Diplomarbeit. Prototypische Implementierung eines netzwerkprozessorbasierten VPN-Gateways
|
|
- Kristin Förstner
- vor 8 Jahren
- Abrufe
Transkript
1 TU Dresden Lehrstuhl Rechnernetze Diplomarbeit Prototypische Implementierung eines netzwerkprozessorbasierten VPN-Gateways vorgelegt von Maik Hampel geb. am in Mittweida Eingereicht am: Institut: Systemarchitektur Betreuer: Dipl.-Inf. Mirko Benz Verantwortlicher Hochschullehrer: Prof. Dr. habil Dr. h. c. A. Schill
2 Inhaltsverzeichnis Abbildungsverzeichnis Tabellenverzeichnis III IV 1 Einleitung Aufgabenstellung Motivation Verwandte Arbeiten Überblick Grundlagen Virtuelle Private Netzwerke Das Internet Protokoll Der Internet Protocol Security Layer Kryptografische Grundlagen Symmetrische Verfahren Verschlüsselungsmodi Einweg-Hashfunktionen Intel Netzwerkprozessoren Hardwarebeschreibung des Intel IXP Der Intel XScale -Kern Die Microengines Das DRAM Interface Das SRAM Interface SHaC Die Crypto-Unit des IXP Das Media Switch Fabric Interface Softwareentwicklung für den IXP Struktur einer Netzwerkapplikation Das IXA Portability Software Framework Developer Workbench Microengine-Softwareentwicklung Der Linux-Kern Analyse Die IPSec-Architektur IPSec-Basisprotokolle SPD und SADB I
3 INHALTSVERZEICHNIS II IKE-Architektur Verwaltung der Sicherheitsrichtlinien Fragmentierung und PMTU Zusammenspiel der IPSec-Komponenten auf dem Datenpfad Die Linux-Kernimplementation Geschwindigkeit der Linux-Kernimplementation Der Linux 2.6 IP-Protokollstapel Das Empfangen von Paketen Das Senden von Paketen Der Linux 2.6 IPSec-Protokollstapel Der IPSec-Sendepfad Der IPSec-Empfangspfad Ein Router auf IXP2800 Basis - Das Intel Referenzdesign Der Datenpfad der Applikation Empfangspfad Sendepfad Abschätzung der Geschwindigkeit Das Processing-Budget Das IO-Budget Geschwindigkeit Entwurf und Implementierung Design des IPSec-Datenpfades auf dem IXP Empfangspfad (Ingress-Teil) Sendepfad (Egress-Teil) Verteilungsstrategie der Sicherheitsrichtlinien und SAs Architektur der SADB bzw. SPD PMTU Implementierung Kryptografische Blöcke Implementierung des ESP-Protokollhandlers Sequentielle Implementierung von ESP Parallelisierung des ESP-Datenflussmodells Integration des ESP-Protokollhandlers in eine Applikation Test und Validation der ESP-Implementierung Testergebnisse und Bewertung Mögliche Optimierungen Abschließende Betrachtungen Schlussfolgerungen und Fragen Zusammenfassung der Ergebnisse Ausblick
4 Abbildungsverzeichnis 2.1 Beispiel für ein einfaches VPN mit IPsec Einordnung von IPSec in das TCP/IP Schichtenmodell Die IPSec Modi Anwendung von AH Aufbau des AH-Kopfes Anwendung von ESP Struktur des ESP-Kopfes IP-Paket mit AH und ESP (Transportmodus) IP-Paket mit AH und ESP (Tunnelmodus) Flussdiagramm Phase 1 - Main Mode Flussdiagramm Phase 1 - Aggressive Mode Flussdiagramm Phase 2 - Quick Mode CBC-Modus Schematischer Aufbau des IXP Eine IXP2850 Crypto-Unit nach Johnson und Kunze Line-Card Konfiguration Struktur einer Netzwerkapplikation Das IXA Portability Framework NAT Beispielapplikation Geordnetes Thread Modell Dispatch-Loop Faltungsbeispiel Aufbau des Linux-Kerns nach [RC01] Die Linux 2.6 IP-Protokollimplementation nach Mauerer[Mau04] S Struktur des Sendepfades Struktur des Empfangspfades Hardware Konfiguration für 10x1GBit/s mit CSIX Darstellung eines Paketes auf dem IXP Die IPv4/IPv6 Referenzimplementation Schematischer Aufbau des IPSec-Datenpfades beim Empfangen Aufbau des IPSec-Datenpfades beim Senden Das allgemeine Datenflussmodell für ESP Das Datenmodell beim parallelisierten ESP Entwurf Dispatch-Loop für die Integration des ESP-Protokollhandlers III
5 Tabellenverzeichnis 2.1 Die IXP2xxx Familie im Überblick Ressourcen einer Microengine im Überblick Alle externen Speicher der Microengine im Überblick IXP2850 Kryptoalgorithmen und deren Geschwindigkeit, Quelle [Int04c] Seite 17, Geschwindigkeit der Linux 2.6 IPSec-Implementierung Ausgewählte IPSec-Datenstrukturen Auszug aus der API Unterstützung für die Crypto-Unit aus [Int04h] Crypto-Unit Ressourcenanalyse IV
6 Kapitel 1 Einleitung 1.1 Aufgabenstellung Virtual Private Networks (VPN) werden eingesetzt, um Kommunikation auch in öffentlichen Netzen sicher und vertraulich durchführen zu können. Als wesentlicher Standard hat sich dabei IPSEC etabliert. Die Vorteile verschlüsselter Kommunikation werden jedoch mit einem erheblich höheren Rechenaufwand für die kryptografischen Algorithmen und die Protokollverarbeitung erkauft. Bei Datenraten über ein Gigabit/s sind damit auch sehr leistungsfähige PC Systeme überfordert. Traditionell werden daher ASIC 1 -basierte Implementierungen für diese Einsatzgebiete verwendet. Als Alternative dazu bieten sich Netzwerkprozessoren an. Darauf basierende Systeme sind wesentlich flexibler und können mit geringerem Entwicklungsaufwand realisiert werden. Ziel der Arbeit ist eine prototypische Umsetzung der Linux IPSEC Implementierung auf INTEL IXP Netzwerkprozessor- Architektur. Dazu sind zunächst entsprechende Grundlagen zu VPNs, dem INTEL IXP2850 sowie zu IPSEC unter Linux darzulegen. Im Anschluss ist eine Partitionierung der LINUX IPSEC Implementierung vorzunehmen. Dazu ist der Datenpfad auf die IXP Architektur zu portieren. Weiterhin ist eine Systemintegration dieser Komponente mit Linux zu erstellen. Den Abschluss der Arbeit bilden ein Ausblick zu Optimierungsansätzen sowie ein Vergleich mit herkömmlichen Systemen. Schwerpunkte: Übersicht Virtual Private Networks / IPSEC Übersicht Intel Netzwerkprozessor IXP2850 Vorstellung der Linux IPSEC Implementierung und Partitionierung Portierung des IPSEC Datenpfades auf die IXP Architektur Systemintegration und Test Evaluation von Optimierungsansätzen 1 Application Specific Integrated Circuits 1
7 KAPITEL 1. EINLEITUNG Motivation Die digitale Übermittlung und Verarbeitung von Daten bilden die Grundlage der heutigen Informationsgesellschaft. Das mittlerweile allgegenwärtige Internet hat in kurzer Zeit sämtliche Bereiche des täglichen Lebens durchdrungen und ist aus dem Alltag kaum noch wegzudenken. Mit seinen sich immer weiter entwickelnden Diensten erweitert es die Kommunikation und fasziniert immer mehr Menschen in allen Schichten der Bevölkerung. Aber auch Unternehmen und Organisationen nutzen die Möglichkeiten des Internets als Basis für den internen Informationsaustausch und für die Kommunikation und die Abwicklung von Geschäften mit Kunden und Partnern. Die Technik des Internets ist in den letzten 20 Jahren entwickelt worden, wobei der entscheidende Schritt mit der Einführung des World Wide Web zu Beginn der neunziger Jahre vollzogen wurde. Seitdem unterliegt das WWW einer ständigen Weiterentwicklung. Es wurden seitdem immer neue Protokolle und Standards integriert, die sowohl die Funktionalität als auch die Sicherheit im World Wide Web verbessern. Neben den Entwicklungen im Internet selbst hat sich auch die Technologie der darunter liegenden Netzwerke stetig weiterentwickelt. Fanden die ersten Datentransfers in den achtziger Jahren noch über Telefonleitungen mit 1200 Bit/s statt, wird heute über Giga- oder Terabit-Leitungen kommuniziert. Beim Endanwender ist mittlerweile DSL mit Bandbreiten von mehreren Megabit etablierter Standard. Auch im Bereich der mobilen Kommunikation werden immer neue und verbesserte Technologien entwickelt und eingesetzt. Damit sind im Zeitalter von Hochtechnologie und ambiguous Computing Begriffe wie UMTS, Bluetooth oder WLAN allgegenwärtig und vielen Menschen bekannt. Allen eben genannten Technologien ist Eines gemeinsam: Sie sind Bestandteile digitaler Kommunikationssysteme, die eine räumliche Kommunikation und Interaktion von verteilten Anwendungen und deren Anwendern ermöglichen. Doch wie steht es um die Sicherheit bei der Kommunikation mittels dieser Systeme? Der Endverbraucher kann dafür sorgen, dass beim Lesen seiner privaten Mails diese vor unberechtigtem Zugriff geschützt sind. Was sollen jedoch räumlich getrennt agierende Großanwender wie Firmen oder Organisationen tun, deren tägliches Kommunikationsaufkommen beträchtlichen Umfang aufweist, sie sich aber keine dedizierten Netze leisten können? Eine Lösung dafür existiert schon seit längerem durch das Konzept der virtuellen privaten Netzwerke (VPN). Diese können mittels des auf dem Internet Protokoll basierenden Standards IPSec eingerichtet werden und sorgen dann für geschützte Kommunikation über ein öffentliches und damit potenziell unsicheres Internet. Wie sieht es mit der realisierbaren Leistungsfähigkeit aus? Mit herkömmlicher PC-Technik lassen sich pro Gigahertz Rechenleistung zirka 120 MBit/s schützen. Prägnanter Nachteil dieser Lösung ist, dass sie schlecht skaliert und somit keinen Investitionsschutz für die Zukunft und damit einhergehenden Leistungsanforderungen bietet. Ein neuer Ansatz, diese Problematik zu bewältigen, ist die Verwendung von speziellen Netzwerkprozessoren. Diese können theoretisch mit Datenraten im Gigabit-Bereich umgehen und sind dabei wesentlich flexibler und billiger als eine adäquate Lösung mittels eigens für diesen einen Zweck entwickelten ASICs. In dieser Arbeit wird eine auf dem Netzwerkprozessor Intel IXP2850 basierende VPN- Gateway IPSec-Implementierung vorgenommen und evaluiert. Dabei wird besonderes Augenmerk auf die erreichbaren Geschwindigkeiten gelegt und inwieweit diese den Herstellerund Hardwarespezifikationen entsprechen.
8 KAPITEL 1. EINLEITUNG Verwandte Arbeiten Die meisten Arbeiten im Bereich Netzwerkprozessoren beschäftigen sich mit Routing- oder Switching-Anwendungen. Im direkten Umfeld dieser Arbeit sind am Lehrstuhl Rechnernetze einige Veröffentlichungen entstanden. Diese beschäftigen sich mit der Nutzung von Netzwerkprozessoren zur Hardwarebeschleunigung von Netzwerkprotokollen, insbesondere im Bereich von TCP/IP. Hierzu kann auf die Arbeiten [RL02a] und [RL02b] von R. Lehmann und M. Benz verwiesen werden. Weiterhin existiert eine Arbeit von Chee-wei Tan, M. Benz und A.Schill [wtbs04], welche sich grundlegend mit einer 10 Gbit IPSec Gateway Implementation auf der Intel Netzwerkprozessorarchitektur, insbesondere dem IXP2850, auseinandersetzt. Hier ist gezeigt worden, dass der IPSec-Datenpfad durch die benutzte Hardware beschleunigt werden kann. Außerdem wurde hier der Einsatz von Bloom-Filtern zur Beschleunigung der Klassifikation von Netzwerkpaketen vorgestellt. Weiterhin sind seitens des Herstellers Intel Informationen über die Möglichkeiten zur Nutzung ihrer Netzwerkprozessoren verfügbar. Dabei sind allerdings, besonders in Bezug auf IPSec, keine hintergründigen Basisinformationen über die dabei zu verwendenden Techniken gegeben. 1.4 Überblick Um dem Leser einen Überblick über die wichtigsten, für die Bearbeitung der gestellten Aufgabe nötigen Grundlagen zu geben, wird im Kapitel Grundlagen in die Technik von virtuellen privaten Netzwerken eingeführt. Derartige Netze funktionieren nicht ohne dazugehörige Netzwerkprotokolle. Deshalb werden als nächstes alle dafür nötigen Protokolle, insbesondere IPSec vorgestellt. Besonders für die Anwendung von IPSec werden kryptografische Grundlagen benötigt. Deshalb folgt ein Exkurs in die Kryptografie. Dort werden wichtige symmetrische Verschlüsselungsalgorithmen vorgestellt und auf das Prinzip von Hashfunktionen für die Anwendung zur Authentifikation von Daten eingegangen. Nach diesen eher theoretischen Ausführungen wird die für die gestellte Aufgabe verwendete Hardware vorgestellt. Es handelt sich hierbei um die Familie der Intel Netzwerkprozessoren mit ihrem derzeit leistungsfähigsten Vertreter, dem IXP2850. Dieses System ist ein für Netzwerkanwendungen entwickeltes Mehrprozessorsystem mit komplexer Hardund Softwarearchitektur. Nach der Hardwarebeschreibung folgt eine Beschreibung der Software, welche allerdings nur in ihren Grundstrukturen durchgeführt werden kann. Diese wird durch das Intel SDK dem Programmierer zur Verfügung gestellt. Bei der Vorstellung des SDK werden sowohl die gebotene Infrastruktur als auch verschiedene Konzepte zur Programmierung erläutert. Außerdem wird auf einige wichtige Werkzeuge näher eingegangen. Den Abschluss bildet eine kurze Einführung in die Architektur des Linux-Kernes. Nach dieser Einführung in die grundlegenden Techniken folgt im Kapitel Analyse eine genauere Betrachtung einer IPSec-Architektur. Hier wird über die im Kapitel Grundlagen vorgestellten Protokolle auf deren Zusammenwirken auf dem Datenpfad näher eingegangen. Durch diese eher theoretische Betrachtung einer allgemeinen IPSec-Implementation soll auch implizit die Anforderungsanalyse für das zu implementierende System, also den VPN-Gateway, vorgenommen werden. Außerdem werden Schnittstellen und zur Verarbeitung nötige Signalisierungs- und Datenpfade aufgezeigt. Danach folgt, der Aufgabenstellung entsprechend, die Analyse der Linux 2.6-Kernimplementation mit anschließender Partitionierung des Datenpfades für IPSec. Diese Analyse soll in Verbindung mit der Zielarchi-
9 KAPITEL 1. EINLEITUNG 4 tektur Aussagen zur Portierbarkeit ermöglichen. Somit wird im Folgenden die IPv4/IPv6 Referenzimplementation analysiert und deren Datenpfade aufgezeigt. Den Abschluß der Analyse bildet die Vorstellung eines Hilfsmittels zur Geschwindigkeitsanalyse von IXP- Applikationen. Im Kapitel Entwurf und Implementierung wird aufgrund der vorgestellten Analyse eine Entscheidung über die Portierbarkeit des Linux-2.6-Datenpfades auf die Architektur des IXP2850 getroffen. Danach wird das Design des zu implementierenden VPN-Gateways, welches auf Basis des IXP2850 in Sende- und Empfangspfade getrennt ist, vorgestellt. Hierzu werden alle dafür wichtigen Komponenten in ihrer Struktur erklärt. Anschließend folgt die prototypische Implementation des ESP-Protokollhandlers. Dieser wird aufgrund der gegebenen Hardware schrittweise implementiert, in das System integriert und validiert. Um das Kapitel abzurunden, werden noch Geschwindigkeitsmessungen vorgenommen und diese diskutiert und bewertet. Am Ende werden noch einige Ansätze zur Optimierung des Systems vorgeschlagen.
10 Kapitel 2 Grundlagen 2.1 Virtuelle Private Netzwerke Kommunikationsnetze werden seit jeher in öffentliche und private Netze unterteilt. Ein öffentliches Netz, wie z.b. das öffentliche Telefonnetz oder das Internet ist ein Zusammenschluss von unabhängigen Knoten, welche Informationen miteinander austauschen können. Die Nutzer des öffentlichen Netzes haben in der Regel nichts miteinander gemeinsam. Jeder Nutzer des Netzwerkes kommuniziert normalerweise nur mit einer relativ kleinen Gruppe von Teilnehmern. Ein privates Netzwerk besteht aus einer Menge von Rechnern, welche zu einer Organisation gehören und untereinander spezielle Informationen teilen. Dabei ist den Teilnehmern garantiert, dass sie die Einzigen sind, die das Netz benutzen dürfen und somit gesendete Informationen im schlimmsten Fall nur von anderen Teilnehmern in der Gruppe gesehen werden können. So sind das firmeneigene lokale Netzwerk LAN oder auch das firmeneigene Weitverkehrsnetz WAN typische Beispiele von privaten Netzwerken. Die Verbindung zwischen dem privaten und dem öffentlichen Netz übernimmt ein Gateway Router. Dieser schützt das private Netz mittels Firewall vor unberechtigtem Zugriff oder begrenzt den Zugriff ins öffentliche Netz. Sollen nun aber räumlich getrennte, private Netzwerke miteinander verbunden werden, dann müssen dafür dedizierte Leitungen verwendet werden. In Zeiten des allgegenwärtigen Internets ist diese Lösung keinesfalls kosteneffizient, besonders dann nicht, wenn Mitarbeiter regelmäßig Zugriff von außerhalb auf das private Netzwerk benötigen. Mittels virtuellen privaten Netzwerken lässt sich die Grenze zwischen öffentlichem und privatem Netz verwischen. Virtuelle Private Netzwerke erlauben es, eine sichere Verbindung zwischen privaten Netzwerken über ein öffentliches Netzwerk herzustellen. Ein VPN ist somit ein Weg, ein privates Netz über ein öffentliches Netz zu simulieren. Dazu bedarf es kryptografischer Verfahren zur Authentifizierung und Verschlüsselung, Pakettunnel sowie Security-Gateways. Für die Realisierung eines VPN gibt es Protokolle wie das Point-to-Point Tunneling Protocol PPTP, das Layer 2 Tunneling Protocol L2TP oder Cisco PIX. Allerdings sind diese Protokolle meist auf einen bestimmten Verwendungszweck hin optimiert oder nicht herstellerunabhängig. Weiterhin gelten die darin verwendeten Verfahren zur Verschlüsselung und Datenauthentifizierung mittlerweile als nicht mehr sicher. Einen Überblick über diese Protokolle findet sich im Buch von Scott, Wolfe und Erwin [SWE98]. 5
11 KAPITEL 2. GRUNDLAGEN 6 Den allgemeineren Lösungsansatz bietet das Internet Protocol Security Layer (IPSec) Protokoll. Es bietet für virtuelle private Netzwerke die dem aktuellem Stand der Technik entsprechend beste Funktionalität und Offenheit. Es ist herstellerunabhängig und erweitert das Internet Protocol um Mechanismen der Datenintegrität und Verschlüsselung. Das IP- Sec Protokoll bietet prinzipiell zwei verschiedene Betriebsmodi, den Tunnelmodus und den Transportmodus. Diese korrespondieren mit den Anforderungen in einem VPN, der Netzzu-Netz- und der Host-zu-Host Sicherheit. Damit erlauben es virtuelle private Netzwerke, mehreren Rechnern auf sichere Weise über ein potenziell unsicheres Internet miteinander zu kommunizieren. Dies geschieht über so genannte VPN-Gateways. Diese spannen untereinander ein VPN auf und werden im Falle von IPSec im Tunnelmodus betrieben. VPN-Clients, welche auch als Road Warriors bezeichnet werden, können sich, nach vorheriger Authentifikation, von überall aus in dieses VPN einbinden. Damit befindet sich der VPN-Client im virtuellen privaten Netzwerk und kann auf dessen Ressourcen zugreifen. Der Datentransfer zwischen VPN-Client und Gateway erfolgt dabei im Tunnelmodus. Dargestellt ist eine derartige Situation in Abbildung 2.1. VPN 1 VPN Client VPN 2 GW1 GW2 gesicherte Kommunikation Abbildung 2.1: Beispiel für ein einfaches VPN mit IPsec Das Internet Protokoll Das Internet Protokoll (IP) ist ein Protokoll der Vermittlungsschicht, das Datagramme zwischen einer Quelle, dem sendenden System und einem Ziel, dem empfangenden System, überträgt. Dieser durch IP bereitgestellte Dienst leistet eine verbindungslose und unzuverlässige Übertragung. Verbindungslos bedeutet in diesem Zusammenhang, dass die einzelnen Datagramme unabhängig von anderen Datagrammen behandelt werden. Unzuverlässig drückt aus, dass das Protokoll selbst keinerlei Maßnahmen bereitstellt, um Fehlersituationen, wie das Verlorengehen von Paketen, das Eintreffen von Paketen in der falschen Reihenfolge oder das Eintreffen duplizierter Pakete, zu beheben. Das Internet Protokoll wurde konzipiert, um Datagramme so schnell und effizient wie möglich zu übertragen. Methoden zur Dienstgüteunterstützung sind ursprünglich nicht vorgesehen worden. Bei dem Internet Protokoll wird zwischen der älteren Version 4 (IPv4) und der Version 6 (IPv6) unterschieden. Die Version 6 stellt eine Erweiterung der Version 4 dar, um Limitationen der Version 4, wie z.b. einen zu kleinen Adressraum, zu beheben. Im Internet und in lokalen Netzen wird
12 KAPITEL 2. GRUNDLAGEN 7 jedoch hauptsächlich noch immer mit Version 4 gearbeitet Der Internet Protocol Security Layer Der Internet Protocol Security Layer (IPSec) setzt auf der Vermittlungsschicht, dem Internet- Protokoll, mit dem Ziel auf, es um die Funktionalität der Verschlüsselung und Authentifizierung zu erweitern. Im Gegensatz zu anderen Verfahren, welche nur bestimmte Dienste auf höherer Protokollebene schützen, wie z.b. PGP für Mail, SSH für entferntes Einloggen oder SSL für das WWW, kann IPSec jeglichen Verkehr schützen. Dabei ist IPSec bei Internet Protokoll Version 4 als echte Erweiterung des Protokolls und somit des Protokollstapels anzusehen, bei Version 6 sind Maßnahmen zur Datenauthentifikation und Datensicherheit bereits Bestandteil des Protokolls. Die Einordnung von IPSec in das ISO/OSI Schichtenmodell sowie in das TCP/IP Referenzmodell ist in Abbildung 2.2 zu sehen Anwendung HTTP FTP HTTP FTP 4 Transport TCP/UDP TCP/UDP 3 Internet IP IP 2 1 Daten übertragung OSI und TCP/IP Schichtenmodell Ethernet MAC herkömmlicher TCP/IP Protokoll stapel IPSec Ethernet MAC TCP/IP Protokoll stapel mit IPSec Abbildung 2.2: Einordnung von IPSec in das TCP/IP Schichtenmodell Da das IPSec-Protokoll, wie in Abbildung 2.2 dargestellt ist, auf der Vermittlungsschicht aufsetzt, ist es in seiner Verwendung sehr flexibel und kann jeden Netzverkehr schützen, der das Internet Protokoll verwendet. Es kann benutzt werden, um eine oder mehrere Verbindungen zwischen Rechnerpaaren oder sog. Security-Gateways zu schützen. Als Security- Gateway wird im Allgemeinen ein Rechner bezeichnet, der Sicherheitsprotokolle unterstützt und sich im Netz logisch zwischen zwei beliebigen Rechnern befindet. So sind Router oder Firewalls, die Sicherheitsprotokolle unterstützen, Security-Gateways. IPSec besteht im Wesentlichen aus drei Teilen: den Basisprotokollen Authentication Header (AH) und Encapsulating Security Payload (ESP) sowie dem Dienst des Internet Key Exchange (IKE). Der Authentication Header (AH) bietet verbindungslose Datenintegrität, Datenauthentifizierung und bei Bedarf einen Anti-Replay Service. Das ESP Protokoll gewährleistet die Vertraulichkeit der übertragenen Daten durch Ver-
13 KAPITEL 2. GRUNDLAGEN 8 schlüsselung. Außerdem kann es auch verbindungslose Datenintegrität, Datenauthentifizierung und einen Anti-Replay Service bieten. AH und ESP zusammen bieten eine Zugriffskontrolle basierend auf der Verteilung kryptografischer Schlüssel und der Verwaltung von Datenströmen korrespondierend zu diesen Sicherheitsprotokollen. Der IKE dient zur automatischen Aushandlung von Protokollen und Schlüsseln, welche es Kommunikationspartnern erlauben, über IPSec miteinander Daten auszutauschen. IPSec unterstützt zwei verschiedene Betriebsmodi, dargestellt in Abbildung 2.3. Der Transport-Modus bietet nur Ende-zu-Ende Sicherheit zwischen zwei Hosts auf Ebene der Transportschicht an. Für eine Sicherung von IP-Paketen, welche auf dem Übertragungsweg vorgenommen werden kann, ist der Tunnelmodus nötig. Er findet Verwendung, wenn die zu übertragenden Pakete mittels IPSec durch ein zusätzliches Gerät im Netz geschützt werden sollen. Damit bietet sich der IPSec-Tunnelmodus hervorragend für den Aufbau von virtuellen privaten Netzwerken an. In beiden Modi finden AH und ESP allein oder in Kombination Anwendung. Auf beide Protokolle soll im Folgenden näher eingegangen werden. originales IP Paket IP Kopf TCP Kopf Daten Paket im Transportmodus IP Kopf IPSec Kopf TCP Kopf Daten Paket im Tunnelmodus IP Kopf IPSec Kopf IP Kopf TCP Kopf Daten Abbildung 2.3: Die IPSec Modi AH - Authentication Header Der Authentication Header sichert IP-Pakete vor Verfälschung durch Angreifer bei der Übertragung durch das Netz. Die Authentifizierung umfasst alle Bereiche des Paketes mit Ausnahme der Bereiche, die während des Transports durch Netze verändert werden. Dieser Paketkopf wird nach dem IP-Kopf vor allen weiteren Protokoll-Köpfen in das Paket eingefügt und steht somit direkt vor den zu transportierenden Nutzdaten. Dargestellt wird dieses Verhalten in Abbildung 2.4. Detaillierte Informationen finden sich in RFC2402 [SR98a]. Wird der Authentication Header eingesetzt, so ist dies im IP-Protokoll-Kopf vermerkt. Bei Internet-Protokoll-Version 4 steht im Feld Protocol der Wert 0x51, bei Version 6 steht selbiger Wert im Feld Next Header. Die Kopflänge des AH beträgt 96 Bit exklusive dem Feld Authentication Data. Der AH selbst beinhaltet folgende Felder: Next Header: Der Next Header spezifiziert die dem AH-Kopf folgenden Daten bezüglich des verwendeten Protokolls.
14 KAPITEL 2. GRUNDLAGEN 9 IP Kopf AH authentifiziert geschützte Daten Abbildung 2.4: Anwendung von AH Payload Length: In diesem Feld ist die Größe der geschützten Daten in Vielfachen von 32- Bit Worten minus zwei eingetragen. Reserviert: Diesem Feld ist noch keine Bedeutung zugeordnet. SPI: Im SPI-Feld wird der Security Parameters Index vermerkt, welcher aus einem 32-Bit Wert besteht. Dieser Wert kann nur in Verbindung mit der IP-Zieladresse und dem AH zugeordnet werden. Durch das SPI-Feld wird das verwendete Sicherheitsverfahren zwischen Sender und Empfänger eindeutig spezifiziert. Ein SPI-Wert kann nur in Abhängigkeit von der Empfängeradresse interpretiert werden, weil diese SPI-Werte vom Sender bzw. Empfänger festgelegt werden müssen. Da hierfür eine Reihe von Angaben erforderlich sind, also die verwendeten Verfahren, Schlüssel sowie Informationen über die Gültigkeitsdauer des Schlüssels, werden diese in einer SA (Security Association) zusammengefasst. Das Feld SPI enthält somit nur die Nummer der verwendeten SA. Sequenznummer: Dies ist ein fortlaufender Wert, der Paketen eine Reihenfolge zuordnet. Authentication Data: Dieses Feld enthält den für die Authentifikation des Paketes notwendigen Hash-Wert, welcher mit Hilfe der Algorithmen HMAC und MD5 oder HMAC und SHA bestimmt wird Bit Next Header Payload Length Reserviert Security Parameter Index (SPI) Sequenznummer Authentication Data (variabel) Abbildung 2.5: Aufbau des AH-Kopfes ESP - Encapsulating Security Payload Zur Wahrung der Vertraulichkeit bietet IPSec die Verschlüsselung der Nutzdaten des IP- Paketes an. Hierzu dient der Encapsulating Security Payload, definiert in RFC2406 [SR98b].
15 KAPITEL 2. GRUNDLAGEN 10 Die Nutzdaten werden gemäß der SA verschlüsselt und können zusätzlich durch eine Authentifizierung geschützt werden. Dies ist in Abbildung 2.6 zu sehen. Im Unterschied zur IP Kopf ESP geschützte Daten ESP Trailer verschlüsselt authentifiziert Abbildung 2.6: Anwendung von ESP Authentifizierung mittels AH wird bei ESP der IP-Kopf nicht mit in die Berechnung des Hashwertes einbezogen. Es wird nun nur das ESP-Paket, bestehend aus ESP-Kopf, Nutzdaten und ESP-Trailer, ohne das Feld ESP-Authentication in die Hashwertberechnung einbezogen. Der ESP-Kopf, dargestellt in Abbildung 2.7, besteht aus folgenden Teilen: SPI: Der Security Parameters Index ist ein beliebiger 32-Bit Wert, über den mit Hilfe der Zieladresse und dem verwendeten Sicherheitsverfahren eindeutig die zugehörige Security Association (SA) bestimmt wird. Sequenznummer: Die Sequenznummer ist ein 32-Bit Wert, welcher pro Paket immer um 1 inkrementiert wird. Die Sequenznummer wird mit dem Wert 0 initialisiert, wenn bei Sender und Empfänger eine neue Security Association (SA) angelegt wird. Nutzdaten: In diesem Feld folgen die Nutzdaten, welche via IPSec gesichert übertragen werden sollen (typischerweise TCP oder UDP). Die Nutzdaten werden auch als Payload bezeichnet. Padding: Das Padding ist ein Füllfeld der Länge 0 bis 255 Byte, mit dem das Nutzdatenfeld vergrößert wird. Dies ist bei der Verwendung bestimmter Kryptoalgorithmen nötig, da diese den Klartext bzw. Geheimtext blockweise abarbeiten und daraus resultierend der Eingabetext ein Vielfaches der Blocklänge sein muss. Pad Length: Ein 8-Bit langer Wert, der die Länge des Fülltextes angibt. Next Header: Ein 8-Bit Feld, welches das Protokoll spezifiziert, zu dem die Nutzdaten gehören. Authentication Data: Ein Feld variabler Länge, welches einen Wert zur Sicherung der Integrität des gesamten Paketes minus Authentication Data beinhaltet. Auch bei ESP wird zwischen Transport- und Tunnelmodus unterschieden. Im Transportmodus wird der ursprüngliche IP-Kopf beibehalten, im Tunnelmodus wird der ursprüngliche IP-Kopf zusammen mit den Nutzdaten verschlüsselt und ein neuer IP-Header vor das gesamte IP-Paket gesetzt.
Virtual Private Network. David Greber und Michael Wäger
Virtual Private Network David Greber und Michael Wäger Inhaltsverzeichnis 1 Technische Grundlagen...3 1.1 Was ist ein Virtual Private Network?...3 1.2 Strukturarten...3 1.2.1 Client to Client...3 1.2.2
MehrVIRTUAL PRIVATE NETWORKS
VIRTUAL PRIVATE NETWORKS Seminar: Internet-Technologie Dozent: Prof. Dr. Lutz Wegner Virtual Private Networks - Agenda 1. VPN Was ist das? Definition Anforderungen Funktionsweise Anwendungsbereiche Pro
MehrSecurity Associations Schlüsseltausch IKE Internet Key Exchange Automatischer Schlüsseltausch und Identitätsnachweis
Wie Interoperabel ist IPsec? Ein Erfahrungsbericht Arturo Lopez Senior Consultant März 2003 Agenda Internet Protokoll Security (IPsec) implementiert Sicherheit auf Layer 3 in OSI Modell Application Presentation
MehrProf. Dr. Martin Leischner Netzwerksysteme und TK. Hochschule Bonn-Rhein-Sieg. Modul 5: IPSEC
Modul 5: IPSEC Teil 1: Transport- und Tunnelmode / Authentication Header / Encapsulating Security Payload Security Association (SAD, SPD), IPsec-Assoziationsmanagements Teil 2: Das IKE-Protokoll Folie
MehrMulticast Security Group Key Management Architecture (MSEC GKMArch)
Multicast Security Group Key Management Architecture (MSEC GKMArch) draft-ietf-msec-gkmarch-07.txt Internet Security Tobias Engelbrecht Einführung Bei diversen Internetanwendungen, wie zum Beispiel Telefonkonferenzen
MehrVPN Virtual Private Network
VPN Virtual Private Network LF10 - Betreuen von IT-Systemen Marc Schubert FI05a - BBS1 Mainz Lernfeld 10 Betreuen von IT-Systemen VPN Virtual Private Network Marc Schubert FI05a - BBS1 Mainz Lernfeld 10
MehrWorkshop: IPSec. 20. Chaos Communication Congress
Cryx (cryx at h3q dot com), v1.1 Workshop: IPSec 20. Chaos Communication Congress In diesem Workshop soll ein kurzer Überblick über IPSec, seine Funktionsweise und Einsatzmöglichkeiten gegeben werden.
MehrVPN unterstützt 3 verschiedene Szenarien: Host to Host: Dies kennzeichnet eine sichere 1:1 Verbindung zweier Computer, z.b. über das Internet.
1. VPN Virtual Private Network Ein VPN wird eingesetzt, um eine teure dedizierte WAN Leitung (z.b. T1, E1) zu ersetzen. Die WAN Leitungen sind nicht nur teuer, sondern auch unflexibel, da eine Leitung
MehrSicherheit in Netzwerken. Leonard Claus, WS 2012 / 2013
Sicherheit in Netzwerken Leonard Claus, WS 2012 / 2013 Inhalt 1 Definition eines Sicherheitsbegriffs 2 Einführung in die Kryptografie 3 Netzwerksicherheit 3.1 E-Mail-Sicherheit 3.2 Sicherheit im Web 4
MehrBernd Blümel. Verschlüsselung. Prof. Dr. Blümel
Bernd Blümel 2001 Verschlüsselung Gliederung 1. Symetrische Verschlüsselung 2. Asymetrische Verschlüsselung 3. Hybride Verfahren 4. SSL 5. pgp Verschlüsselung 111101111100001110000111000011 1100110 111101111100001110000111000011
MehrVirtual Private Networks. Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH
Virtual Private Networks Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH Inhalt Einleitung Grundlagen Kryptographie IPSec Firewall Point-to-Point Tunnel Protokoll Layer 2 Tunnel Protokoll Secure Shell
MehrInformatik für Ökonomen II HS 09
Informatik für Ökonomen II HS 09 Übung 5 Ausgabe: 03. Dezember 2009 Abgabe: 10. Dezember 2009 Die Lösungen zu den Aufgabe sind direkt auf das Blatt zu schreiben. Bitte verwenden Sie keinen Bleistift und
MehrVPN: Virtual-Private-Networks
Referate-Seminar WS 2001/2002 Grundlagen, Konzepte, Beispiele Seminararbeit im Fach Wirtschaftsinformatik Justus-Liebig-Universität Giessen 03. März 2002 Ziel des Vortrags Beantwortung der folgenden Fragen:
Mehrmsm net ingenieurbüro meissner kompetent - kreativ - innovativ
Das nachfolgende Dokument wird unter der GPL- Lizenz veröffentlicht. - Technical Whitepaper - Konfiguration L2TP-IPSEC VPN Verbindung unter Linux mit KVpnc - VPN Gateway basierend auf strongswan Voraussetzungen
Mehr12 Kryptologie. ... immer wichtiger. Militär (Geheimhaltung) Telebanking, Elektronisches Geld E-Commerce WWW...
12 Kryptologie... immer wichtiger Militär (Geheimhaltung) Telebanking, Elektronisches Geld E-Commerce WWW... Kryptologie = Kryptographie + Kryptoanalyse 12.1 Grundlagen 12-2 es gibt keine einfachen Verfahren,
MehrIPsec. Chair for Communication Technology (ComTec), Faculty of Electrical Engineering / Computer Science
IPsec Chair for Communication Technology (ComTec), Faculty of Electrical Engineering / Computer Science Einleitung Entwickelt 1998 um Schwächen von IP zu verbessern Erweitert IPv4 um: Vertraulichkeit (Unberechtigter
MehrANYWHERE Zugriff von externen Arbeitsplätzen
ANYWHERE Zugriff von externen Arbeitsplätzen Inhaltsverzeichnis 1 Leistungsbeschreibung... 3 2 Integration Agenda ANYWHERE... 4 3 Highlights... 5 3.1 Sofort einsatzbereit ohne Installationsaufwand... 5
MehrDatenempfang von crossinx
Datenempfang von crossinx Datenempfang.doc Seite 1 von 6 Inhaltsverzeichnis 1 Einführung... 3 2 AS2... 3 3 SFTP... 3 4 FTP (via VPN)... 4 5 FTPS... 4 6 Email (ggf. verschlüsselt)... 5 7 Portalzugang über
MehrRechnernetze II SS 2015. Betriebssysteme / verteilte Systeme rolanda.dwismuellera@duni-siegena.de Tel.: 0271/740-4050, Büro: H-B 8404
Rechnernetze II SS 2015 Betriebssysteme / verteilte Systeme rolanda.dwismuellera@duni-siegena.de Tel.: 0271/740-4050, Büro: H-B 8404 Stand: 14. Juli 2015 Betriebssysteme / verteilte Systeme Rechnernetze
MehrEinrichtung von VPN für Mac Clients bei Nortel VPN Router
Einrichtung von VPN für Mac Clients bei Nortel VPN Router 2009 DeTeWe Communications GmbH! Seite 1 von 13 Einrichtung des Nortel VPN Routers (Contivity)! 3 Konfigurieren der globalen IPSec Einstellungen!
MehrVirtual Private Network
Virtual Private Network Allgemeines zu VPN-Verbindungen WLAN und VPN-TUNNEL Der VPN-Tunnel ist ein Programm, das eine sichere Verbindung zur Universität herstellt. Dabei übernimmt der eigene Rechner eine
MehrPrinzipiell wird bei IP-basierenden VPNs zwischen zwei unterschiedlichen Ansätzen unterschieden:
Abkürzung für "Virtual Private Network" ein VPN ist ein Netzwerk bestehend aus virtuellen Verbindungen (z.b. Internet), über die nicht öffentliche bzw. firmeninterne Daten sicher übertragen werden. Die
Mehr11. Das RSA Verfahren und andere Verfahren
Chr.Nelius: Kryptographie (SS 2011) 31 11. Das RSA Verfahren und andere Verfahren Eine konkrete Realisierung eines Public Key Kryptosystems ist das sog. RSA Verfahren, das im Jahre 1978 von den drei Wissenschaftlern
MehrExkurs: IPSec. <muehlber@fh-brandenburg.de> Brandenburg an der Havel, den 5. Juni 2005
Exkurs: IPSec Brandenburg an der Havel, den 5. Juni 2005 1 Gliederung 1. IPSec: Problem und Lösung 2. Übertragungsmodi 3. Encapsulating Security Payload 4. Authentication Header
MehrBeispielkonfiguration eines IPSec VPN Servers mit dem NCP Client
(Für DFL-160) Beispielkonfiguration eines IPSec VPN Servers mit dem NCP Client Zur Konfiguration eines IPSec VPN Servers gehen bitte folgendermaßen vor. Konfiguration des IPSec VPN Servers in der DFL-160:
MehrEine Open Source SSL VPN Lösung. Patrick Oettinger Deutsche Telekom AG 2. Ausbildungsjahr
p Eine Open Source SSL VPN Lösung Patrick Oettinger Deutsche Telekom AG 2. Ausbildungsjahr Inhaltsverzeichnis Simon Singh über die Verschlüsslungen Facts about OpenVPN Hintergrund Funktionsweise inkl.
MehrIPsec. Vortrag im Rahmen des Seminars Neue Internet Technologien
IPsec Vortrag im Rahmen des Seminars Neue Internet Technologien Friedrich Schiller Universität Jena Wintersemester 2003/2004 Thomas Heinze, Matrikel xxxxx Gliederung IPsec? - Motivation, Grundbegriffe,
MehrEinrichtung des Cisco VPN Clients (IPSEC) in Windows7
Einrichtung des Cisco VPN Clients (IPSEC) in Windows7 Diese Verbindung muss einmalig eingerichtet werden und wird benötigt, um den Zugriff vom privaten Rechner oder der Workstation im Home Office über
MehrVPN-Verbindung zwischen LANCOM und integrierten VPN-Client im MacOS X 10.6 Snow Leopard
LANCOM Support Knowledgebase Dokument-Nr. 0911.0913.3223.RHOO - V1.60 VPN-Verbindung zwischen LANCOM und integrierten VPN-Client im MacOS X 10.6 Snow Leopard Beschreibung: Dieses Dokument beschreibt die
Mehriphone 4 - Einrichtung des VPN Clients (Cisco VPN Client) / Verbinden des iphones mit einem Exchange
iphone 4 - Einrichtung des VPN Clients (Cisco VPN Client) / Verbinden des iphones mit einem Exchange Die Verwendung der E-Mail- und Kalenderdienste des Exchange Servers über das iphone kann auf zwei unterschiedlichen
MehrPeDaS Personal Data Safe. - Bedienungsanleitung -
PeDaS Personal Data Safe - Bedienungsanleitung - PeDaS Bedienungsanleitung v1.0 1/12 OWITA GmbH 2008 1 Initialisierung einer neuen SmartCard Starten Sie die PeDaS-Anwendung, nachdem Sie eine neue noch
MehrVerschlüsselung. Kirchstraße 18 Steinfelderstraße 53 76831 Birkweiler 76887 Bad Bergzabern. 12.10.2011 Fabian Simon Bfit09
Verschlüsselung Fabian Simon BBS Südliche Weinstraße Kirchstraße 18 Steinfelderstraße 53 76831 Birkweiler 76887 Bad Bergzabern 12.10.2011 Fabian Simon Bfit09 Inhaltsverzeichnis 1 Warum verschlüsselt man?...3
MehrBeschreibung und Bedienungsanleitung. Inhaltsverzeichnis: Abbildungsverzeichnis: Werkzeug für verschlüsselte bpks. Dipl.-Ing.
www.egiz.gv.at E-Mail: post@egiz.gv.at Telefon: ++43 (316) 873 5514 Fax: ++43 (316) 873 5520 Inffeldgasse 16a / 8010 Graz / Austria Beschreibung und Bedienungsanleitung Werkzeug für verschlüsselte bpks
MehrTechnical Note 32. 2 ewon über DSL & VPN mit einander verbinden
Technical Note 32 2 ewon über DSL & VPN mit einander verbinden TN_032_2_eWON_über_VPN_verbinden_DSL Angaben ohne Gewähr Irrtümer und Änderungen vorbehalten. 1 1 Inhaltsverzeichnis 1 Inhaltsverzeichnis...
MehrISA Server 2004 Erstellen eines neuen Netzwerkes - Von Marc Grote
Seite 1 von 10 ISA Server 2004 Erstellen eines neuen Netzwerkes - Von Marc Grote Die Informationen in diesem Artikel beziehen sich auf: Microsoft ISA Server 2004 Einleitung Microsoft ISA Server 2004 bietet
MehrNetzsicherheit I, WS 2008/2009 Übung 12. Prof. Dr. Jörg Schwenk 20.01.2009
Netzsicherheit I, WS 2008/2009 Übung 12 Prof. Dr. Jörg Schwenk 20.01.2009 Aufgabe 1 1 Zertifikate im Allgemeinen a) Was versteht man unter folgenden Begriffen? i. X.509 X.509 ist ein Standard (Zertifikatsstandard)
MehrHow-to: Webserver NAT. Securepoint Security System Version 2007nx
Securepoint Security System Inhaltsverzeichnis Webserver NAT... 3 1 Konfiguration einer Webserver NAT... 4 1.1 Einrichten von Netzwerkobjekten... 4 1.2 Erstellen von Firewall-Regeln... 6 Seite 2 Webserver
MehrVerteilte Systeme. 10.1 Unsicherheit in Verteilten Systemen
Verteilte Systeme Übung 10 Jens Müller-Iden Gruppe PVS (Parallele und Verteilte Systeme) Institut für Informatik Westfälische Wilhelms-Universität Münster Sommersemester 2007 10.1 Unsicherheit in Verteilten
MehrIT-Sicherheit Kapitel 10 IPSec
IT-Sicherheit Kapitel 10 IPSec Dr. Christian Rathgeb Sommersemester 2014 1 TCP/IP TCP/IP-Schichtenmodell: 2 TCP/IP Sicherheitsmechanismen in den Schichten: 3 TCP/IP TCP verpackt die Anwenderdaten in eine
MehrDynamisches VPN mit FW V3.64
Dieses Konfigurationsbeispiel zeigt die Definition einer dynamischen VPN-Verbindung von der ZyWALL 5/35/70 mit der aktuellen Firmware Version 3.64 und der VPN-Software "TheGreenBow". Die VPN-Definitionen
MehrIRF2000 Application Note Lösung von IP-Adresskonflikten bei zwei identischen Netzwerken
Version 2.0 1 Original-Application Note ads-tec GmbH IRF2000 Application Note Lösung von IP-Adresskonflikten bei zwei identischen Netzwerken Stand: 27.10.2014 ads-tec GmbH 2014 IRF2000 2 Inhaltsverzeichnis
Mehr10. Kryptographie. Was ist Kryptographie?
Chr.Nelius: Zahlentheorie (SoSe 2015) 39 10. Kryptographie Was ist Kryptographie? Die Kryptographie handelt von der Verschlüsselung (Chiffrierung) von Nachrichten zum Zwecke der Geheimhaltung und von dem
MehrUmstellung des Schlüsselpaares der Elektronischen Unterschrift von A003 (768 Bit) auf A004 (1024 Bit)
Umstellung des Schlüsselpaares der Elektronischen Unterschrift von A003 (768 Bit) auf A004 (1024 Bit) 1. Einleitung Die Elektronische Unterschrift (EU) dient zur Autorisierung und Integritätsprüfung von
MehrMultimedia und Datenkommunikation
Multimedia und Datenkommunikation Einteilung in Unterpunkte Netzwerk Audioausgabe Internetzugang Basis des Projektes Büro 5 Mitarbeiter Datenaustausch via Diskette Kein Netzwerk Ein Nadeldrucker Netzwerke
MehrNAT & VPN. Adressübersetzung und Tunnelbildung. Bastian Görstner
Adressübersetzung und Tunnelbildung Bastian Görstner Gliederung 1. NAT 1. Was ist ein NAT 2. Kategorisierung 2. VPN 1. Was heißt VPN 2. Varianten 3. Tunneling 4. Security Bastian Görstner 2 NAT = Network
MehrDynamisches VPN mit FW V3.64
Dieses Konfigurationsbeispiel zeigt die Definition einer dynamischen VPN-Verbindung von der ZyWALL 5/35/70 mit der aktuellen Firmware Version 3.64 und der VPN-Software "ZyXEL Remote Security Client" Die
MehrICS-Addin. Benutzerhandbuch. Version: 1.0
ICS-Addin Benutzerhandbuch Version: 1.0 SecureGUARD GmbH, 2011 Inhalt: 1. Was ist ICS?... 3 2. ICS-Addin im Dashboard... 3 3. ICS einrichten... 4 4. ICS deaktivieren... 5 5. Adapter-Details am Server speichern...
MehrRechnernetzwerke. Rechnernetze sind Verbünde von einzelnen Computern, die Daten auf elektronischem Weg miteinander austauschen können.
Rechnernetzwerke Rechnernetze sind Verbünde von einzelnen Computern, die Daten auf elektronischem Weg miteinander austauschen können. Im Gegensatz zu klassischen Methoden des Datenaustauschs (Diskette,
MehrVerteilte Systeme. Übung 10. Jens Müller-Iden
Verteilte Systeme Übung 10 Jens Müller-Iden Gruppe PVS (Parallele und Verteilte Systeme) Institut für Informatik Westfälische Wilhelms-Universität Münster Sommersemester 2007 10.1 Unsicherheit in Verteilten
MehrAnleitung Thunderbird Email Verschlu sselung
Anleitung Thunderbird Email Verschlu sselung Christoph Weinandt, Darmstadt Vorbemerkung Diese Anleitung beschreibt die Einrichtung des AddOn s Enigmail für den Mailclient Thunderbird. Diese Anleitung gilt
MehrFTP-Leitfaden RZ. Benutzerleitfaden
FTP-Leitfaden RZ Benutzerleitfaden Version 1.4 Stand 08.03.2012 Inhaltsverzeichnis 1 Einleitung... 3 1.1 Zeitaufwand... 3 2 Beschaffung der Software... 3 3 Installation... 3 4 Auswahl des Verbindungstyps...
MehrAsymmetrische. Verschlüsselungsverfahren. erarbeitet von: Emilia Winkler Christian-Weise-Gymnasium Zittau
Asymmetrische Verschlü erarbeitet von: Emilia Winkler Christian-Weise-Gymnasium Zittau Gliederung 1) Prinzip der asymmetrischen Verschlü 2) Vergleich mit den symmetrischen Verschlü (Vor- und Nachteile)
MehrVirtual Private Network
Virtual Private Network Unter einem Virtual Private Network (VPN) versteht man eine durch geeignete Verschlüsselungs- und Authentifizierungsmechanismen geschützte Verbindung zwischen 2 Rechnern ( und VPN-Gateway)
MehrBenutzerhandbuch. bintec elmeg GmbH. Benutzerhandbuch. be.ip. Workshops. Copyright Version 1.0, 2015 bintec elmeg GmbH
Benutzerhandbuch Benutzerhandbuch Workshops Copyright Version 1.0, 2015 1 Benutzerhandbuch Rechtlicher Hinweis Gewährleistung Änderungen in dieser Veröffentlichung sind vorbehalten. gibt keinerlei Gewährleistung
MehrHow-to: VPN mit L2TP und dem Windows VPN-Client. Securepoint Security System Version 2007nx
Securepoint Security System Version 2007nx Inhaltsverzeichnis VPN mit L2TP und dem Windows VPN-Client... 3 1 Konfiguration der Appliance... 4 1.1 Erstellen von Netzwerkobjekten im Securepoint Security
MehrGuide DynDNS und Portforwarding
Guide DynDNS und Portforwarding Allgemein Um Geräte im lokalen Netzwerk von überall aus über das Internet erreichen zu können, kommt man um die Themen Dynamik DNS (kurz DynDNS) und Portweiterleitung(auch
MehrKonfiguration VLAN's. Konfiguration VLAN's IACBOX.COM. Version 2.0.1 Deutsch 01.07.2014
Konfiguration VLAN's Version 2.0.1 Deutsch 01.07.2014 In diesem HOWTO wird die Konfiguration der VLAN's für das Surf-LAN der IAC-BOX beschrieben. Konfiguration VLAN's TITEL Inhaltsverzeichnis Inhaltsverzeichnis...
MehrAutorisierung. Sicherheit und Zugriffskontrolle & Erstellen einer Berechtigungskomponente
Autorisierung Sicherheit und Zugriffskontrolle & Erstellen einer Berechtigungskomponente Dokumentation zum Referat von Matthias Warnicke und Joachim Schröder Modul: Komponenten basierte Softwareentwickelung
MehrTips, Tricks und HOWTOs Virtualisierung für Profis und Einsteiger Serverkonsolidierung, Testumgebung, mobile Demo
virtuelle Maschinen mit VMware und Virtual PC Tips, Tricks und HOWTOs Virtualisierung für Profis und Einsteiger Serverkonsolidierung, Testumgebung, mobile Demo virtuelle DMZ mit IPCop und Webserver unter
MehrHow to install freesshd
Enthaltene Funktionen - Installation - Benutzer anlegen - Verbindung testen How to install freesshd 1. Installation von freesshd - Falls noch nicht vorhanden, können Sie das Freeware Programm unter folgendem
MehrDigitale Signaturen. Sven Tabbert
Digitale Signaturen Sven Tabbert Inhalt: Digitale Signaturen 1. Einleitung 2. Erzeugung Digitaler Signaturen 3. Signaturen und Einweg Hashfunktionen 4. Digital Signature Algorithmus 5. Zusammenfassung
MehrMöglichkeiten der verschlüsselten E-Mail-Kommunikation mit der AUDI AG Stand: 11/2015
Möglichkeiten der verschlüsselten E-Mail-Kommunikation mit der AUDI AG Stand: 11/2015 Möglichkeiten der verschlüsselten E-Mail-Kommunikation mit der AUDI AG Vertrauliche Informationen dürfen von und zur
MehrDas RSA-Verschlüsselungsverfahren 1 Christian Vollmer
Das RSA-Verschlüsselungsverfahren 1 Christian Vollmer Allgemein: Das RSA-Verschlüsselungsverfahren ist ein häufig benutztes Verschlüsselungsverfahren, weil es sehr sicher ist. Es gehört zu der Klasse der
MehrAuthentikation und digitale Signatur
TU Graz 23. Jänner 2009 Überblick: Begriffe Authentikation Digitale Signatur Überblick: Begriffe Authentikation Digitale Signatur Überblick: Begriffe Authentikation Digitale Signatur Begriffe Alice und
MehrApplication Note MiniRouter: IPsec-Konfiguration und -Zugriff
Application Note MiniRouter: IPsec-Konfiguration und -Zugriff Dieses Dokument beschreibt die Konfiguration für den Aufbau einer IPsec-Verbindung von einem PC mit Windows XP Betriebssystem und dem 1. Ethernet-Port
MehrEinführung in die Netzwerktechnik
Ich Falk Schönfeld Seit 8 Jahren bei eurogard GmbH Entwickler für Remoteserviceprodukte Kernkompetenz Linux Mail: schoenfeld@eurogard.de Telefon: +49/2407/9516-15 Ablauf: Was bedeutet Netzwerktechnik?
MehrHow to: VPN mit L2TP und dem Windows VPN-Client Version 2007nx Release 3
Inhalt 1 Konfiguration der Appliance... 4 1.1 Erstellen von Netzwerkobjekten im Securepoint Security Manager... 4 1.2 Erstellen von Firewall-Regeln... 5 1.3 L2TP Grundeinstellungen... 6 1.4 L2TP Konfiguration...
MehrE-Mail Verschlüsselung
E-Mail Verschlüsselung Beschreibung der im Kispi eingesetzten Methode "PGP Universal Web Messenger" Dokumentenversion 1.0 19. Oktober 2006 Autor: Informatik Inhaltsverzeichnis 1. PGP Universal Web Messenger...
MehrThema IPv6. Geschichte von IPv6
Geschichte von IPv6 IPv6 ist der Nachfolger des aktuellen Internet Protokolls IPv4, welches für die Übertragung von Daten im Internet zuständig ist. Schon Anfang der 90er Jahre wurde klar, dass die Anzahl
MehrÜbersicht. Was ist FTP? Übertragungsmodi. Sicherheit. Öffentliche FTP-Server. FTP-Software
FTP Übersicht Was ist FTP? Übertragungsmodi Sicherheit Öffentliche FTP-Server FTP-Software Was ist FTP? Protokoll zur Dateiübertragung Auf Schicht 7 Verwendet TCP, meist Port 21, 20 1972 spezifiziert Übertragungsmodi
MehrDES der vergangene Standard für Bitblock-Chiffren
DES der vergangene Standard für Bitblock-Chiffren Klaus Pommerening Fachbereich Mathematik der Johannes-Gutenberg-Universität Saarstraße 1 D-55099 Mainz Vorlesung Kryptologie 1. März 1991, letzte Änderung:
MehrHowTo: Einrichtung & Management von APs mittels des DWC-1000
HowTo: Einrichtung & Management von APs mittels des DWC-1000 [Voraussetzungen] 1. DWC-1000 mit Firmware Version: 4.1.0.2 und höher 2. Kompatibler AP mit aktueller Firmware 4.1.0.8 und höher (DWL-8600AP,
MehrDiffie-Hellman, ElGamal und DSS. Vortrag von David Gümbel am 28.05.2002
Diffie-Hellman, ElGamal und DSS Vortrag von David Gümbel am 28.05.2002 Übersicht Prinzipielle Probleme der sicheren Nachrichtenübermittlung 'Diskreter Logarithmus'-Problem Diffie-Hellman ElGamal DSS /
MehrStand 10.2011 vr bank Südthüringen eg 1 von 10. Smart TAN plus Umstellungsanleitung VR-NetWorld Software
Stand 10.2011 vr bank Südthüringen eg 1 von 10 Smart TAN plus Umstellungsanleitung VR-NetWorld Software INHALTSVERZEICHNIS 1. Einführung 3 2. Allgemeine Informationen 4 3. Schritt 1 die Anmeldung des Generators
MehrFrogSure Installation und Konfiguration
FrogSure Installation und Konfiguration 1 Inhaltsverzeichnis 1 Inhaltsverzeichnis...1 2 Installation...1 2.1 Installation beginnen...2 2.2 Lizenzbedingungen...3 2.3 Installationsordner auswählen...4 2.4
MehrDieses Dokument erläutert die Einrichtung einer VPN-Verbindung zwischen einem LANCOM Router (ab LCOS 7.6) und dem Apple iphone Client.
LCS Support KnowledgeBase - Support Information Dokument-Nr. 0812.2309.5321.LFRA VPN-Verbindung zwischen LANCOM Router und Apple iphone Beschreibung: Dieses Dokument erläutert die Einrichtung einer VPN-Verbindung
MehrVirtuelle Netze. Virtuelle Netze von Simon Knierim und Benjamin Skirlo 1 Von 10-16.04.07. Simon Knierim & Benjamin Skirlo.
1 Von 10-16.04.07 Virtuelle Netze Simon Knierim & Benjamin Skirlo für Herrn Herrman Schulzentrum Bremen Vegesack Berufliche Schulen für Metall- und Elektrotechnik 2 Von 10-16.04.07 Inhaltsverzeichnis Allgemeines...
MehrSystemvoraussetzungen Hosting
Hosting OCLC GmbH Betriebsstätte Böhl-Iggelheim Am Bahnhofsplatz 1 E-Mail: 67459 Böhl-Iggelheim bibliotheca@oclc.org Tel. +49-(0)6324-9612-0 Internet: Fax +49-(0)6324-9612-4005 www.oclc.org Impressum Titel
MehrZeichen bei Zahlen entschlüsseln
Zeichen bei Zahlen entschlüsseln In diesem Kapitel... Verwendung des Zahlenstrahls Absolut richtige Bestimmung von absoluten Werten Operationen bei Zahlen mit Vorzeichen: Addieren, Subtrahieren, Multiplizieren
MehrSymmetrische und Asymmetrische Kryptographie. Technik Seminar 2012
Symmetrische und Asymmetrische Kryptographie Technik Seminar 2012 Inhalt Symmetrische Kryptographie Transpositionchiffre Substitutionchiffre Aktuelle Verfahren zur Verschlüsselung Hash-Funktionen Message
MehrNachrichten- Verschlüsselung Mit S/MIME
Nachrichten- Verschlüsselung Mit S/MIME Höma, watt is S/MIME?! S/MIME ist eine Methode zum signieren und verschlüsseln von Nachrichten, ähnlich wie das in der Öffentlichkeit vielleicht bekanntere PGP oder
MehrComtarsia SignOn Familie
Comtarsia SignOn Familie Handbuch zur RSA Verschlüsselung September 2005 Comtarsia SignOn Agent for Linux 2003 Seite 1/10 Inhaltsverzeichnis 1. RSA Verschlüsselung... 3 1.1 Einführung... 3 1.2 RSA in Verbindung
MehrKey Management für ETCS
Key Management für ETCS Betrieblich-technische Kundenveranstaltung 2014 DB Netz AG, Informationssysteme Kundeninteraktion/Vertrieb (I.NVT 65) 16.05.2014 1 DB Netz AG Niels Neuberg, Stefan Seither I.NVT
Mehr8. Bintec Router Redundancy Protocol (BRRP) 8.1 Einleitung
8. Bintec Router Redundancy Protocol (BRRP) 8.1 Einleitung Im Folgenden wird die Konfiguration von BRRP gezeigt. Beide Router sind jeweils über Ihr Ethernet 1 Interface am LAN angeschlossen. Das Ethernet
MehrSichere E-Mails. Kundeninformation zur Verschlüsselung von E-Mails in der L-Bank
Sichere E-Mails Kundeninformation zur Verschlüsselung von E-Mails in der L-Bank Version: 2.1 Stand: 18.07.2014 Inhaltsverzeichnis II Inhaltsverzeichnis 1 Einleitung... 1 1.1 Überblick... 1 1.2 Allgemeine
MehrLocal Control Network Technische Dokumentation
Steuerung von Hifi-Anlagen mit der LCN-GVS Häufig wird der Wunsch geäußert, eine Hi-Fi-Anlage in die Steuerung der LCN-GVS einzubinden. Auch das ist realisierbar. Für die hier gezeigte Lösung müssen wenige
Mehr2 Die Terminaldienste Prüfungsanforderungen von Microsoft: Lernziele:
2 Die Terminaldienste Prüfungsanforderungen von Microsoft: Configuring Terminal Services o Configure Windows Server 2008 Terminal Services RemoteApp (TS RemoteApp) o Configure Terminal Services Gateway
MehrNetzwerk einrichten unter Windows
Netzwerk einrichten unter Windows Schnell und einfach ein Netzwerk einrichten unter Windows. Kaum ein Rechner kommt heute mehr ohne Netzwerkverbindungen aus. In jedem Rechner den man heute kauft ist eine
MehrSichere E-Mail für Rechtsanwälte & Notare
Die Technik verwendet die schon vorhandene Technik. Sie als Administrator müssen in der Regel keine neue Software und auch keine zusätzliche Hardware implementieren. Das bedeutet für Sie als Administrator
MehrSynchronisations- Assistent
TimePunch Synchronisations- Assistent Benutzerhandbuch Gerhard Stephan Softwareentwicklung -und Vertrieb 25.08.2011 Dokumenten Information: Dokumenten-Name Benutzerhandbuch, Synchronisations-Assistent
MehrScharl 2010 Dokument ist Urheberrechtlich geschützt. Port Forwarding via PuTTY und SSH. Was ist Port forwarding?
Port Forwarding via PuTTY und SSH Was ist Port forwarding? Eine Portweiterleitung (englisch Port Forwarding) ist die Weiterleitung einer Verbindung, die über ein Rechnernetz auf einen bestimmten Port eingeht,
MehrGruppe: swp09-6 26.04.2009 Gruppenleiter: U. Seiler Aufgabenstellung 3. Lastenheft
Lastenheft Synchronisation von RDF Modellen im PKM Kontext als Plugin für OntoWiki Inhaltsverzeichnis 1. Zielbestimmung 2. Produkteinsatz 3. Produktübersicht 4. Produktfunktionen 4.1. Muss-Bedingungen
MehrEinrichten eines Postfachs mit Outlook Express / Outlook bis Version 2000
Folgende Anleitung beschreibt, wie Sie ein bestehendes Postfach in Outlook Express, bzw. Microsoft Outlook bis Version 2000 einrichten können. 1. Öffnen Sie im Menü die Punkte Extras und anschließend Konten
MehrDatenbank-Verschlüsselung mit DbDefence und Webanwendungen.
Datenbank-Verschlüsselung mit DbDefence und Webanwendungen. In diesem Artikel werden wir Ihnen zeigen, wie Sie eine Datenbank verschlüsseln können, um den Zugriff einzuschränken, aber trotzdem noch eine
MehrPrimzahlen und RSA-Verschlüsselung
Primzahlen und RSA-Verschlüsselung Michael Fütterer und Jonathan Zachhuber 1 Einiges zu Primzahlen Ein paar Definitionen: Wir bezeichnen mit Z die Menge der positiven und negativen ganzen Zahlen, also
MehrVPN Gateway (Cisco Router)
VPN Gateway (Cisco Router) Mario Weber INF 03 Inhalt Inhalt... 2 1 VPN... 3 1.1 Virtual Private Network... 3 1.1.1 Allgemein... 3 1.1.2 Begriffsklärung... 4 1.2 Tunneling... 4 1.3 Tunnelprotkolle... 5
MehrModul 4: IPsec Teil 1
Modul 4: IPsec Teil 1 Teil 1: Transport- und Tunnelmode Authentication Header Encapsulating Security Payload IPsec Architektur (Security Association, SAD, SPD), Teil 2: Das IKE-Protokoll Folie 1 Struktur
Mehr