VPN & IPSec. Virtual Private Networking & Internet Protocol Security. Communication Security I-7222
Größe: px
Ab Seite anzeigen:

Download "VPN & IPSec. Virtual Private Networking & Internet Protocol Security. Communication Security I-7222"

Transkript

1 VPN & IPSec Virtual Private Networking & Internet Protocol Security

2 VPN - Definitions - Technologyoverview - Tunneling - Internet Layer Security Protocols - PPTP - Authentication - MPPE data Encrpytion - L2TP - L2TP over IPSec Overview IPSec - Requirements - Philosophy - AH / ESP - SPD, SA, SPI - IKE - Perfect Forward Security - IPSec and Remote Access - IPSec and NAT/NAPT - XAUTH and Mode Config - DHCP over IPSec - IKEv2 - additional information

3 VPN & IPSec Virtual Private Networking (VPN) Layer-2 and layer-3 tunneling

4 Definition What's a Virtual Private Network - A communication environment that allows access between nodes only to a defined group. This is realised by segregation of the underlying shared communication medium that normally is used for public communication. - A private network built on a public infrastructure like the internet - A restricted-use, logical (i.e., artificial or simulated) computer network that is constructed from the system resources of a relatively public, physical (i.e., real) network (such as the Internet), often by using encryption (located at hosts or gateways), and often by tunneling links of the virtual network across the real network. (RFC 2828)

5 Technologyoverview non cryptographic approach: - route filtering (controlled route leaking) - multi protocol label switching (MPLS) cryptographic approach: - Network Access Layer Security Protocols (Layer 2) - Internet Layer Security Protocols (Layer 3) - Transport Layer Security Protocols (Layer 4)

6 MPLS

7 VPN application site-to-site VPN - A tunnel between routers of a company central and a branch office end-to-site VPN - A tunnel between a remote client and a VPN gateway - Client in a branch office connecting to the central VPN gateway (Routers do not have to offer VPN functionality) end-to-end VPN - Is like end-to-site VPN but the application server is directly integrated into the VPN gateway thus securing the traffic from the remote client to the destination application

8 Tunneling Protocols Name Developed by Layer Point-to-Point Tunneling Protocol (PPTP) Microsoft 2 Layer 2 Forwarding (L2F) Cisco 2 Layer 2 Tunneling Protocol (L2TP) open standard 2 IP Security, Tunnel Mode (IPSec) open standard 3 SSL-VPN, VPN over TLS no standard 4

9 Layer 2 Network Access

10 Layer 2 Tunneling

11 PPTP An Internet client-server protocol (originally developed by Ascend and Microsoft) that enables a dial-up user to create a virtual extension of the dial-up link across a network by tunneling PPP over IP. PPP can encapsulate any Internet Protocol Suite network layer protocol (or OSI layer 3 protocol). Therefore, PPTP does not specify security services; it depends on protocols above and below it to provide any needed security. PPTP makes it possible to divorce the location of the initial dial-up server (i.e., the PPTP Access Concentrator, the client, which runs on a special-purpose host) from the location at which the dial-up protocol (PPP) connection is terminated and access to the network is provided (i.e., the PPTP Network Server, which runs on a general-purpose host).

12 PPTP internals

13 PPTP authentication The specification of PPTP does not require the use of specific authentication or en/de-cryption algorithms instead supports the following algorithms: - PAP (password authentication protocol) - SPAP (shiva PAP) - CHAP (Challenge Handshake Authentication Protocol) - MS-CHAPv1 - MS-CHAPv2 EAP (Extensible Authentication Protocol) - Certificate based - MD5 based

14 MPPE data encryption The MPPE (Microsoft PPP Encryption) protocoll uses RC4 as stream cypher algorithm - until early 2000 => internatioal version 40bit key / US version 128bit key - today => international version 128bit key / US embargo countries 56bit key PPTP is flawed by design - The per direction used session keys are built deterministicly using the user password - Thus the security is directly dependant on the quality of the user password => dictionary attacks on crypted data L2TP over IPSec and IPSec are both secure and better alternatives for VPN

15 L2TP

16 L2TP

17 Securityprotocolinterna Interna of a security protocol between two nodes encrypted and authenticated data communication between two nodes both having a verified identity and a shared 'session key'

18 SecProt Requirements Two nodes A and B should be able to communicate in a secure manner over a public communication channel A pubic channel B Throughout the collection of requirements it is assumed that the authentication is done over a hostile public communication channel where eavesdropping occurs by everyone. At the same time any malicous third party could interrupt, falsify or take over a connection and continue in it's owners name.

19 What method would you choose for exchanging a key if both partners have to take part in generating the key? RSA Keyexchange during initialisation DH-Key Exchange HMAC MD5 How would you apply this method if there can be no dependency of the generated key to former or future sessions?

20 Authentication during initialisation Both partners are authenticating each other using Diffie-Hellman key exchange What method would be best to achieve this? Alternative method?

21 Communication Phase Requirements To prevent eavesdropping attacks on sensitive data communication between two clients has to be encrypted To prevent 'man-in-middle-attack' after authorization is has to be possible for the receiving client to verify the integrity and authenticity of the communication To guarantee the safety and performance the select algorithms have to be secure AND efficient for data bandwidth up to Gbit range

22 Encryption for phase communication What encryption algorithms would you use? RC4 3DES-CBC AES-CBC RSA IDEA CAST Blowfish What parts of a IP datagram would you encrypt?

23 Authentication for phase communication What authentication algorithms would you use? RSA-MD5 HMAC RSA-SHA1 DSS-MD5 DSS-SHA1 What parts of a IP datagram would you authenticate?

24 VPN & IPSec Internet Protocol Security (IPSec) Originating from the Ipv6 (Ipng) specification a IETF Working Group was ordered to create a standard securityarchitecture for both IPv6 and IPv4

25 Principles IPSec basic principles

26 Internetlayer security

27 IPSec overview IPSec is a collection of standards for IP security that enriches the Internet layer with security Using IPSec company networks at different sites can be transparently connected and communicate with each other using encrypted channels IPSec is used to secure the communication between employees on the road (road warriors) and a company network Before a secure connection can be established using IPSec both parties have to authenticate and negotiate a 'session key' using a specific procedure This exchange is done using the IKE (Internet Key Exchange) protocol over UDP

28 IPSec RFC's

29 IPSec components

30 IKE and IPSec A public channel B

31 Protocols IPSec protocols

32 IPSec in IPv4

33 IPSec modes The IPSec mechanism knows 2 modes - Transportmode (encrpytion & authentication of userdata) - Tunnelmode (encryption & authentication of whole IP packet) Transportmode is only used in End-to-End and End-to-Site scenarios Tunnelmode is used in Site-to-Site and Roadwarrior scenarios Tunnelmode is the commonly used mode

34 AH&ESP in mode transport

35 ESP in mode tunnel

36 Authentication Header

37 Encapsulating Security Payload

38 Internet Key Exchange Internet Key Exchange (IKE)

39 Internet Key Exchange Protocol If there's no SA for a outbound packet IKE is used to negotiate a common key and authenticate the communication partner Inside the IKE phase a key is generated to build the secured channel using Diffie Hellman Key Exchange IKE offers two different methods to authenticate - digital signatures or asymmetric encryption both in need of X.509 Certificates delivered by a PKI - Preshared Keys (PSK); As the name indicates both communication partners agree on a known preshared key

40 Security Policy Database (SPD) Inside the 'Security Policy Database' SPD resides the predefined configuration With what partners am I communicating in a - encrypted / unencrypted - authenticated/unauthenticated - no communication at all way? This is defined by selectors like (IP address, subnet, protocol, port number)

41 SPD continued What authentication method is used to establish a secured channel? - Preshared Key (PSK) - Certificates What algorithms are use to encrypt and authenticate the packets? What traffic do we encrypt? (e.g only port 3306)

42 IKE Selectors

43 IKE Security Association (SA) A 'Security Associsation' is a accord negotiated between two IPSec nodes (machine or security gateway) IPSec SA's are unidirectional IPSec SA's are referenced by a 'Security Parameters Index' SPI and stored in a database A SA contains the sum of the needed cryptographic parameters - Encryption algorithm (mode, key length, IV) - Authentication hash algorithm - Key and lifetime of key - SA renewal period

44 IKE SPI 32 bit value SPI is transmitted in clear text with every packet sent Matching index used by partner to locate the correct encryption parameter Is generated when a secure channel is established (random value)

45 IKE Outbound Processing

46 IKE Inbound Processing

47 Phase I (main mode) Phase I (Main Mode): - Partners are negotiating IKE session parameters - using explicit 'Diffie-Hellmann Key-Exchange' a common 'master secret' is generated - Partner are creating a encrypted and authenticated control channel - Both partners are authenticating each other (already encrypted) - Cryptoparameters negotiated during phase 1 are protecting IPSec negotiation of phase 2

48 Phase II (quick mode) Creation or renewal of a IPSec SA - Encrypted quick mode message exchange - All messages are encrypted using a 'shared secret' negotiated by Diffie-Hellmann key exchange - Keymaterial for IPSec protocols (AH,ESP) is derived by the keys created during Phase I - The specific Kryptoparameters for the IPSec connection are negotiated (AH,ESP, authentication and encryption methods & parameters) - Quickmode is used for renewal of expired IPSec SA's - Optional Perfect Forwared Secrecy (PFS) - If 'perfect forward secrecy is applied any further quickmode resultes in a ne 'Diffie-Hellmann' key exchange

49 IKE and IPSec SA

50 IKE Main Mode RSA signatures

51 IKE Main Mode preshared keys

52 IKE aggressive mode

53 Perfect forward secrecy

54 IKE & IPSec Problems IKE & IPSec Problems

55 IPSec Roadwarrior Problem Roadwarrior scenario problem wasn't considered inside actual specification of IKE and IPSec NAT/NAPT & IPSec - IPSec Passthrough - NAT Traversal User authentication Some products do support XAUTH (a IETF standardised IKE Extension that allows the use of encrypted username & passwords) Client address management - DHCP over IPSEC - Cisco config mode

56 NAT/NAPT & IKE/IPSec NAT/NAPT & IKE/IPSec

57 NAT or NAPT

58 NAT & IPSec AH Oil & water? IPSec AH & NAT NAT maps internal IP addresses on external ones by exchanging the 'source address' inside the IP header Modification of IP header triggers a modification of the cryptographically used checksum value The AH protocol forces the receiver to rightfully discard a modified packet DAN Harkin (Coauthor IKE): NAT is the kind of attack IPSec was designed to detect

59 NAT & IPSec ESP Oil & water? IPSec ESP & NAT NAT is a 1 to 1 public to private IP address mapping. NAPT is a 1 to many public to private IP address mapping. ESP encrypts the TCP/UDP header in both, transport and tunnel mode and thus renders NAT and NAPT unusable

60 IPSec Passthrough ADSL and cable routers are using NAT/NAPT to connect one or many computers to the Internet IPSec passthrough forwards ESP and IKE packets without modifying to one computer behind the router Only one computer can use IPSec

61 NAT Traversal NAT traversal is used if many VPN clients like to create a tunnel to a shared NAPT router NAT traversal has more overhead

62 NAT Discovery NAT Traversal encapsulates the IPSec packet once more inside a UDP packet. Normally UDP port 4500 is used Using special NAT-Discovery (NAT-D) packets (Hash of IP and port address) it's possible to detect the presence of a NAT device early during IKE phase I and thus automatically enable the needed support

63 XAUTH XAUTH mode config

64 Roadwarrior Roadwarrior's are connecting from any network (homenetwork connected via ISP) using dynamic IP addresses Clients need a virtual IP address and further information about the network Users should be able to authenticate in a secure manner

65 Cisco XAUTH & mode config Prorietary IKE extension supported by many vendors - Cisco, Checkpoint, Netscreen, Nortel,... - XAUTH is based on: draft-ietf-ipsec-isakmp-xauth-06.txt (expired) - mode config is based on : draft-ietf-ipsec-isakmp-modecfg-04.txt (expired) Future of XAUTH & Mode Config - IKEv2 is offically supporting EAP, the 'Extensible Authentication Protocol' with configuration payload

66 mitm attack on IKE aggressive mode & XAUTH If IKE is used in 'aggressive mode' certificates or OTP credetials should be used (e.g. SecureID)

67 VPN Client overview Windows - Microsoft built-in IPSec Stack (XP,2000,2003) - SafeNet SoftRemote (all Windows OS versions) - SSH Sentinel (bought by SafeNet 2003; discontinoued) - The GreenBow VPN Client (all Windows OS versions) - NCP VPN Client (all Windows OS versions) (frei) 150$ Mac OS X Panther Built-In L2TP/IPSec - VPN Tracker (frei) (160$) Mac OS X Linux (2.4/2.6 Kernel) - FreeS/WAN (until 03/2004) -> StrongSwan & OpenSWAN (frei) - VPNC (supporting XAUTH) Free/Net/Open BSD & Linux KAME (frei)

68 newer IPSec RFC's

69 IKEv2 vs IKEv1 Why a new IKEv2 RFC - IKEv1 is distributed over 3 RFC's (2407, 2408 & 2409) - Too many messages (6 in main mode / 3-4 in quick mode) - Too many possabilities (AH/ESP, Transport/Tunnel, Auth. modes) - Too complex thus potentially unsafe (Bruce Schneier) - New features needed NAT-T, Client Config, User Auth IKEv2 Protocol - IKEv2 SA can be created by 2 Request/Response messages - Further Child-SA's need only one additional Request/Response message - IKEv2 was ratified as 'proposed standard' in September IKEv2 is not backward compatible to IKEv1

70 IKEv2 philosophy IKEv2 doesn't differentiate between the phases but defines exchange-types - IKE_SA_INIT - IKE_AUTH CREATE_CHILD_SA - INFORMATIONAL IKE-SA: IKEv2 doesn't differentiate anymore between SA's used by IKE itself and those used by IPSec CHILD-SA: Using the IKE-SA SA's for AH and ESP can be negotiated. Those are called CHILD_SA and they are bound to a IKE-SA

71 IKEv2 IKE_SA_INIT

72 IKEv2 IKE_AUTH

73 IKEv2 CHILD_SA & INFORMATIONAL REQEST

74 Further payloads

75 IKEv2 & NAT-D

76 References Ralf Spenneberg VPN mit Linux Grundlagen und Anwendug Virtueller Privater Netzwerke mit Open Source-Tools FreeS/WAN Howto StrongSwan ttp:// OpenSwan ttp://

77 VPN & IPSec Virtual Private Networking & Internet Protocol Security

78 VPN - Definitions - Technologyoverview - Tunneling - Internet Layer Security Protocols - PPTP - Authentication - MPPE data Encrpytion - L2TP - L2TP over IPSec Overview IPSec - Requirements - Philosophy - AH / ESP - SPD, SA, SPI - IKE - Perfect Forward Security - IPSec and Remote Access - IPSec and NAT/NAPT - XAUTH and Mode Config - DHCP over IPSec - IKEv2 - additional information

79 VPN & IPSec Virtual Private Networking (VPN) Layer-2 and layer-3 tunneling

80 Definition What's a Virtual Private Network - A communication environment that allows access between nodes only to a defined group. This is realised by segregation of the underlying shared communication medium that normally is used for public communication. - A private network built on a public infrastructure like the internet - A restricted-use, logical (i.e., artificial or simulated) computer network that is constructed from the system resources of a relatively public, physical (i.e., real) network (such as the Internet), often by using encryption (located at hosts or gateways), and often by tunneling links of the virtual network across the real network. (RFC 2828) Drei Definitionen die ich gefunden habe, einmal übersetzt und aufgeschrieben. Etwas umständliche Definitionen, wobei die zweite noch am besten ist. Grundsätzlich geht es darum, man hat ein öffentliches Netzwerk, und man will darauf ein privates Netz betreiben. Privates Netz: eingeschränkter Zugriff für Maschinen, IP-Adressen, Benutzer. Öffentliches Netz: potenziell haben alle Zugriff Dem Internet Security Glossary (RFC 2828) entnommene Definition hat einen interessanten Begriff: relativ öffentliches Netz (meist unter Zuhilfenahme von Kryptologie, aber eben nur meist) -> es gibt auch VPN-ähnliche Architekturen, welche ganz und gar ohne Kryptologie auskommen die beim Routing oder Labeling ansetzen. Diese Architekturen umfasst auch die erste Definition, welche sehr allgemein gehalten ist.

81 Technologyoverview non cryptographic approach: - route filtering (controlled route leaking) - multi protocol label switching (MPLS) cryptographic approach: - Network Access Layer Security Protocols (Layer 2) - Internet Layer Security Protocols (Layer 3) - Transport Layer Security Protocols (Layer 4) Route Filtering die einfachste Methode die es gibt. Häufig werden von Routern VPN-Lösungen angeboten, die auf der Möglichkeit basieren, die Sichtbarkeit der Router gegeneinander einzuschränken durch Änderung der Routing-Protokolle - und künstlich zu begrenzen. Die Sichtweise von Routern, die zu VPN s gehören werden limitiert. Label Switching (MPLS) - Man markiert Pakete mit Labels. Beispiel: Auf dem Internet laufen private Pakete von drei Firmen. Von den Access Routern der Firmen werden die Pakete farblich markiert (bildlich gesprochen): rot = 1. Firma, blau = 2. Firma, grün = 3. Firma. Dann wird sichergestellt, dass nur diejenigen Pakete einer Farbe über die Access Router sichtbar sind. Bedingt eine Kontrolle bei den Access Routern. Also eine Technologie die bei den Routing Protokollen ansetzt. Wurde recht weit getrieben MPLS. Es sind Technologien die darauf basieren, dass Pakete auch eine bestimmte Weise markiert sind, und Router sicherstellen, dass entsprechend markierte Pakete auch nur in bestimmte Bereiche weitergeleitet werden. Wer auf dem Backbone des Internets sitzt, sieht immer noch alle Pakete, im Klartext! Da ist keine Kryptographie im Spiel. Diese Technologie wird meist von einem grossen, globalen ISP angeboten. Nur er kann sicherstellen, dass - ähnlich einer closed usergroup in einem ISDN Netz - die markierten Pakete nur von A nach B weitergeleitet werden. Man muss letztendlich dem Betreiber des Netzes vertrauen, ähnlich wie man bei einer closed usergroup der Telekommunikationsfirma vertrauen muss. Also bei vertraulichen und heiklen Daten nicht anwendbar kryptographische Ansätze verwenden. Im kryptographischen Sumpf gibt es zwei Stossrichtungen: Network Access -, und Internet LayerDiese Folie soll darauf hinweisen, dass viele Leute über VPN sprechen, aber völlig andere Ansätze und Qualitäten verwenden. Da wird z.b. angepriesen: Neue revolutionäre VPN-Technologie die völlig ohne PKI auskommt! Die Zukunft wird gute MPLS-Lösungen auf den Markt bringen Routerhersteller sind daran weltweite Standards für Filtering und Labeling zu setzen. Die Frage ist, vertraut man dem Routernetz des ISP? Wenn ja, ist man gut bedient durch eine solche Lösung, da man eben keine PKI aufbauen und unterhalten muss. Wenn nein, müssen kryptographische Sicherheitsprotokolle ins Spiel kommen.

82 MPLS MPLS: Ein MPLS besteht aus einer Reihe von Knoten (Nodes), die als Label Switched Routers (LSR) bezeichnet werden. Sie sind in der Lage, Pakete auf Basis ihres Labels, das ihnen vorangestellt wurde, zu switchen und zu routen. Labels definieren einen Fluss von Paketen zwischen zwei Endpunkten oder, im Fall von Multicasting, zwischen einer Quelle und mehreren Endpunkten. Jedem Fluss, auch als Forwarding Equivalence Class (FEC) bekannt, ist ein spezifischer Pfad durch das Netzwerk bestehend aus LSRs zugeordnet. Funktionsweise eines auf MPLS basierenden Virtual Private Networks (VPN) Indem vor jedem IP Datagram von User A (Netzwerk A) ein spezifisches User Label vom Netzwerkprovider vorangeschaltet wird, kann der gesamte IP-Verkehr im virtuellen Netzwerk A vom Anfangsknoten E1 (bsp. Heimarbeitsplatz) bis zum Endknoten E3 (Firma) transportiert werden, ohne die IP Header Informationen je gelesen zu haben. Damit können über das Internet auch private Netzwerk-Adressen ( ) übermittelt werden. Von Hop zu Hop definiert ein zusätzliches outer switching label (L1, L2, L3, L4, L5, L6) den Switching Path. Dieses Label wird nur zwischen den Hops verwendet, also jeweils hinzugefügt und wieder weggenommen. Mit dem Labeln des Client Traffics steht auch ein effizientes Kostenverrechnungssystem zur Verfügung, indem vom Provider die vermittelten LA und LB Pakete gezählt werden.

83 VPN application site-to-site VPN - A tunnel between routers of a company central and a branch office end-to-site VPN - A tunnel between a remote client and a VPN gateway - Client in a branch office connecting to the central VPN gateway (Routers do not have to offer VPN functionality) end-to-end VPN - Is like end-to-site VPN but the application server is directly integrated into the VPN gateway thus securing the traffic from the remote client to the destination application

84 Tunneling Protocols Name Developed by Layer Point-to-Point Tunneling Protocol (PPTP) Microsoft 2 Layer 2 Forwarding (L2F) Cisco 2 Layer 2 Tunneling Protocol (L2TP) open standard 2 IP Security, Tunnel Mode (IPSec) open standard 3 SSL-VPN, VPN over TLS no standard 4 Die Spalte Schicht gibt an, auf welcher Schicht des OSI Referenz-Modells die Protokolle arbeiten. Je nachdem auf welcher Schicht ein Protokoll arbeitet spricht man von Schicht-2- Tunneling oder Schicht-3-Tunneling. Alle Protokolle stellen eine zusätzliche virtuelle Netzwerkschnittstelle in den beteiligten Rechner bereit, an die die Daten des internen Netzes gesendet werden. Die Protokoll-Software übernimmt das Ein- und Auspacken in Tunneldaten und leitet diese dann an die physikalisch vorhandene Netzwerkschnittstelle weiter.

85 Layer 2 Network Access

86 Layer 2 Tunneling Das VPN Tunneling-Prinzip Alle heutigen VPN s arbeiten mit einem Verfahren, das Tunneling genannt wird. Dazu werden die Daten, die zwischen dem Client und dem internen Netzwerk ausgetauscht werden sollen, auf einer niedrigeren (Layer-2) oder derselben (Layer-3) Netzwerkschicht durch einen verschlüsselten Tunnel gesendet. Dazu erhält der Client zwei Netzwerkadressen: eine im öffentlichen Netz und eine aus dem internen Netz. Alle Daten, die vom Client an das interne Netz oder aus dem internen Netz an den Client gesendet werden sollen, werden durch diesen Tunnel geleitet, der zwischen der öffentlichen Adresse des Clients und der öffentlichen Adresse der Server hergestellt wird. Bei der Übertragung durch den Tunnel werden die Daten des internen Netzes als Nutzlast des öffentlichen Netzes behandelt. Ein Layer 2 VPN stellt also eine Art virtuelles Kabel über eine IP-Verbindung dar. Für einen Client, der sich an einen Provider anwählt, baut sich das Layer 2 VPN in vier Schritten auf: Aufbau der medien-spezifischen Verbindung zum Provider (z.b. ADSL). PPP-Verhandlung mit dem Network Access Server (NAS) des Providers. Nach dieser Verhandlung hat der Client eine öffentliche IP-Adresse, die im Internet route-fähig (vermittlungsfähig) ist. Diese Adresse wird nur für den nächsten Schritt benutzt. Mit Hilfe dieser IP-Adresse (aus 2.) wird ein Layer 2-Tunnel aufgebaut. Diesen Tunnel kann man als ein verlängertes virtuelles Kabel vom Client zum VPN-Gateway betrachten. Jetzt wird eine PPP-Verhandlung über diesen Layer 2-Tunnel (aus 3.) durchgeführt. Das VPNGateway weist dem Client eine private IP-Adresse (aus dem Firmenbereich), vielleicht auch DNS/WINS-Adressen vom Intranet zu. Auch das PPP Compression Control Protocol kann an dieser Stelle verhandelt werden, um Datenpakete im Tunnel zu komprimieren. Im Fall einer End-to-Site VPN Lösung entfallen für einen Client, der im Netzwerk einer Filiale angeschlossen ist obgenannte Schritte 1 und 2. Für diese Schritte ist dann der Router der Filiale verantwortlich. Der Client muss nur den Tunnelaufbau und eine PPPVerhandlung über den Tunnel durchführen. (Für ein reines Site-to-Site VPN muss der Router der Filiale alle vier obgenannten Schritte durchführen.)

87 PPTP An Internet client-server protocol (originally developed by Ascend and Microsoft) that enables a dial-up user to create a virtual extension of the dial-up link across a network by tunneling PPP over IP. PPP can encapsulate any Internet Protocol Suite network layer protocol (or OSI layer 3 protocol). Therefore, PPTP does not specify security services; it depends on protocols above and below it to provide any needed security. PPTP makes it possible to divorce the location of the initial dial-up server (i.e., the PPTP Access Concentrator, the client, which runs on a special-purpose host) from the location at which the dial-up protocol (PPP) connection is terminated and access to the network is provided (i.e., the PPTP Network Server, which runs on a general-purpose host). Das PPTP (Point to Point Tunneling Protocol) ist zwar seit Jahren Gegenstand von Sicherheitsdiskussionen gewesen, und Microsoft immer wieder nachgebessert. PPTPv2 ist heute aber schon einiges sicherer als vor drei Jahren. Für PPTP spricht zum einen die Verfügbarkeit auf einer Vielzahl von Windows-Plattformen und zum anderen die einfache Konfiguration, da Authentisierung und Verschlüsselung auf einem shared secret (Passwort des Benutzers) basiert. IPSec, das für die Verschlüsselung von Informationen bei Verwendung z.b. von L2TP eingesetzt wird, weist ein erhebliches Mass an Komplexität auf. Auf der anderen Seite gibt es deutlich mehr Hersteller, die L2TP (im Übrigen auch von Microsoft in Windows 2000 favorisiert) unterstützen. Auf mittlere Sicht gesehen wird daher zweifelsohne L2TP (Layer 2 Tunneling Protocol) für Microsoft das führende Layer-2 Tunneling-Protokoll werden.

88 PPTP internals Aufbau des PPTP Das Point-to-Point Tunneling Protocol (PPTP) ist also ein Layer-2-Tunneling Protokoll, da es als Nutzdaten Point-to-Point Protocol (PPP) Frames enthält. Grundsätzlich stellt PPTP einen verteilten Remote Access Server dar, der aus zwei Teilen besteht. Der erste Teil (PAC = PPTP Access Concentrator) stellt den physikalischen Endpunkt einer PPP-Verbindung dar. Der zweite Teil (PNS PPTP Network Server) stellt Funktionen zur Authentisierung und Autorisierung des Benutzer bereit. Zwischen beiden Teilen wird der verschlüsselte Tunnel aufgebaut, über den die beim PAC ankommende PPP-Verbindung virtuell bis zum PNS verlängert wird. In der Praxis wird die Funktionalität des PAC allerdings schon auf dem VPNClient implementiert. Dazu wird auf diesem eine virtuelle Netzwerkschnittstelle eingerichtet. Alle Daten, die an diese virtuelle Schnittstelle gesendet werden, werden in PPP-Rahmen eingepackt und durch die PAC-Software über die physikalische Schnittstelle zum PNS weitergeleitet. Dort werden die Daten in der umgekehrten Reihenfolge wieder entpackt und zum endgültigen Ziel gesendet. Der Tunnel, der zwischen PAC und PNS aufgebaut wird, besteht aus zwei unidirektionalen Netzwerkverbindungen. Der Auf- und Abbau dieser Verbindungen wird durch einen dritten bidirektionalen Kanal gesteuert. Dieser Kanal zur Tunnelsteuerung ist eine TCP-Verbindung. Das bedeutet auch, dass das öffentliche Netz zwischen PAC und PNS ein IP-basiertes Netz sein muss. Die eigentlichen verschlüsselten Tunneldaten werden als verbindungslose IP-Datagramme (UDP) gesendet. Die Pakete des internen Netzes werden also in PPP-Frames eingepackt. Diesen PPP-Frames wird noch ein zusätzlicher Header vorangestellt, weil PPP-Frames nicht direkt als IP-Nutzlast genutzt werden können. Dieser zusätzliche Header ist der so genannte GRE-Header (GRE = Generic Routing Encapsulation) mit der IP-Protokollnummer 47. Zusammen mit dem GREHeader können die PPP-Frames als Nutzlast in ein IP-Paket eingebettet werden. Dieses IPPaket wird dann über die physikalische Netzwerkschnittstelle zum PNS gesendet. Es bleibt festzuhalten, dass die Sicherheit beim PPTP, weder Verschlüsselung noch Authentizität und Autorisierung vorsieht, sondern diese Aufgaben PPP überlässt. Deshalb sind sowohl der Kanal zur Tunnelsteuerung als auch der ganze Header unverschlüsselt. Nur die eigentlichen Netzwerkpakete des internen Netzes werden durch PPP verschlüsselt, ausserdem übernimmt das PPP auch die Benutzerauthentisierung.

89 PPTP authentication The specification of PPTP does not require the use of specific authentication or en/de-cryption algorithms instead supports the following algorithms: - PAP (password authentication protocol) - SPAP (shiva PAP) - CHAP (Challenge Handshake Authentication Protocol) - MS-CHAPv1 - MS-CHAPv2 EAP (Extensible Authentication Protocol) - Certificate based - MD5 based Von PPTP unterstützte Authentifizierungsverfahren Da PPTP eine Entwicklung von Microsoft ist, kommen auch hier Microsoft Protokolle für die Verschlüsselung und Authentifizierung zum Einsatz. Das beim PPTP verwendete Authentifizierungsverfahren ist MS-CHAP (Microsoft Challenge Handshake Authenfication Protocol) und das Verschlüsselungsverfahren ist MPPE (Microsoft Point-to-Point Encryption) PAP (password authentication protocol), SPAP (shiva password authentication protocol) CHAP (Challenge Handshake Authenfication Protocol) Da das beim PPTP eingesetzte Authentifizierungsverfahren MS-CHAP eine abgewandelte Form des Challenge Handshake Authenfication Protocols (CHAP) ist, wollen wir dieses zum besseren Verständnis zuerst beschreiben. Bei CHAP wird das Passwort nicht im Klartext übermittelt, sondern es wird eine abgeleitete Form des shared secret verwendet. Zuerst sendet der Server ein sog. Challenge an den Client. Diese Challenge enthält in der Regel neben einem Zeitstempel und der Netzwerkadresse des Server auch eine Zufallszahl. Somit wird sichergestellt, dass der Challenge bei zwei Authentifizierungsvorgängen nie identisch ist. 2. Der Client verknüpft den Challenge mit dem Benutzer-Kennwort und bildet einen Hashwert nach MD4-Verfahren. Dieser Hashwert wird zusammen mit dem Benutzernamen zum Server gesendet. Der Server berechnet zum angegebenen Benutzernamen mit den gleichen Daten ebenfalls den MD4-Hashwert. Stimmt das Ergebnis dieser Berechnung mit dem vom Client gesendeten Hashwert überein, war das auf dem Client angegebene Kennwort richtig. In diesem Fall erhält der Client Zugang zum Netzwerk, was diesem über eine entsprechende Antwort des Server mitgeteilt wird. War das auf dem Client verwendete Kennwort falsch, wird ebenfalls eine Antwort gesendet und die Verbindung vom Server beendet. Microsoft CHAP (MS-CHAPv2) MS-CHAP existieret in zwei Versionen. Die ursprüngliche Versions (MS-CHAPv1) enthält massive Sicherheitslücken und sollte deshalb nicht mehr verwendet werden. Die aktuelle Version (MS-CHAPv2) wird bei allen PPTP-Verbindungen automatisch bevorzugt, sofern sie von beiden Seiten unterstützt wird.

Ähnliche Dokumente

VIRTUAL PRIVATE NETWORKS

VIRTUAL PRIVATE NETWORKS VIRTUAL PRIVATE NETWORKS Seminar: Internet-Technologie Dozent: Prof. Dr. Lutz Wegner Virtual Private Networks - Agenda 1. VPN Was ist das? Definition Anforderungen Funktionsweise Anwendungsbereiche Pro

Mehr

Security Associations Schlüsseltausch IKE Internet Key Exchange Automatischer Schlüsseltausch und Identitätsnachweis

Security Associations Schlüsseltausch IKE Internet Key Exchange Automatischer Schlüsseltausch und Identitätsnachweis Wie Interoperabel ist IPsec? Ein Erfahrungsbericht Arturo Lopez Senior Consultant März 2003 Agenda Internet Protokoll Security (IPsec) implementiert Sicherheit auf Layer 3 in OSI Modell Application Presentation

Mehr

Prof. Dr. Martin Leischner Netzwerksysteme und TK. Hochschule Bonn-Rhein-Sieg. Modul 5: IPSEC

Prof. Dr. Martin Leischner Netzwerksysteme und TK. Hochschule Bonn-Rhein-Sieg. Modul 5: IPSEC Modul 5: IPSEC Teil 1: Transport- und Tunnelmode / Authentication Header / Encapsulating Security Payload Security Association (SAD, SPD), IPsec-Assoziationsmanagements Teil 2: Das IKE-Protokoll Folie

Mehr

Beispielkonfiguration eines IPSec VPN Servers mit dem NCP Client

Beispielkonfiguration eines IPSec VPN Servers mit dem NCP Client (Für DFL-160) Beispielkonfiguration eines IPSec VPN Servers mit dem NCP Client Zur Konfiguration eines IPSec VPN Servers gehen bitte folgendermaßen vor. Konfiguration des IPSec VPN Servers in der DFL-160:

Mehr

Workshop: IPSec. 20. Chaos Communication Congress

Workshop: IPSec. 20. Chaos Communication Congress Cryx (cryx at h3q dot com), v1.1 Workshop: IPSec 20. Chaos Communication Congress In diesem Workshop soll ein kurzer Überblick über IPSec, seine Funktionsweise und Einsatzmöglichkeiten gegeben werden.

Mehr

Virtual Private Network. David Greber und Michael Wäger

Virtual Private Network. David Greber und Michael Wäger Virtual Private Network David Greber und Michael Wäger Inhaltsverzeichnis 1 Technische Grundlagen...3 1.1 Was ist ein Virtual Private Network?...3 1.2 Strukturarten...3 1.2.1 Client to Client...3 1.2.2

Mehr

Dynamisches VPN mit FW V3.64

Dynamisches VPN mit FW V3.64 Dieses Konfigurationsbeispiel zeigt die Definition einer dynamischen VPN-Verbindung von der ZyWALL 5/35/70 mit der aktuellen Firmware Version 3.64 und der VPN-Software "ZyXEL Remote Security Client" Die

Mehr

VPN IPSec Tunnel zwischen zwei DI-804HV / DI-824VUP+

VPN IPSec Tunnel zwischen zwei DI-804HV / DI-824VUP+ VPN IPSec Tunnel zwischen zwei DI-804HV / DI-824VUP+ Schritt für Schritt Anleitung DI-804HV Firmwarestand 1.41b03 DI-824VUP+ Firmwarestand 1.04b02 Seite 1: Netz 192.168.0.0 / 24 Seite 2: Netz 192.168.1.0

Mehr

HowTo: Einrichtung einer IPSec Verbindung mit einem IPSEC VPN Client zum DWC-1000 am Beispiel der Shrewsoft VPN Clientsoftware

HowTo: Einrichtung einer IPSec Verbindung mit einem IPSEC VPN Client zum DWC-1000 am Beispiel der Shrewsoft VPN Clientsoftware HowTo: Einrichtung einer IPSec Verbindung mit einem IPSEC VPN Client zum DWC-1000 am Beispiel der Shrewsoft VPN Clientsoftware [Voraussetzungen] 1. DWC-1000 mit Firmware Version: 4.2.0.3_B502 und höher

Mehr

Multicast Security Group Key Management Architecture (MSEC GKMArch)

Multicast Security Group Key Management Architecture (MSEC GKMArch) Multicast Security Group Key Management Architecture (MSEC GKMArch) draft-ietf-msec-gkmarch-07.txt Internet Security Tobias Engelbrecht Einführung Bei diversen Internetanwendungen, wie zum Beispiel Telefonkonferenzen

Mehr

Internet-Praktikum II Lab 3: Virtual Private Networks (VPN)

Internet-Praktikum II Lab 3: Virtual Private Networks (VPN) Kommunikationsnetze Internet-Praktikum II Lab 3: Virtual Private Networks (VPN) Andreas Stockmayer, Mark Schmidt Wintersemester 2016/17 http://kn.inf.uni-tuebingen.de Virtuelle private Netze (VPN) Ziel:

Mehr

Einrichtung von VPN für Mac Clients bei Nortel VPN Router

Einrichtung von VPN für Mac Clients bei Nortel VPN Router Einrichtung von VPN für Mac Clients bei Nortel VPN Router 2009 DeTeWe Communications GmbH! Seite 1 von 13 Einrichtung des Nortel VPN Routers (Contivity)! 3 Konfigurieren der globalen IPSec Einstellungen!

Mehr

D-Link VPN-IPSEC Test Aufbau

D-Link VPN-IPSEC Test Aufbau D-Link VPN-IPSEC Test Aufbau VPN - CLient Router oder NAT GW IPSEC GW (z.b 804 HV) Remote Netzwerk Konfigurationsbeispiel für einen 804-HV: Konfiguration der IPSEC Einstellungen für das Gateway: - Wählen

Mehr

VPN Virtual Private Network

VPN Virtual Private Network VPN Virtual Private Network LF10 - Betreuen von IT-Systemen Marc Schubert FI05a - BBS1 Mainz Lernfeld 10 Betreuen von IT-Systemen VPN Virtual Private Network Marc Schubert FI05a - BBS1 Mainz Lernfeld 10

Mehr

VPN unterstützt 3 verschiedene Szenarien: Host to Host: Dies kennzeichnet eine sichere 1:1 Verbindung zweier Computer, z.b. über das Internet.

VPN unterstützt 3 verschiedene Szenarien: Host to Host: Dies kennzeichnet eine sichere 1:1 Verbindung zweier Computer, z.b. über das Internet. 1. VPN Virtual Private Network Ein VPN wird eingesetzt, um eine teure dedizierte WAN Leitung (z.b. T1, E1) zu ersetzen. Die WAN Leitungen sind nicht nur teuer, sondern auch unflexibel, da eine Leitung

Mehr

How to install freesshd

How to install freesshd Enthaltene Funktionen - Installation - Benutzer anlegen - Verbindung testen How to install freesshd 1. Installation von freesshd - Falls noch nicht vorhanden, können Sie das Freeware Programm unter folgendem

Mehr

Inhalt. Erreichbarkeit von VPN-Gateways hinter einem Genexis FTTH-Abschlussrouter

Inhalt. Erreichbarkeit von VPN-Gateways hinter einem Genexis FTTH-Abschlussrouter Dieses Dokument beschreibt die notwendigen Einstellungen, um ein VPN-Gateway hinter einer Genexis OCG-218M/OCG-2018M und HRG1000 LIVE! TITANIUM trotz NAT-Funktion erreichbar zu machen. Inhalt 1 OCG-218M/OCG-2018M...

Mehr

NAT & VPN. Adressübersetzung und Tunnelbildung. Bastian Görstner

NAT & VPN. Adressübersetzung und Tunnelbildung. Bastian Görstner Adressübersetzung und Tunnelbildung Bastian Görstner Gliederung 1. NAT 1. Was ist ein NAT 2. Kategorisierung 2. VPN 1. Was heißt VPN 2. Varianten 3. Tunneling 4. Security Bastian Görstner 2 NAT = Network

Mehr

HowTo: Einrichtung von L2TP over IPSec VPN

HowTo: Einrichtung von L2TP over IPSec VPN HowTo: Einrichtung von L2TP over IPSec VPN [Voraussetzungen] 1. DWC-1000/2000 mit Firmware Version: 4.4.1.2 und höher mit aktivierter VPN-Lizenz 2. DSR-150N,250N,500N,1000N,1000AC mit Firmware Version

Mehr

Virtual Private Networks. Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH

Virtual Private Networks. Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH Virtual Private Networks Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH Inhalt Einleitung Grundlagen Kryptographie IPSec Firewall Point-to-Point Tunnel Protokoll Layer 2 Tunnel Protokoll Secure Shell

Mehr

Collax PPTP-VPN. Howto

Collax PPTP-VPN. Howto Collax PPTP-VPN Howto Dieses Howto beschreibt wie ein Collax Server innerhalb weniger Schritte als PPTP-VPN Server eingerichtet werden kann, um Clients Zugriff ins Unternehmensnetzwerk von außen zu ermöglichen.

Mehr

ISA Server 2004 Erstellen eines neuen Netzwerkes - Von Marc Grote

ISA Server 2004 Erstellen eines neuen Netzwerkes - Von Marc Grote Seite 1 von 10 ISA Server 2004 Erstellen eines neuen Netzwerkes - Von Marc Grote Die Informationen in diesem Artikel beziehen sich auf: Microsoft ISA Server 2004 Einleitung Microsoft ISA Server 2004 bietet

Mehr

Konfigurationsbeispiel USG

Konfigurationsbeispiel USG ZyWALL USG L2TP VPN over IPSec Dieses Konfigurationsbeispiel zeigt das Einrichten einer L2TP Dial-Up-Verbindung (Windows XP, 2003 und Vista) auf eine USG ZyWALL. L2TP over IPSec ist eine Kombination des

Mehr

Security + Firewall. 3.0 IPsec Client Einwahl. 3.1 Szenario

Security + Firewall. 3.0 IPsec Client Einwahl. 3.1 Szenario 3.0 IPsec Client Einwahl 3.1 Szenario In dem folgenden Szenario werden Sie eine IPsec Verbindung zwischen einem IPsec Gateway und dem IPsec Client konfigurieren. Die Zentrale hat eine feste IP-Adresse

Mehr

IPsec. Vortrag im Rahmen des Seminars Neue Internet Technologien

IPsec. Vortrag im Rahmen des Seminars Neue Internet Technologien IPsec Vortrag im Rahmen des Seminars Neue Internet Technologien Friedrich Schiller Universität Jena Wintersemester 2003/2004 Thomas Heinze, Matrikel xxxxx Gliederung IPsec? - Motivation, Grundbegriffe,

Mehr

VPN: wired and wireless

VPN: wired and wireless VPN: wired and wireless Fachbereich Informatik (FB 20) Fachgruppe: Security Engineering Modul: 2000096VI LV-9 er Skriptum und Literatur: http://www2.seceng.informatik.tu-darmstadt.de/vpn10/ Wolfgang BÖHMER,

Mehr

Stefan Dahler. 1. Remote ISDN Einwahl. 1.1 Einleitung

Stefan Dahler. 1. Remote ISDN Einwahl. 1.1 Einleitung 1. Remote ISDN Einwahl 1.1 Einleitung Im Folgenden wird die Konfiguration einer Dialup ISDN Verbindungen beschrieben. Sie wählen sich über ISDN von einem Windows Rechner aus in das Firmennetzwerk ein und

Mehr

VPN: Virtual-Private-Networks

VPN: Virtual-Private-Networks Referate-Seminar WS 2001/2002 Grundlagen, Konzepte, Beispiele Seminararbeit im Fach Wirtschaftsinformatik Justus-Liebig-Universität Giessen 03. März 2002 Ziel des Vortrags Beantwortung der folgenden Fragen:

Mehr

Modul 4: IPsec Teil 1

Modul 4: IPsec Teil 1 Modul 4: IPsec Teil 1 Teil 1: Transport- und Tunnelmode Authentication Header Encapsulating Security Payload IPsec Architektur (Security Association, SAD, SPD), Teil 2: Das IKE-Protokoll Folie 1 Struktur

Mehr

Übersicht. Was ist FTP? Übertragungsmodi. Sicherheit. Öffentliche FTP-Server. FTP-Software

Übersicht. Was ist FTP? Übertragungsmodi. Sicherheit. Öffentliche FTP-Server. FTP-Software FTP Übersicht Was ist FTP? Übertragungsmodi Sicherheit Öffentliche FTP-Server FTP-Software Was ist FTP? Protokoll zur Dateiübertragung Auf Schicht 7 Verwendet TCP, meist Port 21, 20 1972 spezifiziert Übertragungsmodi

Mehr

Firewall oder Router mit statischer IP

Firewall oder Router mit statischer IP Firewall oder Router mit statischer IP Dieses Konfigurationsbeispiel zeigt das Einrichten einer VPN-Verbindung zu einer ZyXEL ZyWALL oder einem Prestige ADSL Router. Das Beispiel ist für einen Rechner

Mehr

Systemvoraussetzungen Hosting

Systemvoraussetzungen Hosting Hosting OCLC GmbH Betriebsstätte Böhl-Iggelheim Am Bahnhofsplatz 1 E-Mail: 67459 Böhl-Iggelheim bibliotheca@oclc.org Tel. +49-(0)6324-9612-0 Internet: Fax +49-(0)6324-9612-4005 www.oclc.org Impressum Titel

Mehr

Virtual Private Network

Virtual Private Network Virtual Private Network Allgemeines zu VPN-Verbindungen WLAN und VPN-TUNNEL Der VPN-Tunnel ist ein Programm, das eine sichere Verbindung zur Universität herstellt. Dabei übernimmt der eigene Rechner eine

Mehr

Exkurs: IPSec. <muehlber@fh-brandenburg.de> Brandenburg an der Havel, den 5. Juni 2005

Exkurs: IPSec. <muehlber@fh-brandenburg.de> Brandenburg an der Havel, den 5. Juni 2005 Exkurs: IPSec Brandenburg an der Havel, den 5. Juni 2005 1 Gliederung 1. IPSec: Problem und Lösung 2. Übertragungsmodi 3. Encapsulating Security Payload 4. Authentication Header

Mehr

Modul 6 Virtuelle Private Netze (VPNs) und Tunneling

Modul 6 Virtuelle Private Netze (VPNs) und Tunneling Modul 6 Virtuelle Private Netze (VPNs) und Tunneling M. Leischner Netzmanagement Folie 1 Virtuelle Private Netze Begriffsdefinition Fortsetz. VPNC Definition "A virtual private network (VPN) is a private

Mehr

Klicken Sie mit einem Doppelklick auf das Symbol Arbeitsplatz auf Ihrem Desktop. Es öffnet sich das folgende Fenster.

Klicken Sie mit einem Doppelklick auf das Symbol Arbeitsplatz auf Ihrem Desktop. Es öffnet sich das folgende Fenster. ADSL INSTALLATION WINDOWS 2000 Für die Installation wird folgendes benötigt: Alcatel Ethernet-Modem Splitter für die Trennung Netzwerkkabel Auf den folgenden Seiten wird Ihnen in einfachen und klar nachvollziehbaren

Mehr

Konfigurationsbeispiel

Konfigurationsbeispiel ZyWALL 1050 dynamisches VPN Dieses Konfigurationsbeispiel zeigt, wie man einen VPN-Tunnel mit einer dynamischen IP-Adresse auf der Client-Seite und einer statischen öffentlichen IP-Adresse auf der Server-Seite

Mehr

Anleitung zur Einrichtung eines Lan-to-Lan Tunnels zwischen einen DI-804HV und einer DSR (Für DI-804HV ab Firmware 1.44b06 und DSR-250N/500N/1000N)

Anleitung zur Einrichtung eines Lan-to-Lan Tunnels zwischen einen DI-804HV und einer DSR (Für DI-804HV ab Firmware 1.44b06 und DSR-250N/500N/1000N) Anleitung zur Einrichtung eines Lan-to-Lan Tunnels zwischen einen DI-804HV und einer DSR (Für DI-804HV ab Firmware 1.44b06 und DSR-250N/500N/1000N) Einrichtung des DI-804HV (Einrichtung des DSR ab Seite

Mehr

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: - Ein Bootimage ab Version 7.4.4. - Optional einen DHCP Server.

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: - Ein Bootimage ab Version 7.4.4. - Optional einen DHCP Server. 1. Dynamic Host Configuration Protocol 1.1 Einleitung Im Folgenden wird die Konfiguration von DHCP beschrieben. Sie setzen den Bintec Router entweder als DHCP Server, DHCP Client oder als DHCP Relay Agent

Mehr

Autor: St. Dahler. Für Phase 2, der eigentlichen Verschlüsselung der Daten stellen Sie das ESP Protokoll ein mit der Verschlüsselung DES3 und SHA1.

Autor: St. Dahler. Für Phase 2, der eigentlichen Verschlüsselung der Daten stellen Sie das ESP Protokoll ein mit der Verschlüsselung DES3 und SHA1. IPSec Verbindung zwischen Watchguard und Bintec IPSec zwischen Watchguard und X1200 - auf beiden Seiten statische IP-Adressen IP: 81.213.30.2 IPSec-Tunnel IP: 62.134.120.112 Internet IP: 192.168.200.1

Mehr

FTP-Leitfaden RZ. Benutzerleitfaden

FTP-Leitfaden RZ. Benutzerleitfaden FTP-Leitfaden RZ Benutzerleitfaden Version 1.4 Stand 08.03.2012 Inhaltsverzeichnis 1 Einleitung... 3 1.1 Zeitaufwand... 3 2 Beschaffung der Software... 3 3 Installation... 3 4 Auswahl des Verbindungstyps...

Mehr

Dynamisches VPN mit FW V3.64

Dynamisches VPN mit FW V3.64 Dieses Konfigurationsbeispiel zeigt die Definition einer dynamischen VPN-Verbindung von der ZyWALL 5/35/70 mit der aktuellen Firmware Version 3.64 und der VPN-Software "TheGreenBow". Die VPN-Definitionen

Mehr

msm net ingenieurbüro meissner kompetent - kreativ - innovativ

msm net ingenieurbüro meissner kompetent - kreativ - innovativ Das nachfolgende Dokument wird unter der GPL- Lizenz veröffentlicht. - Technical Whitepaper - Konfiguration L2TP-IPSEC VPN Verbindung unter Linux mit KVpnc - VPN Gateway basierend auf strongswan Voraussetzungen

Mehr

HostProfis ISP ADSL-Installation Windows XP 1

HostProfis ISP ADSL-Installation Windows XP 1 ADSL INSTALLATION WINDOWS XP Für die Installation wird folgendes benötigt: Alcatel Ethernet-Modem Splitter für die Trennung Netzwerkkabel Auf den folgenden Seiten wird Ihnen in einfachen und klar nachvollziehbaren

Mehr

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: 2. Client (WEP / WPA / WPA2) 2.1 Einleitung Im Folgenden wird die Konfiguration des Client Modus gezeigt. Der Access Point baut stellvertretend für die Computer im Netzwerk eine Wireless Verbindung als

Mehr

Grundlagen der Rechnernetze. Internetworking

Grundlagen der Rechnernetze. Internetworking Grundlagen der Rechnernetze Internetworking Übersicht Grundlegende Konzepte Internet Routing Limitierter Adressbereich SS 2012 Grundlagen der Rechnernetze Internetworking 2 Grundlegende Konzepte SS 2012

Mehr

How-to: VPN mit IPSec und Gateway to Gateway. Securepoint Security System Version 2007nx

How-to: VPN mit IPSec und Gateway to Gateway. Securepoint Security System Version 2007nx Securepoint Security System Version 2007nx Inhaltsverzeichnis VPN mit IPSec und Gateway to Gateway... 3 1 Konfiguration der Appliance... 4 1.1 Erstellen von Netzwerkobjekten im Securepoint Security Manager...

Mehr

Step by Step VPN unter Windows Server 2003. von Christian Bartl

Step by Step VPN unter Windows Server 2003. von Christian Bartl Step by Step VPN unter Windows Server 2003 von VPN unter Windows Server 2003 Einrichten des Servers 1. Um die VPN-Funktion des Windows 2003 Servers zu nutzen muss der Routing- und RAS-Serverdienst installiert

Mehr

Installation mit Lizenz-Server verbinden

Installation mit Lizenz-Server verbinden Einsteiger Fortgeschrittene Profis markus.meinl@m-quest.ch Version 1.0 Voraussetzungen für diesen Workshop 1. Die M-Quest Suite 2005-M oder höher ist auf diesem Rechner installiert 2. Der M-Lock 2005 Lizenzserver

Mehr

ADSL-Verbindungen über PPtP (Mac OS X 10.1)

ADSL-Verbindungen über PPtP (Mac OS X 10.1) ADSL-Verbindungen über PPtP (Mac OS X 10.1) Wenn Sie einen ADSL-Anschluß haben und so eine Verbindung ins Internet herstellen wollen, dann gibt es dafür zwei Protokolle: PPP over Ethernet (PPoE) und das

Mehr

Modul 6 Virtuelle Private Netze (VPNs) und Tunneling

Modul 6 Virtuelle Private Netze (VPNs) und Tunneling Modul 6 Virtuelle Private Netze (VPNs) und Tunneling M. Leischner Sicherheit in Netzen Folie 1 Virtuelle Private Netze - Begriffsdefinition Wiki-Definition " Virtual Private Network (deutsch virtuelles

Mehr

How-to: VPN mit L2TP und dem Windows VPN-Client. Securepoint Security System Version 2007nx

How-to: VPN mit L2TP und dem Windows VPN-Client. Securepoint Security System Version 2007nx Securepoint Security System Version 2007nx Inhaltsverzeichnis VPN mit L2TP und dem Windows VPN-Client... 3 1 Konfiguration der Appliance... 4 1.1 Erstellen von Netzwerkobjekten im Securepoint Security

Mehr

Virtual Private Network

Virtual Private Network Virtual Private Network Unter einem Virtual Private Network (VPN) versteht man eine durch geeignete Verschlüsselungs- und Authentifizierungsmechanismen geschützte Verbindung zwischen 2 Rechnern ( und VPN-Gateway)

Mehr

Wortmann AG. Terra Black Dwraf

Wortmann AG. Terra Black Dwraf Terra Black Dwraf Inhalt 1 VPN... 3 2 Konfigurieren der dyndns Einstellungen... 4 3 VPN-Verbindung mit dem IPSec Wizard erstellen... 5 4 Verbindung bearbeiten... 6 5 Netzwerkobjekte anlegen... 8 6 Regel

Mehr

HOBLink VPN 2.1 Gateway

HOBLink VPN 2.1 Gateway Secure Business Connectivity HOBLink VPN 2.1 Gateway die VPN-Lösung für mehr Sicherheit und mehr Flexibilität Stand 02 15 Mehr Sicherheit für Unternehmen Mit HOBLink VPN 2.1 Gateway steigern Unternehmen

Mehr

IT-Sicherheit Kapitel 10 IPSec

IT-Sicherheit Kapitel 10 IPSec IT-Sicherheit Kapitel 10 IPSec Dr. Christian Rathgeb Sommersemester 2014 1 TCP/IP TCP/IP-Schichtenmodell: 2 TCP/IP Sicherheitsmechanismen in den Schichten: 3 TCP/IP TCP verpackt die Anwenderdaten in eine

Mehr

Application Note MiniRouter: IPsec-Konfiguration und -Zugriff

Application Note MiniRouter: IPsec-Konfiguration und -Zugriff Application Note MiniRouter: IPsec-Konfiguration und -Zugriff Dieses Dokument beschreibt die Konfiguration für den Aufbau einer IPsec-Verbindung von einem PC mit Windows XP Betriebssystem und dem 1. Ethernet-Port

Mehr

OP-LOG www.op-log.de

OP-LOG www.op-log.de Verwendung von Microsoft SQL Server, Seite 1/18 OP-LOG www.op-log.de Anleitung: Verwendung von Microsoft SQL Server 2005 Stand Mai 2010 1 Ich-lese-keine-Anleitungen 'Verwendung von Microsoft SQL Server

Mehr

2 Die Terminaldienste Prüfungsanforderungen von Microsoft: Lernziele:

2 Die Terminaldienste Prüfungsanforderungen von Microsoft: Lernziele: 2 Die Terminaldienste Prüfungsanforderungen von Microsoft: Configuring Terminal Services o Configure Windows Server 2008 Terminal Services RemoteApp (TS RemoteApp) o Configure Terminal Services Gateway

Mehr

Root-Server für anspruchsvolle Lösungen

Root-Server für anspruchsvolle Lösungen Root-Server für anspruchsvolle Lösungen I Produktbeschreibung serverloft Internes Netzwerk / VPN Internes Netzwerk Mit dem Produkt Internes Netzwerk bietet serverloft seinen Kunden eine Möglichkeit, beliebig

Mehr

Einrichtung des Cisco VPN Clients (IPSEC) in Windows7

Einrichtung des Cisco VPN Clients (IPSEC) in Windows7 Einrichtung des Cisco VPN Clients (IPSEC) in Windows7 Diese Verbindung muss einmalig eingerichtet werden und wird benötigt, um den Zugriff vom privaten Rechner oder der Workstation im Home Office über

Mehr

Das Kerberos-Protokoll

Das Kerberos-Protokoll Konzepte von Betriebssystemkomponenten Schwerpunkt Authentifizierung Das Kerberos-Protokoll Referent: Guido Söldner Überblick über Kerberos Network Authentication Protocol Am MIT Mitte der 80er Jahre entwickelt

Mehr

ISA Server 2004 Site to Site VPN mit L2TP/IPSEC - Von Marc Grote

ISA Server 2004 Site to Site VPN mit L2TP/IPSEC - Von Marc Grote ISA Server 2004 Site to Site VPN mit L2TP/IPSEC - Von Marc Grote Die Informationen in diesem Artikel beziehen sich auf:? Microsoft ISA Server 2004 Einleitung Dieser Artikel beschreibt die Einrichtung eines

Mehr

Secure Sockets Layer (SSL) Prof. Dr. P. Trommler

Secure Sockets Layer (SSL) Prof. Dr. P. Trommler Secure Sockets Layer (SSL) Prof. Dr. P. Trommler Übersicht Internetsicherheit Protokoll Sitzungen Schlüssel und Algorithmen vereinbaren Exportversionen Public Keys Protokollnachrichten 29.10.2003 Prof.

Mehr

Eine Open Source SSL VPN Lösung. Patrick Oettinger Deutsche Telekom AG 2. Ausbildungsjahr

Eine Open Source SSL VPN Lösung. Patrick Oettinger Deutsche Telekom AG 2. Ausbildungsjahr p Eine Open Source SSL VPN Lösung Patrick Oettinger Deutsche Telekom AG 2. Ausbildungsjahr Inhaltsverzeichnis Simon Singh über die Verschlüsslungen Facts about OpenVPN Hintergrund Funktionsweise inkl.

Mehr

Infinigate (Schweiz) AG. Secure Guest Access. - Handout -

Infinigate (Schweiz) AG. Secure Guest Access. - Handout - Infinigate (Schweiz) AG Secure Guest Access - Handout - by Christoph Barreith, Senior Security Engineer 29.05.2012 1 Inhaltsverzeichnis 1 Inhaltsverzeichnis... 1 2 Secure Guest Access... 2 2.1 Gäste Accounts

Mehr

1. IPSec Verbindung zwischen 2 Gateways mit dynamischen IP Adressen

1. IPSec Verbindung zwischen 2 Gateways mit dynamischen IP Adressen 1. IPSec Verbindung zwischen 2 Gateways mit dynamischen IP Adressen 1.1 Einleitung Im Folgenden wird die Konfiguration einer IPsec Verbindung mit dynamischen IP-Adressen auf beiden Seiten beschrieben.

Mehr

Windows Server 2008 R2 und Windows 7 Stand-Alone Arbeitsplatz per VPN mit L2TP/IPSec und Zertifikaten verbinden.

Windows Server 2008 R2 und Windows 7 Stand-Alone Arbeitsplatz per VPN mit L2TP/IPSec und Zertifikaten verbinden. Windows Server 2008 R2 und Windows 7 Stand-Alone Arbeitsplatz per VPN mit L2TP/IPSec und Zertifikaten verbinden. Inhalt Voraussetzungen in diesem Beispiel... 1 Sicherstellen dass der Domänenbenutzer sich

Mehr

Um IPSec zu konfigurieren, müssen Sie im Folgenden Menü Einstellungen vornehmen:

Um IPSec zu konfigurieren, müssen Sie im Folgenden Menü Einstellungen vornehmen: 1. IPSec Verbindung zwischen IPSec Client und Gateway 1.1 Einleitung Im Folgenden wird die Konfiguration einer IPSec Verbindung vom Bintec IPSec Client zum Gateway gezeigt. Dabei spielt es keine Rolle,

Mehr

Modul 2: IPSEC. Ergänzung IKEv2. Prof. Dr. Martin Leischner Netzwerksysteme und TK. Hochschule Bonn-Rhein-Sieg

Modul 2: IPSEC. Ergänzung IKEv2. Prof. Dr. Martin Leischner Netzwerksysteme und TK. Hochschule Bonn-Rhein-Sieg Modul 2: IPSEC Ergänzung IKEv2 M. Leischner Sicherheit in Netzen Folie 1 Übersicht Ablauf von IPsec mit IKEv2 Start: IPSec Phase 1.1 IKEv2: IKE_INIT Phase 1.2 IKEv2: IKE_AUTH Phase 2 IKEv2: CREATE_CHILD_SA

Mehr

ICMP Internet Control Message Protocol. Michael Ziegler

ICMP Internet Control Message Protocol. Michael Ziegler ICMP Situation: Komplexe Rechnernetze (Internet, Firmennetze) Netze sind fehlerbehaftet Viele verschiedene Fehlerursachen Administrator müsste zu viele Fehlerquellen prüfen Lösung: (ICMP) Teil des Internet

Mehr

Bernd Blümel. Verschlüsselung. Prof. Dr. Blümel

Bernd Blümel. Verschlüsselung. Prof. Dr. Blümel Bernd Blümel 2001 Verschlüsselung Gliederung 1. Symetrische Verschlüsselung 2. Asymetrische Verschlüsselung 3. Hybride Verfahren 4. SSL 5. pgp Verschlüsselung 111101111100001110000111000011 1100110 111101111100001110000111000011

Mehr

Konfigurationsanleitung Access Control Lists (ACL) Funkwerk. Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1.0.

Konfigurationsanleitung Access Control Lists (ACL) Funkwerk. Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1.0. Konfigurationsanleitung Access Control Lists (ACL) Funkwerk Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1.0 Seite - 1 - 1. Konfiguration der Access Listen 1.1 Einleitung Im Folgenden

Mehr

Prinzipiell wird bei IP-basierenden VPNs zwischen zwei unterschiedlichen Ansätzen unterschieden:

Prinzipiell wird bei IP-basierenden VPNs zwischen zwei unterschiedlichen Ansätzen unterschieden: Abkürzung für "Virtual Private Network" ein VPN ist ein Netzwerk bestehend aus virtuellen Verbindungen (z.b. Internet), über die nicht öffentliche bzw. firmeninterne Daten sicher übertragen werden. Die

Mehr

Seite - 1 - 3. Wireless Distribution System (Routing / Bridging) 3.1 Einleitung

Seite - 1 - 3. Wireless Distribution System (Routing / Bridging) 3.1 Einleitung 3. Wireless Distribution System (Routing / ) 3.1 Einleitung Im Folgenden wird die Konfiguration des Wireless Distribution Modus gezeigt. Sie nutzen zwei Access Points um eine größere Strecke über Funk

Mehr

Windows 7 mittels Shrew Soft VPN Client per VPN mit FRITZ!Box 7390 (FRITZ!OS 6) verbinden

Windows 7 mittels Shrew Soft VPN Client per VPN mit FRITZ!Box 7390 (FRITZ!OS 6) verbinden Windows 7 mittels Shrew Soft VPN Client per VPN mit FRITZ!Box 7390 (FRITZ!OS 6) verbinden Veröffentlicht am 28.11.2013 In FRITZ!OS 6.00 (84.06.00) gibt es neuerdings die Möglichkeit, VPN Verbindungen direkt

Mehr

VPN-Verbindung zwischen LANCOM und integrierten VPN-Client im MacOS X 10.6 Snow Leopard

VPN-Verbindung zwischen LANCOM und integrierten VPN-Client im MacOS X 10.6 Snow Leopard LANCOM Support Knowledgebase Dokument-Nr. 0911.0913.3223.RHOO - V1.60 VPN-Verbindung zwischen LANCOM und integrierten VPN-Client im MacOS X 10.6 Snow Leopard Beschreibung: Dieses Dokument beschreibt die

Mehr

How to: VPN mit L2TP und dem Windows VPN-Client Version 2007nx Release 3

How to: VPN mit L2TP und dem Windows VPN-Client Version 2007nx Release 3 Inhalt 1 Konfiguration der Appliance... 4 1.1 Erstellen von Netzwerkobjekten im Securepoint Security Manager... 4 1.2 Erstellen von Firewall-Regeln... 5 1.3 L2TP Grundeinstellungen... 6 1.4 L2TP Konfiguration...

Mehr

D r e ISP S P i m K l K as a s s e s n e r n au a m H.Funk, BBS II Leer

D r e ISP S P i m K l K as a s s e s n e r n au a m H.Funk, BBS II Leer Der ISP im Klassenraum H.Funk, BBS II Leer Überblick Agenda: Ziel des Workshops Grundlagen PPPoE Realisierung eines lokalen PPPoE Servers Port-Forwarding DNS / DDNS Ziel des Workshops Ein Netzwerk vergleichbar

Mehr

Connectivity Everywhere

Connectivity Everywhere Connectivity Everywhere Ich bin im Netz, aber wie komme ich sicher nach hause? Tricks fuer mobile Internet Nutzer Überblick Sicherheitsprobleme beim mobilen IP-Nutzer Konventionelle Loesung: IP-Tunnel

Mehr

IPv6. Übersicht. Präsentation von Mark Eichmann Klasse WI04f 22. November 2005

IPv6. Übersicht. Präsentation von Mark Eichmann Klasse WI04f 22. November 2005 Präsentation von Mark Eichmann Klasse WI04f 22. November 2005 Übersicht Geschichte Die Neuerungen von Warum? Häufige Missverständnisse Der Header eines -Paketes Adressaufbau von Übergang von zu Neue Versionen

Mehr

VPN (Virtual Private Network)

VPN (Virtual Private Network) VPN (Virtual Private Network) basierend auf Linux (Debian) Server Praktikum Protokolle Bei Prof. Dr. Gilbert Brands Gliederung Gliederung 1. Was ist VPN 2. VPN-Implementierungen 3. Funktionsweise von OpenVPN

Mehr

Software zur Anbindung Ihrer Maschinen über Wireless- (GPRS/EDGE) und Breitbandanbindungen (DSL, LAN)

Software zur Anbindung Ihrer Maschinen über Wireless- (GPRS/EDGE) und Breitbandanbindungen (DSL, LAN) Software zur Anbindung Ihrer Maschinen über Wireless- (GPRS/EDGE) und Breitbandanbindungen (DSL, LAN) Definition Was ist Talk2M? Talk2M ist eine kostenlose Software welche eine Verbindung zu Ihren Anlagen

Mehr

ISA Server 2006 - Exchange RPC over HTTPS mit NTLM-Authentifizierung

ISA Server 2006 - Exchange RPC over HTTPS mit NTLM-Authentifizierung Seite 1 von 24 ISA Server 2006 - Exchange RPC over HTTPS mit NTLM-Authentifizierung Die Informationen in diesem Artikel beziehen sich auf: Microsoft ISA Server 2006 Microsoft Windows Server 2003 SP1 Microsoft

Mehr

IT-Sicherheit Kapitel 11 SSL/TLS

IT-Sicherheit Kapitel 11 SSL/TLS IT-Sicherheit Kapitel 11 SSL/TLS Dr. Christian Rathgeb Sommersemester 2014 1 Einführung SSL/TLS im TCP/IP-Stack: SSL/TLS bietet (1) Server-Authentifizierung oder Server und Client- Authentifizierung (2)

Mehr

Remote Access. Virtual Private Networks. 2000, Cisco Systems, Inc.

Remote Access. Virtual Private Networks. 2000, Cisco Systems, Inc. Remote Access Virtual Private Networks 2000, Cisco Systems, Inc. 1 Remote Access Telefon/Fax WWW Banking E-mail Analog (?) ISDN xdsl... 2 VPNs... Strong encryption, authentication Router, Firewalls, Endsysteme

Mehr

IPsec. Chair for Communication Technology (ComTec), Faculty of Electrical Engineering / Computer Science

IPsec. Chair for Communication Technology (ComTec), Faculty of Electrical Engineering / Computer Science IPsec Chair for Communication Technology (ComTec), Faculty of Electrical Engineering / Computer Science Einleitung Entwickelt 1998 um Schwächen von IP zu verbessern Erweitert IPv4 um: Vertraulichkeit (Unberechtigter

Mehr

Internet. ZyWALL- und CheckPoint-NG/VPN-Konfiguration. Konfigurationsbeispiel ZyXEL ZyWALL

Internet. ZyWALL- und CheckPoint-NG/VPN-Konfiguration. Konfigurationsbeispiel ZyXEL ZyWALL ZyWALL- und CheckPoint-NG/VPN-Konfiguration CheckPoint Next-Generation ZyWALL Internet Dieses Konfigurationsbeispiel erklärt, wie man eine VPN-Verbindung zwischen einer ZyWall und einem CheckPoint-Next-Generation

Mehr

9 Schlüsseleinigung, Schlüsselaustausch

9 Schlüsseleinigung, Schlüsselaustausch 9 Schlüsseleinigung, Schlüsselaustausch Ziel: Sicherer Austausch von Schlüsseln über einen unsicheren Kanal initiale Schlüsseleinigung für erste sichere Kommunikation Schlüsselerneuerung für weitere Kommunikation

Mehr

Virtual Private Networks Hohe Sicherheit wird bezahlbar

Virtual Private Networks Hohe Sicherheit wird bezahlbar Virtual Private Networks Hohe Sicherheit wird bezahlbar Paul Schöbi, cnlab AG paul.schoebi@cnlab.ch www.cnlab.ch Präsentation unter repertoire verfügbar 27.10.99 1 : Internet Engineering Dr. Paul Schöbi

Mehr

How-to: VPN mit PPTP und dem Windows VPN-Client. Securepoint Security System Version 2007nx

How-to: VPN mit PPTP und dem Windows VPN-Client. Securepoint Security System Version 2007nx How-to: VPN mit PPTP und dem Windows VPN-Client Securepoint Security System Version 2007nx Inhaltsverzeichnis VPN mit PPTP und dem Windows VPN-Client... 3 1 Konfiguration der Appliance... 4 1.1 Erstellen

Mehr

Konfiguration eines Lan-to-Lan VPN Tunnels

Konfiguration eines Lan-to-Lan VPN Tunnels Konfiguration eines Lan-to-Lan VPN Tunnels (Für DI-804HV/DI-824VUP+ zusammen mit DFL-210/260/800/860/1600/2500) Zur Konfiguration eines Lan-to-Lan VPN Tunnels zwischen z.b. DI-804HV und DFL-800 gehen Sie

Mehr

Konfigurationsbeispiel USG & ZyWALL

Konfigurationsbeispiel USG & ZyWALL ZyXEL OTP (One Time Password) mit IPSec-VPN Konfigurationsbeispiel USG & ZyWALL Die Anleitung beschreibt, wie man den ZyXEL OTP Authentication Radius Server zusammen mit einer ZyWALL oder einer USG-Firewall

Mehr

Das RSA-Verschlüsselungsverfahren 1 Christian Vollmer

Das RSA-Verschlüsselungsverfahren 1 Christian Vollmer Das RSA-Verschlüsselungsverfahren 1 Christian Vollmer Allgemein: Das RSA-Verschlüsselungsverfahren ist ein häufig benutztes Verschlüsselungsverfahren, weil es sehr sicher ist. Es gehört zu der Klasse der

Mehr

VPN/WLAN an der Universität Freiburg

VPN/WLAN an der Universität Freiburg VPN/WLAN an der Universität Freiburg Konfigurationsanleitung für MAC 10.2 in Verbindung mit dem VPN- Client in der Version 4.0: Bitte beachten Sie, dass Sie auf Ihrem Rechner über Administrationsrechte

Mehr

Abgesetzte Nebenstelle TECHNIK-TIPPS VON per VPN

Abgesetzte Nebenstelle TECHNIK-TIPPS VON per VPN Abgesetzte Nebenstelle VPN Nachfolgend wird beschrieben, wie vier Standorte mit COMfortel 2500 VoIP Systemtelefonen an eine COMpact 5020 VoIP Telefonanlage als abgesetzte Nebenstelle angeschlossen werden.

Mehr

Anbindung des eibport an das Internet

Anbindung des eibport an das Internet Anbindung des eibport an das Internet Ein eibport wird mit einem lokalen Router mit dem Internet verbunden. Um den eibport über diesen Router zu erreichen, muss die externe IP-Adresse des Routers bekannt

Mehr

Mail encryption Gateway

Mail encryption Gateway Mail encryption Gateway Anwenderdokumentation Copyright 06/2015 by arvato IT Support All rights reserved. No part of this document may be reproduced or transmitted in any form or by any means, electronic

Mehr

Aurorean Virtual Network

Aurorean Virtual Network Übersicht der n Seite 149 Aurorean Virtual Network Aurorean ist die VPN-Lösung von Enterasys Networks und ist als eine Enterprise-class VPN-Lösung, auch als EVPN bezeichnet, zu verstehen. Ein EVPN ist

Mehr
2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback