VPN & IPSec. Virtual Private Networking & Internet Protocol Security. Communication Security I-7222

Größe: px
Ab Seite anzeigen:

Download "VPN & IPSec. Virtual Private Networking & Internet Protocol Security. Communication Security I-7222"

Transkript

1 VPN & IPSec Virtual Private Networking & Internet Protocol Security

2 VPN - Definitions - Technologyoverview - Tunneling - Internet Layer Security Protocols - PPTP - Authentication - MPPE data Encrpytion - L2TP - L2TP over IPSec Overview IPSec - Requirements - Philosophy - AH / ESP - SPD, SA, SPI - IKE - Perfect Forward Security - IPSec and Remote Access - IPSec and NAT/NAPT - XAUTH and Mode Config - DHCP over IPSec - IKEv2 - additional information

3 VPN & IPSec Virtual Private Networking (VPN) Layer-2 and layer-3 tunneling

4 Definition What's a Virtual Private Network - A communication environment that allows access between nodes only to a defined group. This is realised by segregation of the underlying shared communication medium that normally is used for public communication. - A private network built on a public infrastructure like the internet - A restricted-use, logical (i.e., artificial or simulated) computer network that is constructed from the system resources of a relatively public, physical (i.e., real) network (such as the Internet), often by using encryption (located at hosts or gateways), and often by tunneling links of the virtual network across the real network. (RFC 2828)

5 Technologyoverview non cryptographic approach: - route filtering (controlled route leaking) - multi protocol label switching (MPLS) cryptographic approach: - Network Access Layer Security Protocols (Layer 2) - Internet Layer Security Protocols (Layer 3) - Transport Layer Security Protocols (Layer 4)

6 MPLS

7 VPN application site-to-site VPN - A tunnel between routers of a company central and a branch office end-to-site VPN - A tunnel between a remote client and a VPN gateway - Client in a branch office connecting to the central VPN gateway (Routers do not have to offer VPN functionality) end-to-end VPN - Is like end-to-site VPN but the application server is directly integrated into the VPN gateway thus securing the traffic from the remote client to the destination application

8 Tunneling Protocols Name Developed by Layer Point-to-Point Tunneling Protocol (PPTP) Microsoft 2 Layer 2 Forwarding (L2F) Cisco 2 Layer 2 Tunneling Protocol (L2TP) open standard 2 IP Security, Tunnel Mode (IPSec) open standard 3 SSL-VPN, VPN over TLS no standard 4

9 Layer 2 Network Access

10 Layer 2 Tunneling

11 PPTP An Internet client-server protocol (originally developed by Ascend and Microsoft) that enables a dial-up user to create a virtual extension of the dial-up link across a network by tunneling PPP over IP. PPP can encapsulate any Internet Protocol Suite network layer protocol (or OSI layer 3 protocol). Therefore, PPTP does not specify security services; it depends on protocols above and below it to provide any needed security. PPTP makes it possible to divorce the location of the initial dial-up server (i.e., the PPTP Access Concentrator, the client, which runs on a special-purpose host) from the location at which the dial-up protocol (PPP) connection is terminated and access to the network is provided (i.e., the PPTP Network Server, which runs on a general-purpose host).

12 PPTP internals

13 PPTP authentication The specification of PPTP does not require the use of specific authentication or en/de-cryption algorithms instead supports the following algorithms: - PAP (password authentication protocol) - SPAP (shiva PAP) - CHAP (Challenge Handshake Authentication Protocol) - MS-CHAPv1 - MS-CHAPv2 EAP (Extensible Authentication Protocol) - Certificate based - MD5 based

14 MPPE data encryption The MPPE (Microsoft PPP Encryption) protocoll uses RC4 as stream cypher algorithm - until early 2000 => internatioal version 40bit key / US version 128bit key - today => international version 128bit key / US embargo countries 56bit key PPTP is flawed by design - The per direction used session keys are built deterministicly using the user password - Thus the security is directly dependant on the quality of the user password => dictionary attacks on crypted data L2TP over IPSec and IPSec are both secure and better alternatives for VPN

15 L2TP

16 L2TP

17 Securityprotocolinterna Interna of a security protocol between two nodes encrypted and authenticated data communication between two nodes both having a verified identity and a shared 'session key'

18 SecProt Requirements Two nodes A and B should be able to communicate in a secure manner over a public communication channel A pubic channel B Throughout the collection of requirements it is assumed that the authentication is done over a hostile public communication channel where eavesdropping occurs by everyone. At the same time any malicous third party could interrupt, falsify or take over a connection and continue in it's owners name.

19 What method would you choose for exchanging a key if both partners have to take part in generating the key? RSA Keyexchange during initialisation DH-Key Exchange HMAC MD5 How would you apply this method if there can be no dependency of the generated key to former or future sessions?

20 Authentication during initialisation Both partners are authenticating each other using Diffie-Hellman key exchange What method would be best to achieve this? Alternative method?

21 Communication Phase Requirements To prevent eavesdropping attacks on sensitive data communication between two clients has to be encrypted To prevent 'man-in-middle-attack' after authorization is has to be possible for the receiving client to verify the integrity and authenticity of the communication To guarantee the safety and performance the select algorithms have to be secure AND efficient for data bandwidth up to Gbit range

22 Encryption for phase communication What encryption algorithms would you use? RC4 3DES-CBC AES-CBC RSA IDEA CAST Blowfish What parts of a IP datagram would you encrypt?

23 Authentication for phase communication What authentication algorithms would you use? RSA-MD5 HMAC RSA-SHA1 DSS-MD5 DSS-SHA1 What parts of a IP datagram would you authenticate?

24 VPN & IPSec Internet Protocol Security (IPSec) Originating from the Ipv6 (Ipng) specification a IETF Working Group was ordered to create a standard securityarchitecture for both IPv6 and IPv4

25 Principles IPSec basic principles

26 Internetlayer security

27 IPSec overview IPSec is a collection of standards for IP security that enriches the Internet layer with security Using IPSec company networks at different sites can be transparently connected and communicate with each other using encrypted channels IPSec is used to secure the communication between employees on the road (road warriors) and a company network Before a secure connection can be established using IPSec both parties have to authenticate and negotiate a 'session key' using a specific procedure This exchange is done using the IKE (Internet Key Exchange) protocol over UDP

28 IPSec RFC's

29 IPSec components

30 IKE and IPSec A public channel B

31 Protocols IPSec protocols

32 IPSec in IPv4

33 IPSec modes The IPSec mechanism knows 2 modes - Transportmode (encrpytion & authentication of userdata) - Tunnelmode (encryption & authentication of whole IP packet) Transportmode is only used in End-to-End and End-to-Site scenarios Tunnelmode is used in Site-to-Site and Roadwarrior scenarios Tunnelmode is the commonly used mode

34 AH&ESP in mode transport

35 ESP in mode tunnel

36 Authentication Header

37 Encapsulating Security Payload

38 Internet Key Exchange Internet Key Exchange (IKE)

39 Internet Key Exchange Protocol If there's no SA for a outbound packet IKE is used to negotiate a common key and authenticate the communication partner Inside the IKE phase a key is generated to build the secured channel using Diffie Hellman Key Exchange IKE offers two different methods to authenticate - digital signatures or asymmetric encryption both in need of X.509 Certificates delivered by a PKI - Preshared Keys (PSK); As the name indicates both communication partners agree on a known preshared key

40 Security Policy Database (SPD) Inside the 'Security Policy Database' SPD resides the predefined configuration With what partners am I communicating in a - encrypted / unencrypted - authenticated/unauthenticated - no communication at all way? This is defined by selectors like (IP address, subnet, protocol, port number)

41 SPD continued What authentication method is used to establish a secured channel? - Preshared Key (PSK) - Certificates What algorithms are use to encrypt and authenticate the packets? What traffic do we encrypt? (e.g only port 3306)

42 IKE Selectors

43 IKE Security Association (SA) A 'Security Associsation' is a accord negotiated between two IPSec nodes (machine or security gateway) IPSec SA's are unidirectional IPSec SA's are referenced by a 'Security Parameters Index' SPI and stored in a database A SA contains the sum of the needed cryptographic parameters - Encryption algorithm (mode, key length, IV) - Authentication hash algorithm - Key and lifetime of key - SA renewal period

44 IKE SPI 32 bit value SPI is transmitted in clear text with every packet sent Matching index used by partner to locate the correct encryption parameter Is generated when a secure channel is established (random value)

45 IKE Outbound Processing

46 IKE Inbound Processing

47 Phase I (main mode) Phase I (Main Mode): - Partners are negotiating IKE session parameters - using explicit 'Diffie-Hellmann Key-Exchange' a common 'master secret' is generated - Partner are creating a encrypted and authenticated control channel - Both partners are authenticating each other (already encrypted) - Cryptoparameters negotiated during phase 1 are protecting IPSec negotiation of phase 2

48 Phase II (quick mode) Creation or renewal of a IPSec SA - Encrypted quick mode message exchange - All messages are encrypted using a 'shared secret' negotiated by Diffie-Hellmann key exchange - Keymaterial for IPSec protocols (AH,ESP) is derived by the keys created during Phase I - The specific Kryptoparameters for the IPSec connection are negotiated (AH,ESP, authentication and encryption methods & parameters) - Quickmode is used for renewal of expired IPSec SA's - Optional Perfect Forwared Secrecy (PFS) - If 'perfect forward secrecy is applied any further quickmode resultes in a ne 'Diffie-Hellmann' key exchange

49 IKE and IPSec SA

50 IKE Main Mode RSA signatures

51 IKE Main Mode preshared keys

52 IKE aggressive mode

53 Perfect forward secrecy

54 IKE & IPSec Problems IKE & IPSec Problems

55 IPSec Roadwarrior Problem Roadwarrior scenario problem wasn't considered inside actual specification of IKE and IPSec NAT/NAPT & IPSec - IPSec Passthrough - NAT Traversal User authentication Some products do support XAUTH (a IETF standardised IKE Extension that allows the use of encrypted username & passwords) Client address management - DHCP over IPSEC - Cisco config mode

56 NAT/NAPT & IKE/IPSec NAT/NAPT & IKE/IPSec

57 NAT or NAPT

58 NAT & IPSec AH Oil & water? IPSec AH & NAT NAT maps internal IP addresses on external ones by exchanging the 'source address' inside the IP header Modification of IP header triggers a modification of the cryptographically used checksum value The AH protocol forces the receiver to rightfully discard a modified packet DAN Harkin (Coauthor IKE): NAT is the kind of attack IPSec was designed to detect

59 NAT & IPSec ESP Oil & water? IPSec ESP & NAT NAT is a 1 to 1 public to private IP address mapping. NAPT is a 1 to many public to private IP address mapping. ESP encrypts the TCP/UDP header in both, transport and tunnel mode and thus renders NAT and NAPT unusable

60 IPSec Passthrough ADSL and cable routers are using NAT/NAPT to connect one or many computers to the Internet IPSec passthrough forwards ESP and IKE packets without modifying to one computer behind the router Only one computer can use IPSec

61 NAT Traversal NAT traversal is used if many VPN clients like to create a tunnel to a shared NAPT router NAT traversal has more overhead

62 NAT Discovery NAT Traversal encapsulates the IPSec packet once more inside a UDP packet. Normally UDP port 4500 is used Using special NAT-Discovery (NAT-D) packets (Hash of IP and port address) it's possible to detect the presence of a NAT device early during IKE phase I and thus automatically enable the needed support

63 XAUTH XAUTH mode config

64 Roadwarrior Roadwarrior's are connecting from any network (homenetwork connected via ISP) using dynamic IP addresses Clients need a virtual IP address and further information about the network Users should be able to authenticate in a secure manner

65 Cisco XAUTH & mode config Prorietary IKE extension supported by many vendors - Cisco, Checkpoint, Netscreen, Nortel,... - XAUTH is based on: draft-ietf-ipsec-isakmp-xauth-06.txt (expired) - mode config is based on : draft-ietf-ipsec-isakmp-modecfg-04.txt (expired) Future of XAUTH & Mode Config - IKEv2 is offically supporting EAP, the 'Extensible Authentication Protocol' with configuration payload

66 mitm attack on IKE aggressive mode & XAUTH If IKE is used in 'aggressive mode' certificates or OTP credetials should be used (e.g. SecureID)

67 VPN Client overview Windows - Microsoft built-in IPSec Stack (XP,2000,2003) - SafeNet SoftRemote (all Windows OS versions) - SSH Sentinel (bought by SafeNet 2003; discontinoued) - The GreenBow VPN Client (all Windows OS versions) - NCP VPN Client (all Windows OS versions) (frei) 150$ Mac OS X Panther Built-In L2TP/IPSec - VPN Tracker (frei) (160$) Mac OS X Linux (2.4/2.6 Kernel) - FreeS/WAN (until 03/2004) -> StrongSwan & OpenSWAN (frei) - VPNC (supporting XAUTH) Free/Net/Open BSD & Linux KAME (frei)

68 newer IPSec RFC's

69 IKEv2 vs IKEv1 Why a new IKEv2 RFC - IKEv1 is distributed over 3 RFC's (2407, 2408 & 2409) - Too many messages (6 in main mode / 3-4 in quick mode) - Too many possabilities (AH/ESP, Transport/Tunnel, Auth. modes) - Too complex thus potentially unsafe (Bruce Schneier) - New features needed NAT-T, Client Config, User Auth IKEv2 Protocol - IKEv2 SA can be created by 2 Request/Response messages - Further Child-SA's need only one additional Request/Response message - IKEv2 was ratified as 'proposed standard' in September IKEv2 is not backward compatible to IKEv1

70 IKEv2 philosophy IKEv2 doesn't differentiate between the phases but defines exchange-types - IKE_SA_INIT - IKE_AUTH CREATE_CHILD_SA - INFORMATIONAL IKE-SA: IKEv2 doesn't differentiate anymore between SA's used by IKE itself and those used by IPSec CHILD-SA: Using the IKE-SA SA's for AH and ESP can be negotiated. Those are called CHILD_SA and they are bound to a IKE-SA

71 IKEv2 IKE_SA_INIT

72 IKEv2 IKE_AUTH

73 IKEv2 CHILD_SA & INFORMATIONAL REQEST

74 Further payloads

75 IKEv2 & NAT-D

76 References Ralf Spenneberg VPN mit Linux Grundlagen und Anwendug Virtueller Privater Netzwerke mit Open Source-Tools FreeS/WAN Howto StrongSwan ttp://www.strongswan.org OpenSwan ttp://www.openswan.org

77 VPN & IPSec Virtual Private Networking & Internet Protocol Security

78 VPN - Definitions - Technologyoverview - Tunneling - Internet Layer Security Protocols - PPTP - Authentication - MPPE data Encrpytion - L2TP - L2TP over IPSec Overview IPSec - Requirements - Philosophy - AH / ESP - SPD, SA, SPI - IKE - Perfect Forward Security - IPSec and Remote Access - IPSec and NAT/NAPT - XAUTH and Mode Config - DHCP over IPSec - IKEv2 - additional information

79 VPN & IPSec Virtual Private Networking (VPN) Layer-2 and layer-3 tunneling

80 Definition What's a Virtual Private Network - A communication environment that allows access between nodes only to a defined group. This is realised by segregation of the underlying shared communication medium that normally is used for public communication. - A private network built on a public infrastructure like the internet - A restricted-use, logical (i.e., artificial or simulated) computer network that is constructed from the system resources of a relatively public, physical (i.e., real) network (such as the Internet), often by using encryption (located at hosts or gateways), and often by tunneling links of the virtual network across the real network. (RFC 2828) Drei Definitionen die ich gefunden habe, einmal übersetzt und aufgeschrieben. Etwas umständliche Definitionen, wobei die zweite noch am besten ist. Grundsätzlich geht es darum, man hat ein öffentliches Netzwerk, und man will darauf ein privates Netz betreiben. Privates Netz: eingeschränkter Zugriff für Maschinen, IP-Adressen, Benutzer. Öffentliches Netz: potenziell haben alle Zugriff Dem Internet Security Glossary (RFC 2828) entnommene Definition hat einen interessanten Begriff: relativ öffentliches Netz (meist unter Zuhilfenahme von Kryptologie, aber eben nur meist) -> es gibt auch VPN-ähnliche Architekturen, welche ganz und gar ohne Kryptologie auskommen die beim Routing oder Labeling ansetzen. Diese Architekturen umfasst auch die erste Definition, welche sehr allgemein gehalten ist.

81 Technologyoverview non cryptographic approach: - route filtering (controlled route leaking) - multi protocol label switching (MPLS) cryptographic approach: - Network Access Layer Security Protocols (Layer 2) - Internet Layer Security Protocols (Layer 3) - Transport Layer Security Protocols (Layer 4) Route Filtering die einfachste Methode die es gibt. Häufig werden von Routern VPN-Lösungen angeboten, die auf der Möglichkeit basieren, die Sichtbarkeit der Router gegeneinander einzuschränken durch Änderung der Routing-Protokolle - und künstlich zu begrenzen. Die Sichtweise von Routern, die zu VPN s gehören werden limitiert. Label Switching (MPLS) - Man markiert Pakete mit Labels. Beispiel: Auf dem Internet laufen private Pakete von drei Firmen. Von den Access Routern der Firmen werden die Pakete farblich markiert (bildlich gesprochen): rot = 1. Firma, blau = 2. Firma, grün = 3. Firma. Dann wird sichergestellt, dass nur diejenigen Pakete einer Farbe über die Access Router sichtbar sind. Bedingt eine Kontrolle bei den Access Routern. Also eine Technologie die bei den Routing Protokollen ansetzt. Wurde recht weit getrieben MPLS. Es sind Technologien die darauf basieren, dass Pakete auch eine bestimmte Weise markiert sind, und Router sicherstellen, dass entsprechend markierte Pakete auch nur in bestimmte Bereiche weitergeleitet werden. Wer auf dem Backbone des Internets sitzt, sieht immer noch alle Pakete, im Klartext! Da ist keine Kryptographie im Spiel. Diese Technologie wird meist von einem grossen, globalen ISP angeboten. Nur er kann sicherstellen, dass - ähnlich einer closed usergroup in einem ISDN Netz - die markierten Pakete nur von A nach B weitergeleitet werden. Man muss letztendlich dem Betreiber des Netzes vertrauen, ähnlich wie man bei einer closed usergroup der Telekommunikationsfirma vertrauen muss. Also bei vertraulichen und heiklen Daten nicht anwendbar kryptographische Ansätze verwenden. Im kryptographischen Sumpf gibt es zwei Stossrichtungen: Network Access -, und Internet LayerDiese Folie soll darauf hinweisen, dass viele Leute über VPN sprechen, aber völlig andere Ansätze und Qualitäten verwenden. Da wird z.b. angepriesen: Neue revolutionäre VPN-Technologie die völlig ohne PKI auskommt! Die Zukunft wird gute MPLS-Lösungen auf den Markt bringen Routerhersteller sind daran weltweite Standards für Filtering und Labeling zu setzen. Die Frage ist, vertraut man dem Routernetz des ISP? Wenn ja, ist man gut bedient durch eine solche Lösung, da man eben keine PKI aufbauen und unterhalten muss. Wenn nein, müssen kryptographische Sicherheitsprotokolle ins Spiel kommen.

82 MPLS MPLS: Ein MPLS besteht aus einer Reihe von Knoten (Nodes), die als Label Switched Routers (LSR) bezeichnet werden. Sie sind in der Lage, Pakete auf Basis ihres Labels, das ihnen vorangestellt wurde, zu switchen und zu routen. Labels definieren einen Fluss von Paketen zwischen zwei Endpunkten oder, im Fall von Multicasting, zwischen einer Quelle und mehreren Endpunkten. Jedem Fluss, auch als Forwarding Equivalence Class (FEC) bekannt, ist ein spezifischer Pfad durch das Netzwerk bestehend aus LSRs zugeordnet. Funktionsweise eines auf MPLS basierenden Virtual Private Networks (VPN) Indem vor jedem IP Datagram von User A (Netzwerk A) ein spezifisches User Label vom Netzwerkprovider vorangeschaltet wird, kann der gesamte IP-Verkehr im virtuellen Netzwerk A vom Anfangsknoten E1 (bsp. Heimarbeitsplatz) bis zum Endknoten E3 (Firma) transportiert werden, ohne die IP Header Informationen je gelesen zu haben. Damit können über das Internet auch private Netzwerk-Adressen ( ) übermittelt werden. Von Hop zu Hop definiert ein zusätzliches outer switching label (L1, L2, L3, L4, L5, L6) den Switching Path. Dieses Label wird nur zwischen den Hops verwendet, also jeweils hinzugefügt und wieder weggenommen. Mit dem Labeln des Client Traffics steht auch ein effizientes Kostenverrechnungssystem zur Verfügung, indem vom Provider die vermittelten LA und LB Pakete gezählt werden.

83 VPN application site-to-site VPN - A tunnel between routers of a company central and a branch office end-to-site VPN - A tunnel between a remote client and a VPN gateway - Client in a branch office connecting to the central VPN gateway (Routers do not have to offer VPN functionality) end-to-end VPN - Is like end-to-site VPN but the application server is directly integrated into the VPN gateway thus securing the traffic from the remote client to the destination application

84 Tunneling Protocols Name Developed by Layer Point-to-Point Tunneling Protocol (PPTP) Microsoft 2 Layer 2 Forwarding (L2F) Cisco 2 Layer 2 Tunneling Protocol (L2TP) open standard 2 IP Security, Tunnel Mode (IPSec) open standard 3 SSL-VPN, VPN over TLS no standard 4 Die Spalte Schicht gibt an, auf welcher Schicht des OSI Referenz-Modells die Protokolle arbeiten. Je nachdem auf welcher Schicht ein Protokoll arbeitet spricht man von Schicht-2- Tunneling oder Schicht-3-Tunneling. Alle Protokolle stellen eine zusätzliche virtuelle Netzwerkschnittstelle in den beteiligten Rechner bereit, an die die Daten des internen Netzes gesendet werden. Die Protokoll-Software übernimmt das Ein- und Auspacken in Tunneldaten und leitet diese dann an die physikalisch vorhandene Netzwerkschnittstelle weiter.

85 Layer 2 Network Access

86 Layer 2 Tunneling Das VPN Tunneling-Prinzip Alle heutigen VPN s arbeiten mit einem Verfahren, das Tunneling genannt wird. Dazu werden die Daten, die zwischen dem Client und dem internen Netzwerk ausgetauscht werden sollen, auf einer niedrigeren (Layer-2) oder derselben (Layer-3) Netzwerkschicht durch einen verschlüsselten Tunnel gesendet. Dazu erhält der Client zwei Netzwerkadressen: eine im öffentlichen Netz und eine aus dem internen Netz. Alle Daten, die vom Client an das interne Netz oder aus dem internen Netz an den Client gesendet werden sollen, werden durch diesen Tunnel geleitet, der zwischen der öffentlichen Adresse des Clients und der öffentlichen Adresse der Server hergestellt wird. Bei der Übertragung durch den Tunnel werden die Daten des internen Netzes als Nutzlast des öffentlichen Netzes behandelt. Ein Layer 2 VPN stellt also eine Art virtuelles Kabel über eine IP-Verbindung dar. Für einen Client, der sich an einen Provider anwählt, baut sich das Layer 2 VPN in vier Schritten auf: Aufbau der medien-spezifischen Verbindung zum Provider (z.b. ADSL). PPP-Verhandlung mit dem Network Access Server (NAS) des Providers. Nach dieser Verhandlung hat der Client eine öffentliche IP-Adresse, die im Internet route-fähig (vermittlungsfähig) ist. Diese Adresse wird nur für den nächsten Schritt benutzt. Mit Hilfe dieser IP-Adresse (aus 2.) wird ein Layer 2-Tunnel aufgebaut. Diesen Tunnel kann man als ein verlängertes virtuelles Kabel vom Client zum VPN-Gateway betrachten. Jetzt wird eine PPP-Verhandlung über diesen Layer 2-Tunnel (aus 3.) durchgeführt. Das VPNGateway weist dem Client eine private IP-Adresse (aus dem Firmenbereich), vielleicht auch DNS/WINS-Adressen vom Intranet zu. Auch das PPP Compression Control Protocol kann an dieser Stelle verhandelt werden, um Datenpakete im Tunnel zu komprimieren. Im Fall einer End-to-Site VPN Lösung entfallen für einen Client, der im Netzwerk einer Filiale angeschlossen ist obgenannte Schritte 1 und 2. Für diese Schritte ist dann der Router der Filiale verantwortlich. Der Client muss nur den Tunnelaufbau und eine PPPVerhandlung über den Tunnel durchführen. (Für ein reines Site-to-Site VPN muss der Router der Filiale alle vier obgenannten Schritte durchführen.)

87 PPTP An Internet client-server protocol (originally developed by Ascend and Microsoft) that enables a dial-up user to create a virtual extension of the dial-up link across a network by tunneling PPP over IP. PPP can encapsulate any Internet Protocol Suite network layer protocol (or OSI layer 3 protocol). Therefore, PPTP does not specify security services; it depends on protocols above and below it to provide any needed security. PPTP makes it possible to divorce the location of the initial dial-up server (i.e., the PPTP Access Concentrator, the client, which runs on a special-purpose host) from the location at which the dial-up protocol (PPP) connection is terminated and access to the network is provided (i.e., the PPTP Network Server, which runs on a general-purpose host). Das PPTP (Point to Point Tunneling Protocol) ist zwar seit Jahren Gegenstand von Sicherheitsdiskussionen gewesen, und Microsoft immer wieder nachgebessert. PPTPv2 ist heute aber schon einiges sicherer als vor drei Jahren. Für PPTP spricht zum einen die Verfügbarkeit auf einer Vielzahl von Windows-Plattformen und zum anderen die einfache Konfiguration, da Authentisierung und Verschlüsselung auf einem shared secret (Passwort des Benutzers) basiert. IPSec, das für die Verschlüsselung von Informationen bei Verwendung z.b. von L2TP eingesetzt wird, weist ein erhebliches Mass an Komplexität auf. Auf der anderen Seite gibt es deutlich mehr Hersteller, die L2TP (im Übrigen auch von Microsoft in Windows 2000 favorisiert) unterstützen. Auf mittlere Sicht gesehen wird daher zweifelsohne L2TP (Layer 2 Tunneling Protocol) für Microsoft das führende Layer-2 Tunneling-Protokoll werden.

88 PPTP internals Aufbau des PPTP Das Point-to-Point Tunneling Protocol (PPTP) ist also ein Layer-2-Tunneling Protokoll, da es als Nutzdaten Point-to-Point Protocol (PPP) Frames enthält. Grundsätzlich stellt PPTP einen verteilten Remote Access Server dar, der aus zwei Teilen besteht. Der erste Teil (PAC = PPTP Access Concentrator) stellt den physikalischen Endpunkt einer PPP-Verbindung dar. Der zweite Teil (PNS PPTP Network Server) stellt Funktionen zur Authentisierung und Autorisierung des Benutzer bereit. Zwischen beiden Teilen wird der verschlüsselte Tunnel aufgebaut, über den die beim PAC ankommende PPP-Verbindung virtuell bis zum PNS verlängert wird. In der Praxis wird die Funktionalität des PAC allerdings schon auf dem VPNClient implementiert. Dazu wird auf diesem eine virtuelle Netzwerkschnittstelle eingerichtet. Alle Daten, die an diese virtuelle Schnittstelle gesendet werden, werden in PPP-Rahmen eingepackt und durch die PAC-Software über die physikalische Schnittstelle zum PNS weitergeleitet. Dort werden die Daten in der umgekehrten Reihenfolge wieder entpackt und zum endgültigen Ziel gesendet. Der Tunnel, der zwischen PAC und PNS aufgebaut wird, besteht aus zwei unidirektionalen Netzwerkverbindungen. Der Auf- und Abbau dieser Verbindungen wird durch einen dritten bidirektionalen Kanal gesteuert. Dieser Kanal zur Tunnelsteuerung ist eine TCP-Verbindung. Das bedeutet auch, dass das öffentliche Netz zwischen PAC und PNS ein IP-basiertes Netz sein muss. Die eigentlichen verschlüsselten Tunneldaten werden als verbindungslose IP-Datagramme (UDP) gesendet. Die Pakete des internen Netzes werden also in PPP-Frames eingepackt. Diesen PPP-Frames wird noch ein zusätzlicher Header vorangestellt, weil PPP-Frames nicht direkt als IP-Nutzlast genutzt werden können. Dieser zusätzliche Header ist der so genannte GRE-Header (GRE = Generic Routing Encapsulation) mit der IP-Protokollnummer 47. Zusammen mit dem GREHeader können die PPP-Frames als Nutzlast in ein IP-Paket eingebettet werden. Dieses IPPaket wird dann über die physikalische Netzwerkschnittstelle zum PNS gesendet. Es bleibt festzuhalten, dass die Sicherheit beim PPTP, weder Verschlüsselung noch Authentizität und Autorisierung vorsieht, sondern diese Aufgaben PPP überlässt. Deshalb sind sowohl der Kanal zur Tunnelsteuerung als auch der ganze Header unverschlüsselt. Nur die eigentlichen Netzwerkpakete des internen Netzes werden durch PPP verschlüsselt, ausserdem übernimmt das PPP auch die Benutzerauthentisierung.

89 PPTP authentication The specification of PPTP does not require the use of specific authentication or en/de-cryption algorithms instead supports the following algorithms: - PAP (password authentication protocol) - SPAP (shiva PAP) - CHAP (Challenge Handshake Authentication Protocol) - MS-CHAPv1 - MS-CHAPv2 EAP (Extensible Authentication Protocol) - Certificate based - MD5 based Von PPTP unterstützte Authentifizierungsverfahren Da PPTP eine Entwicklung von Microsoft ist, kommen auch hier Microsoft Protokolle für die Verschlüsselung und Authentifizierung zum Einsatz. Das beim PPTP verwendete Authentifizierungsverfahren ist MS-CHAP (Microsoft Challenge Handshake Authenfication Protocol) und das Verschlüsselungsverfahren ist MPPE (Microsoft Point-to-Point Encryption) PAP (password authentication protocol), SPAP (shiva password authentication protocol) CHAP (Challenge Handshake Authenfication Protocol) Da das beim PPTP eingesetzte Authentifizierungsverfahren MS-CHAP eine abgewandelte Form des Challenge Handshake Authenfication Protocols (CHAP) ist, wollen wir dieses zum besseren Verständnis zuerst beschreiben. Bei CHAP wird das Passwort nicht im Klartext übermittelt, sondern es wird eine abgeleitete Form des shared secret verwendet. Zuerst sendet der Server ein sog. Challenge an den Client. Diese Challenge enthält in der Regel neben einem Zeitstempel und der Netzwerkadresse des Server auch eine Zufallszahl. Somit wird sichergestellt, dass der Challenge bei zwei Authentifizierungsvorgängen nie identisch ist. 2. Der Client verknüpft den Challenge mit dem Benutzer-Kennwort und bildet einen Hashwert nach MD4-Verfahren. Dieser Hashwert wird zusammen mit dem Benutzernamen zum Server gesendet. Der Server berechnet zum angegebenen Benutzernamen mit den gleichen Daten ebenfalls den MD4-Hashwert. Stimmt das Ergebnis dieser Berechnung mit dem vom Client gesendeten Hashwert überein, war das auf dem Client angegebene Kennwort richtig. In diesem Fall erhält der Client Zugang zum Netzwerk, was diesem über eine entsprechende Antwort des Server mitgeteilt wird. War das auf dem Client verwendete Kennwort falsch, wird ebenfalls eine Antwort gesendet und die Verbindung vom Server beendet. Microsoft CHAP (MS-CHAPv2) MS-CHAP existieret in zwei Versionen. Die ursprüngliche Versions (MS-CHAPv1) enthält massive Sicherheitslücken und sollte deshalb nicht mehr verwendet werden. Die aktuelle Version (MS-CHAPv2) wird bei allen PPTP-Verbindungen automatisch bevorzugt, sofern sie von beiden Seiten unterstützt wird.

Prof. Dr. Martin Leischner Netzwerksysteme und TK. Hochschule Bonn-Rhein-Sieg. Modul 5: IPSEC

Prof. Dr. Martin Leischner Netzwerksysteme und TK. Hochschule Bonn-Rhein-Sieg. Modul 5: IPSEC Modul 5: IPSEC Teil 1: Transport- und Tunnelmode / Authentication Header / Encapsulating Security Payload Security Association (SAD, SPD), IPsec-Assoziationsmanagements Teil 2: Das IKE-Protokoll Folie

Mehr

IPsec. Vortrag im Rahmen des Seminars Neue Internet Technologien

IPsec. Vortrag im Rahmen des Seminars Neue Internet Technologien IPsec Vortrag im Rahmen des Seminars Neue Internet Technologien Friedrich Schiller Universität Jena Wintersemester 2003/2004 Thomas Heinze, Matrikel xxxxx Gliederung IPsec? - Motivation, Grundbegriffe,

Mehr

VIRTUAL PRIVATE NETWORKS

VIRTUAL PRIVATE NETWORKS VIRTUAL PRIVATE NETWORKS Seminar: Internet-Technologie Dozent: Prof. Dr. Lutz Wegner Virtual Private Networks - Agenda 1. VPN Was ist das? Definition Anforderungen Funktionsweise Anwendungsbereiche Pro

Mehr

VPN unterstützt 3 verschiedene Szenarien: Host to Host: Dies kennzeichnet eine sichere 1:1 Verbindung zweier Computer, z.b. über das Internet.

VPN unterstützt 3 verschiedene Szenarien: Host to Host: Dies kennzeichnet eine sichere 1:1 Verbindung zweier Computer, z.b. über das Internet. 1. VPN Virtual Private Network Ein VPN wird eingesetzt, um eine teure dedizierte WAN Leitung (z.b. T1, E1) zu ersetzen. Die WAN Leitungen sind nicht nur teuer, sondern auch unflexibel, da eine Leitung

Mehr

Remote Access. Virtual Private Networks. 2000, Cisco Systems, Inc.

Remote Access. Virtual Private Networks. 2000, Cisco Systems, Inc. Remote Access Virtual Private Networks 2000, Cisco Systems, Inc. 1 Remote Access Telefon/Fax WWW Banking E-mail Analog (?) ISDN xdsl... 2 VPNs... Strong encryption, authentication Router, Firewalls, Endsysteme

Mehr

IPSec. Motivation Architektur Paketsicherheit Sicherheitsrichtlinien Schlüsselaustausch

IPSec. Motivation Architektur Paketsicherheit Sicherheitsrichtlinien Schlüsselaustausch IPSec Motivation Architektur Paketsicherheit Sicherheitsrichtlinien Schlüsselaustausch Motivation Anwendung auf Anwendungsebene Anwendung Netzwerk- Stack Netzwerk- Stack Anwendung Netzwerk- Stack Netz

Mehr

Security Associations Schlüsseltausch IKE Internet Key Exchange Automatischer Schlüsseltausch und Identitätsnachweis

Security Associations Schlüsseltausch IKE Internet Key Exchange Automatischer Schlüsseltausch und Identitätsnachweis Wie Interoperabel ist IPsec? Ein Erfahrungsbericht Arturo Lopez Senior Consultant März 2003 Agenda Internet Protokoll Security (IPsec) implementiert Sicherheit auf Layer 3 in OSI Modell Application Presentation

Mehr

IPSec. Michael Gschwandtner, Alois Hofstätter, Roland Likar, Horst Stadler. Jänner 2003

IPSec. Michael Gschwandtner, Alois Hofstätter, Roland Likar, Horst Stadler. Jänner 2003 IPSec Michael Gschwandtner, Alois Hofstätter, Roland Likar, Horst Stadler Jänner 2003 Gschwandtner/Hofstätter/Likar/Stadler - IPsec 1 Einleitung (1) Ziele des Datenverkehrs Geschwindigkeit Verlässlichkeit

Mehr

Virtual Private Networks. Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH

Virtual Private Networks. Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH Virtual Private Networks Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH Inhalt Einleitung Grundlagen Kryptographie IPSec Firewall Point-to-Point Tunnel Protokoll Layer 2 Tunnel Protokoll Secure Shell

Mehr

Modul 3: IPSEC Teil 2 IKEv2

Modul 3: IPSEC Teil 2 IKEv2 Modul 3: IPSEC Teil 2 IKEv2 Teil 1: Transport- und Tunnelmode / Authentication Header / Encapsulating Security Payload Security Association (SAD, SPD), IPsec-Assoziationsmanagements Teil 2: Design-Elemente

Mehr

Site2Site VPN S T E F A N K U S I E K B F W L E I P Z I G

Site2Site VPN S T E F A N K U S I E K B F W L E I P Z I G Site2Site VPN S T E F A N K U S I E K B F W L E I P Z I G Übersicht Einleitung IPSec SSL RED Gegenüberstellung Site-to-Site VPN Internet LAN LAN VPN Gateway VPN Gateway Encrypted VPN - Technologien Remote

Mehr

Netze und Protokolle für das Internet

Netze und Protokolle für das Internet Inhalt Netze und Protokolle für das Internet 8. Virtuelle Private Netze Virtuelle Private Netze Layer- 2-und Layer- 3- VPNs Virtuelle Private Netze mit MPLS Entfernter VPN- Zugriff L2TP und RADIUS IP Security

Mehr

VPN Virtual Private Network

VPN Virtual Private Network VPN Virtual Private Network LF10 - Betreuen von IT-Systemen Marc Schubert FI05a - BBS1 Mainz Lernfeld 10 Betreuen von IT-Systemen VPN Virtual Private Network Marc Schubert FI05a - BBS1 Mainz Lernfeld 10

Mehr

Werner Anrath. Inhalt

Werner Anrath. Inhalt Vortrag 2G01 L2TP over IPSEC Remote Access VPN Werner Anrath Forschungszentrum Jülich Zentralinstitut für Angewandte Mathematik IT Symposium 2004 in Bonn 21.04.2004 Inhalt Definition VPN und Überblick

Mehr

HowTo: Einrichtung einer IPSec Verbindung mit einem IPSEC VPN Client zum DWC-1000 am Beispiel der Shrewsoft VPN Clientsoftware

HowTo: Einrichtung einer IPSec Verbindung mit einem IPSEC VPN Client zum DWC-1000 am Beispiel der Shrewsoft VPN Clientsoftware HowTo: Einrichtung einer IPSec Verbindung mit einem IPSEC VPN Client zum DWC-1000 am Beispiel der Shrewsoft VPN Clientsoftware [Voraussetzungen] 1. DWC-1000 mit Firmware Version: 4.2.0.3_B502 und höher

Mehr

HOBLink VPN 2.1 Gateway

HOBLink VPN 2.1 Gateway Secure Business Connectivity HOBLink VPN 2.1 Gateway die VPN-Lösung für mehr Sicherheit und mehr Flexibilität Stand 02 15 Mehr Sicherheit für Unternehmen Mit HOBLink VPN 2.1 Gateway steigern Unternehmen

Mehr

Modul 4 Virtuelle Private Netze (VPNs) und Tunneling

Modul 4 Virtuelle Private Netze (VPNs) und Tunneling Modul 4 Virtuelle Private Netze (VPNs) und Tunneling 14.11.2011 17:47:26 M. Leischner Sicherheit in Netzen Folie 1 Virtuelle Private Netze - Begriffsdefinition Wiki-Definition " Virtual Private Network

Mehr

P107: VPN Überblick und Auswahlkriterien

P107: VPN Überblick und Auswahlkriterien P107: VPN Überblick und Auswahlkriterien Referent: Christoph Bronold BKM Dienstleistungs GmbH 2004 BKM Dienstleistungs GmbH VPN Überblick VPN Technologien für IP VPN Netzwerk Design VPN Auswahlkriterien

Mehr

VPN VPN requirements Encryption

VPN VPN requirements Encryption Overview VPN VPN requirements Encryption VPN-Types Protocols VPN and Firewalls Joachim Zumbrägel 1 VPN - Definition VPNs (Virtual Private Networks) allow secure data transmission i over insecure connections.

Mehr

Rechnernetze II SS 2015. Betriebssysteme / verteilte Systeme rolanda.dwismuellera@duni-siegena.de Tel.: 0271/740-4050, Büro: H-B 8404

Rechnernetze II SS 2015. Betriebssysteme / verteilte Systeme rolanda.dwismuellera@duni-siegena.de Tel.: 0271/740-4050, Büro: H-B 8404 Rechnernetze II SS 2015 Betriebssysteme / verteilte Systeme rolanda.dwismuellera@duni-siegena.de Tel.: 0271/740-4050, Büro: H-B 8404 Stand: 14. Juli 2015 Betriebssysteme / verteilte Systeme Rechnernetze

Mehr

IT-Sicherheit - Sicherheit vernetzter Systeme -

IT-Sicherheit - Sicherheit vernetzter Systeme - IT-Sicherheit - Sicherheit vernetzter Systeme - Kapitel 11: Netzsicherheit - Schicht 3: Network Layer - IPSec Wolfgang Hommel, Helmut Reiser, LRZ, WS 13/14 IT-Sicherheit 1 Inhalt Schwächen des Internet-Protokolls

Mehr

Virtual Private Network / IPSec

Virtual Private Network / IPSec 1. Einführung 1.1 Was ist ein Virtual Private Network? Mit einem Virtual Private Network (virtuelles privates Netzwerk, VPN) können zwei Netzwerke über ein öffentliches Netzwerk (Internet) miteinander

Mehr

Exkurs: IPSec. Brandenburg an der Havel, den 5. Juni 2005

Exkurs: IPSec. <muehlber@fh-brandenburg.de> Brandenburg an der Havel, den 5. Juni 2005 Exkurs: IPSec Brandenburg an der Havel, den 5. Juni 2005 1 Gliederung 1. IPSec: Problem und Lösung 2. Übertragungsmodi 3. Encapsulating Security Payload 4. Authentication Header

Mehr

VPN. Virtuelles privates Netzwerk. Vortrag von Igor Prochnau Seminar Internet- Technologie

VPN. Virtuelles privates Netzwerk. Vortrag von Igor Prochnau Seminar Internet- Technologie VPN Virtuelles privates Netzwerk Vortrag von Igor Prochnau Seminar Internet- Technologie Einleitung ist ein Netzwerk, das ein öffentliches Netzwerk benutzt, um private Daten zu transportieren erlaubt eine

Mehr

VPN: SSL vs. IPSec. erfrakon - Erlewein, Frank, Konold & Partner Martin Konold Dr. Achim Frank. Präsentation auf dem

VPN: SSL vs. IPSec. erfrakon - Erlewein, Frank, Konold & Partner Martin Konold Dr. Achim Frank. Präsentation auf dem VPN: SSL vs. IPSec erfrakon - Erlewein, Frank, Konold & Partner Martin Konold Dr. Achim Frank Präsentation auf dem IT Security Forum 9. November 2005, Frankfurt erfrakon Erlewein, Frank, Konold & Partner

Mehr

VPN Gateway (Cisco Router)

VPN Gateway (Cisco Router) VPN Gateway (Cisco Router) Mario Weber INF 03 Inhalt Inhalt... 2 1 VPN... 3 1.1 Virtual Private Network... 3 1.1.1 Allgemein... 3 1.1.2 Begriffsklärung... 4 1.2 Tunneling... 4 1.3 Tunnelprotkolle... 5

Mehr

Workshop: IPSec. 20. Chaos Communication Congress

Workshop: IPSec. 20. Chaos Communication Congress Cryx (cryx at h3q dot com), v1.1 Workshop: IPSec 20. Chaos Communication Congress In diesem Workshop soll ein kurzer Überblick über IPSec, seine Funktionsweise und Einsatzmöglichkeiten gegeben werden.

Mehr

Handout. Holger Christian. Thema: VPN

Handout. Holger Christian. Thema: VPN Handout Holger Christian Thema: VPN VPN-Definition: Ein virtuelles privates Netz (VPN) ist ein Netz von logischen Verbindungen zur Übermittlung von privaten Daten/Informationen bzw. Datenverkehr. Eine

Mehr

Konfigurationsbeispiel USG & ZyWALL

Konfigurationsbeispiel USG & ZyWALL ZyXEL OTP (One Time Password) mit IPSec-VPN Konfigurationsbeispiel USG & ZyWALL Die Anleitung beschreibt, wie man den ZyXEL OTP Authentication Radius Server zusammen mit einer ZyWALL oder einer USG-Firewall

Mehr

Netzsicherheit 4: Layer 2-Sicherheit Das Point-to-Point- Protokoll und seine Erweiterungen

Netzsicherheit 4: Layer 2-Sicherheit Das Point-to-Point- Protokoll und seine Erweiterungen Netzsicherheit 4: Layer 2-Sicherheit Das Point-to-Point- Protokoll und seine Erweiterungen Das TCP/IP-Schichtenmodell Anwendungsschicht (FTP, HTTP, SMTP,...) Transportschicht (TCP, UDP) Internetschicht

Mehr

Prinzipiell wird bei IP-basierenden VPNs zwischen zwei unterschiedlichen Ansätzen unterschieden:

Prinzipiell wird bei IP-basierenden VPNs zwischen zwei unterschiedlichen Ansätzen unterschieden: Abkürzung für "Virtual Private Network" ein VPN ist ein Netzwerk bestehend aus virtuellen Verbindungen (z.b. Internet), über die nicht öffentliche bzw. firmeninterne Daten sicher übertragen werden. Die

Mehr

Sicherheitsdienste in IPv6

Sicherheitsdienste in IPv6 Sicherheitsdienste in IPv6 Dr. Hannes P. Lubich Bank Julius Bär Zürich IP Next Generation - Sicherheitsdienste in IPv6 (1) Motivation Die neuen Benutzungsformen des Internet für Electronic Commerce und

Mehr

VPN IPSec Tunnel zwischen zwei DI-804HV / DI-824VUP+

VPN IPSec Tunnel zwischen zwei DI-804HV / DI-824VUP+ VPN IPSec Tunnel zwischen zwei DI-804HV / DI-824VUP+ Schritt für Schritt Anleitung DI-804HV Firmwarestand 1.41b03 DI-824VUP+ Firmwarestand 1.04b02 Seite 1: Netz 192.168.0.0 / 24 Seite 2: Netz 192.168.1.0

Mehr

Sichere Netzwerke mit IPSec. Christian Bockermann

Sichere Netzwerke mit IPSec. Christian Bockermann <christian@ping.de> Sichere Netzwerke mit IPSec Christian Bockermann Überblick Gefahren, Ziele - Verschlüsselung im OSI-Modell IPSec - Architektur - Schlüssel-Management - Beispiele Unsichere Kommunikation

Mehr

Virtual Private Networks Hohe Sicherheit wird bezahlbar

Virtual Private Networks Hohe Sicherheit wird bezahlbar Virtual Private Networks Hohe Sicherheit wird bezahlbar Paul Schöbi, cnlab AG paul.schoebi@cnlab.ch www.cnlab.ch Präsentation unter repertoire verfügbar 27.10.99 1 : Internet Engineering Dr. Paul Schöbi

Mehr

Workshop: Was wollen wir tun? - Aufbau eines einfachen Tunnel Setup zum verbinden zweier netze und eines externen hosts. Womit?

Workshop: Was wollen wir tun? - Aufbau eines einfachen Tunnel Setup zum verbinden zweier netze und eines externen hosts. Womit? Cryx (cryx at h3q dot com), v1.1 Workshop: Was wollen wir tun? - Aufbau eines einfachen Tunnel Setup zum verbinden zweier netze und eines externen hosts - Aufbau der Netze und testen der Funktion ohne

Mehr

Zentrum für Informationsdienste und Hochleistungsrechnen (ZIH) Technische Grundlagen und Beispiele. Christian Hoffmann & Hanjo, Müller

Zentrum für Informationsdienste und Hochleistungsrechnen (ZIH) Technische Grundlagen und Beispiele. Christian Hoffmann & Hanjo, Müller Zentrum für Informationsdienste und Hochleistungsrechnen (ZIH) VPN (Virtual Private Network) Technische Grundlagen und Beispiele Christian Hoffmann & Hanjo, Müller Dresden, 3. April 2006 Übersicht Begriffsklärung

Mehr

Kurzeinführung VPN. Veranstaltung. Rechnernetze II

Kurzeinführung VPN. Veranstaltung. Rechnernetze II Kurzeinführung VPN Veranstaltung Rechnernetze II Übersicht Was bedeutet VPN? VPN Typen VPN Anforderungen Was sind VPNs? Virtuelles Privates Netzwerk Mehrere entfernte lokale Netzwerke werden wie ein zusammenhängendes

Mehr

Secure Sockets Layer (SSL) Prof. Dr. P. Trommler

Secure Sockets Layer (SSL) Prof. Dr. P. Trommler Secure Sockets Layer (SSL) Prof. Dr. P. Trommler Übersicht Internetsicherheit Protokoll Sitzungen Schlüssel und Algorithmen vereinbaren Exportversionen Public Keys Protokollnachrichten 29.10.2003 Prof.

Mehr

Modul 6 Virtuelle Private Netze (VPNs) und Tunneling

Modul 6 Virtuelle Private Netze (VPNs) und Tunneling Modul 6 Virtuelle Private Netze (VPNs) und Tunneling M. Leischner Netzmanagement Folie 1 Virtuelle Private Netze Begriffsdefinition Fortsetz. VPNC Definition "A virtual private network (VPN) is a private

Mehr

NAT & VPN. Adressübersetzung und Tunnelbildung. Bastian Görstner

NAT & VPN. Adressübersetzung und Tunnelbildung. Bastian Görstner Adressübersetzung und Tunnelbildung Bastian Görstner Gliederung 1. NAT 1. Was ist ein NAT 2. Kategorisierung 2. VPN 1. Was heißt VPN 2. Varianten 3. Tunneling 4. Security Bastian Görstner 2 NAT = Network

Mehr

VPN (Virtual Private Network)

VPN (Virtual Private Network) VPN (Virtual Private Network) basierend auf Linux (Debian) Server Praktikum Protokolle Bei Prof. Dr. Gilbert Brands Gliederung Gliederung 1. Was ist VPN 2. VPN-Implementierungen 3. Funktionsweise von OpenVPN

Mehr

Virtuelle Private Netze (VPN) Copyright und Motivation und sowas

Virtuelle Private Netze (VPN) Copyright und Motivation und sowas Virtuelle Private Netze (VPN) Geschrieben von ~Creepy~Mind~ Version 1.3 ;-) (Wybe Dijkstra: "Tue nur, was nur Du tun kannst.") Copyright und Motivation und sowas Naja was soll ich hierzu groß schreiben...

Mehr

Dokumentation über IPSec

Dokumentation über IPSec Dokumentation über IPSec von Joana Schweizer und Stefan Schindler Inhaltsverzeichnis 1 Einleitung...3 1.1 Warum Sicherheit?...3 1.2 Datenschutz allgemein...3 1.3 Datenschutz für eine Firma...3 1.4 Eine

Mehr

Sichere Kommunikation mit IPsec

Sichere Kommunikation mit IPsec Proseminar Konzepte von Betriebssystem-Komponenten: Schwerpunkt Sicherheit Sichere Kommunikation mit IPsec Markus Weiten markus@weiten.de Inhalt 1 Motivation 2 IPsec im Überblick 3 IPsec Modi 3a Transportmodus

Mehr

Virtuelle Private Netzwerke

Virtuelle Private Netzwerke Virtuelle Private Netzwerke VPN Dortmund, Oktober 2004 Prof. Dr. Heinz-Michael Winkels, Fachbereich Wirtschaft FH Dortmund Emil-Figge-Str. 44, D44227-Dortmund, TEL.: (0231)755-4966, FAX: (0231)755-4902

Mehr

German English Firmware translation for T-Sinus 154 Access Point

German English Firmware translation for T-Sinus 154 Access Point German English Firmware translation for T-Sinus 154 Access Point Konfigurationsprogramm Configuration program (english translation italic type) Dieses Programm ermöglicht Ihnen Einstellungen in Ihrem Wireless

Mehr

1E05: VPN Verbindungen zwischen Data Center und Branch Office

1E05: VPN Verbindungen zwischen Data Center und Branch Office 1E05: VPN Verbindungen zwischen Data Center und Branch Office Referent: Christoph Bronold BKM Dienstleistungs GmbH 2008 BKM Dienstleistungs GmbH VPN Verbindungen Data Center und Backup Data Center Data

Mehr

VPN: wired and wireless

VPN: wired and wireless VPN: wired and wireless Fachbereich Informatik (FB 20) Fachgruppe: Security Engineering Modul: 2000096VI LV-10 er Skriptum und Literatur: http://www2.seceng.informatik.tu-darmstadt.de/vpn10/ Wolfgang BÖHMER,

Mehr

Electronic Commerce und Digitale Unterschriften

Electronic Commerce und Digitale Unterschriften Electronic Commerce und Digitale Unterschriften Sichere Internetprotokolle IPSec und IPv6 Proseminarleiter: Dr. U. Tamm Vortragender: Andreas Galjad Abstract: Dieser Proseminarvortrag beschäftigt sich

Mehr

Werner Anrath. Inhalt

Werner Anrath. Inhalt Vortrag 2L04 L2TP over IPSEC Remote Access VPN Werner Anrath Forschungszentrum Jülich Zentralinstitut für Angewandte Mathematik IT Symposium 2007 in Nürnberg 18.04.2007 Inhalt Definition VPN und Überblick

Mehr

Wortmann AG. Terra Black Dwraf

Wortmann AG. Terra Black Dwraf Terra Black Dwraf Inhalt 1 VPN... 3 2 Konfigurieren der dyndns Einstellungen... 4 3 VPN-Verbindung mit dem IPSec Wizard erstellen... 5 4 Verbindung bearbeiten... 6 5 Netzwerkobjekte anlegen... 8 6 Regel

Mehr

VPN Client installieren und starten

VPN Client installieren und starten Netzzugang VPN steht für Virtual Private Network und ist für all diejenigen gedacht, die mit ihren Rechnern über einen beliebigen Internet-Zugang von ausserhalb auf spezielle Dienste der Universität Bielefeld

Mehr

Beispielkonfiguration eines IPSec VPN Servers mit dem NCP Client

Beispielkonfiguration eines IPSec VPN Servers mit dem NCP Client (Für DFL-160) Beispielkonfiguration eines IPSec VPN Servers mit dem NCP Client Zur Konfiguration eines IPSec VPN Servers gehen bitte folgendermaßen vor. Konfiguration des IPSec VPN Servers in der DFL-160:

Mehr

Modul 2: IPSEC. Ergänzung IKEv2. Prof. Dr. Martin Leischner Netzwerksysteme und TK. Hochschule Bonn-Rhein-Sieg

Modul 2: IPSEC. Ergänzung IKEv2. Prof. Dr. Martin Leischner Netzwerksysteme und TK. Hochschule Bonn-Rhein-Sieg Modul 2: IPSEC Ergänzung IKEv2 M. Leischner Sicherheit in Netzen Folie 1 Übersicht Ablauf von IPsec mit IKEv2 Start: IPSec Phase 1.1 IKEv2: IKE_INIT Phase 1.2 IKEv2: IKE_AUTH Phase 2 IKEv2: CREATE_CHILD_SA

Mehr

D r e ISP S P i m K l K as a s s e s n e r n au a m H.Funk, BBS II Leer

D r e ISP S P i m K l K as a s s e s n e r n au a m H.Funk, BBS II Leer Der ISP im Klassenraum H.Funk, BBS II Leer Überblick Agenda: Ziel des Workshops Grundlagen PPPoE Realisierung eines lokalen PPPoE Servers Port-Forwarding DNS / DDNS Ziel des Workshops Ein Netzwerk vergleichbar

Mehr

Verschlüsselung Neben den von IPSEC geforderten (aber unsicheren) Algorithmen null encryption transform und DES implementiert FreeS/WAN TripleDES.

Verschlüsselung Neben den von IPSEC geforderten (aber unsicheren) Algorithmen null encryption transform und DES implementiert FreeS/WAN TripleDES. FreeS/WAN für Linux Markus Mazanec Was ist FreeS/WAN? FreeS/WAN ist eine Softwarelösung, welche die Installation von Virtual Private Networks mit Hilfe von Linux-Rechnern als Gateways erlaubt. Wie der

Mehr

TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL

TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL 1 TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL Kleine Auswahl bekannter Sicherheitsprotokolle X.509 Zertifikate / PKIX Standardisierte, häufig verwendete Datenstruktur zur Bindung von kryptographischen

Mehr

Security + Firewall. 3.0 IPsec Client Einwahl. 3.1 Szenario

Security + Firewall. 3.0 IPsec Client Einwahl. 3.1 Szenario 3.0 IPsec Client Einwahl 3.1 Szenario In dem folgenden Szenario werden Sie eine IPsec Verbindung zwischen einem IPsec Gateway und dem IPsec Client konfigurieren. Die Zentrale hat eine feste IP-Adresse

Mehr

Inhalt. Erreichbarkeit von VPN-Gateways hinter einem Genexis FTTH-Abschlussrouter

Inhalt. Erreichbarkeit von VPN-Gateways hinter einem Genexis FTTH-Abschlussrouter Dieses Dokument beschreibt die notwendigen Einstellungen, um ein VPN-Gateway hinter einer Genexis OCG-218M/OCG-2018M und HRG1000 LIVE! TITANIUM trotz NAT-Funktion erreichbar zu machen. Inhalt 1 OCG-218M/OCG-2018M...

Mehr

Group and Session Management for Collaborative Applications

Group and Session Management for Collaborative Applications Diss. ETH No. 12075 Group and Session Management for Collaborative Applications A dissertation submitted to the SWISS FEDERAL INSTITUTE OF TECHNOLOGY ZÜRICH for the degree of Doctor of Technical Seiences

Mehr

p^db=`oj===pìééçêíáåñçêã~íáçå=

p^db=`oj===pìééçêíáåñçêã~íáçå= p^db=`oj===pìééçêíáåñçêã~íáçå= Error: "Could not connect to the SQL Server Instance" or "Failed to open a connection to the database." When you attempt to launch ACT! by Sage or ACT by Sage Premium for

Mehr

Remote Access VPN und IPSec.

Remote Access VPN und IPSec. Remote Access VPN und IPSec. IPSec gilt heute als absoluter Standard und das für jede Netzwerktopologie einsetzbare VPN-Protokoll. Der aktuelle Wissensstand hat jedoch einige seiner ursprünglichen Initiatoren

Mehr

VPN Techniken im Vergleich

VPN Techniken im Vergleich VPN Techniken im Vergleich Welche Technik ist wo die Richtige? 1. Grundlagen 1.1. Was ist VPN? Definition: Ein privates Netz wird über ein öffentliches Netz betrieben, jedoch so, dass die Privatheit, d.

Mehr

Vorlesung VPN: Drahtgebunden und drahtlos Fachbereich Informatik (FB 20) Lehrstuhl Prof. J. Buchmann

Vorlesung VPN: Drahtgebunden und drahtlos Fachbereich Informatik (FB 20) Lehrstuhl Prof. J. Buchmann Vorlesung VPN: Drahtgebunden und drahtlos Fachbereich Informatik (FB 20) Lehrstuhl Prof. J. Buchmann WS-05 / V2-20.205.1 In Zusammenarbeit mit dem CAST-Forum Dr. Wolfgang Böhmer Skript: http://www.cdc.informatik.tu-darmstadt.de/~wboehmer/

Mehr

IKEv1 vs. v2 Wie verändert die Version 2 von IKE das Verhalten?

IKEv1 vs. v2 Wie verändert die Version 2 von IKE das Verhalten? Zusammenfassung und Ergänzung zum Vortrag IKEv1 vs. v2 Wie verändert die Version 2 von IKE das Verhalten? Von Monika Roßmanith (CNB) und Simon Rich (CN) Somersemester 2008 Vorlesung: Netzwerksicherheit

Mehr

HowTo für ein VPN mit X.509 Zertifikaten Intranator <=> Lancom (LCOS v6.x)

HowTo für ein VPN mit X.509 Zertifikaten Intranator <=> Lancom (LCOS v6.x) HowTo für ein VPN mit X.509 Zertifikaten Intranator Lancom (LCOS v6.x) Zeitabgleich Die LANCOM überprüft bei der Authentifizierung auch den Gültigkeitszeitraum des Zertifikats. Daher muss die Systemzeit

Mehr

Teldat Secure IPSec Client - für professionellen Einsatz Teldat IPSec Client

Teldat Secure IPSec Client - für professionellen Einsatz Teldat IPSec Client Teldat Secure IPSec Client - für professionellen Einsatz Unterstützt Windows 8 Beta, 7, XP (32-/64-Bit) und Vista IKEv1, IKEv2, IKE Config Mode, XAuth, Zertifikate (X.509) Integrierte Personal Firewall

Mehr

Virtuelle Netze. Virtuelle Netze von Simon Knierim und Benjamin Skirlo 1 Von 10-16.04.07. Simon Knierim & Benjamin Skirlo.

Virtuelle Netze. Virtuelle Netze von Simon Knierim und Benjamin Skirlo 1 Von 10-16.04.07. Simon Knierim & Benjamin Skirlo. 1 Von 10-16.04.07 Virtuelle Netze Simon Knierim & Benjamin Skirlo für Herrn Herrman Schulzentrum Bremen Vegesack Berufliche Schulen für Metall- und Elektrotechnik 2 Von 10-16.04.07 Inhaltsverzeichnis Allgemeines...

Mehr

Virtual Private Network. David Greber und Michael Wäger

Virtual Private Network. David Greber und Michael Wäger Virtual Private Network David Greber und Michael Wäger Inhaltsverzeichnis 1 Technische Grundlagen...3 1.1 Was ist ein Virtual Private Network?...3 1.2 Strukturarten...3 1.2.1 Client to Client...3 1.2.2

Mehr

Konfigurationsbeispiel USG

Konfigurationsbeispiel USG ZyWALL USG L2TP VPN over IPSec Dieses Konfigurationsbeispiel zeigt das Einrichten einer L2TP Dial-Up-Verbindung (Windows XP, 2003 und Vista) auf eine USG ZyWALL. L2TP over IPSec ist eine Kombination des

Mehr

2 Typische Angriffe. 3 Sichere Kommunikationsdienste. 4 Einbruchssicherung. 5 Sicherung von Anwendungsdiensten

2 Typische Angriffe. 3 Sichere Kommunikationsdienste. 4 Einbruchssicherung. 5 Sicherung von Anwendungsdiensten Inhalt 1 Einführung 2 Typische Angriffe 3 Sichere Kommunikationsdienste 4 Einbruchssicherung 5 Sicherung von Anwendungsdiensten 6 Privacy NS-3.1 1 3 Sichere Kommunikationsdienste NS-3.1 2 Kommunikationssicherheit

Mehr

Firewall oder Router mit statischer IP

Firewall oder Router mit statischer IP Firewall oder Router mit statischer IP Dieses Konfigurationsbeispiel zeigt das Einrichten einer VPN-Verbindung zu einer ZyXEL ZyWALL oder einem Prestige ADSL Router. Das Beispiel ist für einen Rechner

Mehr

Konfigurationsbeispiel

Konfigurationsbeispiel ZyWALL 1050 dynamisches VPN Dieses Konfigurationsbeispiel zeigt, wie man einen VPN-Tunnel mit einer dynamischen IP-Adresse auf der Client-Seite und einer statischen öffentlichen IP-Adresse auf der Server-Seite

Mehr

Authentication Header: Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen

Authentication Header: Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen IP Security Zwei Mechanismen: Authentication : Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen Encapsulating Security Payloads (ESP): Verschl., Datenauth. Internet Key Exchange Protokoll:

Mehr

SSL-Protokoll und Internet-Sicherheit

SSL-Protokoll und Internet-Sicherheit SSL-Protokoll und Internet-Sicherheit Christina Bräutigam Universität Dortmund 5. Dezember 2005 Übersicht 1 Einleitung 2 Allgemeines zu SSL 3 Einbindung in TCP/IP 4 SSL 3.0-Sicherheitsschicht über TCP

Mehr

VPN - Virtual Private Networks

VPN - Virtual Private Networks VPN - Virtual Private Networks Wolfgang Böhmer Kommunikationssicherheit in VPN- und IP-Netzen, über GPRS und WLAN ISBN 3-446-22930-2 Inhaltsverzeichnis Weitere Informationen oder Bestellungen unter http://www.hanser.de/3-446-22930-2

Mehr

Load balancing Router with / mit DMZ

Load balancing Router with / mit DMZ ALL7000 Load balancing Router with / mit DMZ Deutsch Seite 3 English Page 10 ALL7000 Quick Installation Guide / Express Setup ALL7000 Quick Installation Guide / Express Setup - 2 - Hardware Beschreibung

Mehr

VPN Virtual Private Network

VPN Virtual Private Network VPN Virtual Private Network DEFINITION Was ist eigentlich ein Virtual Private Network (VPN)? Definition: Was ist eigentlich ein VPN? Übliche Bezeichnung: Virtual Virtuelles Private Privates Network - Netz

Mehr

VPN: Virtual-Private-Networks

VPN: Virtual-Private-Networks Referate-Seminar WS 2001/2002 Grundlagen, Konzepte, Beispiele Seminararbeit im Fach Wirtschaftsinformatik Justus-Liebig-Universität Giessen 03. März 2002 Ziel des Vortrags Beantwortung der folgenden Fragen:

Mehr

Telekommunikationsnetze 2

Telekommunikationsnetze 2 Telekommunikationsnetze 2 Breitband-ISDN Lokale Netze Internet WS 2008/09 Martin Werner martin werner, January 09 1 Breitband-ISDN Ziele Flexibler Netzzugang Dynamische Bitratenzuteilung Effiziente Vermittlung

Mehr

Netzwerk-Administration Virtual Private Network mittels IPsec

Netzwerk-Administration Virtual Private Network mittels IPsec Netzwerk-Administration Virtual Private Network mittels IPsec Beleg von Mario Apitz André Grüneberg Janko Lötzsch Version: 2.0 vom 15. Juli 2003 Inhaltsverzeichnis Abbildungsverzeichnis II 1 Zielbestimmung

Mehr

Einrichtung von VPN für Mac Clients bei Nortel VPN Router

Einrichtung von VPN für Mac Clients bei Nortel VPN Router Einrichtung von VPN für Mac Clients bei Nortel VPN Router 2009 DeTeWe Communications GmbH! Seite 1 von 13 Einrichtung des Nortel VPN Routers (Contivity)! 3 Konfigurieren der globalen IPSec Einstellungen!

Mehr

L2TP over IPSEC. Built-in VPN für Windows 10 / 8 / 7 und MacOS X

L2TP over IPSEC. Built-in VPN für Windows 10 / 8 / 7 und MacOS X FORSCHUNGSZENTRUM JÜLICH GmbH Jülich Supercomputing Centre 52425 Jülich, (02461) 61-6402 Beratung und Betrieb, (02461) 61-6400 Technische Kurzinformation FZJ-JSC-TKI-0387 W.Anrath,S.Werner,E.Grünter 26.08.2015

Mehr

Virtual Private Networks mit OpenVPN. Matthias Schmidt Chaostreff Giessen/Marburg

Virtual Private Networks mit OpenVPN. Matthias Schmidt <xhr@giessen.ccc.de> Chaostreff Giessen/Marburg Virtual Private Networks mit OpenVPN Matthias Schmidt Agenda Einführung Szenarien Protokolle Transport Layer Security v1 pre-shared keys Installation Konfiguration Wichtige Parameter

Mehr

ISA Server 2004 Site to Site VPN mit L2TP/IPSEC - Von Marc Grote

ISA Server 2004 Site to Site VPN mit L2TP/IPSEC - Von Marc Grote ISA Server 2004 Site to Site VPN mit L2TP/IPSEC - Von Marc Grote Die Informationen in diesem Artikel beziehen sich auf:? Microsoft ISA Server 2004 Einleitung Dieser Artikel beschreibt die Einrichtung eines

Mehr

VPN / Tunneling. 1. Erläuterung

VPN / Tunneling. 1. Erläuterung 1. Erläuterung VPN / Tunneling Ein virtuelles privates Netzwerk (VPN) verbindet die Komponenten eines Netzwerkes über ein anderes Netzwerk. Zu diesem Zweck ermöglicht das VPN dem Benutzer, einen Tunnel

Mehr

Virtuelle Private Netze

Virtuelle Private Netze Virtuelle Private Netze VPN mit openvpn und openssl michael dienert, peter maaß Walther-Rathenau-Gewerbeschule Freiburg 30. April 2012 Inhalt Was ist ein VPN Rahmen, Pakete, virtuelle Verbindungen Die

Mehr

Domain Name Service (DNS)

Domain Name Service (DNS) Domain Name Service (DNS) Aufgabe: den numerischen IP-Adressen werden symbolische Namen zugeordnet Beispiel: 194.94.127.196 = www.w-hs.de Spezielle Server (Name-Server, DNS) für Listen mit IP-Adressen

Mehr

Multicast Security Group Key Management Architecture (MSEC GKMArch)

Multicast Security Group Key Management Architecture (MSEC GKMArch) Multicast Security Group Key Management Architecture (MSEC GKMArch) draft-ietf-msec-gkmarch-07.txt Internet Security Tobias Engelbrecht Einführung Bei diversen Internetanwendungen, wie zum Beispiel Telefonkonferenzen

Mehr

VPN Virtual Private Networks

VPN Virtual Private Networks Wolfgang Böhmer VPN Virtual Private Networks Die reale Welt der virtuellen Netze HANSER Inhaltsverzeichnis Teil I VPN-Grundlagen und Techniken 1 1 Einleitung 3 1.1 Was ist ein VPN? 7 1.2 Welche VPN-Varianten

Mehr

Titelbild1 ANSYS. Customer Portal LogIn

Titelbild1 ANSYS. Customer Portal LogIn Titelbild1 ANSYS Customer Portal LogIn 1 Neuanmeldung Neuanmeldung: Bitte Not yet a member anklicken Adressen-Check Adressdaten eintragen Customer No. ist hier bereits erforderlich HERE - Button Hier nochmal

Mehr

Internetanwendungstechnik (Übung)

Internetanwendungstechnik (Übung) Internetanwendungstechnik (Übung) IPv6 Stefan Bissell, Gero Mühl Technische Universität Berlin Fakultät IV Elektrotechnik und Informatik Kommunikations- und Betriebssysteme (KBS) Einsteinufer 17, Sekr.

Mehr

Instruktionen Mozilla Thunderbird Seite 1

Instruktionen Mozilla Thunderbird Seite 1 Instruktionen Mozilla Thunderbird Seite 1 Instruktionen Mozilla Thunderbird Dieses Handbuch wird für Benutzer geschrieben, die bereits ein E-Mail-Konto zusammenbauen lassen im Mozilla Thunderbird und wird

Mehr

Systemvoraussetzungen Hosting

Systemvoraussetzungen Hosting Hosting OCLC GmbH Betriebsstätte Böhl-Iggelheim Am Bahnhofsplatz 1 E-Mail: 67459 Böhl-Iggelheim bibliotheca@oclc.org Tel. +49-(0)6324-9612-0 Internet: Fax +49-(0)6324-9612-4005 www.oclc.org Impressum Titel

Mehr

bintec Secure IPSec Client - für professionellen Einsatz bintec IPSec Client

bintec Secure IPSec Client - für professionellen Einsatz bintec IPSec Client bintec Secure IPSec Client - für professionellen Einsatz Unterstützt 32- und 64-Bit Betriebssysteme Windows 7, Vista, Windows XP Integrierte Personal Firewall Einfache Installation über Wizard und Assistent

Mehr

2L03: VPN Verbindungen zwischen RZ und Standorten

2L03: VPN Verbindungen zwischen RZ und Standorten 2L03: VPN Verbindungen zwischen RZ und Standorten Referent: Christoph Bronold BKM Dienstleistungs GmbH 2006 BKM Dienstleistungs GmbH VPN Überblick VPN Verbindungen zwischen Standorten VPN Verbindungen

Mehr

Seminar Neue Techologien in Internet und WWW

Seminar Neue Techologien in Internet und WWW Seminar Neue Techologien in Internet und WWW Sicherheit auf der Anwendungsschicht: HTTP mit SSL, TLS und dabei verwendete Verfahren Christian Raschka chrisra@informatik.uni-jena.de Seminar Neue Internettechnologien

Mehr

Warum noch IPsec benutzen?

Warum noch IPsec benutzen? Erlanger Linux User Group OpenVPN Warum noch IPsec benutzen? Klaus Thielking-Riechert ktr@erlug.de 3. Erlanger Linuxtage 15./16. Januar 2005 Was ist ein VPN? ein Mechanismus zur sicheren Kommunikation

Mehr

Um IPSec zu konfigurieren, müssen Sie im Folgenden Menü Einstellungen vornehmen:

Um IPSec zu konfigurieren, müssen Sie im Folgenden Menü Einstellungen vornehmen: 1. IPSec Verbindung zwischen IPSec Client und Gateway 1.1 Einleitung Im Folgenden wird die Konfiguration einer IPSec Verbindung vom Bintec IPSec Client zum Gateway gezeigt. Dabei spielt es keine Rolle,

Mehr