlungsphasen gp Phase 1: Herstellung der PPP-Verbindung 28 PPP verwendet das Link Control-Protokoll (LCP), um die physische Verbindung einzurichten, zu verwalten und zu beenden. Phase 2: Benutzerauthentifizierung Client-PC gibt die Anmeldeinformationen dem RAS-Server Server bekannt. Phase 3: PPP-Rückrufsteuerung Die PPP-Implementierung von Microsoft schliesst eine optionale Rückrufsteuerungsphase ein. Phase 4: Starten der NCPs Die verschiedenen Protokolle, die in Phase 1 ausgewählt wurden, werden gestartet und konfiguriert.

29 PPTP: Aufbau 29 PPTP verwendet eine TCP-Verbindung für die Tunnelverwaltung lt und GRE (Generic Routing Encapsulation) für die gekapselte PPP-Rahmen.

30 L2TP: Resumé Headerinformationen verschlüsselt lt NAT wird unterstützt Mehrer Tunnels in einer Verbindung möglich Verschlüsselt die Nutzdaten nicht 30 SCHLUSSFOGERUNG: Besser als PPTP aber nur in Kombination mit einem zusätzlichen Verschlüsselungsprotokoll gp wie IPSec

31 L2TP: Definition 31 L2TP ist ein Netzwerkprotokoll, k das PPP-Rahmen kapselt, um sie über IP-, X.25-, Frame Relay- oder Asynchronous Transfer Mode (ATM)-Netzwerke zu senden. Wurde L2TP so konfiguriert, dass IP für den Datagramm- transport t eingesetzt t wird, kann das Protokoll als Tunnelprotokoll im Internet verwendet werden. L2TP kann auch direkt, also ohne eine IP-Transportschicht, über verschiedenen WAN-Medien (wie z. B. Frame Relay) verwendet werden. Die Datenpakete der gekapselten PPP-Rahmen können verschlüsselt und/oder komprimiert vorliegen.

32 L2TP: Aufbau 32 L2TP über IP-Netzwerke verwendet UDP und eine Reihe von L2TP- Meldungen für die Tunnelverwaltung.

33 PPTP: Resumé PPTP hat im MS-Umfeld eine hohe h Verfügbarkeit IP-Header sind Original (kein Problem mit NAT) Verschlüsselung kann geknackt werden Andere Rechner können sich als VPN-Partner ausgeben 33 SCHLUSSFOGERUNG: PPTP nicht mehr verwenden

34 IPSec: Definition 34 IPSec arbeitet auf der Netzwerkschicht h (ISO/OSI Layer 3) Verschlüsselung der zu sendenden Datenpakete inkl. aller Informationen wie Empfänger & Statusmeldungen Fügt einen IP Header hinzu, der an das andere Ende des Tunnels geschickt wird Empfänger entfernt den zusätzlichen IP Header & entschlüsselt das Originalpaket (& leitet es an das Ziel) Zwei Varianten (Tunnel vs. Transport)

35 VPN: IPSec Specifications 35 Ergänzung zu IP zum Schutz vor Abhören und Modifizieren i Ursprünglich als Teil von IPv6, nun angepasst für IPv4 Definiert zwei zusätzliche optionale Paket-Headers: Authentication Header (AH) Encapsulating Security Payload (ESP) Beide Header beinhalten einen Sec. Parameter Index (SPI) Der Authentication Header (AH) beinhaltet die Authentifizierungsdaten für die IP Pakete

36 IPSec: Header 36 Authentication Header (AH) (MD5, SHA-1) Encapsulating Security Payload (ESP) (Prüfsumme)

37 VPN: IPSec Modi Der Encapsulating Security Payload (ESP) benutzt IP Encapsulating. Es werden entweder ganze IP Pakete eingepackt od. nur die höhere Schicht (TCP/UDP) Transport Mode 37 IP Header AH ESP Header Payload (TCP, UDP,...) Tunnel Mode new IP Header old IP Header AH Payload (TCP, UDP,...)

38 IPSec: Resumé Kann für IPv4 und IPv6 verwendet werden NAT-tauglich wenn im Transportmodus betrieben Arbeitet sehr gut im Verbund mit L2TP Im Transportmodus kann Absender und Empfänger ermittelt werden Im Tunnelmodus Probleme mit NAT und Gateways SCHLUSSFOGERUNG: Im Tunnelmodus mit L2TP verwenden oder VPN-Tunnel vor Firewall beenden 38

39 VPN: IPSec Familie 39 IP Security Architecture RFC 2401 Authentication Header (AH) RFC 2402 HMAC-MD5-96 RFC 2403 HMAC-SHA-1-96 RFC 2404 Encapsulating Security Payload (ESP) RFC 2406 IPsec ISAKMP DOI RFC 2407 ISAKMP RFC 2408 Internet t Key Exchange RFC 2409 OAKLEY RFC 2412 DES-CBC (with explicit IV) RFC 2405 NULL Encryption Algorithm RFC 2410

40 Aufgabe 40 PROBIEREN SIE DAS EINE ODER ANDERE FERNZUGRIFF-TOOL A US WISS / Th. Fahrni März 08

41 WLAN und Sicherheit MODUL 551 KAPITEL 18

42 Zur Erinnerung: Sicherheit ist... Vertraulichkeit it Nur wer berechtigt ist, erhält Information Integrität Sicherstellen der Korrektheit von Informationen Verfügbarkeit Massnahmen um jederzeit auf Informationen zugreifen zu können 42 WISS / Th. Fahrni März 08

43 Repetition WLAN 43 LAN ohne Kabelverbindung bi IEEE-Standard (a n) Verbindung über Access-Points Reichweite Meter ( mw) Frequenzband GHz IEEE n. Verabschiedet am Es definiert Übertragungsraten bis 600 Mbit/s und ein Wechsel aufs 5 GHz-Band WISS / Th. Fahrni März 08

44 WLAN-Technik 44 Independence WLAN oder Ad hoc P2P: Spontanes bilden von Funkverbindungsnetzen ohne weiteren Regelungen Nicht zu empfehlen da ungesichert Infrastructure WLAN mit Roaming: Mehrere Access Points werden zu einem Netz verbunden. Mobile Clients wechseln unterbruchsfrei von einem AP zum anderen. WISS / Th. Fahrni März 08

45 WLAN-Technik 45 BSSID: Basis Service Set ID identifiziert einen AP eindeutig. Es kann festgelegt g werden, dass ein Client einen bestimmten AP verwenden muss ESSID: Extended Service Set ID ist eine Erweiterung von BSSID. Möglichkeit zum Roaming ist implementiert WISS / Th. Fahrni März 08

46 WLAN-Technik 46 Frequenzsprung-Verfahren (FHSS): Sender und Empfänger vereinbaren eine Sprungfolge, bei der einige Male pro Sekunde der Kanal gewechselt wird. Spreizband: Jedes Datenbit wird verschlüsselt und erscheint für unautorisierte «Zuhörer» nur als Hintergrundrauschen. Unempfindlich gegen Frequenzstörungen Replikation von beschädigten Daten möglich WISS / Th. Fahrni März 08

47 WLAN-Technik 47 Das Direct Sequenz Spread Spectrum (DSSS) kann mit dem Chip-Verfahren (10-Chip = 1 Bit) Fehler korrigieren. Es werden an Stelle von Bits Chips übertragen Die Technik unterbindet unabsichtliches Mithören und dient dem korrigieren von Übertragungsfehler. Sie bietet t keinen Schutz vor Hackern WISS / Th. Fahrni März 08

48 Zur Erinnerung: Wardriving 48 Suche von offenen WLANS mit Hilfe von Notebook mit WLAN-Anschluss Tools wie Airsnort speziellen Spürgeräten Warchalks WISS / Th. Fahrni März 08

49 SSID, MAC-Filtering 49 Ändern des Service Set Identifier mit den üblichen Regeln für Passwörter SSID-Broadcast abschalten MAC Adressen eintragen und Filtern Hilft gegen Gelegenheits-Surfer aber NICHT gegen entsprechend ausgerüstete Hacker WISS / Th. Fahrni März 08

50 Wired Equivalency Protocol WEP 50 Mindestens 128 bit Schlüssel aufwändig, da es auf jedem Gerät eingestellt werden muss. Bei grösseren Netzen daher oft nicht eingeschaltet oft unverschlüsselt in der Registry abgelegt Der RC4 Stromschlüssel bei WEP generiert zu wenig Varianten und wurde bereits geknackt WISS / Th. Fahrni März 08

51 Sicheres WLAN? 51 Die vorgestellten Verfahren sind nur bedingt sicher. Eine Erhöhung erreicht man mit der Kombination der Verfahren und einem Konsequenten verwenden von IPSec Sicheres SSID Kennwort MAC-Filtering und oder WEP eingeschaltet Gesamter LAN Datenverkehr via IPSec WISS / Th. Fahrni März 08

52 Reichweite von Access-Points 52 Üblich zwischen 100m und 300m Platzierung möglich im Zentrum eines Gebäudes Eventuell eine Abschirmung vorsehen WISS / Th. Fahrni März 08

53 Aufgabe 53 KONFIGURIEREN SIE DIE BEHANDELTEN SICHERHEITSEINSTELLUNGEN AUF DEN VORLIEGENDEN ACCESPOINTS WISS / Th. Fahrni März 08

54 Nach- & Vorbereitung P6 MODUL 551 KAPITEL 17 18

55 Ausblick 55 ZUGANGSKONTROLLSYSTEME WISS / Th. Fahrni März 08

56 ZK: Die heutigen Ziele waren: 56 Sie können die Arbeitsweise von VPN erläutern Sie können eine sichere Verbindung über unsichere Netze einrichten Sie können ein WLAN geeignet absichern Offene Fragen sind beantwortet WISS / Th. Fahrni März 08