Projektarbeit Virtual Private Network Firewallkonzept Im Tunnel durch das Internet Eno Vaso Reinhard Baldauf Timo Chrusciel

Transkript

1 Projektarbeit Virtual Private Network + Firewallkonzept Im Tunnel durch das Internet Eno Vaso Reinhard Baldauf Timo Chrusciel

2 Fachrichtung: Elektrotechnik Schwerpunkt: Datenverarbeitungs- und Netzwerktechnik Thema: Aufbau eines Virtual Privat Network in Site-to-Site-Architektur unter Verwendung des IPSec-Protokolls. Einsatz von Windows 2000 Server und UNIX als VPN-Gateway-Betriebssystem. Implementierung von Firewallkonzepten. Von: Reinhard Baldauf Timo Chrusciel Eno Vaso Betreuender Dozent: Stefan Platzek (Technische Fachhochschule Berlin) Selbstständigkeitserklärung Wir erklären, dass wir die vorliegende Arbeit selbständig und nur unter Verwendung der angegebenen Hilfsmittel angefertigt haben. Alle Fremdanteile haben wir kenntlich gemacht und auf die Quellen verwiesen. Datum Hinweis: Text, der im Projekt grau hinterlegt ist, stellt Befehle auf der Kommandozeile dar. Text in der Schriftart Courier sind Monitorausgaben oder Dateiinhalte. Projektarbeit VPN TED4 SS2002 Seite: 2/74

3 Inhaltsverzeichnis 1 Einleitung Theoretische Grundlagen VPN Was ist ein Virtual Private Network? VPN Architekturen End-to-End Site-to-Site End-to-Site Das IPSec-Protokoll Security Associations (SA) Transportmodus Tunnelmodus AH (Authentication Header) ESP (Encapsulating Security Payload) IKE (Internet Key Exchange) Theoretische Grundlagen Firewall Der Begriff Firewall Verschiedene Firewall-Konzepte Firewallumgebung Firewallarchitekturen Welche Sicherheit bietet eine Firewall? Was eine Firewall leistet Wovor eine Firewall KEINEN Schutz bietet Der Versuchsaufbau Möglichkeiten von Linux FreeS/WAN und Windows Linux FreeS/WAN...21 Projektarbeit VPN TED4 SS2002 Seite: 3/74

4 5.2 IPSec-Implementation von Windows Interoperabilität beider Systeme Installation und Grundkonfiguration West Suse Linux Routing East Windows 2000 Server Routing Sunset / Sunrise Test der bisherigen Konfiguration Konfiguration IPSec und Paketfilter auf East und West West Konfiguration von FreeS/WAN Firewall-Lösung mit Iptables East Konfiguration IPSec Konfiguration Paketfilter Testen der Verbindung Mitschnitt eines Verbindungsaufbaus Weitere VPN-Möglichkeiten unter Windows Das Point-to-Point-Tunneling-Protokoll (PPTP) Das Layer-2-Tunneling-Protokoll (L2TP) Vergleich der unterschiedlichen Protokolle Möglichkeiten der Anbindung mobiler Clients unter Linux FreeS/WAN Zertifikate Quellen...74 Projektarbeit VPN TED4 SS2002 Seite: 4/74

5 Einleitung Immer öfter besteht die Anforderung, lokale Netze, die an einzelnen Standorten installiert sind, miteinander zu verbinden. Dies erfolgt in den meisten Fällen über gemietete Leitungen, die sehr teuer sind, oder über öffentliche Netze, die keine Sicherheit gegen Abhören und Manipulation bieten. Es besteht die Möglichkeit, dass sich Unberechtigte als Kommunikationspartner ausgeben und somit an Informationen gelangen, die nicht für sie bestimmt sind. Diesen Gefährdungen kann durch den Einsatz eines so genannten Virtual Privat Network (VPN) entgegengewirkt werden. Mit Hilfe kryptographischer Verfahren können dabei die Integrität und Vertraulichkeit der Daten geschützt und die Kommunikationspartner sicher authentisiert werden. Ein wichtiger Bestandteil dieser Technologie ist das IPSec-Protokoll, welches durch eine gewisse Standardisierung eine Interoperabilität zwischen verschiedenen Systemen möglich macht. Mit Linux FreeS/WAN und Windows 2000 existieren zwei Implementierungen dieses Standards. Hier sollte es nun möglich sein, eine VPN-Verbindung zwischen beiden Systemen zu installieren. Dies zu Testen und auf Praxistauglichkeit zu Prüfen war Aufgabe dieser Projektarbeit. 2 Theoretische Grundlagen VPN 2.1 Was ist ein Virtual Private Network? Ein Virtual Private Network ist ein Kommunikationsnetzwerk, zu dem der Zugang kontrolliert ist und in dem Verbindungen nur zwischen Partnern einer geschlossenen, definierten Gruppe möglich sind. Ein VPN verbindet lokale Netze (Intranet) oder einzelne Rechner über öffentliche Netze (z. B. Internet) miteinander. Der Ausdruck privat bedeutet, dass bei der Verbindung eine Sicherheit geschaffen wird, die mit einem geschützten lokalen Netz vergleichbar ist. Obwohl die Rechner räumlich voneinander getrennt und nur über ein unsicheres Netz miteinander verbunden sind, ist eine virtuelle private Verbindung, vergleichbar mit einem lokalen Netz, entstanden. 2.2 VPN Architekturen End-to-End Auf jedem der verbundenen Hosts ist eine VPN-Software installiert. Die verschlüsselte Verbindung besteht direkt von Host zu Host. Projektarbeit VPN TED4 SS2002 Seite: 5/74

6 2.2.2 Site-to-Site Hier sind ganze Intranets über VPN-Gateways miteinander verbunden. Die Daten werden nur zwischen den Gateways verschlüsselt transportiert. Auf den Rechnern im LAN muss keine spezielle Software installiert sein, für sie ist der Vorgang völlig transparent End-to-Site Bei der End-to-Site-Verbindung handelt es sich um eine Kombination der beiden vorangegangenen Fälle. Durch diese Verbindungsart ist es möglich, entfernte Rechner (z. B. Home-Computer) oder mobile Clients über eine VPN-Verbindung in ein Firmennetz mit einzubeziehen. Projektarbeit VPN TED4 SS2002 Seite: 6/74

7 2.3 Das ipsec-protokoll Das Internet Security Protokoll (IPSec), entwickelt und verwaltet von der IETF- Internet Engineering Task Force, definiert keine speziellen Verschlüsselungsalgorithmen oder Schlüsselaustauschverfahren, sondern liefert den Rahmen für eine modulare Sicherheitsstruktur. Die grundlegende Idee besteht darin, jedes einzelne Datenpaket vor Verfälschung zu schützen und /oder zu verschlüsseln. Folgende Aufgaben müssen bewerkstelligt werden: Authentifikation der Gesprächspartner (Ich muss definitiv wissen, wer mein Kommunikationspartner ist!) Integrität der Informationen (Sicherheit, dass die Informationen wirklich von meinem Kommunikationspartner stammen) Verschlüsselung der Informationen (Niemand darf die Informationen mitlesen) Massnahmen gegen Replay-Angriffe (Es muss unmöglich sein, die Informationen auf ihrem Weg zu manipulieren) Schlüssel Management Security Associations (SA) Security Associations sind ein fundamentaler Bestandteil der IP-Sicherheitsarchitektur. Eine SA beschreibt eine unidirektionale Verbindung bezüglich ihrer Sicherheitseigenschaften. Sie stellt eine Art Vertrag über einzuhaltende Sicherheitsfunktionen für den Datenverkehr dieser Verbindung dar. Hier wird also zum Beispiel festgelegt, welches Authentisierungs- und Verschlüsselungsverfahren zur Anwendung kommen soll. Das IPSec-geschützte Paket trägt keine direkte Information in sich, welches Verschlüsselungsverfahren mit welchem Schlüssel gerade eingesetzt wird. Auf diese, zur Paketbearbeitung jedoch zwingend notwendige Information zeigt der SPI (Security Parameter Index) im Header. Der SPI ist Bestandteil einer Security Association. Ein weiterer Bestandteil ist das Protokoll unter Verwendung von sogenannten Transportoder Tunnelmodi. Als Protokolle werden AH (Authentication Header), ESP (Encapsulating Security Payload) und IKE (Internet Key Exchange) verwendet. Im Folgenden soll nun auf die verschiedenen Modi und Protokolle ein wenig näher eingegangen werden Transportmodus In diesem Modus bleibt der ursprüngliche IP-Header erhalten. Je nachdem, ob AH oder ESP angewendet wird, sind die Daten entweder nur authentisiert oder authentisiert und verschlüsselt. Der Vorteil ist ein günstiges Verhältnis von Nutzdaten zu IPSec-Header. Dies bedeutet weniger Rechenaufwand und kann z. B. bei Echtzeit-Anwendungen von Bedeutung sein. Projektarbeit VPN TED4 SS2002 Seite: 7/74

8 2.3.3 Tunnelmodus Hier findet das sogenannte Tunneling Anwendung, d. h. das zu übertragende Datenpaket wird komplett eingepackt und mit einem neuen IP-Header versehen. Zusätzlich ist eine Verschlüsselung mit ESP möglich. Vorteil: die Quell- und Zieladressen sind nicht erkennbar, d. h. die Identität der Kommunikationspartner bleibt anonym. Ein weiterer grosser Vorteil ist das Senden von Datenpaketen durch ein öffentliches TCP/IP-Netz bei Benutzung privater nicht routingfähiger IP-Adressen, da diese sich in den Nutzdaten des neuen Datenpakets befinden. Somit kann man also mit nicht routingfähigen Adressen, Datenpakete durch ein öffentliches TCP/IP-Netz senden AH (Authentication Header) Mit AH wird (verbindungslos) die Integrität der Daten gesichert und die Herkunft authentisiert. Sowohl die Daten des Payloads als auch Teile des Headers werden gesichert. AH im Tunnel Mode sichert das gesamte getunnelte Paket sowie Headerdaten des IP-Tunnels. AH im Transport Mode sichert nur den Payload sowie Teile des Headers. Erreicht wird dies mit dem Erzeugen eines sogenannten Hashwertes. Er stellt eine Art Quersumme der Daten dar. Diese Quersumme ist je nach Hashverfahren ein Ergebnis fester Länge (z. B. 160 Bit). Dabei spielt es keine Rolle, welche Größe die Daten haben. Dieses Hashergebnis ist vergleichbar mit einem Fingerabdruck. Werden nun die Daten verändert und wiederum ein Hashwert gebildet, wird ein anderes Hashergebnis die Folge sein. Dies ist ein Zeichen dafür, dass die Daten verändert wurden. Es stehen zwei Hashalgorithmen zur Verfügung: - HMAC-MD5, erzeugt einen Hashwert mit 128 Bit Länge - HMAC-SHA, erzeugt einen Hashwert mit 160 Bit Länge Darstellung von AH im Transport- und Tunnelmodus: Projektarbeit VPN TED4 SS2002 Seite: 8/74

9 Aufbau des Authentication Header: Next Header: Payload Length: Reserved: Security Parameter Index SPI: Sequence Number: Authentication Data: Typ des Payloads (UDP/TCP) Länge des AH-Headers Für zukünftige Anwendungen reserviert Zeiger auf die Security Association (SA) Schutz gegen Reply-Angriffe Hashwert, Länge abhängig vom Hashalgorithmus ESP (Encapsulating Security Payload) ESP bietet zusätzlich zu Authentizität und Integrität eine Verschlüsselungskomponente, wodurch Vertraulichkeit der gesendeten Information erreicht wird. Damit werden die Pakete vor unberechtigtem Lesen geschützt. Folgende Verschlüsselungsalgorithmen können benutzt werden: - DES_CBC (RFC2405) Data Encryption Standard_ Cypher Block Chaining - IDEA (RFC 2451) International Data Encryption Standard - Blowfish (RFC 2451) - 3DES (RFC 2451) Triple Data Encryption Standard - CAST_128 (RFC 2451) Projektarbeit VPN TED4 SS2002 Seite: 9/74

10 Darstellung von ESP im Transport- und Tunnelmodus: Aufbau eines ESP-Datenpaketes: Security Parameter Index SPI: Sequence Number: Payload: Padding: Pad Length: Next Header: Authentication Data: Zeiger auf die Security Association (SA) Schutz gegen Reply-Angriffe Verschlüsselte Nutzdaten Füll-Bytes, um eine definierte Länge zu erreichen (Abhängig vom verwendeten Verschlüsselungsalgorithmus) Länge des Padding Feldes Typ des Payloads (UDP/TCP) Hashwert, Länge abhängig vom Hashalgorithmus Projektarbeit VPN TED4 SS2002 Seite: 10/74

11 2.3.6 IKE (Internet Key Exchange) AH und ESP sind nicht die einzigen Komponenten von IPSec. Zur sicheren Kommunikation müssen die beteiligten Parteien die Schlüssel vereinbaren, die während der Kommunikation verwendet werden. Ausserdem muss entschieden werden, welche Algorithmen zur Verschlüsselung und Authentifizierung benutzt werden sollen. Das IKE- Protokoll (früher ISAKMP/Oakley) ermöglicht die Authentifizierung, steuert den Schlüsselaustausch und verwaltet die Sicherheitsmassnahmen -> es werden die schon weiter oben beschriebenen Security Associations erzeugt. Bevor nun also eine IPSec-Verbindung etabliert ist, kümmert sich das IKE-Protokoll um all diese Dinge. Zur Authentifizierung, also zur Sicherstellung, dass man mit dem gewünschten Partner kommuniziert, sind folgende Verfahren möglich: - Authentifikation mit Pre-Shared-Key (ein geheimer gemeinsamer Schlüssel) - Authentifikation mit Digitaler Signatur - Authentifikation mit Public-Key-Verschlüsselung In IKE werden zwei Phasen abgearbeitet: - Phase 1 -> Main Mode oder Aggressive-Mode - Phase 2 -> Quick Mode Phase 1 erzeugt eine IKE-SA, also diejenige Security Association, welche zuständig ist für die Verschlüsselung der IKE-Datenpaket selbst. Phase 2 erzeugt die IPSec-SA, die auf die Nutzdaten angewandt wird. Schlüsselerzeugung und austausch spielen eine entscheidende Rolle. Je länger ein Schlüssel gültig ist, desto grösser ist die Gefahr, dass ein Schlüssel geknackt wird. Dieser Gefahr begegnet man mit dem Konzept der perfect forward secrecy. Dabei werden die Schlüssel sehr häufig gewechselt. Wichtiger Bestandteil des IKE ist das Diffie-Hellman-Verfahren. Der logische Ablauf soll nun einmal näher betrachtet werden. Diffie-Hellman Das DH-Verfahren ist ein Public-Key-Verfahren, mit dem es möglich ist, ein Geheimnis laut in aller Öffentlichkeit zu vereinbaren. Das Geheimnis kann in unserem Fall ein Schlüssel und die Öffentlichkeit das Internet sein. Projektarbeit VPN TED4 SS2002 Seite: 11/74

12 Zwei Kommunikationspartner A und B wollen einen gemeinsamen geheimen Schlüssel S vereinbaren. Um diesen Schlüssel über die Öffentlichkeit austauschen zu können, benutzen die beiden das folgende Protokoll: 1 Schritt: A und B vereinbaren eine grosse Primzahl n und eine Zahl g. Beide Zahlen brauchen nicht geheim zu sein. 2. Schritt: A wählt eine grosse ganze Zahl x, die geheim gehalten werden muss, und berechnet: Z A x = g mod n 3. Schritt: A wählt eine grosse ganze Zahl y, die geheim gehalten werden muss, und berechnet: Z B = g y mod n 4. Schritt: A und B tauschen ihre Ergebnisse Z A und Z B aus. 5. Schritt: Beide können nun den Schlüssel S berechnen: A berechnet: S = ( Z B ) x mod n = g y* x mod n B berechnet: S = ( Z A ) y mod n = g mod n (Mod ist eine mathematische Operation, die als Ergebnis den Rest einer Division ergibt, zum Beispiel: 5 mod 2 = 1, da 5/2 = 2 Rest 1 ist.) Beide Partner haben nun unabhängig den gleichen Schlüssel erzeugt. Ein Dritter kennt nur die Werte n, g, Z (von A und B). Bei genügend grosser Primzahl n (min Bit) kann er aus diesen Werten nicht auf x oder y zurück rechnen. Diese Aussage hängt allerdings sehr stark von der Entwicklung der Rechnerleistung und der Erforschung neuer mathematischer Verfahren ab, sodass ein heute als sicher angesehenes Verfahren morgen schon unsicher sein kann. Ein sehr wichtiger Punkt ist, dass vor der Kommunikation eine Authentifikation stattgefunden haben muss, da die Gefahr besteht, dass sich jemand anderes als Partner A oder B ausgibt. x* y Projektarbeit VPN TED4 SS2002 Seite: 12/74

13 3 Theoretische Grundlagen Firewall 3.1 Der Begriff Firewall Das englische Wort Firewall lässt sich mit Brandschutzmauer übersetzen. Dieser Begriff ist treffend, aber auch wiederum nicht ganz. Eine Brandschutzmauer soll das Übergreifen eines Bandes von einem Bereich (z.b. einem Gebäudeteil) auf einen angrenzenden verhindern. Aufgabe einer Brandschutzmauer ist es also nicht hindurch zu lassen. Andererseits hat eine Brandschutzmauer manchmal auch Löcher (in Form von Brandschutztüren zum Beispiel). Die Löcher in einer Brandschutzmauer lassen den Verkehr solange ungehindert passieren, bis Gefahrenfall (Brand) eintritt. Dann schließen die Türen hermetisch ab. Der hundertprozentige Schutz vor den Gefahren aus dem Internet ist nur gegeben, wenn gar keine Verbindung besteht. Wenn Sie die die absolut sichere Brandschutzmauer suchen, dann benötigen Sie also keinen Firewall, sondern nur eine Schere für Ihre bisherige Internetanbindung. Was also ist ein Firewall genau? Man möchte Daten mit anderen austauschen, egal, ob über Internet oder Extranet. Gleichzeitig soll aber auch sichergestellt werden, dass nur die geforderten Anwendungen und damit verbundenen Datenaustausch realisiert werden. Andere Daten sollen keinesfalls In das eigene Netzwerk gelangen oder dieses verlassen. In diesem Sinne ist ein Firewall eher vergleichbar mit einer Pforte mit strenger Zugangskontrolle (und eben weniger mit einer Brandschutzmauer). Ein Firewall trennt einen öffentlichen Bereich von einem privaten Bereich des Netzwerkes ab. Der Einsatz eines Firewalls bedeutet bedingte Durchlässigkeit. Dort, wo Durchgangsverkehr gestattet ist, öffnet man ein Loch in der Brandschutzmauer und postiert einen Pförtner. Dort, wo kein Durchgang notwendig ist, mauert man die Brandschutzmauer zu. Der Pförtner kontrolliert die Passanten nach definierten Kriterien. In Hochsicherheitsbereichen nicht nur die Personen selbst sondern auch Inhalte von Aktentaschen, Kofferräumen. Üblicherweise assoziiert man mit einer Pforte eher die Einlasskontrolle, aber auch die umgekehrte Richtung kann kontrolliert werden, in einigen Umgebungen muss sie das sogar. Eine Firewall ist ein Konzept für die Verbindung zwischen einem öffentlichen und einem nicht-öffentlichen Bereich. Ein Firewall kann nur aus einem einzigen Stück Hardware bestehen, muss aber nicht. Der Begriff Firewall kann auch eine ganze Infrastruktur mit mehreren Servern, Routern und anderen Komponenten beschreiben. Projektarbeit VPN TED4 SS2002 Seite: 13/74

14 3.2 Verschiedene Firewall-Konzepte Paketfilter Paketfilter nutzen die Informationen (Quell-, Zieladresse und Portnummer) des TCP/IP- Protokolls zur Paketfilterung, mit Hilfe von Access- und Deny-Listen. Da jeder Router die Option einer Paketfilterung hat, ist dies eine preiswerte Lösung. Ihr Nachteil besteht in der Schwierigkeit die Access und Deny-Listen zu erstellen und zu verwalten, sowie der Routerprogrammierung. Hinzu kommt noch, dass sich in die komplexen Filterregeln leicht Fehler einschleichen können, die dann deren Beschaffenheit gefährden. Ein weiter Nachteil besteht darin, dass zu Beginn eines Angriffs einige der Datenpakete vor den Paketfiltern zurückgewiesen werden, so dass Attacken nicht erkannt oder zurückverfolgt werden können. Um eine Rückverfolgung zu ermöglichen werden Filterregeln so erstellt, dass verbotene Datenpakete zunächst protokolliert (Logfile unter Linux) und dann verworfen werden. Herkömmliche Paketfilterung nennt man auch statische Paketfilterung, da diese zustandslos arbeiten. D.h. die Filterregeln sind unabhängig von bisher eingetroffenen, vorangegangenen Paketen. Auf jedes Paket wird immer wieder der selber Satz an Filteregel angewandt. Im Gegensatz zur statischen Paketfilterung ist die dynamische Paketfilterung zustandsunabhängig. Eine häufige Anwendung von dynamischen Paketfiltern findet man bei UDP-Verbindungen. Da bei UDP keinen Zustand in der Verbindung gibt, lässt sich mit statischen Paketfiltern nicht unterscheiden, ob bei von außen eintreffenden Paketen die Initiierung der Verbindung ursprünglich von innen ausging (und damit erwünscht ist), oder ob es sich um eine Initiierung von außen handelt (die vermieden werden soll). Proxy-Server (Application-Level-Gateway oder ALG) Ist aus Sicherheitsgründen eine direkte Verbindung eines Arbeitsplatzrechners zum Internet nicht erwünscht, muss die gewünschte Verbindung von einem anderen Host aus hergestellt werden. Application-Level-Gateways leiten Anwendungen weiter, wobei für jede Anwendung ein eigener Code verwendet wird, der so genannte Proxy-Server. Die deutsche Übersetzung Stellvertreter für Proxy beschreibt dessen Funktionalität schon sehr genau. Dieser Proxy-Server untersucht den Verkehr und vermittelt zwischen interner und externer Seite. Bei dieser Aufgabe hat er die vollständige Kontrolle über den Verkehr, und somit die Möglichkeit einer vollständigen Protokollierung des Datenaustausches. Vorteil der Proxy ist, dass User keine Account benötigen um die Verbindung von seinem Rechner aus durchführen können. Für den Internetserver sieht die Verbindung so aus, als ob der Proxy die Verbindung aufgebaut hätte. Für den Client sieht die Verbindung so aus, als hätte er die Verbindung direkt zum Internetserver aufgebaut. Anders als ein Paketfilter sieht der Proxy auch den Inhalt der Verbindung, die übertragenen Kommandos und Daten. Ein Proxy, der für einen speziellen Internetdienst geschrieben wurde, kann wesentlich mehr Informationen entnehmen als eine Paketfilter. Ein Mail-Proxy oder ein FTP-Proxy kennt zum Beispiel die Kommandos des zugrunde liegenden Dienstes und kann einzelne Befehle erlauben oder ablehnen. Projektarbeit VPN TED4 SS2002 Seite: 14/74

15 Circuit-Level-Gateways (CLG) Mit dem Begriff Application-Level-Gateways wird in der Regel eine Proxy beschrieben, der ausschließlich für einen Internetdienst konstruiert wurde. Circuit-Level-Gateway soll einen generischen Proxy für eine Reihe von Internetdiensten bezeichnen, die sich alle ähnlich verhalten und identisch über eine Proxy geführt werden können. CLG vermitteln auf der Verbindungsebene als Schalter zwischen den TCP-Verbindungen. Die CLG schichtet hierbei die Daten zwischen den Schnittstellen (zwischen externen und internen Partner) um, wobei in der Regel die Daten selbst nicht kontrolliert werden. Bei ausgehenden Verbindungen besteht normalerweise keine Gefahr, im Gegensatz zu Verbindungen, die von außen nach innen erfolgen, sofern diese allgemein zur Verfügung stehen sollen. 3.3 Firewallumgebung Proxies und Paketfilter bilden die funktionalen Grundbausteine eines Firewalls. Alle weiteren Mechanismen sind spezielle Anordnungen, wie Proxies und Firewalls eingesetzt werden können. Die Grundfunktionen sind und bleiben aber Proxies und Paketfilter. Das Grenznetz: Entmilitarisierte Zone (DMZ) Eine entmilitarisierte Zone bezeichnet man ein eigenes Subnet, das zwischen dem Internet und dem zu schützenden Netzwerk liegt. Projektarbeit VPN TED4 SS2002 Seite: 15/74

16 Bastion Hosts (single homed) Ein Server, der im Grenznetz angesiedelt ist und dort Internetdienste anbietet, wird oft auch Bastion Host bezeichnet. Einen Bastion Host, der nur über ein Netzwerk-Interface verfügt, über das sowohl der Verkehr zum lokalen Netzwerk als auch der Verkehr zum Internet erfolgt, nennt man auch Single Homed Host. Bastion Hosts (dual homed) Einen Bastion Host, der über zwei Netzwerk-Interfaces verfügt, über das eine der Verkehr zum lokalen Netzwerk und über das zweite der Verkehr zum Internet erfolgt, nennt man auch Dual Homed Host. Projektarbeit VPN TED4 SS2002 Seite: 16/74

17 3.4 Firewallarchitekturen Einige grundsätzliche Überlegungen zu Firewalls: Je simpler eine Firewallarchitektur ist, desto weniger ist sie fehleranfällig, denn wenn mehrere Komponenten betreut und konfiguriert werden müssen, steigt auch die Anzahl der Fehlerquellen. Eine Firewall mit einem hohen Sicherheitsniveau ist teuer gegenüber einer mit einem niedrigen Sicherheitsniveau. Bei der Auswahl sollte darauf geachtet werden, dass die zu treffenden Schutzmaßnahmen im Preis nicht höher als der zu schützende Gegenwert liegen. Ausnahme: Für persönliche Daten von Kunden, Klienten oder Patienten ist das höchste Sicherheitsniveau gerade gut genug, denn im Fall eines Systemeinbruchs ist nicht mehr der Netz- oder Systembetreiber der einzig Betroffene (hier hat der Betreiber eine besondere Sorgfaltspflicht). Die Sicherheit eines Netzes wird durch die Serienschaltung diverser Sicherheitsstufen, mit jeweils anderem Betriebssystem (bei gleichem BS. wäre eine mögliche Sicherheitslücke direkt auf allen Systemen), immens erhöht. Bei einer solchen Architektur sind der Aufwand der Administration und die Anforderungen an den Administrator sehr hoch. Dual-Homed-Host (DHH) Ein DHH ist ein mit zwei Netzwerkkarten ausgerüsteter Rechner, mit dem man zwei Netzwerke verbinden kann, ähnlich wie mit einem Router, jedoch ist die Routingfunktion nicht verfügbar, wodurch der TCP/IP-Datenaustausch zwischen den Netzen komplett gesperrt ist. Nur über Proxy-Server ist eine kontrollierte, gefilterte Verbindung zwischen den Systemen möglich. Diese Architektur birgt jedoch ein enormes Risiko, denn ist es einem Angreifer erst einmal gelungen in das System einzudringen, ist das gesamte innere Netz ungeschützt, da keine weiteren Sicherungsmaßnahmen vorhanden sind. Screened-Host (SH) Im internen System ist ein Bastion-Host, zu dem von interner, als auch externer Seite eine Verbindung aufgebaut werden kann. Die Verbindungen über diesen Bastion-Host werden über Proxy-Server abgewickelt, wobei die primäre Sicherheit wieder durch Paketfilterung erreicht wird. Zu keinem Zeitpunkt jedoch gibt es eine direkte Verbindung zwischen interner und externer Seite. Genau wie beim DHH besteht auch hier das Risiko, daß einem Angreifer, ist er erst einmal im System, nichts mehr entgegenzusetzen ist. Screening-Router (SR) Bei einem SR handelt es sich um einen Router, der zwei Netze mit Hilfe der Paketfilterung miteinander verbindet. Dies stellt die billigste Firewall, aber auch die mit dem niedrigsten Sicherheitslevel dar. Preiswert, weil bei jeder Netzwerkanbindung ein Router, auf dem Access- und Denylisten installiert werden können, vorhanden ist. Für einen geschickten Angreifer ist diese Architektur z.b. mit IP-Spoofing leicht zu überwinden. Da ein Router keine Protokollierungsmöglichkeit aufweist, ist es schwer einen Angriff zu erkennen oder zurückzuverfolgen. Projektarbeit VPN TED4 SS2002 Seite: 17/74

18 Screened-Subnet (SS) Diese Architektur ist eine Kombination aus SR und DHH. Durch die Serienschaltung unabhängiger Module mit unterschiedlichen Filtern, wird ein höherer Sicherheitslevel erreicht, da einem Angreifer nach Überwindung einer Sicherung sofort die nächste Hürde in den Weg gestellt wird. Diese Architektur kann wie folgt realisiert werden: 1) Zwei SR (extern + intern) und DHH 2) SR (extern) und DHH 3) SR (intern) und DHH Sicherlich jedes Zusatzhardware bedeutet gleichzeitig mehr Kosten also wird das Ganze eine recht teuere Eingelegenheit und durch die fehlende Protokollierungsmöglichkeit der Router besteht weiterhin die Problematik des Erkennens und Zurückverfolgung von Angriffen. Weitere mögliche Architekturen sind: 1) Three-Homed-Host (THH) 2) Screened Subnet mit 2 Bastion-Hosts 3.5 Welche Sicherheit bietet eine Firewall? Was eine Firewall leistet Fokus für Sicherheitsentscheidungen - Die Installation einer Firewall macht es nötig klare Richtlinien für die Sicherheit in einem Computernetzwerk zu definieren. Damit wird vermieden, dass nur ein unscharfer Sicherheitsbegriff besteht, der dazu führt, dass bei konkreten Problemen stets ad-hoc Entscheidungen getroffen werden, die dann leicht untereinander inkonsistent sind. Zentraler Verbindungsknoten - Alle Daten die zwischen internem und externem Netz ausgetauscht werden, müssen durch die Firewall. Damit ist es möglich in der Firewall die Durchsetzung der Sicherheitspolitik zu erzwingen, bzw. Verstöße gegen Sicherheitsrichtlinien zu erkennen und zu protokollieren. Begrenzung der Angriffsfläche - Ein externer Angreifer muss zunächst die Firewall überwinden, bevor er einen der internen Rechner attackieren kann. Da die Firewall eine (im Verhältnis zu einem großen, internen Netzwerk) kleine und daher überschaubare Einheit darstellt, ist eine gute Verteidigung der Firewall relativ einfach und Erfolg versprechend. Das bedeutet natürlich nicht, dass man völlig auf eine rechnergestützte Verteidigung im internen Netz verzichten kann, aber ein Angreifer sollte stets von der Firewall abgefangen werden und keine Möglichkeit haben, die Stärken und Schwächen der internen Verteidigung zu erforschen. Endpunkt für VPNs (siehe unsere Firewall-Lösung) Projektarbeit VPN TED4 SS2002 Seite: 18/74

19 3.5.2 Wovor eine Firewall KEINEN Schutz bietet Angriffen durch Insider - Eine Firewall schützt die Rechner des internen Netzes vor Angriffen von Außen. Sie schützt nicht vor Angriffen die innerhalb des lokalen Netzes vor sich gehen (etwa durch Personen, die (legitim oder auch nicht) physischen Zugang zu dem angegriffenen Computer haben). Umgehung durch weitere Datenleitungen - Eine Firewall kann nur jene Datenpakete untersuchen, die durch sie geschickt werden. Wenn neben der offiziellen, durch die Firewall überwachten, Verbindung noch andere existieren (etwa privat installierte Modems innerhalb des internen Netzes) so kann die Firewall natürlich nicht überprüfen welche Daten dort über die Leitung wandern. Insbesondere besteht dann die Gefahr, dass die Firewall von innen heraus angegriffen wird, und so über die Hintertür der Hauptzugang geöffnet wird. Viren, Trojanische Pferde & Co. - Eine Firewall verfügt über kein Verständnis für den Inhalt der Daten die durch sie fließen. Es gibt zu viele Protokolle, Kompressionsverfahren und Computertypen um automatisch sicher zu erkennen wann ein Datenpaket Teil eines Programms ist um dann einen Virenscanner zu starten. Unbekannte Gefahren - Jede Aufzählung aller möglichen Gefahrenquellen ist am Tag ihrer Erstellung veraltet. Es werden stets neue Fehler in bekannten Programmen gefunden und neue Sicherheitslücken aufgedeckt. Keine einmal geschaffene Lösung kann alle zukünftig gefundenen Probleme vorausahnen und lösen Projektarbeit VPN TED4 SS2002 Seite: 19/74

20 4 Der Versuchsaufbau Um eine VPN-Verbindung in Site-to-Site-Architektur zu realisieren, sind mindestens vier Rechner notwendig. Zwei davon stellen die VPN-Gateways dar und sind somit die Tunnelendpunkte der VPN-Verbindung. Beide Gateways sollen so durch Paketfilter abgesichert werden, dass ausschließlich zwischen den zwei lokalen Netzwerken über die VPN-Verbindung kommuniziert werden kann. Die anderen beiden Rechner sind die eigentlichen Kommunikationspartner. Die folgende Grafik stellt unseren Versuchsaufbau dar: Verwendete Hardware und Betriebssysteme: Sunrise: Pentium 133 MHz, 64 MB RAM, 1x NIC, Windows 2000 Professional Zusätzliche Software: keine East: Pentium 400 MHz, 64 MB RAM, 2x NIC, Windows 2000 Server Zusätzliche Software: keine West: Pentium 200 MHz, 100 MB RAM, 2x NIC, Suse Linux 7.3 Inklusive der Pakete: FreeS/WAN 1.91, iptables Sunset: Pentium 233 MHz, 32 MB RAM, 1x NIC, Windows 2000 Professional Zusätzliche Software: keine - 3x Cat5 10BaseT Crosskabel zur Verbindung der Rechner miteinander Projektarbeit VPN TED4 SS2002 Seite: 20/74

21 5 Möglichkeiten von Linux FreeS/WAN und Windows Linux FreeS/WAN FreeS/WAN stellt eine Implementation des IPSec-Standards unter Linux dar und erlaubt somit VPN-Funktionalität unter diesem Betriebssystem. Dieses Paket unterliegt der GNU General Public License und ist daher kostenlos zu verwenden. Hier sollen nun kurz die Bestandteile von FreeS/WAN vorgestellt werden: KLIPS (KerneL IP SEC Support) Zuständig für: - Verschlüsselung und Paketauthentifikation - Erstellen der ESP- und AH-Header ausgehender Pakete - Interpretation der Header eingehender Pakete - Prüfung aller Nicht-IPSec-Pakete Pluto - beeinhaltet IKE und ist somit für die Security Associations zuständig Authentifizierungsmethoden: - Authentifikation mit Pre-Shared-Key - Authentifikation mit Public-Key-Verschlüsselung basierend auf RSA-Algorithmus - Opportunistic Encryption via secure DNS (RSA basierend) - X.509-Zertifikate (Patch) Verschlüsselungsalgorithmen: - 3DES Datenintegrität: - HMAC-MD5 - HMAC-SHA1 Projektarbeit VPN TED4 SS2002 Seite: 21/74

22 5.2 IPSec-Implementation von Windows 2000 Authentifizierungsmethoden: - Authentifikation über Kerberos V5 Protokoll - Zertifikate einer Zertifizierungsautorität (CA) - Authentifikation mit Pre-Shared-Key Verschlüsselungsalgorithmen: - DES - 3DES Datenintegrität: - HMAC-MD5 - HMAC-SHA1 5.3 Interoperabilität beider Systeme Wie festzustellen ist, gibt es einige Unterschiede hinsichtlich der Authentifizierungsmethoden. Die einfachste Lösung des Problems stellt die Wahl der Authentifikation mit Pre-Shared-Key dar. Wie schon im theoretischen Teil dieser Arbeit erwähnt, wird zwischen den Kommunikationspartnern ein gemeinsamer Schlüssel vereinbart. Diese Lösung kann praktikabel sein, wenn man weiss, dass man es mit sehr wenigen Kommunikationspartnern zu tun hat und dies sich auch in Zukunft nicht ändern wird. Bei vielen Partnern ist diese Lösung dagegen generell nicht empfehlenswert, da die Schlüsselverwaltung sehr aufwändig und unüberschaubar werden kann. In diesem Fall sollte man einer Public-Key-Infrastruktur den Vorrang geben. Verschlüsselungsalgorithmen und Datenintegrität stellen grundsätzlich keine Probleme bei der Realisierung dar. Zusammenfassend hier nochmal die grundsätzliche Parameter unserer VPN- Testverbindung: - Authentifikation mit Pre-Shared-Key - Verwendung des Schlüsselaustausch- und Authentifizierungsprotokolls IKE - Verwendung des ESP-Protokolls mit den Verschlüsselungs- und Authentifizierungsverfahren 3DES und HMAC-MD5 Projektarbeit VPN TED4 SS2002 Seite: 22/74

23 6 Installation und Grundkonfiguration 6.1 West Suse Linux 7.3 Die Installation von Suse Linux 7.3 beginnt mit dem Booten der Ersten von den sieben Installations-CD s. Nach dem Konfigurieren der Festplattenaufteilung (Partitionierung) erfolgt die Auswahl der zu installierenden Pakete. Notwendig ist hier die Auswahl: Minimal + Netzwerk Standard. Es ist darauf zu achten, dass die iptables-pakete enthalten sind. Desweiteren ist die Auswahl des freeswan-paketes erforderlich. Um eine größtmögliche Sicherheit des Systems zu gewährleisten, ist es ratsam nur die wirklich notwendigen Programme und Dienste zu installieren. Am Ende der Installation erfolgt die Hardware-Konfiguration. Hier besteht die Möglichkeit, die Netzwerkkarten ins System einzubinden. Bei gängigen Karten dürfte dies kein Problem darstellen. Netzwerkkonfiguration: eth0 -> IP-Adresse: Maske: eth1 -> IP-Adresse: Maske: Falls die Netzwerkkarten nicht erkannt werden, so ist wie im Folgenden beschrieben, eine manuelle Installation vorzunehmen. Die Installation ist nun abgeschlossen. Alle weiteren Schritte erfolgen nun ausschließlich durch Eingaben auf Kommandozeilen-Ebene in der Shell. Eine Überprüfung der Netzwerkinstallation ist durch die Eingabe des Befehls ifconfig möglich. Root@west:~> ifconfig eth0 Link encap:ethernet HWaddr 00:A0:24:D6:F9:DC inet addr: Bcast: Mask: inet6 addr: fe80::2a0:24ff:fed6:f9dc/10 Scope:Link UP BROADCAST NOTRAILERS RUNNING MTU:1500 Metric:1 RX packets:53 errors:0 dropped:0 overruns:0 frame:0 TX packets:16 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:100 RX bytes:7234 (7.0 Kb) TX bytes:2228 (2.1 Kb) Interrupt:12 Base address:0xe000 Projektarbeit VPN TED4 SS2002 Seite: 23/74

24 eth1 lo Link encap:ethernet HWaddr 00:A0:24:80:5C:F2 inet addr: Bcast: Mask: inet6 addr: fe80::2a0:24ff:fe80:5cf2/10 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:100 RX bytes:0 (0.0 b) TX bytes:0 (0.0 b) Interrupt:10 Base address:0xd800 Link encap:local Loopback inet addr: Mask: inet6 addr: ::1/128 Scope:Host UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:301 errors:0 dropped:0 overruns:0 frame:0 TX packets:301 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:21460 (20.9 Kb) TX bytes:21460 (20.9 Kb) Falls die Konfiguration der Netzwerkkarten bei der Installation nicht möglich war, gibt es folgende Möglichkeit: 1. Manuelle Eintragung des entsprechenden Moduls (z.b. 3c59x, abhängig vom Typ der Netzwerkkarte) in die Datei /etc/modules.conf: # # Eintrag des Moduls fuer Netzwerkkarte an Schnittstelle eth0 # alias eth0 3c59x # # Eintrag des Moduls fuer Netzwerkkarte an Schnittstelle eth1 # alias eth1 3c59x 2. Aufruf von SuSEconfig: Root@west:~> SuSEconfig 3. Konfiguration der Schnittstellen mit Hilfe von Yast. 4. Überprüfung durch Eingabe von ifconfig (wie oben). Projektarbeit VPN TED4 SS2002 Seite: 24/74

25 6.1.2 Routing Da die Gateways East und West die Aufgabe haben, Pakete von einem Netz ins Andere zu transportieren, müssen sie dementsprechend als Router eingerichtet werden. Bei West soll dies nun erst einmal temporär geschehen, um die grundsätzliche Funktionalität der bisherigen Konfiguration zu testen. Temporär soll heißen, dass spätestens beim nächsten Neustart des Rechners das Routing nicht mehr aktiv ist. Später soll die IPSec- Implementation FreeS/WAN die Kontrolle über das Routing erhalten (bedeutet, dass nur bei bestehendem VPN-Tunnel Routing stattfindet), sodass generelles Routing hier nicht notwendig ist. Aktivierung des Routings und Setzen der Route: cd /proc/sys/net/ipv4 echo 1 > ip-forward Root@west:~> route add net netmask gw Überprüfung der Routingtabelle: Root@west:~> route Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface UG eth * U eth * U eth1 Die beschriebene Route ist nun eingetragen. Jetzt ist die Grundkonfiguration von West abgeschlossen, East ist nun an der Reihe. Projektarbeit VPN TED4 SS2002 Seite: 25/74

26 6.2 East Windows 2000 Server Als Server-OS wählen wir Windows 2000 Server in der Normalversion, welches nach der Installation mit dem Servicepack 2 gepatcht wird, um die zu dem Zeitpunkt bereits bekannten Sicherheitslücken zu schließen. Bei der Installation verzichten wir bewusst auf die Implementierung von Active-Directory ein Verzeichnissdienst, der die Verwaltung größerer Netzwerke vereinfachen soll, sowie auf DHCP ( Dynamic Host Configuration Protocoll ) und DNS ( Dynamic Name Service ), da dies bei unseren Test-Netzwerk keinen Sinn macht und sich nur störend auf die eigentliche Aufgabe auswirken würde. Den Namen der Arbeitsgruppe belassen wir auf "Arbeitsgruppe". An das Interface, welches mit dem /24 Netz verbunden ist binden wir nur TCP/IP. An die Interfaces, welche mit dem Netz /24 verbunden sind ( sowohl Server als auch der Client ) binden wir zusätzlich zu TCP/IP noch die Datei und Druckerfreigabe sowie den Client für Microsoft-Netzwerke, um später einige Dateien zwischen Beiden auszutauschen zu können. Der Server bekommt den Namen "East" zugewiesen. Die NIC, die mit dem internen Netz verbunden ist, weisen wir unter den TCP/IP Optionen die IP zu. Der äußeren NIC, die in ein ungesichertes Netz zeigt, geben wir die IP aus dem öffentlichen Adressbereich. Das öffentliche Netz wird mit /24 (Class C) definiert. Das interne Netz, ebenfalls ein Class-C-Netz, definieren wir mit /24. In diesem Netz befindet sich ausserdem noch der Windows 2000 Client "Sunrise" mit der IP Um überprüfen zu können, ob an den Nic's die gewünschten IP's gebunden sind geben wir den Commandline-Befehl ipconfig /all ein und können so die MAC IP-Zuordnung ablesen (siehe nächste Seite). Projektarbeit VPN TED4 SS2002 Seite: 26/74

27 East -IP-Konfiguration: Hostname : east Prim res DNS-Suffix : Knotentyp : Hybridadapter IP-Routing aktiviert : Ja WINS-Proxy aktiviert : Nein Ethernetadapter "extern": Verbindungsspezifisches DNS-Suffix: Beschreibung : Realtek RTL8139(A) Physikalische Adresse : 00-C FB DHCP-aktiviert : Nein IP-Adresse : Subnetzmaske : Standardgateway : DNS-Server : Ethernetadapter "netz": Verbindungsspezifisches DNS-Suffix: Beschreibung : 3Com EtherLink XL(3C900-COMBO) Physikalische Adresse : D5-D2-DF DHCP-aktiviert : Nein IP-Adresse : Subnetzmaske : Standardgateway : DNS-Server : Ein wichtiger Punkt der gewährleistet sein muss, ist, dass das Serverbetriebssystem 3DES (s. RFC2420) unterstützt, um eine Kommunikation mit West zu ermöglichen. 3DES ist ein Symmetrischer Verschlüsselungsalgorithmus mit 168 Bit effektiver Schlüssellänge. Es benutzt drei DES-Schlüssel mit je 56 Bit. Der Klartext wird mit dem ersten Schlüssel verschlüsselt, mit dem Zweiten entschlüsselt und wieder mit dem Dritten verschlüsselt. 3DES ist ein sehr sicherer Verschlüsselungsalgorithmus, welcher aber nach der Betriebssysteminstallation von Windows 2000 Server noch nicht genutzt werden kann. Um dieses Problem zu umgehen werden wir abschließend noch das High Encryption Pack von Microsoft einspielen. Dazu laden wir uns das High Encryption Pack welches unter nachfolgendem Link zu finden ist herunter, installieren es und führen anschließend einen Neustart des Systems durch. Um die erfolgreiche Installation zu überprüfen rufen wir den Internet Explorer auf und klicken in der Menueleiste auf? und dann auf Info. Wir können jetzt sehen, dass auf dem System die 128 bit Verschlüsselung implementiert ist. Um den Netzwerkverkehr zu beobachten und analysieren zu können, installieren wir noch einen Paketsniffer. Hierbei fällt die Wahl auf Ethereal, da uns dieser auch unter Linux zur Verfügung steht und außerdem sehr leistungsstark ist. Zur Kontrolle der aufgebauten IPSec Kanäle bedienen wir uns des betriebssystem-internen "ipsecmon". Projektarbeit VPN TED4 SS2002 Seite: 27/74

28 6.2.2 Routing Wenn Datenpakete in ein Netz, welches nicht direkt mit dem Rechner verbunden ist, gesendet bzw. empfangen werden sollen, müssen wir uns des Routings bedienen. Bei unserem Netzaufbau ist nur ein Netz ( /24 ) nicht direkt mit dem Windows 2000 Gateway verbunden, deshalb benötigen wir auch nur eine Route, die den Weg in dieses Netz beschreibt. Mit folgendem Commandline-Befehl können wir diesen Eintrag vornehmen. route -p add mask Sende alle Pakete, die in das Netz /24 gesendet werden sollen an den Rechner mit der IP ! Durch den Parameter [-p] wird der Eintrag statisch in der Routingtabelle gespeichert, add sagt aus, dass diese Route der Routingtabelle hinzugefügt wird gefolgt von der Net-ID oder der IP des Ziels, der Subnetmaske des Zielnetzes und als letztes die Rechner-IP an der die weiterzuleitenden Pakete gesendet werden sollen. Die IP's der eigenen Interface und die Net-ID's der Netze, die direkt mit dem Rechner verbunden sind, trägt Windows 2000 selbstständig in die Routingtabelle ein, sodass wir uns darum nicht kümmern müssen. Jetzt können wir uns die Routingtabelle mit dem Commandline-Befehl route print anzeigen lassen. Routingtabelle vom w2k-server ( East ): =========================================================================== Schnittstellenliste 0x1... MS TCP Loopback interface 0x d5 d2 df... 3Com 3C90x Ethernet Adapter 0x c fb... NDIS 5.0 driver =========================================================================== =========================================================================== Aktive Routen: Netzwerkziel Netzwerkmaske Gateway Schnittstelle Anzahl =========================================================================== Projektarbeit VPN TED4 SS2002 Seite: 28/74

29 Aus der Routingtabelle können wir herauslesen, dass alle relevanten Netze, sowie der Server selbst, eindeutig beschrieben sind und somit alle Datenpakete ihr Ziel erreichen sollten, vorausgesetzt der nächste Gatewayrechner "West" sowie die Clients "Sunset" und "Sunrise" sind ebenfalls korrekt eingerichtet. Um die einzelnen Rechner nicht immer über eine IP ansprechen zu müssen editieren wir auf jedem Windows 2000 Rechner die hosts -Datei, welche die Zuordnungen der IP- Adressen zu Hostnamen beschreibt. in C:\WINNT\system32\drivers\etc\hosts : Sunrise Sunset East #bzw West #bzw Sunset / Sunrise Auf diesen beiden Rechnern wird jeweils eine ganz normale Windows 2000 Professional- Installation vorgenommen. Es sind hier keinerlei VPN-Funktionen notwendig, da ja die komplette VPN-Funktionalität durch die Gateways East und West gewährleistet ist. Da Sunrise und Sunset bis jetzt nur ihre eigenen Netze kennen können wir von diesen Clients aus noch keine Datenpakete in andere, ihnen unbekannte Netze senden. Um das zu ermöglichen müssen wir Sunrise und Sunset die IP eines Gateways mitteilen, an den sie alle Pakete, die an Rechner ausserhalb ihres eigenen Netzes adressiert sind senden sollen. Die Netzwerkkarten sind wie folgt zu konfigurieren: Sunrise: IP-Adresse: Netmask: Standardgateway: Sunset: IP-Adresse: Netmask: Standardgateway: Die Einstellungen werden unter Eigenschaften Netzwerkkarte -> Eigenschaften Internetprotokoll (TCP/IP) vorgenommen. Projektarbeit VPN TED4 SS2002 Seite: 29/74

30 Beispiel: Netzwerkeinstellungen von Sunset Beispiel: Routingtabelle von Sunrise route print =========================================================================== Schnittstellenliste 0x1... MS TCP Loopback interface 0x a0 cd 3f... Realtek RTL8029(AS) Ethernet Adapt =========================================================================== =========================================================================== Aktive Routen: Netzwerkziel Netzwerkmaske Gateway Schnittstelle Anzahl Standardgateway: =========================================================================== Projektarbeit VPN TED4 SS2002 Seite: 30/74

31 7 Test der bisherigen Konfiguration Durch Eingabe des ping-befehls auf Sunset oder Sunrise in der Eingabeaufforderung ist nun feststellbar, ob die bisherige Konfiguration erfolgreich war: Sunset: ping Oder Sunrise: ping Nach erfolgreicher Ausführung, kann nun auf West das Routing wieder deaktiviert werden. route del net cd /proc/sys/net/ipv4 echo 1 > ip-forward Projektarbeit VPN TED4 SS2002 Seite: 31/74

32 8 Konfiguration IPSec und Paketfilter auf East und West 8.1 West 1) Die Datei /etc/rc.config Sie stellt eine der Hauptkonfigurationsdateien des Linuxsystems dar. In ihr ist nun folgender Eintrag auf yes zu setzen: # # Dadurch wird FreeS/WAN beim Booten automatisch gestartet # START_IPSEC="yes" Konfiguration von FreeS/WAN Die Konfiguration erfolgt hauptsächlich über zwei Dateien: /etc/ipsec.conf /etc/ipsec.secrets Die Datei /etc/ipsec.conf dient dazu, Verbindungsvereinbarungen zwischen den Kommunikationspartnern festzulegen. Sie ist in mehrere Abschnitte aufgeteilt. Im ersten Abschnitt wird FreeS/WAN allgemein konfiguriert. Im zweiten Abschnitt werden Default- Werte, die für jede Verbindung gelten sollen, gesetzt. Nachfolgend werden die einzelnen Verbindungen konfiguriert. Jede Verbindung bildet einen neuen Abschnitt in dieser Datei. Die grundsätzliche Struktur der Datei ist vorhanden, es müssen wie dargestellt die Eintragungen vorgenommen werden: # /etc/ipsec.conf - FreeS/WAN IPsec configuration file # basic configuration config setup # THIS SETTING MUST BE CORRECT or almost nothing will work; # %defaultroute is okay for most simple cases. # Zuweisung der ipsec-schnittstelle auf die ins unsichere Netz # zeigende Netzwerkkarte interfaces="ipsec0=eth1" # Debug-logging controls: "none" for (almost) none, "all" for lots. klipsdebug=none plutodebug=none # Use auto= parameters in conn descriptions to control # startup actions. plutoload=%search plutostart=%search Projektarbeit VPN TED4 SS2002 Seite: 32/74

33 # Close down old connection when new one using same ID shows up. uniqueids=yes # FreeS/WAN soll die Kontrolle Über die Weiterleitung von IP-Paketen # (Routing) haben. Wenn IPSec deaktiviert ist, findet kein Routing # statt. forwardcontrol=yes # defaults for subsequent connection descriptions conn %default # How persistent to be in (re)keying negotiations (0 means very). # Anzahl der Versuche, eine Verbindung aufzubauen oder zu # aktualisieren (0 -> die Anzahl der Versuche ist nicht begrenzt) keyingtries=0 # # # Die folgenden 4 Einträge sind nur für Testzwecke vorgesehen, # falls es Probleme mit dem automatischen Schlüsselaustausch gibt. # # Parameters for manual-keying testing (DON'T USE OPERATIONALLY). # Note: only one test connection at a time can use these parameters! # Security Parameter Index für manuelle Schlüsselverbindung spi=0x200 # # für manuelle Schlüsselverbindung: ESP soll mit den # Verschlüsselungs- # und Authentifizierungsverfahren 3DES und MD5 verwendet werden esp=3des-md5-96 # # Key für die Verschluesselung (manuell) espenckey=0x _89abcdef_02468ace_13579bdf_ _9abcdef0 # # Key fuer die Authentifizierung (manuell) espauthkey=0x _9abcdef0_2468ace0_13579bdf # # # (auto) key-exchange type # Verhandlungen sollen über das IKE-Protokoll stattfinden keyexchange=ike # # RSA authentication with keys from DNS. # authby=rsasig # leftrsasigkey=%dns # rightrsasigkey=%dns # # Die Datenbank von Pluto soll beim Start von FreeS/WAN geladen und # die enthaltenen Verbindungen aktiviert werden (Voraussetzung: in # basic configuration muss plutostart auf %search stehen) auto=start # Beschreibung der Verbindung: # west-east connection (linux <==> w2k) conn west-east # Left security gateway, subnet behind it, next hop toward right. left= leftsubnet= /24 # leftnexthop=%direct # Right security gateway, subnet behind it, next hop toward left. right= rightsubnet= /24 # rightnexthop=%direct # Projektarbeit VPN TED4 SS2002 Seite: 33/74