Modul: VI LV-06

Größe: px
Ab Seite anzeigen:

Download "Modul: 2000096VI LV-06"

Transkript

1 VPN: wired and wireless Fachbereich Informatik (FB 20) Fachgruppe: Security Engineering Modul: VI LV-06 er Skriptum und Literatur: Wolfgang BÖHMER, TU-Darmstadt, Hochschulstr. 10, D Darmstadt, Dep. of Computer Science, Security Engineering Group

2 Wichtige Information zur Vorlesung und den Übungen Ziel der Vorlesung/Übungen Freiwilliges Lernen Gute und ruhige Lernatmosphäre Hausordnung während der Vorlesung 1. Mobiltelefone sind auszuschalten 2. Laptops können angeschaltet sein, um die Vorlesung zu verfolgen 3. Keine Privatgespräche mit Kommilitonen in der Vorlesung 4. Kein Essen (auch nicht vegetarisch) 5. Keine Verspätung Folie 2

3 Vorlesungsinhalt LV-06 VPN Authentifizierungsverfahren in der Praxis PPP-Verbindung als Voraussetzung für PAP und CHAP Die AAA-Sicherheitsarchitektur Radius/openRADIUS und TACAS+ DIAMETER Kerberos VPN Architekturen und Einsatzszenarien Übungen Literatur Folie 3

4 PPP-Verbindung als Voraussetzung für PAP und CHAP Point-to-Point Protocol bietet die Möglichkeit IP-Datagramme über eine serielle Leitung zu schicken. (RFC-1661) Es gibt mittlerweile zahlreiche Erweiterung und Ergänzungen PPP ist ein Standard-Verfahren zur Übertragung von Protokoll- Informationen innerhalb der Network-Layer (Kapselung) Im Wesentlichen drei Komponenten Verfahren zum Einpacken der IP-Datagramme über serielle Leitungen Link Control Protocol (LCP) zum Aufbau, Konfiguration und Test einer Layer-2-Verbindung Familie von Network Control Protocols (NCP) zur Etablierung und Konfigurierung verschiedener Network-Layer-Protokolle (BCP, IPCP, IPXCP) PPP-Session erfolgt in drei Phasen 1. Aufbau einer PPP-Leitung durch Austausch von LCP-Paketen zwischen Peers zur Konfig. und Prüfung der Verbindung 2. LCP-Pakete handeln zwischen den Peers die Maximum Recieve Unit (MRU) aus 3. Optionale Authentifizierung je nach Parameter (PAP,Chap) muss abgeschlossen bevor NCP aktiviert wird. Folie 4

5 Passwort Authentication Protocol (PAP) Zwei-Wege-Handshake Protokoll nach RFC-1334 Einsatz beim Verbindungsaufbau zwischen Endgerät und Provider (ISP) Kennung und Passwort werden im Klartext über das Netz geschickt. Keine Unterbindung bei Missbrauch (Replay-Attack) Initiative ergreift der Client Austausch zwischen zwei Peer-Instanzen Befehlssequenz eines Cisco AS5200 Router ppp authentication {chap chap pap pap chap pap} [if needed] [listenname default callin one-time] Folie 5

6 Challenge-Handshake Authentication Protocol (CHAP) CHAP-Protokoll wird in der Aufbauphase einer PPP-Verbindung genutzt Es findet eine wechselseitige Authentifizierung beider Kommunikationssysteme statt. Es wird kein Passwort direkt ausgetauscht, sondern ein dreistufiges Authentifizierungsprotokoll (Frage-Antwort- Sequenz) MD5 als Einweg-Hashfunktion wird eingesetzt um die Integrität beim Challenge-Response sicherzustellen. Die Frage-Antwort-Sequenz wird vom Authentifizierungsserver ausgelöst und nicht vom Client (anders bei PAP) CHAP als auch PAP haben den Nachteil, dass die Passwörter auf Nutzer und auf Server-Seite in einer Datenbank abgelegt werden müssen Es lassen sich mit CHAP und PAP keine unterschiedlichen Netzwerk-Rechte (Privilegien) vergeben (Problem SOHO-Lösung) Folie 6

7 CHAP-Handshake-Protokollauszug (i) Verbindungsaufbau vom ppp-client, initiiert durch ein ping-paket: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Jun 9 10:45:02 linux kernel: OPEN: > ICMP Jun 9 10:45:02 linux kernel: ippp0: dialing 1 XXXXXXXXXXX... Jun 9 10:45:02 linux isdnlog: Jun 09 10:45:02 * tei 100 calling PPP_Server with PPP_Client RING (Data) Jun 9 10:45:02 linux isdnlog: Jun 09 10:45:02 tei 100 PPP_Server with PPP_Client Time:Sun Jun 9 10:45: Jun 9 10:45:02 linux isdnlog: Jun 09 10:45:02 tei 100 calling PPP_Server with PPP_Client INTERFACE ippp0 calling XXXXXXXXXXX Jun 9 10:45:02 linux isdnlog: Jun 09 10:45:02 tei 100 calling PPP_Server with PPP_Client CONNECT (Data) Jun 9 10:45:03 linux kernel: isdn_net: ippp0 connected Aushandeln der Verbindungsparameter: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Jun 9 10:45:03 linux ipppd[258]: Local number: XXXXXX, Remote number: XXXXXXXXXXX, Type: outgoing Jun 9 10:45:03 linux ipppd[258]: PHASE_WAIT -> PHASE_ESTABLISHED, ifunit: 2, linkunit: 0, fd: 7 Jun 9 10:45:03 linux ipppd[258]: sent [0][LCP ConfReq id=0x1 <mru 1524> <magic 0x8cd703b8> <pcomp> <accomp>] Jun 9 10:45:03 linux ipppd[258]: rcvd [0][LCP ConfReq id=0x1 <mru 1524> <auth chap md5> <magic 0x3e5abaa1> <MPmrru 1500> <MPdiscr: 0x4 [ ]>] Jun 9 10:45:03 linux ipppd[258]: sent [0][LCP ConfRej id=0x1 <MPmrru 1500>] Jun 9 10:45:03 linux ipppd[258]: rcvd [0][LCP ConfRej id=0x1 <pcomp> <accomp>] Jun 9 10:45:03 linux ipppd[258]: sent [0][LCP ConfReq id=0x2 <mru 1524> <magic 0x8cd703b8>] Jun 9 10:45:03 linux ipppd[258]: rcvd [0][LCP ConfReq id=0x2 <mru 1524> <auth chap md5> <magic 0x3e5abaa1> <MPdiscr: 0x4 [ ]>] Jun 9 10:45:03 linux ipppd[258]: sent [0][LCP ConfAck id=0x2 <mru 1524> <auth chap md5> <magic 0x3e5abaa1> <MPdiscr: 0x4 [ ]>] Jun 9 10:45:03 linux ipppd[258]: rcvd [0][LCP ConfAck id=0x2 <mru 1524> <magic 0x8cd703b8>] Jun 9 10:45:03 linux ipppd[258]: lcp layer is UP Folie 7

8 CHAP-Handshake-Protokollauszug (ii) Die Authentifizierung mittels Challenge-Response: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Jun 9 10:45:03 linux ipppd[258]: rcvd [0][CHAP Challenge id= 0x3b <107b4b0eab2fa a546a7d84960b9e681e82cfef86282ee0efea47cb8d255sf338b7c35>, name = "server"] Jun 9 10:45:03 linux ipppd[258]: ChapReceiveChallenge: Rcvd id 59. Jun 9 10:45:03 linux ipppd[258]: ChapReceiveChallenge: received name field: 'server' Jun 9 10:45:03 linux ipppd[258]: sent [0][CHAP Response id=0x3b <3f e d904344f5b76>, name = "client"] Jun 9 10:45:03 linux ipppd[258]: rcvd [0][CHAP Success id=0x3b "Welcome to server."] Jun 9 10:45:03 linux ipppd[258]: ChapReceiveSuccess: Rcvd id 59. Jun 9 10:45:03 linux ipppd[258]: Remote message: Welcome to server. Aushandeln der IP-Adressen: ~~~~~~~~~~~~~~~~~~~~~~~~~~~ Jun 9 10:45:03 linux ipppd[258]: MPPP negotiation, He: No We: No Jun 9 10:45:03 linux ipppd[258]: sent [0][IPCP ConfReq id=0x1 <addr > <compress VJ 0f 01>] Jun 9 10:45:03 linux ipppd[258]: CCP enabled! Trying CCP. Jun 9 10:45:03 linux ipppd[258]: CCP: got ccp-unit 0 for link 0 (Compression Control Protocol) Jun 9 10:45:03 linux ipppd[258]: sent [0][CCP ConfReq id=0x1 <LZS (RFC) hists 8 check 3] Jun 9 10:45:03 linux ipppd[258]: rcvd [0][IPCP ConfReq id=0x1 <addr >] Jun 9 10:45:03 linux ipppd[258]: sent [0][IPCP ConfAck id=0x1 <addr >] Jun 9 10:45:03 linux ipppd[258]: rcvd [0][IPCP ConfRej id=0x1 <compress VJ 0f 01>] Jun 9 10:45:03 linux ipppd[258]: sent [0][IPCP ConfReq id=0x2 <addr >] Jun 9 10:45:03 linux ipppd[258]: rcvd [0][LCP ProtRej id=0x3 80 fd ] Jun 9 10:45:03 linux ipppd[258]: rcvd [0][IPCP ConfAck id=0x2 <addr >] Jun 9 10:45:03 linux ipppd[258]: local IP address Jun 9 10:45:03 linux ipppd[258]: remote IP address Folie 8

9 AAA-Sicherheitsarchitektur Funktion eines Framework, mit drei unabhängigen Sicherheitsfunktionen die konsistent konfiguriert werden können Authentication: The process of validating the claimed identity of an end user or a device, such as a host, server, switch, router, and so on. Authorization: The act of granting access rights to a user, groups of users, system, or a process. Accounting: The methods to establish who, or what, performed a certain action, such as tracking user connection and logging system users. Quelle: Cisco Folie 9

10 AAA-Beispiel (Auszug) Cisco-Router show running-config ! Building configuration... Current configuration : 7019 bytes!! Last configuration change at 12:47:44 CET Fri Nov by ul03036! NVRAM config last updated at 12:40:50 CET Fri Nov by ul03036! version 12.1 no service single-slot-reload-enable no service pad service timestamps debug datetime localtime service timestamps log datetime localtime service password-encryption! hostname tfrr3115hsrz02! logging buffered debugging logging rate-limit console 10 except errors aaa new-model aaa authentication login default group tacacs+ local aaa authentication login console group tacacs+ enable aaa authentication enable default group tacacs+ enable aaa authentication ppp default local aaa authorization exec default group tacacs+ local aaa authorization commands 1 default group tacacs+ local aaa authorization commands 15 default group tacacs+ local aaa accounting update newinfo aaa accounting exec default start-stop group tacacs+ aaa accounting commands 1 default start-stop group tacacs+ aaa accounting commands 15 default start-stop group tacacs+ enable secret 5 <removed>! username genotel password 7 <removed> clock timezone CET 1 clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00 ip subnet-zero no ip source-route! no ip finger no ip domain-lookup interface Tunnel0 description Tunnel NCP-Gateway1 ip unnumbered FastEthernet0/0 tunnel source tunnel destination ! interface Tunnel1 description Tunnel NCP-Gateway2 ip unnumbered FastEthernet0/0 tunnel source tunnel destination !!... ip nat pool nat netmask ip nat inside source list 101 pool nat-1 overload ip classless ip route ip route ip route ip route ip route ip route ip route ip route ip route ip route ip route ip route ip route ip route ip route ip route ip route ! logging logging logging access-list 2 permit access-list 2 permit access-list 2 permit access-list 2 permit access-list 2 deny any linkup coldstart warmstart Folie 10

11 Remote Authentication Dial-In User Service (RADIUS) Client-Server-Architektur RADIUS-Server stellt einen Dämon-Prozess dar Verbindung zwischen NAS und Client basiert auf UDP Es werden folgende Schritte bei einer RADIUS Authentifizierung ausgeführt: 1. Der Benutzer wird zur Eingabe einer ID und eines PWD aufgefordert. 2. Die ID und das verschlüsselte PWD wird gemeinsam über das Netzwerk an den Radius- Server geschickt. 3. Die ID empfängt eine spezielle Nachricht vom RADIUS-Server (accept, reject, challenge, Change PWD). Folie 11

12 Vergleich RADIUS und TACACS RADIUS TACACS RADIUS setzt UDP ein TACAS+ setzt TCP/IP ein RADIUS verschlüsselt nur das Passwort in einer AAA-Anfrage. TACACS+ verschlüsselt das gesamte Paket für eine AAA-Anfrage RADIUS kombiniert Authentifizierung und Autorisation TACACS+ nutzt eine vollständige AAA-Architektur, die die AAA auch getrennt behandeln kann RADIUS unterstützt kein ARA-Zugriff, Netbios, Frame Protocol Control Protocol, NASI und X.25 PAD- Verbindung TACAS+ bietet die volle Multiprotokollunterstützung RADIUS bietet einem Nutzer keine Unterstützung zur Befehlskonfiguration bei Routern TACACS+ bietet zwei Möglichkeiten der Befehlskonfiguration an Entspricht einem Industriestandard (RFC-2138) CISCO firmenspezifisch (RFC-1492) Folie 12

13 AAA-Beispiel in einer realen Umgebung (RADIUS) Basis - komponenten Kunde Tools Institut RAS User ISDN/PSTN/GSM Internet Persönl. Zertifikat (Soft - o. SmartCard ) Entelligence Client Benutzertelefonbuch Basistelefonbuch NCP - Client RAS Access - Router Firewall L2 Netzinfrastruktur RAS NCP - Gateway VPN Service Radius Accounting Server DirX LDAP DirX - Server Directory Service Update Server (Telefonbuch) Tool Access - Router Admin Firewall Management NCP Client Configuration Manager Tool Radius Admin DirX Manager NCP Client Configuration Manager CA Zertifikats Server DMZ RA LRA Router Institut Tool Router Admin Firewall externe Partner DZ A-Bank Versich R+V Geno RZ - RZ Folie 13

14 DIAMETER und Mobile Dial-In Weitere AAA-Architektur RADIUS für mobile Dial-In ungeeignet. Authentifizierungsanfragen (Credentials) eines Users werden weiter gereicht. Kennzeichen des DIAMETER Protokoll SCTP ersetzt UDP Keep-alive Nachrichten Peer-to-Peer ersetzt Client/Server Zeitstempel für Nachrichten IPSec und TLS eingerichtet CMS ermöglicht End-to-End Security USER Visit ISP AAA Server NAS Home ISP AAA Server Folie 14

15 DIAMETER Architektur Wortspiel zu RADIUS DIAMETER Base Protokoll als AAA- Architektur, Schnittstellen über AVPs Applikationen Network Access REQuirements (NASREQ) zur Skalierbarkeit, Ressource Management, Erweiterung für zukünftige Technologien. Mobile IPv4, eine bessere Skalierbarkeit der Security Associations, Mobilität über die Domain-Grenzen hinweg und dynamisches Home-Agent Verfahren EAP Unterstützung NASREQ Application Mobile IP Application Mobile IP v6 Application weitere Application DIAMETER Base Protocol CMS Attribute Value Pairs (AVP) Folie 15

16 DIAMETER Protokolleigenschaften Verlässliche Transport-Protokolle (TCP oder SCTP) Verschlüsselung mit IPSec oder TLS(SSL) Der 32-Bit-AVP-Adressraum (engl.: attribute value pairs) ermöglicht mehr als 256 verschiedene Attribute, d.h. authentifizierbare Entitäten Zustandsbehaftete und zustandslose Modelle können benutzt werden Dynamisches Entdecken von Teilnehmern (DNS, SRV* und NAPTR**) Verhandlungsmöglichkeiten Fehlerbenachrichtigung Bessere Roaming-Unterstützung Leichte Erweiterbarkeit - neue Befehle und Attribute können definiert werden Basisunterstützung für Benutzersitzungen und Abrechnungen **(Naming Authority Pointer) Resource Records *SRV (Service) Resource Records Folie 16

17 Das Netzwerk- Authentifizierungsverfahren Kerberos Kennzeichen: 1. Keine Schlüssel werden übers Netz geschickt 2. Kerberos kennt die geheimen Schlüssel seiner Principals 1. Nutzer C meldet sich an seinem Computer an und fordert ein Dienst vom KDC mittels Ticket an. C->AS: Idc, Realmc, Idtgs, TS1, Nonce 2. Prüfung der Eingangsdaten gegenüber der Datenbank im KDC.Ausstelung eines Ticket- Granting Ticket AS->C: Realmc, Idc, Tickettgs, Ekc{Kc,tgs,TS2, Realmtgs, IDtgs} 3. Entschlüsselung der Daten bei C und Ausnutzung des Ticket zur Beantragung eines Dienstes 4. Verifikation bei C 5. Es liegen alle Anmeldeparameter bei C vor. Nun schickt C eine Nachricht zum Appl.-Server um den eigentlichen Dienst anzufordern. 6. Appl.-Server (SV) schickt zur Eröffnung des Appl.-Dialog s Folie 17

18 VPN-Einsatzsenarien Intranet-VPN Extranet-VPN Remote-Access-VPN Internet/Andere Öffentliche Netze Firma Firmenfiliale Partnerunternehmen Netzwerkanbieter (NSP) Mobiler Mitarbeiter Folie 18

19 VPN-Lösungen im Schichtenmodell Applika tio ns-la ye r Ve rschlüsse lung Applikationsebene (5-7) Transport/ Netzwerkebene (3-4) Ne tzwe rk-la ye r Ve rschlüsse lung Link/Physikalischeebene (1-2) Link-Layer Ve rschlüsse lung Link-Layer Ve rschlüsse lung Applikationen TCP/UDP (Transport) - S/MIME, PGP - Proxy Server - Content Screening - Virus Scanning - PKI - Kerberos, Radius - IPSEC (IKE) - SOCKS V5 - SSL, TLS IP (Internetwork) - IPSEC (AH, ESP) - Paket Filtering - NAT Network Interface (Data Link) - CHAP, PAP, MS-CHAP - Tunneling Protokolle (L2TP, PPTP, L2F) Folie 19

20 VPN-Gateway nach der Firewall Firewall kann eingehende verschlüsselte Pakete nicht analysieren und filtern LAN Firewall kann nicht erkennen, an welche Rechner oder Ports die verschlüsselten Pakete gerichtet sind. VPN- Gateway Virenfilter und Mail-Gateways habe Schwierigkeiten mit dieser Konstellation Firewall Probleme bei NAT bzw. Masquerading und einer Firewall wenn ein IPSec- Gateway mit AH betrieben wird Eventuell Probleme mit ESP und ISDN- Router und DSL-Router Internet VPN- Clients Folie 20

21 VPN-Gateway und Firewall auf demselbem System All-in-One-Lösung LAN BSI rät ab von dieser Lösung, da jeder zusätzliche Dienst auf der Firewall die Sicherheit beeinträchtigt z.b. Checkpoint-Lösung hat ein Modul direkt auf der Firewall implementiert Sicherheitstechnisch sinnvoll, VPN- Gateway völlig aus dem Einflußbereich des LAN und der Firewall zu entfernen (DMZ) Firewall + VPN Internet VPN- Client LAN Firewall + VPN Folie 21

22 VPN-Gateway über Netzwerkkarte mit der Firewall verbunden und steht in der DMZ IP-Forwarding muss freigeschaltet sein UDP-Port 500 muss für IKE geöffnet sein IP-Protokollnummern 50 (ESP) und 51 (AH) müssen geöffnet werden UDP-Port 1701 für L2TP und L2F muss geöffnet werden IP-Protokollnummern 47 (GRE) und 1723 (TCP) muss offen sein Firewall LAN VPN- Gateway Kritik: alle Prüfungen die zuvor auf der Firewall durchgeführt wurden, müssen nun auf dem VPN-Gateway durchgeführt werden (Fehlkonfigurationen möglich) Internet VPN- Clients Folie 22

23 VPN-Gateway vor der Firewall in einer DMZ mit zusätzlichen Router Vorteilhafte Konstellation, in dem ein Router den ein- und ausgehenden Verkehr bewacht. VPN findet Schutz hinter dem Router Firewall LAN VPN- Gateway Nur bestimmte IP-Pakete werden weitergeleitet Vom VPN-Gateway entschlüsselte IP-Pakete müssen noch die Firewall passier (Virenprüfung, -Kontrolle) Router Es wird sichergestellt, dass keine lokalen Sicherheitsregeln unterlaufen werden Internet VPN- Clients Folie 23

24 Übungen zur Vorlesung VPN Virtual Private Networks ÜBUNGEN LV-06 Folie 24

25 Übungen-LV-06-Ü01 1. Wie kann eine PPP-Verbindung beim Aufbau abgesichert werden? 2. Welche Unterschiede gibt es zwischen PAP und CHAP? 3. Welches Protokoll ist i.d.r. zu bevorzugen PAP oder CHAP? 4. Welche Unterschiede gibt es zwischen MS-CHAP und CHAP? 5. Welche Protokolle bieten eine komplette Tripel-A Unterstützung? 6. Welches sind die Nachteile von RADIUS gegenüber DIAMETER? 7. Warum kann RADIUS kein Mobile IP unterstützen? 8. Was beinhalten die AVPs, speziell das R-Flag für Mobile IP? Falls Sie eine Übung einreichen möchten, dann bitte in der folgenden Nomenklatur für die Datei LV06-Ü01-Name.pdf Folie 25

26 Literatur Huston G.: Internet Performance Survival Guide, QoS Strategies for Multiservice Networks, ISBN Comer, 1995: Internetworking with TCP/IP Vol. I., ISBN ITU-T Recommendation Series X: Data Networks and Open System Communications, Directory X.509 (03/2000) ITU-T Recommendation Series X: Data Networks and Open System Communications, Directory X.500 (02/2001) Aurand, A.: Sicherheit in CISCO- und Windows-2000-Netzwerken, Addison- Wesley-Verlag, ISBN , 2001 CISCO IOS 12.0 Network Security, CISCO Dokumentation, Verlag Markt&Technik, 2000, ISBN Stempfle, C.:RADIUS und Diameter, Seminar Mobilkommunikation SS2005 Folie 26

Diameter. KM-/VS-Seminar. Wintersemester 2002/2003. schulze_diameter.ppt Christian Schulze_03-Februar-07

Diameter. KM-/VS-Seminar. Wintersemester 2002/2003. schulze_diameter.ppt Christian Schulze_03-Februar-07 Diameter KM-/VS-Seminar Wintersemester 2002/2003 Betreuer: Martin Gutbrod 1 Übersicht Einleitung AAA Szenarien Remote dial-in Mobile dial-in Mobile telephony Design von Diameter Ausblick Features Protokoll

Mehr

VPN: wired and wireless

VPN: wired and wireless VPN: wired and wireless Fachbereich Informatik (FB 20) Fachgruppe: Security Engineering Modul: 2000096VI LV-10 er Skriptum und Literatur: http://www.seceng.informatik.tu-darmstadt.de/teaching/ws11-12/vpn11

Mehr

Vorlesung VPN: Drahtgebunden und drahtlos Fachbereich Informatik (FB 20) Lehrstuhl Prof. J. Buchmann

Vorlesung VPN: Drahtgebunden und drahtlos Fachbereich Informatik (FB 20) Lehrstuhl Prof. J. Buchmann Vorlesung VPN: Drahtgebunden und drahtlos Fachbereich Informatik (FB 20) Lehrstuhl Prof. J. Buchmann WS-05 / V2-20.205.1 In Zusammenarbeit mit dem CAST-Forum Dr. Wolfgang Böhmer Skript: http://www.cdc.informatik.tu-darmstadt.de/~wboehmer/

Mehr

Werner Anrath. Inhalt

Werner Anrath. Inhalt Vortrag 2G01 L2TP over IPSEC Remote Access VPN Werner Anrath Forschungszentrum Jülich Zentralinstitut für Angewandte Mathematik IT Symposium 2004 in Bonn 21.04.2004 Inhalt Definition VPN und Überblick

Mehr

VPN: wired and wireless

VPN: wired and wireless VPN: wired and wireless Fachbereich Informatik (FB 20) Fachgruppe: Security Engineering Modul: 2000096VI er Skriptum und Literatur: http://www2.seceng.informatik.tu-darmstadt.de/vpn13/ Wolfgang BÖHMER,

Mehr

VPN - Virtual Private Networks

VPN - Virtual Private Networks VPN - Virtual Private Networks Wolfgang Böhmer Kommunikationssicherheit in VPN- und IP-Netzen, über GPRS und WLAN ISBN 3-446-22930-2 Inhaltsverzeichnis Weitere Informationen oder Bestellungen unter http://www.hanser.de/3-446-22930-2

Mehr

VPN Virtual Private Networks

VPN Virtual Private Networks Wolfgang Böhmer VPN Virtual Private Networks Die reale Welt der virtuellen Netze HANSER Inhaltsverzeichnis Teil I VPN-Grundlagen und Techniken 1 1 Einleitung 3 1.1 Was ist ein VPN? 7 1.2 Welche VPN-Varianten

Mehr

Site2Site VPN S T E F A N K U S I E K B F W L E I P Z I G

Site2Site VPN S T E F A N K U S I E K B F W L E I P Z I G Site2Site VPN S T E F A N K U S I E K B F W L E I P Z I G Übersicht Einleitung IPSec SSL RED Gegenüberstellung Site-to-Site VPN Internet LAN LAN VPN Gateway VPN Gateway Encrypted VPN - Technologien Remote

Mehr

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: - Grundkonfiguration des Routers. - Ein Bootimage ab Version 7.4.x.

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: - Grundkonfiguration des Routers. - Ein Bootimage ab Version 7.4.x. 7. PPPoE Server 7.1 Einleitung Im Folgenden wird die Konfiguration einer Dialin Verbindung über PPPoE zum Router beschrieben, um eine zusätzliche Authentifizierung durchzuführen. Bei der Einwahl eines

Mehr

Netzsicherheit 4: Layer 2-Sicherheit Das Point-to-Point- Protokoll und seine Erweiterungen

Netzsicherheit 4: Layer 2-Sicherheit Das Point-to-Point- Protokoll und seine Erweiterungen Netzsicherheit 4: Layer 2-Sicherheit Das Point-to-Point- Protokoll und seine Erweiterungen Das TCP/IP-Schichtenmodell Anwendungsschicht (FTP, HTTP, SMTP,...) Transportschicht (TCP, UDP) Internetschicht

Mehr

VPN. Virtuelles privates Netzwerk. Vortrag von Igor Prochnau Seminar Internet- Technologie

VPN. Virtuelles privates Netzwerk. Vortrag von Igor Prochnau Seminar Internet- Technologie VPN Virtuelles privates Netzwerk Vortrag von Igor Prochnau Seminar Internet- Technologie Einleitung ist ein Netzwerk, das ein öffentliches Netzwerk benutzt, um private Daten zu transportieren erlaubt eine

Mehr

VIRTUAL PRIVATE NETWORKS

VIRTUAL PRIVATE NETWORKS VIRTUAL PRIVATE NETWORKS Seminar: Internet-Technologie Dozent: Prof. Dr. Lutz Wegner Virtual Private Networks - Agenda 1. VPN Was ist das? Definition Anforderungen Funktionsweise Anwendungsbereiche Pro

Mehr

VPN: wired and wireless

VPN: wired and wireless VPN: wired and wireless Fachbereich Informatik (FB 20) Fachgruppe: Security Engineering Modul: 2000096VI LV-07 er Skriptum und Literatur: http://www.seceng.informatik.tu-darmstadt.de/teaching/ws11-12/vpn11

Mehr

VPN VPN requirements Encryption

VPN VPN requirements Encryption Overview VPN VPN requirements Encryption VPN-Types Protocols VPN and Firewalls Joachim Zumbrägel 1 VPN - Definition VPNs (Virtual Private Networks) allow secure data transmission i over insecure connections.

Mehr

VPN: wired and wireless

VPN: wired and wireless VPN: wired and wireless Fachbereich Informatik (FB 20) Fachgruppe: Security Engineering Modul: 2000096VI LV-10 er Skriptum und Literatur: http://www2.seceng.informatik.tu-darmstadt.de/vpn10/ Wolfgang BÖHMER,

Mehr

VPN IPSec Tunnel zwischen zwei DI-804HV / DI-824VUP+

VPN IPSec Tunnel zwischen zwei DI-804HV / DI-824VUP+ VPN IPSec Tunnel zwischen zwei DI-804HV / DI-824VUP+ Schritt für Schritt Anleitung DI-804HV Firmwarestand 1.41b03 DI-824VUP+ Firmwarestand 1.04b02 Seite 1: Netz 192.168.0.0 / 24 Seite 2: Netz 192.168.1.0

Mehr

VPN (Virtual Private Network)

VPN (Virtual Private Network) VPN (Virtual Private Network) basierend auf Linux (Debian) Server Praktikum Protokolle Bei Prof. Dr. Gilbert Brands Gliederung Gliederung 1. Was ist VPN 2. VPN-Implementierungen 3. Funktionsweise von OpenVPN

Mehr

Vorlesung SS 2001: Sicherheit in offenen Netzen

Vorlesung SS 2001: Sicherheit in offenen Netzen Vorlesung SS 2001: Sicherheit in offenen Netzen 2.4 Internet-Protokolle für serielle Leitungen Prof. Dr. Christoph Meinel Informatik, Universität Trier & Institut für Telematik, Trier Prof. Dr. sc. nat.

Mehr

P107: VPN Überblick und Auswahlkriterien

P107: VPN Überblick und Auswahlkriterien P107: VPN Überblick und Auswahlkriterien Referent: Christoph Bronold BKM Dienstleistungs GmbH 2004 BKM Dienstleistungs GmbH VPN Überblick VPN Technologien für IP VPN Netzwerk Design VPN Auswahlkriterien

Mehr

Radius Server. Bericht im Studiengang Computerengineering an der HS-Furtwangen. Student: Alphonse Nana Hoessi Martikelnr.:227106

Radius Server. Bericht im Studiengang Computerengineering an der HS-Furtwangen. Student: Alphonse Nana Hoessi Martikelnr.:227106 Radius Server Bericht im Studiengang Computerengineering an der HS-Furtwangen Student: Alphonse Nana Hoessi Martikelnr.:227106 Student: Daniel Lukac Martikelnr.: 227244 Student: Dominik Bacher Martikelnr.:

Mehr

VPN Gateway (Cisco Router)

VPN Gateway (Cisco Router) VPN Gateway (Cisco Router) Mario Weber INF 03 Inhalt Inhalt... 2 1 VPN... 3 1.1 Virtual Private Network... 3 1.1.1 Allgemein... 3 1.1.2 Begriffsklärung... 4 1.2 Tunneling... 4 1.3 Tunnelprotkolle... 5

Mehr

Werner Anrath. Inhalt

Werner Anrath. Inhalt Vortrag 2L04 L2TP over IPSEC Remote Access VPN Werner Anrath Forschungszentrum Jülich Zentralinstitut für Angewandte Mathematik IT Symposium 2007 in Nürnberg 18.04.2007 Inhalt Definition VPN und Überblick

Mehr

VPN Virtual Private Network

VPN Virtual Private Network VPN Virtual Private Network LF10 - Betreuen von IT-Systemen Marc Schubert FI05a - BBS1 Mainz Lernfeld 10 Betreuen von IT-Systemen VPN Virtual Private Network Marc Schubert FI05a - BBS1 Mainz Lernfeld 10

Mehr

Inhalt. Erreichbarkeit von VPN-Gateways hinter einem Genexis FTTH-Abschlussrouter

Inhalt. Erreichbarkeit von VPN-Gateways hinter einem Genexis FTTH-Abschlussrouter Dieses Dokument beschreibt die notwendigen Einstellungen, um ein VPN-Gateway hinter einer Genexis OCG-218M/OCG-2018M und HRG1000 LIVE! TITANIUM trotz NAT-Funktion erreichbar zu machen. Inhalt 1 OCG-218M/OCG-2018M...

Mehr

CISCO-Router. Installation und Konfiguration Dr. Klaus Coufal

CISCO-Router. Installation und Konfiguration Dr. Klaus Coufal CISCO-Router Installation und Konfiguration Dr. Klaus Coufal Themenübersicht Grundlagen Router IOS Basiskonfiguration Administration Dr. Klaus Coufal 5.3.2001 Router Einführung 2 Grundlagen Routing Was

Mehr

HOBLink VPN 2.1 Gateway

HOBLink VPN 2.1 Gateway Secure Business Connectivity HOBLink VPN 2.1 Gateway die VPN-Lösung für mehr Sicherheit und mehr Flexibilität Stand 02 15 Mehr Sicherheit für Unternehmen Mit HOBLink VPN 2.1 Gateway steigern Unternehmen

Mehr

VPN: wired and wireless

VPN: wired and wireless VPN: wired and wireless Fachbereich Informatik (FB 20) Fachgruppe: Security Engineering Modul: 2000096VI LV-7 er Skriptum und Literatur: http://www2.seceng.informatik.tu-darmstadt.de/vpn10/ Wolfgang BÖHMER,

Mehr

Virtual Private Networks. Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH

Virtual Private Networks. Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH Virtual Private Networks Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH Inhalt Einleitung Grundlagen Kryptographie IPSec Firewall Point-to-Point Tunnel Protokoll Layer 2 Tunnel Protokoll Secure Shell

Mehr

1. IPSec Verbindung zwischen 2 Gateways mit dynamischen IP Adressen

1. IPSec Verbindung zwischen 2 Gateways mit dynamischen IP Adressen 1. IPSec Verbindung zwischen 2 Gateways mit dynamischen IP Adressen 1.1 Einleitung Im Folgenden wird die Konfiguration einer IPsec Verbindung mit dynamischen IP-Adressen auf beiden Seiten beschrieben.

Mehr

Ing. Robert Schütz. Absicherung von Netzwerkdevices und Sicherheitsaspekte von Routing Protokollen. Telekom Austria AG Technology Consultant Networks

Ing. Robert Schütz. Absicherung von Netzwerkdevices und Sicherheitsaspekte von Routing Protokollen. Telekom Austria AG Technology Consultant Networks Ing. Robert Schütz Absicherung von Netzwerkdevices und Sicherheitsaspekte von Routing Protokollen Telekom Austria AG Technology Consultant Networks ICRC, ACRC, CIT, CLSW, MPLS, PIX Workshop, CCIE Routing

Mehr

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: 1. Access Point im Personal Mode (WEP / WPA / WPA2) 1.1 Einleitung Im Folgenden wird die Konfiguration des Access Point Modus gezeigt. Zur Absicherung der Daten werden die verschiedenen Verschlüsselungsalgorithmen

Mehr

2 Typische Angriffe. 3 Sichere Kommunikationsdienste. 4 Einbruchssicherung. 5 Sicherung von Anwendungsdiensten

2 Typische Angriffe. 3 Sichere Kommunikationsdienste. 4 Einbruchssicherung. 5 Sicherung von Anwendungsdiensten Inhalt 1 Einführung 2 Typische Angriffe 3 Sichere Kommunikationsdienste 4 Einbruchssicherung 5 Sicherung von Anwendungsdiensten 6 Privacy NS-3.1 1 3 Sichere Kommunikationsdienste NS-3.1 2 Kommunikationssicherheit

Mehr

CARL HANSER VERLAG. Wolfgang Böhmer. VPN - Virtual Private Networks Die reale Welt der virtuellen Netze 3-446-21532-8. www.hanser.

CARL HANSER VERLAG. Wolfgang Böhmer. VPN - Virtual Private Networks Die reale Welt der virtuellen Netze 3-446-21532-8. www.hanser. CARL HANSER VERLAG Wolfgang Böhmer VPN - Virtual Private Networks Die reale Welt der virtuellen Netze 3-446-21532-8 www.hanser.de Inhaltsverzeichnis Teil I VPN-Grundlagen und Techniken 1 1 Einleitung 3

Mehr

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: 13. Secure Socket Layer (SSL) VPN 13.1 Einleitung Sie konfigurieren das Feature SSL VPN für den Zugriff eines Clients auf das Firmennetzwerk. Die UTM in der Zetrale stellt Zertifikate für die VPN Clients

Mehr

1E05: VPN Verbindungen zwischen Data Center und Branch Office

1E05: VPN Verbindungen zwischen Data Center und Branch Office 1E05: VPN Verbindungen zwischen Data Center und Branch Office Referent: Christoph Bronold BKM Dienstleistungs GmbH 2008 BKM Dienstleistungs GmbH VPN Verbindungen Data Center und Backup Data Center Data

Mehr

RADIUS Protokoll + Erweiterungen

RADIUS Protokoll + Erweiterungen RADIUS Protokoll + Erweiterungen Universität Hamburg Seminar: Internet-Sicherheit Claas Altschaffel Sommersemester 2005 Inhalt Einleitung Paketaufbau Ablauf Protokoll-Support RADIUS Proxy Erweiterungen

Mehr

Hochschule Wismar - University of Applied Sciences Technology Business and Design. 802.1X Port-Based. Authentication. für das Schulnetzwerk

Hochschule Wismar - University of Applied Sciences Technology Business and Design. 802.1X Port-Based. Authentication. für das Schulnetzwerk 802.1X Port-Based Authentication für das Schulnetzwerk 1 Workshop: 802.1X Port-Based Authentication für das Schulnetzwerk Was wollen wir tun? Teil 1: Grundlegende Fragen Etwas Theorie 802.1x Userdatenbank-Server

Mehr

4 Netzwerkzugriff. 4.1 Einführung. Netzwerkzugriff

4 Netzwerkzugriff. 4.1 Einführung. Netzwerkzugriff 4 Netzwerkzugriff Prüfungsanforderungen von Microsoft: Configuring Network Access o Configure remote access o Configure Network Access Protection (NAP) o Configure network authentication o Configure wireless

Mehr

Virtual Private Networks mit OpenVPN. Matthias Schmidt Chaostreff Giessen/Marburg

Virtual Private Networks mit OpenVPN. Matthias Schmidt <xhr@giessen.ccc.de> Chaostreff Giessen/Marburg Virtual Private Networks mit OpenVPN Matthias Schmidt Agenda Einführung Szenarien Protokolle Transport Layer Security v1 pre-shared keys Installation Konfiguration Wichtige Parameter

Mehr

Black Box erklärt: Sicherheit nach IEEE 802.1x?

Black Box erklärt: Sicherheit nach IEEE 802.1x? Black Box erklärt: Sicherheit nach IEEE 802.1x? Bei Wireless LAN Netzwerken kennt jeder die Gefahr einer unbefugten Benutzung der Daten im Netzwerk durch Fremde. Aus diesem Grund gibt es in diesem Bereich

Mehr

Konfigurationsbeispiel USG & ZyWALL

Konfigurationsbeispiel USG & ZyWALL ZyXEL OTP (One Time Password) mit IPSec-VPN Konfigurationsbeispiel USG & ZyWALL Die Anleitung beschreibt, wie man den ZyXEL OTP Authentication Radius Server zusammen mit einer ZyWALL oder einer USG-Firewall

Mehr

TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL

TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL 1 TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL Kleine Auswahl bekannter Sicherheitsprotokolle X.509 Zertifikate / PKIX Standardisierte, häufig verwendete Datenstruktur zur Bindung von kryptographischen

Mehr

Protokoll. Höhere Technische Bundeslehranstalt Fischergasse 30 A-4600 Wels. Titel der Übung: Remote Control per Telnet

Protokoll. Höhere Technische Bundeslehranstalt Fischergasse 30 A-4600 Wels. Titel der Übung: Remote Control per Telnet Protokoll Nr. 5 Höhere Technische Bundeslehranstalt Fischergasse 30 A-4600 Wels Protokoll Abteilung IT Übungs Nr.: 5 Titel der Übung: Remote Control per Telnet Katalog Nr.: 3 Verfasser: Christian Bartl

Mehr

Virtual Private Networks Hohe Sicherheit wird bezahlbar

Virtual Private Networks Hohe Sicherheit wird bezahlbar Virtual Private Networks Hohe Sicherheit wird bezahlbar Paul Schöbi, cnlab AG paul.schoebi@cnlab.ch www.cnlab.ch Präsentation unter repertoire verfügbar 27.10.99 1 : Internet Engineering Dr. Paul Schöbi

Mehr

Nutzerauthentifizierung mit 802.1X. Torsten Kersting kersting@dfn.de

Nutzerauthentifizierung mit 802.1X. Torsten Kersting kersting@dfn.de Nutzerauthentifizierung mit 802.1X Torsten Kersting kersting@dfn.de Inhalt EAP Protokoll EAP Methoden 802.1X Netzwerk Port Auth. 802.1X in WLAN s 802.11i (TKIP, CCMP, RSN) Einführung Design Fehler in statischem

Mehr

Informations- und Kommunikationssysteme

Informations- und Kommunikationssysteme Informations- und Kommunikationssysteme Netztechnologien / Repetition Karl Meier karl.meier@kasec.ch 16.12.2006 Agenda 1 2 3 4 5 6 7 Internet und Protokolle, IP Adressierung Die Transportprotokolle UDP

Mehr

HowTo: Einrichtung einer IPSec Verbindung mit einem IPSEC VPN Client zum DWC-1000 am Beispiel der Shrewsoft VPN Clientsoftware

HowTo: Einrichtung einer IPSec Verbindung mit einem IPSEC VPN Client zum DWC-1000 am Beispiel der Shrewsoft VPN Clientsoftware HowTo: Einrichtung einer IPSec Verbindung mit einem IPSEC VPN Client zum DWC-1000 am Beispiel der Shrewsoft VPN Clientsoftware [Voraussetzungen] 1. DWC-1000 mit Firmware Version: 4.2.0.3_B502 und höher

Mehr

Firewalls und Virtuelle Private Netze

Firewalls und Virtuelle Private Netze s und Virtuelle Private Netze Jürgen Quittek Institut für Informatik Freie Universität Berlin C&C Research Laboratories NEC Europe Ltd., Berlin Vorlesung Datensicherheit Institut für Informatik Freie Universität

Mehr

Stefan Dahler. 1. Konfiguration der Stateful Inspection Firewall. 1.1 Einleitung

Stefan Dahler. 1. Konfiguration der Stateful Inspection Firewall. 1.1 Einleitung 1. Konfiguration der Stateful Inspection Firewall 1.1 Einleitung Im Folgenden wird die Konfiguration der Stateful Inspection Firewall beschrieben. Es werden Richtlinien erstellt, die nur den Internet Verkehr

Mehr

IP Adressen & Subnetzmasken

IP Adressen & Subnetzmasken IP Adressen & Subnetzmasken Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de Universität Bielefeld Technische Fakultät Stand der Veranstaltung 13. April 2005 Unix-Umgebung 20. April 2005 Unix-Umgebung 27. April

Mehr

Beispielkonfiguration eines IPSec VPN Servers mit dem NCP Client

Beispielkonfiguration eines IPSec VPN Servers mit dem NCP Client (Für DFL-160) Beispielkonfiguration eines IPSec VPN Servers mit dem NCP Client Zur Konfiguration eines IPSec VPN Servers gehen bitte folgendermaßen vor. Konfiguration des IPSec VPN Servers in der DFL-160:

Mehr

Grundkurs Routing im Internet mit Übungen

Grundkurs Routing im Internet mit Übungen Grundkurs Routing im Internet mit Übungen Falko Dressler, Ursula Hilgers {Dressler,Hilgers}@rrze.uni-erlangen.de Regionales Rechenzentrum der FAU 1 Tag 4 Router & Firewalls IP-Verbindungen Aufbau von IP

Mehr

Konfigurationsbeispiel

Konfigurationsbeispiel ZyWALL 1050 dynamisches VPN Dieses Konfigurationsbeispiel zeigt, wie man einen VPN-Tunnel mit einer dynamischen IP-Adresse auf der Client-Seite und einer statischen öffentlichen IP-Adresse auf der Server-Seite

Mehr

Um IPSec zu konfigurieren, müssen Sie im Folgenden Menü Einstellungen vornehmen:

Um IPSec zu konfigurieren, müssen Sie im Folgenden Menü Einstellungen vornehmen: 1. IPSec Verbindung zwischen IPSec Client und Gateway 1.1 Einleitung Im Folgenden wird die Konfiguration einer IPSec Verbindung vom Bintec IPSec Client zum Gateway gezeigt. Dabei spielt es keine Rolle,

Mehr

Kurzeinführung VPN. Veranstaltung. Rechnernetze II

Kurzeinführung VPN. Veranstaltung. Rechnernetze II Kurzeinführung VPN Veranstaltung Rechnernetze II Übersicht Was bedeutet VPN? VPN Typen VPN Anforderungen Was sind VPNs? Virtuelles Privates Netzwerk Mehrere entfernte lokale Netzwerke werden wie ein zusammenhängendes

Mehr

NAT und Firewalls. Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de. Universität Bielefeld Technische Fakultät

NAT und Firewalls. Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de. Universität Bielefeld Technische Fakultät NAT und Firewalls Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de Universität Bielefeld Technische Fakultät Stand der Veranstaltung 13. April 2005 Unix-Umgebung 20. April 2005 Unix-Umgebung 27. April 2005

Mehr

Windows 7 mittels Shrew Soft VPN Client per VPN mit FRITZ!Box 7390 (FRITZ!OS 6) verbinden

Windows 7 mittels Shrew Soft VPN Client per VPN mit FRITZ!Box 7390 (FRITZ!OS 6) verbinden Windows 7 mittels Shrew Soft VPN Client per VPN mit FRITZ!Box 7390 (FRITZ!OS 6) verbinden Veröffentlicht am 28.11.2013 In FRITZ!OS 6.00 (84.06.00) gibt es neuerdings die Möglichkeit, VPN Verbindungen direkt

Mehr

Prinzipiell wird bei IP-basierenden VPNs zwischen zwei unterschiedlichen Ansätzen unterschieden:

Prinzipiell wird bei IP-basierenden VPNs zwischen zwei unterschiedlichen Ansätzen unterschieden: Abkürzung für "Virtual Private Network" ein VPN ist ein Netzwerk bestehend aus virtuellen Verbindungen (z.b. Internet), über die nicht öffentliche bzw. firmeninterne Daten sicher übertragen werden. Die

Mehr

Aurorean Virtual Network

Aurorean Virtual Network Übersicht der n Seite 149 Aurorean Virtual Network Aurorean ist die VPN-Lösung von Enterasys Networks und ist als eine Enterprise-class VPN-Lösung, auch als EVPN bezeichnet, zu verstehen. Ein EVPN ist

Mehr

Handout. Holger Christian. Thema: VPN

Handout. Holger Christian. Thema: VPN Handout Holger Christian Thema: VPN VPN-Definition: Ein virtuelles privates Netz (VPN) ist ein Netz von logischen Verbindungen zur Übermittlung von privaten Daten/Informationen bzw. Datenverkehr. Eine

Mehr

Secure Authentication for System & Network Administration

Secure Authentication for System & Network Administration Secure Authentication for System & Network Administration Erol Längle, Security Consultant Patrik Di Lena, Systems & Network Engineer Inter-Networking AG (Switzerland) Agenda! Ausgangslage! Komplexität!

Mehr

VPN: Virtual-Private-Networks

VPN: Virtual-Private-Networks Referate-Seminar WS 2001/2002 Grundlagen, Konzepte, Beispiele Seminararbeit im Fach Wirtschaftsinformatik Justus-Liebig-Universität Giessen 03. März 2002 Ziel des Vortrags Beantwortung der folgenden Fragen:

Mehr

1 Praktikum Protokolle SS2007 Fachhochschule OOW 15.05.2007. VPN Dokumentation. Erstellt von: Jens Nintemann und Maik Straub

1 Praktikum Protokolle SS2007 Fachhochschule OOW 15.05.2007. VPN Dokumentation. Erstellt von: Jens Nintemann und Maik Straub 1 Praktikum Protokolle SS2007 Fachhochschule OOW VPN Dokumentation 1 2 Praktikum Protokolle SS2007 Fachhochschule OOW Inhaltsverzeichnis Thema Seite 1. Einleitung 3 2. Unsere Aufbaustruktur 3 3. Installation

Mehr

VPN unterstützt 3 verschiedene Szenarien: Host to Host: Dies kennzeichnet eine sichere 1:1 Verbindung zweier Computer, z.b. über das Internet.

VPN unterstützt 3 verschiedene Szenarien: Host to Host: Dies kennzeichnet eine sichere 1:1 Verbindung zweier Computer, z.b. über das Internet. 1. VPN Virtual Private Network Ein VPN wird eingesetzt, um eine teure dedizierte WAN Leitung (z.b. T1, E1) zu ersetzen. Die WAN Leitungen sind nicht nur teuer, sondern auch unflexibel, da eine Leitung

Mehr

Ziel: Problemdefinition: Der vorhandene LDAP Dienst kann mit der Verwendung von MSCHAP nicht für die Authentifizierung verwendet werden.

Ziel: Problemdefinition: Der vorhandene LDAP Dienst kann mit der Verwendung von MSCHAP nicht für die Authentifizierung verwendet werden. Ziel: Integration eines Radiusservers in eine LDAP/Active Directory Umgebung. Dies wird anhand eines Beispiels mit Redhat Enterprise Server 5 veranschaulicht. Problemdefinition: Der vorhandene LDAP Dienst

Mehr

Virtuelle Private Netzwerke

Virtuelle Private Netzwerke Virtuelle Private Netzwerke VPN Dortmund, Oktober 2004 Prof. Dr. Heinz-Michael Winkels, Fachbereich Wirtschaft FH Dortmund Emil-Figge-Str. 44, D44227-Dortmund, TEL.: (0231)755-4966, FAX: (0231)755-4902

Mehr

Security. Stefan Dahler. 6. Zone Defense. 6.1 Einleitung

Security. Stefan Dahler. 6. Zone Defense. 6.1 Einleitung 6. Zone Defense 6.1 Einleitung Im Folgenden wird die Konfiguration von Zone Defense gezeigt. Sie verwenden einen Rechner für die Administration, den anderen für Ihre Tests. In der Firewall können Sie entweder

Mehr

Zentrum für Informationsdienste und Hochleistungsrechnen (ZIH) Technische Grundlagen und Beispiele. Christian Hoffmann & Hanjo, Müller

Zentrum für Informationsdienste und Hochleistungsrechnen (ZIH) Technische Grundlagen und Beispiele. Christian Hoffmann & Hanjo, Müller Zentrum für Informationsdienste und Hochleistungsrechnen (ZIH) VPN (Virtual Private Network) Technische Grundlagen und Beispiele Christian Hoffmann & Hanjo, Müller Dresden, 3. April 2006 Übersicht Begriffsklärung

Mehr

Wortmann AG. Terra Black Dwraf

Wortmann AG. Terra Black Dwraf Terra Black Dwraf Inhalt 1 VPN... 3 2 Konfigurieren der dyndns Einstellungen... 4 3 VPN-Verbindung mit dem IPSec Wizard erstellen... 5 4 Verbindung bearbeiten... 6 5 Netzwerkobjekte anlegen... 8 6 Regel

Mehr

Scaling IP Addresses. CCNA 4 version 3.0 Wolfgang Riggert,, FH Flensburg

Scaling IP Addresses. CCNA 4 version 3.0 Wolfgang Riggert,, FH Flensburg Scaling IP Addresses CCNA 4 version 3.0 Wolfgang Riggert,, FH Flensburg auf der Grundlage von Rick Graziani, Cabrillo College Vorbemerkung Die englische Originalversion finden Sie unter : http://www.cabrillo.cc.ca.us/~rgraziani/

Mehr

Modul 4 Virtuelle Private Netze (VPNs) und Tunneling

Modul 4 Virtuelle Private Netze (VPNs) und Tunneling Modul 4 Virtuelle Private Netze (VPNs) und Tunneling 14.11.2011 17:47:26 M. Leischner Sicherheit in Netzen Folie 1 Virtuelle Private Netze - Begriffsdefinition Wiki-Definition " Virtual Private Network

Mehr

Read Me Systemsoftware 7.4.1 PATCH 9

Read Me Systemsoftware 7.4.1 PATCH 9 Read Me Systemsoftware 7.4.1 PATCH 9 Diese Version unserer Systemsoftware ist für folgende Gateways verfügbar: X1000 II X1200 II X2300 Series X2100 X2404 X4000 Series X8500 VPN Series Sie enthält folgende

Mehr

Virtual Private Network / IPSec

Virtual Private Network / IPSec 1. Einführung 1.1 Was ist ein Virtual Private Network? Mit einem Virtual Private Network (virtuelles privates Netzwerk, VPN) können zwei Netzwerke über ein öffentliches Netzwerk (Internet) miteinander

Mehr

Erfahrungsbericht Cisco & Remote Access (Radius)

Erfahrungsbericht Cisco & Remote Access (Radius) Erfahrungsbericht Cisco & Remote Access (Radius) Compaq Computer GmbH Jürgen Wedler Consultant Network Services Kieler Str. 147, D-22769 Hamburg Tel: +49 (40) 85361 145 Fax: +49 (40) 85361 322 Mobil: +49

Mehr

Firewall oder Router mit statischer IP

Firewall oder Router mit statischer IP Firewall oder Router mit statischer IP Dieses Konfigurationsbeispiel zeigt das Einrichten einer VPN-Verbindung zu einer ZyXEL ZyWALL oder einem Prestige ADSL Router. Das Beispiel ist für einen Rechner

Mehr

Security + Firewall. 4.0 PPTP Client Einwahl. 4.1 Szenario

Security + Firewall. 4.0 PPTP Client Einwahl. 4.1 Szenario 4.0 PPTP Client Einwahl 4.1 Szenario In dem folgenden Szenario werden Sie eine VPN Verbindung mit PPTP konfigurieren. In der Zentrale steht ein VPN Server mit statischer IP Adresse. Ein Windows Client

Mehr

VPN / Tunneling. 1. Erläuterung

VPN / Tunneling. 1. Erläuterung 1. Erläuterung VPN / Tunneling Ein virtuelles privates Netzwerk (VPN) verbindet die Komponenten eines Netzwerkes über ein anderes Netzwerk. Zu diesem Zweck ermöglicht das VPN dem Benutzer, einen Tunnel

Mehr

DSL- Einwahlprotokollkonfiguration

DSL- Einwahlprotokollkonfiguration DSL- Einwahlprotokollkonfiguration Praktikum für die CCNA/CCNP- Curricula auch ohne DSL- Anschluß bzw. DSLAM Agenda: Teil 1: DSL- Netzwerk und sein/e Einwahlprotokoll/e DSL- Netzwerk- Emulation Teil2:

Mehr

Konfigurationsbeispiel USG

Konfigurationsbeispiel USG ZyWALL USG L2TP VPN over IPSec Dieses Konfigurationsbeispiel zeigt das Einrichten einer L2TP Dial-Up-Verbindung (Windows XP, 2003 und Vista) auf eine USG ZyWALL. L2TP over IPSec ist eine Kombination des

Mehr

So wird der administrative Aufwand bei der Konfiguration von Endgeräten erheblich reduziert.

So wird der administrative Aufwand bei der Konfiguration von Endgeräten erheblich reduziert. 11.2 Cisco und DHCP.. nur teilweise CCNA relevant DHCP Dynamic Host Configuration Protocol ist der Nachfolger des BOOTP Protokolls und wird verwendet um anfrandenen Hosts dynamisch IP Parameter - i.d.r.

Mehr

Sichere Identitäten in Smart Grids

Sichere Identitäten in Smart Grids Informationstag "IT-Sicherheit im Smart Grid" Berlin, 23.05.2012 Sichere Identitäten in Smart Grids Dr. Thomas Störtkuhl, Agenda 1 2 Beispiele für Kommunikationen Digitale Zertifikate: Basis für Authentifizierung

Mehr

VPN Tracker für Mac OS X

VPN Tracker für Mac OS X VPN Tracker für Mac OS X How-to: Kompatibilität mit DrayTek Vigor Routern Rev. 1.0 Copyright 2003 equinux USA Inc. Alle Rechte vorbehalten. 1. Einführung 1. Einführung Diese Anleitung beschreibt, wie eine

Mehr

Security + Firewall. 3.0 IPsec Client Einwahl. 3.1 Szenario

Security + Firewall. 3.0 IPsec Client Einwahl. 3.1 Szenario 3.0 IPsec Client Einwahl 3.1 Szenario In dem folgenden Szenario werden Sie eine IPsec Verbindung zwischen einem IPsec Gateway und dem IPsec Client konfigurieren. Die Zentrale hat eine feste IP-Adresse

Mehr

Grundlagen und Konzepte. dziadzka@gmx.net http://www.dziadzka.de/mirko

Grundlagen und Konzepte. dziadzka@gmx.net http://www.dziadzka.de/mirko )LUHZDOOV Grundlagen und Konzepte 0LUNR']LDG]ND dziadzka@gmx.net http://www.dziadzka.de/mirko ,QKDOW Definition, Sinn und Zweck Architekturen Realisierung mit OpenSource Missverständnisse Diskussion 6.12.2000

Mehr

Konfigurieren von Remotezugriff

Konfigurieren von Remotezugriff Unterrichtseinheit 7: Konfigurieren von Remotezugriff Über Remotezugriff können Benutzer an einem Remotestandort eine Verbindung zu Ihrem Netzwerk herstellen. Aufbau einer RAS-Verbindung (siehe Kapitel

Mehr

Netze und Protokolle für das Internet

Netze und Protokolle für das Internet Inhalt Netze und Protokolle für das Internet 8. Virtuelle Private Netze Virtuelle Private Netze Layer- 2-und Layer- 3- VPNs Virtuelle Private Netze mit MPLS Entfernter VPN- Zugriff L2TP und RADIUS IP Security

Mehr

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: 6. FTP Proxy (Anti Virus) 6.1 Einleitung Sie konfigurieren den FTP Proxy, um den Datentransfer übers Internet zu kontrollieren. Ein FTP Server befindet sich vorkonfiguriert im Internet mit der IP-Adresse

Mehr

Befehlsreferenz. Copyright Stefan Dahler 11. Oktober 2010 Version 3.0. Seite - 1 -

Befehlsreferenz. Copyright Stefan Dahler 11. Oktober 2010 Version 3.0. Seite - 1 - Befehlsreferenz Copyright Stefan Dahler 11. Oktober 2010 Version 3.0 Seite - 1 - 12. Befehlsreferenz ps Optionen Bedeutung -e Listet alle Prozesse -f Komplette Liste -j Gibt Prozessgruppen-ID aus -l Lange

Mehr

Cisco ASA - Einführung Mag. Dr. Klaus Coufal

Cisco ASA - Einführung Mag. Dr. Klaus Coufal Cisco ASA - Einführung Mag. Dr. Klaus Coufal Übersicht 1. ASA Was ist das? 2. Betriebsmodi 3. Commandline - Bedienung 4. Schnittstellen 5. ASA-OS (Finesse -> Linux) Mag. Dr. Klaus Coufal - 22.9.2011 -

Mehr

Load balancing Router with / mit DMZ

Load balancing Router with / mit DMZ ALL7000 Load balancing Router with / mit DMZ Deutsch Seite 3 English Page 10 ALL7000 Quick Installation Guide / Express Setup ALL7000 Quick Installation Guide / Express Setup - 2 - Hardware Beschreibung

Mehr

1KONFIGURATION VON ACCESS LISTEN UND FILTERN

1KONFIGURATION VON ACCESS LISTEN UND FILTERN 1KONFIGURATION VON ACCESS LISTEN UND FILTERN Copyright 23. Juni 2005 Funkwerk Enterprise Communications GmbH Bintec Workshop Version 0.9 Ziel und Zweck Haftung Marken Copyright Richtlinien und Normen Wie

Mehr

Vorlesung VPN: Drahtgebunden und drahtlos Fachbereich Informatik (FB 20) Lehrstuhl Prof. J. Buchmann

Vorlesung VPN: Drahtgebunden und drahtlos Fachbereich Informatik (FB 20) Lehrstuhl Prof. J. Buchmann Vorlesung VPN: Drahtgebunden und drahtlos Fachbereich Informatik (FB 20) Lehrstuhl Prof. J. Buchmann WS-05 / V2-20.205.1 In Zusammenarbeit mit dem CAST-Forum Dr. Wolfgang Böhmer Skript: http://www.cdc.informatik.tudarmstadt.de/~wboehmer/

Mehr

IPv6 in der Praxis: Microsoft Direct Access

IPv6 in der Praxis: Microsoft Direct Access IPv6 in der Praxis: Microsoft Direct Access Frankfurt, 07.06.2013 IPv6-Kongress 1 Über mich Thorsten Raucamp IT-Mediator Berater Infrastruktur / Strategie KMU Projektleiter, spez. Workflowanwendungen im

Mehr

D r e ISP S P i m K l K as a s s e s n e r n au a m H.Funk, BBS II Leer

D r e ISP S P i m K l K as a s s e s n e r n au a m H.Funk, BBS II Leer Der ISP im Klassenraum H.Funk, BBS II Leer Überblick Agenda: Ziel des Workshops Grundlagen PPPoE Realisierung eines lokalen PPPoE Servers Port-Forwarding DNS / DDNS Ziel des Workshops Ein Netzwerk vergleichbar

Mehr

Rechnernetze II SS 2015. Betriebssysteme / verteilte Systeme rolanda.dwismuellera@duni-siegena.de Tel.: 0271/740-4050, Büro: H-B 8404

Rechnernetze II SS 2015. Betriebssysteme / verteilte Systeme rolanda.dwismuellera@duni-siegena.de Tel.: 0271/740-4050, Büro: H-B 8404 Rechnernetze II SS 2015 Betriebssysteme / verteilte Systeme rolanda.dwismuellera@duni-siegena.de Tel.: 0271/740-4050, Büro: H-B 8404 Stand: 14. Juli 2015 Betriebssysteme / verteilte Systeme Rechnernetze

Mehr

Teldat Secure IPSec Client - für professionellen Einsatz Teldat IPSec Client

Teldat Secure IPSec Client - für professionellen Einsatz Teldat IPSec Client Teldat Secure IPSec Client - für professionellen Einsatz Unterstützt Windows 8 Beta, 7, XP (32-/64-Bit) und Vista IKEv1, IKEv2, IKE Config Mode, XAuth, Zertifikate (X.509) Integrierte Personal Firewall

Mehr

IPSec. Motivation Architektur Paketsicherheit Sicherheitsrichtlinien Schlüsselaustausch

IPSec. Motivation Architektur Paketsicherheit Sicherheitsrichtlinien Schlüsselaustausch IPSec Motivation Architektur Paketsicherheit Sicherheitsrichtlinien Schlüsselaustausch Motivation Anwendung auf Anwendungsebene Anwendung Netzwerk- Stack Netzwerk- Stack Anwendung Netzwerk- Stack Netz

Mehr

Authentication Header: Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen

Authentication Header: Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen IP Security Zwei Mechanismen: Authentication : Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen Encapsulating Security Payloads (ESP): Verschl., Datenauth. Internet Key Exchange Protokoll:

Mehr

VPN: SSL vs. IPSec. erfrakon - Erlewein, Frank, Konold & Partner Martin Konold Dr. Achim Frank. Präsentation auf dem

VPN: SSL vs. IPSec. erfrakon - Erlewein, Frank, Konold & Partner Martin Konold Dr. Achim Frank. Präsentation auf dem VPN: SSL vs. IPSec erfrakon - Erlewein, Frank, Konold & Partner Martin Konold Dr. Achim Frank Präsentation auf dem IT Security Forum 9. November 2005, Frankfurt erfrakon Erlewein, Frank, Konold & Partner

Mehr