VPN Virtuelle Private Netzwerke

Größe: px
Ab Seite anzeigen:

Download "VPN Virtuelle Private Netzwerke"

Transkript

1 Manfred Lipp VPN Virtuelle Private Netzwerke Aufbau und Sicherheit ADDISON-WESLEY An imprint of Pearson Education München Boston San Francisco Harlow, England Don Mills, Ontario Sydney Mexico City Madrid Amsterdam

2 Tunneling Tunneling ist die Basis praktisch aller VPNs. Mit Hilfe dieser Technologie kann man Pakete eines Netzwerkprotokolls in Pakete eines anderen Netzwerkprotokolls einkapseln und über dieses Netzwerk übertragen. Auf diese Weise kann man zum Beispiel X- Pakete durch ein -Netzwerk transportieren. Eine andere, speziell für -Netze interessante Anwendung ist das Verstecken von privaten, nicht registrierten Netzwerk- und Hostadressen, indem man in tunnelt. Auf diese Weise kann man seine privaten Netze über das Internet miteinander verbinden. Man kapselt hierzu die -Pakete mit privaten Adressen in Pakete mit offiziell registrierten -Adressen ein und transportiert diese durch das Internet zur Gegenstelle, welche die originalen Pakete wieder auspackt. Übertragungsstrecke Tunnel- Endpunkt Tunneling-Protokoll Tunnel- Endpunkt L-3 Encapsulation L-3 Protocol L-3 Decapsulation L-3 Abbildung 3.1: Das Prinzip aller Tunneling-Protokolle Es gibt eine ganze Reihe von Tunneling-Protokollen, von denen jedoch drei eine besondere Rolle spielen: das Layer 2 Tunneling Protocol (L2TP), das -Security Protocol (Sec) im Tunnel-Modus und Multi Protocol Label Switching (MPLS). Diese drei Protokolle sind standardisiert, und sie verdrängen zunehmend alle anderen Tunneling-Protokolle in Neuinstallationen. SSL, obwohl immer öfter in VPN eingesetzt, ist kein Tunneling-Protokoll. Hier müssen zu SSL externe Komponenten die Einkapselung von UDP-, TCP- oder -Paketen vornehmen. In Abbildung 3.1 ist das Prinzip des Tunnelings veranschaulicht. Die Netzwerkpakete (Layer 3) werden in andere Netzwerkpakete mit einem neuen Layer-3- eingekapselt (Encapsulation), und es wird ein Tunnel- eingefügt. An diesem, der zwischen dem neuen Layer-3- und der Nutzlast angeordnet sein muss, erkennt der Empfänger, dass es sich um ein Paket des betreffenden Tunneling-Protokolls handelt. Er wertet den aus, entpackt das originale Paket (Decapsulation) und transportiert es weiter. Zwischen dem Sender und dem Empfänger, den so genannten Tunnelendpunkten, die durch die Netzwerkadressen des neuen Layer-3-s festgelegt sind, besteht eine Tunnelverbindung.

3 In manchen Fällen ist es nicht notwendig, im -Protokoll einen speziellen Tunnel- einzufügen, denn gemäß dem Standard benutzt man das Protokollfeld des -s, um anzuzeigen, welches Protokoll auf den folgt. Üblicherweise ist dies TCP (mit Protokollnummer 6) oder UDP (mit Protokollnummer 17). Wenn jedoch die Nummer 4 () in diesem Feld enthalten ist, weiß die Gegenstelle, dass ein -Paket folgt, also ein vollständiges Paket eingekapselt wurde. Auf diese Weise kann man -in--tunneling extrem effizient ohne einen zusätzlichen verwenden. Die Tunnelendpunkte können in der Regel sowohl normalen Netzwerkverkehr als auch Tunnelpakete verarbeiten. Wie ein Paket zu behandeln ist, erkennt der Empfänger am Tunnel- oder an der -Protokollnummer. Der Sender nimmt eine Einkapselung aufgrund der Verarbeitungsstrategie einer höheren Protokollschicht vor. Dabei kann es sich um eine Sicherheitsstrategie handeln oder um interne Tabellen mit Kennzeichnungen, aus denen hervorgeht, welche Pakete normal zu transportieren sind und welche getunnelt werden müssen. Es gibt allerdings eine Ausnahme: Security-Gateways werden aus Sicherheitsgründen manchmal so konfiguriert, dass sie ausschließlich Tunneling- Protokolle terminieren und keine anderen Protokolle wie zum Beispiel SNMP, FTP usw. 3.1 Tunneling-Modelle In Abhängigkeit davon, wo die Tunnel beginnen und enden, kann man drei verschiedene, so genannte Tunneling-Modelle unterscheiden: das Ende-zu-Ende-Modell, das Provider-Enterprise-Modell und das Intra-Provider-Modell. In Abbildung 3.2 sehen Sie die drei Modelle im Vergleich Das Intra-Provider-Modell Das Intra-Provider-Modell zeichnet sich dadurch aus, dass die Tunnel bei den Service Providern beginnen und enden. Gegenüber den beiden anderen Modellen hat diese Variante einen entscheidenden Vorteil: Auf der Seite des n muss keine spezielle Hardoder Software installiert werden, er kann seine vorhandenen Systeme weiter benutzen und ist nicht in das Tunneling involviert. Die notwendigen Gateways werden von den Providern betrieben und stehen normalerweise auch in deren Räumen. Dieses Modell wird vorwiegend für Remote-Access-VPN verwendet, kann jedoch auch für Branch- Office-VPN eingesetzt werden. Das in einem der folgenden Abschnitte beschriebene MPLS ist ein typischer Vertreter dieser Kategorie und wird sehr oft zur Verbindung verschiedener Standorte eingesetzt Das Provider-Enterprise-Modell Beim Provider-Enterprise-Modell sind sowohl die Service Provider als auch die Endkunden in das Tunneling involviert. Die Tunnel beginnen im POP (Point of Presence) des Service Providers und enden im Gateway des n. Dieses Modell wird primär für Remote-Access-VPN eingesetzt, kann aber auch in Branch-Office-VPN Verwendung finden. In diesem Modell muss der eine spezielle Hard- oder Software als VPN- Gateway einsetzen. Die Client-Software kann ein beliebiges Einwählprogramm (Microsoft DFÜ-Netzwerk usw.) sein, da der Tunnel erst im POP des Providers beginnt.

4 Client POP Gateway ISDN Internet PSTN Carrier Service Provider Carrier Intra-Provider- Modell Provider-Enterprise- Modell Ende-zu-Ende-Modell Abbildung 3.2: Die drei grundsätzlichen Tunneling-Modelle Das Ende-zu-Ende-Modell Im Ende-zu-Ende-Modell werden die Tunnel ausschließlich vom n aufgebaut. Die Carrier und/oder Service Provider sind dabei gar nicht in das Tunneling involviert. Sie transportieren im Fall von -VPN ausschließlich -Pakete. Dass in diesen Paketen andere Pakete eingekapselt sind, können sie zwar erkennen (wenn sie das wollen), aber es hat keinen Einfluss auf den Transport der -Pakete. Applikation Applikation Applikations- Pakete Applikations- Pakete TCP SPX TCP SPX X X Applikations- Pakete L2TP- L2TP- Applikations- Pakete TCP SPX UDP UDP TCP SPX X X Layer-2 Layer-2 Layer-1 Layer-1 Übertragungsmedium Abbildung 3.3: Das Prinzip des Layer-2-Tunnelings, in dem Pakete der Schicht 2 eingekapselt werden

5 Üblicherweise stehen die Gateways zum Netzwerk eines Providers in den Räumen der Endkunden, sind deren Eigentum und werden auch von ihnen betrieben. Jedoch kann dieses Modell auch als so genannter Carrier Managed Service von einem Service Provider oder Carrier betrieben werden. Die Remote-Access-Clients wählen sich in die POPs der Service Provider ein, und eine spezielle VPN-Clientsoftware im Endgerät des n baut daraufhin einen Tunnel zu einem VPN-Gateway im nnetzwerk auf. Theoretisch kann man fast alle Tunneling-Protokolle in einem Ende-zu-Ende-Modell einsetzen, jedoch sind einige Protokolle besser dafür geeignet als andere. Im Ende-zu-Ende- Modell setzt man vorwiegend Sec im Tunnel-Modus und mittlerweile nur noch ganz selten das Point-to-Point Tunneling Protocol (PPTP) ein. Speziell in Microsoft-Umgebungen findet zunehmend das Layer 2 Tunneling Protocol (L2TP) in Verbindung mit Sec- Transport Verwendung. 3.2 Standardisierte Tunneling-Protokolle Man kann die Tunneling-Protokolle in drei verschiedene Klassen einteilen: die Layer-2- Tunneling-Protokolle, Layer-3-Tunneling-Protokolle und, etwas scherzhaft formuliert, Layer-2,5-Tunneling-Protokolle. Die Unterscheidung basiert auf der Schicht des OSIoder -Schichten-Modells, deren Pakete eingekapselt werden. Layer-2-Protokolle kapseln Pakete der Sicherungsschicht (Layer 2) in andere Pakete, meist solche der Schicht 3, ein. Layer-3-Protokolle kapseln Pakete der Netzwerkschicht (Layer 3) in andere Pakete der Netzwerkschicht ein. Eine Sonderform ist MPLS, das eine spezielle Zwischenschicht (den Layer Zweieinhalb, im Fachjargon Label genannt) zwischen Layer 2 und Layer 3 einfügt, um hiermit verschiedene virtuelle Pfade zu realisieren Layer-2-Protokolle In Abbildung 3.3 sehen Sie die Funktionsweise des Layer-2-Tunnelings. In diesem Beispiel werden -Rahmen (, Point-to-Point Protocol, ein Protokoll, um verschiedene Netzwerkprotokolle über eine Punkt-zu-Punkt-Verbindung zu transportieren) in - Pakete eingekapselt. In den -Rahmen können Pakete verschiedener anderer Netzwerkprotokolle wie, X, Vines-, NetBEUI usw. enthalten sein. In unserem Beispiel tunnelt das Layer 2 Tunneling Protocol (L2TP) und X. Beim Tunneling entsteht ein gewisser Overhead, denn außer dem L2TP- werden zusätzliche UDP-, - und - erzeugt. Bei großer Nutzdatenlänge fällt dieser Anteil allerdings nicht so sehr ins Gewicht. Der Vorteil von Layer-2-Tunneling-Protokollen ist der, dass eine Vielzahl von Netzwerkprotokollen getunnelt werden kann, ohne dass sich das Tunneling selbst darum kümmern muss, da dies bereits auf der -Ebene erfolgt ist.

6 Client ISDN PSTN L2TP- LAC Internet L2TP- LNS Carrier Service Provider Carrier L2TP-Tunnel L2TP UDP Abbildung 3.4: L2TP im Compulsary Mode (zwangsweises Tunneln), in dem vom Provider generell ein Tunnel zum nnetz aufgebaut wird Layer 2 Tunneling Protocol (L2TP) Das Layer 2 Tunneling Protocol, L2TP, wurde primär für den Einsatz im Provider-Enterprise-Modell entwickelt. Wie Sie in Abbildung 3.4 sehen, beginnt dabei der L2TP-Tunnel im Remote Access Concentrator (RAC) des Service Providers und endet in einem Gateway beim n. L2TP- LAC ISDN PSTN POP Internet L2TP- LNS Carrier Service Provider Carrier L2TP-Tunnel L2TP UDP Abbildung 3.5: L2TP im Voluntary Mode (freiwilliges Tunneln), in dem der Client entscheidet, ob ein Tunnel aufgebaut werden muss

7 Die Funktionalität der Tunnelendpunkte ist rollenbasierend, der Tunnel wird von einem LAC (L2TP Access Concentrator) aufgebaut, der im RAC des Providers implementiert ist. Das entgegengesetzte Ende des Tunnels bildet der LNS, der L2TP Network Server, der entweder auf Routern oder auf speziellen VPN-Gateways implementiert ist. Der RAC des Service Providers erkennt an bestimmten Kennzeichen eines eingehenden Rufs (angerufene Nummer, Benutzer-ID usw.), ob es sich um eine Verbindung in das Netzwerk des Providers handelt oder ob die Verbindung zu einem Endkunden getunnelt werden soll. Dieses Verhalten nennt man auch zwangsweises Tunneling (Compulsory Tunneling), da der Client nicht selbst entscheiden kann, ob ein Tunnel aufgebaut wird oder nicht. Im Provider-Enterprise-Modell muss das Equipment beim n eine L2TP-LNS-Funktionalität bieten. Das betreffende System muss aber nicht notwendigerweise dem n gehören und muss auch nicht von ihm verwaltet werden oft bieten die Service Provider komplette Lösungen an, inklusive VPN-Systemen, Konfiguration, Wartung und Betrieb. Leider sind in L2TP keinerlei Sicherheitsfunktionen wie verschlüsselung oder Paketauthentifizierung verfügbar. L2TP kann auch im Ende-zu-Ende-Modell eingesetzt werden. Zu diesem Zweck wird die LAC-Funktionalität vom Remote-Access-Konzentrator des Service Providers auf den Client verlagert. Dieser so genannte Virtual LAC auf dem Clientrechner baut den L2TP-Tunnel zum LNS auf, und die Carrier und Service Provider sind nicht mehr in das Tunneling involviert. Im Gegensatz zum zwangsweisen Tunneln nennt man dies freiwilliges Tunneln (Voluntary Tunneling). Ein Beispiel für eine solche Funktionalität finden Sie bei Windows 2000 Professional und Windows XP, das als VPN-Protokoll auch L2TP als virtuellen LAC implementiert hat. Das Layer 2 Tunneling Protocol ist aufgrund seiner wachsenden Bedeutung in Kapitel 8 ausführlich beschrieben. Applikation Applikation Applikations- Pakete Applikations- Pakete Applikations- Pakete TCP UDP TCP UDP Sec-AH- TCP UDP Sec-AH- Applikations- Pakete TCP UDP Layer-2 Layer-2 Layer-1 Layer-1 Übertragungsmedium Abbildung 3.6: Layer-3-Tunneling zeichnet sich dadurch aus, dass Pakete auf der Schicht 3 eingekapselt werden.

8 3.2.3 Layer-3-Protokolle Das Layer-3-Tunneling arbeitet eine Schicht höher als Layer-2-Protokolle. Hier werden Pakete der Netzwerkschicht in andere Pakete dieser Schicht eingekapselt, wie Sie in Abbildung 3.6 sehen. Der Paket-Overhead ist geringer als der von Layer-2-Protokollen. Allerdings muss der Tunneling-Prozess die von den höheren Schichten ankommenden Pakete analysieren und im Tunnel- vermerken, welche Art von Protokoll getunnelt wird. In dem Beispiel, das in Abbildung 3.6 zu sehen ist, wird Sec im Tunnel- Modus eingesetzt. Das gezeigte Sec-AH-Protokoll (vgl. Kapitel 7) fügt einen Sec- AH- ein. Andere Protokolle, zum Beispiel Sec-ESP, können neben dem auch einen Trailer in das zu erzeugende Paket einfügen Security (Sec) im Tunnel-Modus Sec im Tunnel-Modus dient meist als Basis für das Ende-zu-Ende-Modell. Alle beteiligten Systeme müssen mit einer entsprechenden Sec-Implementierung ausgerüstet sein. In Abbildung 3.7 sehen Sie am Beispiel eines Remote-Access-VPN die Funktionsweise. Die Sec-Tunnel beginnen und enden auf dem Endsystem des n, meist einem Rechner mit Sec-Client-Software und einem Sec-Gateway. Die Carrier und Service Provider sind nicht am Tunneling beteiligt und transportieren aus ihrer Sicht nur die -Pakete zwischen Client und Gateway. Das öffentliche Interface des Sec-Gateways hat eine feste, offiziell registrierte -Adresse. Auch der Client bekommt bei der Einwahl in den POP eines Service Providers eine offizielle -Adresse zugewiesen. Das private Interface des Gateways kann in einem nicht registrierten -Netzwerk liegen. Sec- Client ISDN PSTN POP Internet Sec- Gateway Carrier Service Provider Carrier Sec Tunnel Sec Sec Abbildung 3.7: Obwohl Tunneling nur eine seiner Optionen ist, ist Sec zum Inbegriff des Layer-3-Tunnelings geworden. Beim Client ist die Sache ein klein wenig komplexer. Er hat auch zwei -Adressen: zum einen die ihm vom Provider für die DFÜ-Verbindung (DFÜ, fernübertragung) zugewiesene, offizielle und zum anderen seine private -Adresse aus dem Adress-

9 bereich des nnetzes. Einige Sec-Implementierungen erfordern leider, dass der Client immer die gleiche offizielle -Adresse zugewiesen bekommt, wodurch diese damit faktisch zu einer statischen Adresse wird. Das ist den Internet Service Providern (ISP) ein Gräuel, da deren verfügbare Adressen immer mehr zur Neige gehen. Üblicherweise werden den Einwähl-Clients die -Adressen von den ISP dynamisch aus einem so genannten -Adress-Pool zugewiesen. Diese Pools haben in der Regel so viele Adressen, wie der Provider an gleichzeitigen physikalischen Verbindungen zur Verfügung stellen kann. Da sich aber nie alle n eines ISP gleichzeitig einwählen, haben die Provider ihre POPs in der Regel überbucht, sie haben also mehr n als Einwählports und damit auch weitaus weniger -Adressen als n. Falls nun pro Client eine feste -Adresse reserviert werden müsste, wären die Provider gezwungen, eine viel größere Anzahl von Adressen vorzuhalten, als wirklich zum Betrieb benötigt werden und das wird langsam zu einem Problem, da die Adressen für Version 4 weltweit immer knapper werden. Manche Provider sträuben sich daher gegen statische -Adressen für Remote-Access-Clients, oder sie verlangen entsprechende Gebühren, was dem eigentlichen Zweck eines VPN, Kosten zu senken, widerspräche. Also sollte bei der Auswahl der Sec-Client-Implementierung darauf geachtet werden, dass diese eine dynamische Zuweisung der offiziellen -Adressen unterstützt. Die private -Adresse kann bei guten Client-Implementierungen auch dynamisch durch den Tunnel vom Gateway zugewiesen werden. Hier ist vom Sec-Standard kein Verfahren festgeschrieben, es existieren lediglich standardisierte Funktionen, um herstellerspezifische Erweiterungen einzubinden. Manche Implementierungen unterstützen leider nur eine manuelle, statische Konfiguration der privaten Client--Adresse. Sec ist primär ein Sicherheitsprotokoll auf -Ebene; -Tunneling ist eine mögliche Option die allerdings in VPN fast immer eingesetzt wird. Die Sicherheitsfunktionen von Sec sind in Kapitel 5 ausführlich beschrieben. Die Einkapselung der privaten - Pakete Sec kann nur -Pakete tunneln erfolgt je nach Sicherheitsstufe durch einen Sec- oder einen Sec- und -Trailer. Ein Protokollfeld in den Sec- n gibt an, welches Protokoll im Sec-Paket eingekapselt ist. Dies sind im Tunnel- Modus ausschließlich -Pakete Multi Protocol Label Switching (MPLS) Obwohl nicht primär als Tunneling-Protokoll entwickelt, eignet sich MPLS hervorragend zum Aufbau von VPNs, und zwar von Layer-2-VPNs, da das Forwarding in einem MPLS-Netzwerk ausschließlich auf Schicht 2 und den dieser Ebene zugehörigen Tabellen stattfindet. 32 Bit Label Value CoS S Time to Live CoS = Class of Service S = Bottom of Stack Bit,1für den ersten (untersten) Label Abbildung 3.8: Der Namensgeber für MPLS, das Label

10 Multiprotokoll-Label-Switching (MPLS) ist genau genommen keine Technologie, mit der Endanwender bzw. Endkunden in direkte Berührung kommen. Aber aufgrund der Bedeutung im Carrier- und Service-Provider-Bereich und den Schnittstellen zu anderen Technologien (VPN, Ethernet over WAN, QoS usw.) ist an dieser Stelle eine kurze Beschreibung dieser Technologie durchaus sinnvoll. MPLS ist eine Technologie mit vielen Vätern, da sich in der Vergangenheit einige Unternehmen mit der exakt gleichen Zielsetzung, die auch MPLS zugrunde liegt, beschäftigt hatten und mit sehr ähnlichen Verfahren auf den Markt kamen natürlich ohne untereinander interoperabel zu sein. Diese Zielsetzung sah vor, eine möglichst optimale Verbindung von Routing und Switching zu erreichen und gleichzeitig Investitionen in bestehende Netze auf Basis von Frame Relay und ATM zu schützen. - MPLS-Label - Data - Trailer MAC- LLC- IEEE 802 MPLS-Label - Data MAC- Trailer ATM MPLS- Label VPI/VCI ATM - Data Frame Relay MPLS- Label DLCI Frame Relay - Data FR- Trailer Abbildung 3.9: Die MPLS-Labels können entweder zwischen Layer 2 und Layer 3 eingefügt werden, oder es werden verwandte Felder von Layer-2-Protokollen wie ATM oder Frame Relay benutzt. Die unterschiedlichen Ansätze von Routing und Switching werden in MPLS durch ein zweistufiges Konzept kombiniert, das folgende Eigenschaften aufweist: In MPLS werden Steuer- und Signalisierungsdaten ganz strikt von den Nutzdaten getrennt, man bezeichnet die beiden Bereiche als Forwarding- und Control-Komponente. Sie werden (fast) völlig unabhängig voneinander implementiert. So kann ein ATM-Switch, der ja bereits schon eine eigene Forwarding-Komponente besitzt, durch Hinzufügen der MPLS-Control-Funktionalität zu einem MPLS-Router werden. Der Weg durch ein Netzwerk wird nach wie vor durch klassisches Routing bestimmt. Zusätzlich sind weitreichende Möglichkeiten für Traffic Engineering gegeben. Signalisierungsprotokolle, an denen alle beteiligten Systeme teilnehmen, legen vorab fest, welchen Weg pakete nehmen, und konfigurieren diese Systeme hierfür.

11 Der Weg, den die pakete nehmen sollen, wird aufgrund lokaler Tabellen (LIB, Label Information Base) innerhalb der Systeme bestimmt. Dies kann sehr schnell geschehen und stellt somit praktisch die Switching-Komponente von MPLS dar. So genannte Labels, die in die Pakete beim Eintritt in ein MPLS-Netzwerk eingefügt und beim Verlassen wieder entfernt werden, dienen zur Forwarding-Entscheidung. VPN-A LER MPLS- Netzwerk LER VPN-B VPN-B LER LSR LSR LER VPN-A VPN-A LSR LSR VPN-B LER LER LSP-1 (VPN-A) LSP-2 (VPN-A) LSP-3 (VPN-B) LSP-4 (VPN-B) Abbildung 3.10: Ein typisches MPLS-VPN. Für den Endkunden ist MPLS meist nicht sichtbar, da es im Label Edge Router (LER) des Carriers beginnt. MPLS kann seine Labels auf verschiedene Art erzeugen und benutzen. So sind drei Varianten möglich, von denen insbesondere die beiden ersten heutzutage stark genutzt werden: Es wird ein eigener Protokoll- zwischen Schicht 2 und 3 erzeugt. Der Vorteil liegt hier in der Möglichkeit, mehr oder weniger unbegrenzt Labels ineinander verschachteln (Label Stacking) zu können. MPLS benutzt Felder von n verschiedener Layer-2-Protokolle, insbesondere Frame Relay oder ATM, da diese bereits den größten Teil der Netze von Carriern und Service Providern ausmachen. So kann in Frame Relay der DLCI und in ATM die VPI/ VCI-Kombination als MPLS-Label benutzt werden. Durch die limitierte Größe ist natürlich in diesem Fall das Label Stacking in seiner Verschachtelungstiefe eingeschränkt. Auch im Layer-3- können je nach Protokoll Labelinformationen eingetragen werden, so könnte man sich das Flow-Label-Feld des v6-protokolls durchaus für diesen Zweck vorstellen. Die Control-Komponente von MPLS erzeugt die Bindung der Labels an bestimmte Routen, Flüsse oder Multicast-Bäume. Auch die Verteilung der notwendigen Informationen an die jeweils beteiligten LSR fällt in den Funktionsumfang dieser Komponente und wird

12 über ein Label-Distribution-Protokoll (LDP) realisiert. Falls Routen über Protokolle wie OSPF oder BGP bestimmt werden, muss der LSR diese Protokolle verstehen und seine Label Information Base (LIB) mit Informationen aus deren Forwarding-Tabellen füllen. Label Edge Router (LER) -Adr - Label /16-30 Label Switch Router (LSR) In-Label -Out-Label Label Edge Router (LER) Label - Next Hop Initiales Label =30 Labelswap 30 -> 24 Label entfernen Applikationsdaten TCP UDP (Layer-3) Label (24) Layer-2 Layer-1 Applikationsdaten TCP UDP (Layer-3) Label (30) Layer-2 Layer-1 Applikationsdaten TCP UDP (Layer-3) Layer-2 Layer-1 Applikationsdaten TCP UDP (Layer-3) Layer-2 Layer-1 Abbildung 3.11: Das Austauschen der Labels MPLS-Systeme werden in zwei Kategorien eingeteilt, abhängig davon, an welcher Stelle eines MPLS-Netzwerks sie eingesetzt werden: Label Edge Router (LER) werden an den Grenzen von MPLS-Netzwerken eingesetzt. Sie versehen eingehende Pakete mit einem Label und entfernen Labels von ausgehenden Paketen. Sie können auch Prozesse zur Erzeugung eines Label Switched Path (LSP) einleiten, mit dem der Weg bestimmter Pakete durch ein MPLS-Netzwerk festgelegt wird. Label Switch Router (LSR) sind Systeme, die ankommende Pakete aufgrund existenter Label weiterleiten (Forwarding) und die Label dabei durch andere ersetzen (Label Switching). Die Tabellen, aufgrund derer dieses Forwarding und Label Switching durchgeführt wird, reflektieren die verschiedenen LSPs und müssen vorher durch geeignete Signalisierungsprotokolle festgelegt worden sein. Da in großen Netzen viele pakete eine identische Behandlung hinsichtlich ihres Weges durch das Netz oder ihrer Priorität erfahren sollen, hat man in MPLS ein wichtiges Konzept zur Verkehrsaggregation eingeführt, die so genannte Forwarding Equivalence Class (FEC). Aufgrund verschiedener Verkehrs- und Qualitätskennzeichen eingehender Pakete kann ein LER diese einer bestimmten FEC zuordnen, um damit zusammengehörende Pakete über einen einzigen LSP zu transportieren. Das Forwarding in einem LSR geschieht in der Regel ausschließlich aufgrund des Labels, höhere Protokolle werden nicht ausgewertet, auch nicht bei Routern, die gleichzeitig sowohl auf MPLS- als auch auf -Ebene arbeiten. Die Quality-of-Service-Thematik ist auch in MPLS ausreichend berücksichtigt worden. So erlaubt MPLS insbesondere auch die Konfiguration von Label-Bindungen, die nicht

13 mit dem zielbasierenden, z.b. durch Routing ermittelten, LSP übereinstimmen, beispielsweise um kritischen Verkehr durch breitbandige, verzögerungsfreie Verbindungen zu leiten. MPLS kann auch aufgrund von höheren Schichten Pakete klassifizieren, die drei Bits im Label mit dem Namen EXP (Experimentell, vgl. Abbildung 3.8) eignen sich zur Aufnahme von Class-of-Service-Informationen z.b. aus dem DSCP im -. Das oben erwähnte Konzept der FEC kann ebenfalls zur Aggregierung von Paketen der gleichen QoS-Klasse eingesetzt werden. Da in Carrier-Netzen teilweise andere Prämissen als in normalen nnetzen gelten, ist die Möglichkeit des Traffic Engineerings in MPLS sehr wichtig. Sie erlaubt dem Administrator, explizite Pfade festzulegen, um zum Beispiel QoS für bestimmte Klassen von Paketen zu garantieren oder Durchleitungsverträge mit anderen Providern umzusetzen, ohne mit dynamischem Routing in Konflikt zu kommen. MPLS ist eine reine Carrier- und Service-Provider-Technologie und wird auch von diesen zunehmend eingesetzt. Einzige Ausnahme sind sehr große Unternehmen mit großen, selbst betriebenen Netzen, also Firmen mit, hinsichtlich ihres Netzwerks, Carrier-ähnlichen Eigenschaften. Diese Unternehmen sind natürlich auch potenzielle MPLS-Anwender. An dieser Stelle ist es angebracht, ein paar Worte über die ziemlich sinnlose, weil falsche Diskussion zu verlieren, ob man besser Sec oder MPLS zum Aufbau von VPNs einsetzt. Da zeugt schon die Frage selbst von Inkompetenz, denn Sec ist ein Security-Protokoll, lediglich mit der Option versehen, über -in- Encapsulation (Layer-3-Tunnel) ein VPN aufzubauen. Sec als Ende-zu-Ende-Protokoll findet hauptsächlich im Enterprise-Bereich Anwendung. MPLS hingegen ist ein infrastruktur-unabhängiges Switching-Protokoll, mit dem man aufgrund seiner Funktionalität sehr flexibel Layer-2-VPNs aufbauen kann. MPLS ist eine Technologie, die praktisch ausschließlich von Carriern und Providern eingesetzt wird. Die Frage, wenn überhaupt, müsste richtig lauten: Soll man, wenn man MPLS einsetzt, zusätzlich noch Sec als Sicherheitsprotokoll verwenden oder nicht? Diese Frage ist aber nicht uninteressant, denn die meisten Unternehmen setzen ja selbst gar kein MPLS ein, sondern der Carrier, der seinen n ein damit aufgebautes VPN zur Verfügung stellt. Das hat aber noch nichts mit Sicherheit im eigentlichen Sinn (Vertraulichkeit, Integrität und Authentizität von ) zu tun, denn MPLS bietet hierfür keine Mittel, die muss der selbst oder sein Provider mittels zusätzlicher Dienste bereitstellen meist mit Sec. 3.3 Nichtstandardisierte Tunneling-Protokolle Neben den standardisierten Tunneling-Protokollen gibt es eine ganze Reihe anderer Protokolle, die jedoch niemals in Form eines verbindlichen Standards das Licht der Welt erblickt haben. Manche dieser Protokolle wurden zwar in Standardisierungsprozesse eingebracht, haben diese aber niemals vollständig durchlaufen oder existieren nur als informeller Standard. Das Point-to-Point Tunneling Protocol (PPTP) oder Layer 2 Forwarding (L2F) sind Beispiele hierfür. Andere Protokolle sind proprietär und werden nur innerhalb der Produktlinien bestimmter Hersteller verwendet, wie zum Beispiel der

14 Altavista Tunnel, der Bay Dial VPN Service (Bay-DVS) oder das Ascend Tunnel Management Protocol (ATMP). Manche dieser proprietären Protokolle schmücken sich zwar mit RFC-Nummern, allerdings sind diese nur informeller Natur und repräsentieren keinen verbindlichen Internetstandard Layer 2 Forwarding (L2F) Das Layer 2 Forwarding ist ein Layer-2-Tunneling-Protokoll, das hauptsächlich von der Firma Cisco zum Einsatz im Provider-Enterprise-Modell entwickelt wurde. Es gibt praktisch keine Client-Implementierungen, sondern nur Software-Module für Remote- Access-Konzentratoren und Router. L2F ist sehr eng mit L2TP verwandt, viele L2TP-Network-Server können auch als Endpunkt für einen L2F-Tunnel dienen. L2F bietet keine Sicherheitsdienste wie verschlüsselung oder starke Authentifizierung, kann aber, wie auch L2TP und PPTP, verschiedene Netzwerkprotokolle tunneln Point-to-Point Tunneling Protocol Das Point-to-Point Tunneling Protocol wurde von einer Reihe von Firmen entwickelt, die zu diesem Zweck das so genannte PPTP-Forum gründeten. Der Software-Riese Microsoft war, neben Unternehmen wie Ascend Communications, 3Com und anderen, maßgeblich an der Entwicklung beteiligt und hat seine PPTP-Client-Software in alle seine Betriebssysteme integriert bzw. für ältere Systeme wie Windows 95 Updates auf den Markt gebracht. PPTP kann sowohl als Basis für das Ende-zu-Ende-Modell dienen als auch durch Implementierungen in Remote-Access-Konzentratoren im Provider-Enterprise-Modell eingesetzt werden. PPTP hat einen dem L2TP ähnlichen Aufbau. Für den Steuerungskanal verwendet PPTP jedoch das TCP-Protokoll. Als Layer-2-Protokoll kapselt PPTP -Rahmen mit einem modifizierten GRE- ein. PPTP bietet auch einige Sicherheitsfunktionen wie verschlüsselung (MPPE, Microsoft Point-to-Point Encryption) und Benutzerauthentifizierung, die allerdings bei weitem nicht die Stärke von Sec aufweisen. Insbesondere die Ableitung des Schlüssels, mit dem die verschlüsselt werden, aus dem Benutzerkennwort war in der Vergangenheit Zielscheibe einiger erfolgreicher Angriffe. Der Schlüssel des eingesetzten RC4- Protokolls st zwar, je nach der Version von PPTP, entweder 40 oder 128 Bit lang aber er wird aus einem Hashwert des Benutzerpassworts erzeugt. Also muss ein Brute-Force- Angriff (vgl. Kapitel 4) nicht alle 240 oder 2128 möglichen Schlüssel testen, sondern braucht praktisch nur einen Wörterbuchangriff auf das Benutzerpasswort durchzuführen. Microsoft hat mit einem Update auf die erfolgreichen Angriffe reagiert und eine neue, sicherere Authentifizierung namens MS-CHAPv2 implementiert. Aus Kompatibilitätsgründen kann das neue Verfahren beim Verbindungsaufbau jedoch durch die alte Version ersetzt werden, was eine nicht unbeträchtliche Angriffsfläche bildet. In jedem Fall basiert die Sicherheit der Verschlüsselung in PPTP auf der Sicherheit des Benutzerpassworts und das ist vielen Anwendern ein zu hohes Sicherheitsrisiko. Viele gute Sicherheitsstrategien legen darüber hinaus auch gewisse Verfahren und Richtlinien zur Schlüsselerzeugung und -verwaltung fest, so dass der Einsatz von PPTP oft schon an dieser Hürde scheitert.

15 Auch Microsoft hat sich von seinem Problemprotokoll PPTP verabschiedet. Seit Windows 2000 werden verschiedene Tunneling-Protokolle nach wie vor auch noch PPTP angeboten, jedoch wird für neue Installationen die modernere und sicherere Variante L2TP/Sec (siehe Kapitel 8) empfohlen. In Provider-Enterprise-Modellen setzen die Service Provider zunehmend auf L2TP, so dass auch hier PPTP immer weiter verdrängt wird. Übertragungsstrecke Tunneling-Protokoll A Tunneling-Protokoll B L-3 L-3 L-3 L-3 L-3 L-3 A A A A L-3 L-3 L-3 L-3 B B L-3 L-3 Abbildung 3.12: Man kann auch Tunneling-Protokolle ineinander verschachteln. 3.4 Verschachtelte Tunneling-Protokolle Manchmal bietet ein Tunneling-Protokoll allein nicht alle Funktionen, auf die man großen Wert legt. Die in diesem Kapitel besprochenen Layer-2-Tunneling-Protokolle können verschiedene Netzwerkprotokolle wie, X usw. tunneln, zeichnen sich aber nicht gerade durch gute Sicherheitsfunktionen aus. Sec auf der anderen Seite hat hervorragende Sicherheitsfunktionen, kann aber nur tunneln. Was liegt also näher, als zwei verschiedene Tunneling-Protokolle miteinander zu kombinieren. Das kann man auch tun, indem man Tunnel ineinander verschachtelt. Wie dies prinzipiell funktioniert, sehen Sie in Abbildung Beim Verschachteln von Tunneln ist es wichtig, dass sich die Tunnel, wie Sie in der Abbildung sehen, nicht überlappen die Tunnel müssen vollständig ineinander enthalten sein. Man kann grundsätzlich sowohl Protokolle gleichen als auch verschiedenen Typs ineinander verschachteln. Tunneling-Protokoll A Tunneling-Protokoll B Übertragungsstrecke Abbildung 3.13: Das geht nicht, verschiedene Protokolle müssen sich immer vollständig umschließen.

16 Nehmen wir einmal als Beispiel aus der Praxis ein Remote-Access-VPN, um den Sinn und den Einsatz der Verschachtelung von Tunneling-Protokollen zu erläutern. Sec ist ein Sicherheitsprotokoll, das man gern im Ende-zu-Ende-Modell einsetzt, um die gewünschte Sicherheitsfunktionalität möglichst auf der ganzen Übertragungsstrecke zwischen Client und VPN-Gateway zur Verfügung zu haben. Dabei gibt es aber möglicherweise ein Problem: Das Ende-zu-Ende-Modell bedeutet immer, dass der Client freiwillig tunnelt. Ein Benutzer könnte somit aber auf seinem Firmen-PC seinen Dialer manuell starten und sich zum ISP verbinden, ohne seinen Sec-Client zu benutzen. Das kann unter Umständen von einer Sicherheitsstrategie verboten sein. Mit dem Provider-Enterprise-Modell, zum Beispiel mit L2TP als Tunneling-Protokoll, wäre das nicht möglich, denn hier erfolgt ein zwangsweises Tunneling. Der Remote- Access-Konzentrator beim Service Provider kann z.b. aufgrund der angerufenen Nummer (also der Einwahlnummer des ISP, die der Dialer anrufen muss) entscheiden, ob und wohin ein Tunnel aufgebaut werden muss. Der Client kann dies nicht mehr beeinflussen. Allerdings ist L2TP kein Sicherheitsprotokoll. Die Lösung ist eine Verschachtelung von Sec und L2TP. In Abbildung Abbildung 3.14 sehen Sie, wie dies realisiert wird: Sec wird im Ende-zu-Ende-Modell betrieben und garantiert so die geforderte Sicherheit. Mit L2TP im Provider-Enterprise-Modell wird garantiert, dass, sobald sich der Client beim Provider einwählt, er zwangsweise mit L2TP bis zum LNS im nnetzwerk getunnelt wird. Diese Lösung hat allerdings auch ihren Preis in Form eines zusätzlichen Protokoll-Overheads in den paketen. Sec- Client ISDN PSTN L2TP- LAC Internet L2TP- LNS Sec- Gateway Carrier Service Provider Carrier Sec-Tunnel L2TP-Tunnel Sec Sec L2TP UDP Sec Abbildung 3.14: Eine Verschachtelung von L2TP und Sec

17 Im Zusammenhang mit verschachtelten Tunneling-Protokollen fällt fälschlicherweise auch oft der Begriff L2TP über Sec oder Sec secured L2TP oder kurz L2TP/ Sec. Hierbei handelt es sich jedoch nicht um eine Verschachtelung von Tunneling-Protokollen, da Sec hierbei nicht im Tunnel-, sondern im Transport-Modus arbeitet. Hier hat man die Vielfalt der Protokolle, die L2TP tunneln kann, mit der Sicherheit von Sec kombiniert. L2TP wird dabei zum Tunneln benutzt, und die erzeugten UDP/-Pakete werden mit Sec im Transport-Modus verschlüsselt und authentifiziert. Diese Kombination ist in Kapitel 8 ausführlich beschrieben. Sie wird auch seit Windows 2000 von Microsoft unterstützt. 3.5 Welches Protokoll für welchen Zweck? Diese Frage ist eigentlich gar nicht so kompliziert, da verschiedene Protokolle für bestimmte Funktionen von vornherein ausscheiden. Wenn Sie zum Beispiel X über ein -Netzwerk transportieren müssen, scheidet Sec an diesem Punkt bereits aus. Die Gegenüberstellung im folgenden Abschnitt soll die Protokolle nicht wertend miteinander vergleichen, denn sie wurden teilweise mit völlig unterschiedlichen Zielsetzungen und Einsatzszenarien entwickelt. In Tabelle 3.1 sind die vier wichtigsten Tunneling-Protokolle Sec, L2TP, PPTP und MPLS gegenübergestellt. Hier soll aber wie gesagt kein Vergleich im Sinne von gut oder schlecht stattfinden, sondern ein Vergleich der wichtigsten Funktionen der Protokolle. Hier können Sie anhand eines Pflichtenhefts oder Anforderungskatalogs schnell ein geeignetes Protokoll finden oder eine Kombination von zwei Protokollen. Sec L2TP PPTP MPLS Ja Ja Nein Ja Paketauthentifizierung Ja Nein Nein Nein Benutzerauthentifizierung Ja Ja Ja Nein verschlüsselung Ja Nein Ja Nein Schlüsselmanagement Ja Nein Nein Nein QoS-Signalisierung Ja Nein Nein Ja -Tunneling Ja Ja Ja Ja X-Tunneling Nein Ja Ja Ja Primäres Modell Ende-zu-Ende Provider- Enterprise Ende-zu-Ende Intra- Provider Tabelle 3.1: Die wichtigsten Tunneling-Protokolle im Vergleich. Die Anzahl der Ja oder Nein ist keine Wertung, da die Protokolle sehr unterschiedliche Ausrichtungen haben.

18 Mit der Auswahl eines oder mehrerer Tunneling-Protokolle treffen Sie eine wichtige Entscheidung während der Planung des VPN. In heutigen, modernen Netzwerken ist man bestrebt, möglichst auf Standards oder wenigstens auf De-facto-Standards zu setzen. Aus diesem Grund reduziert sich die Menge der zur Auswahl stehenden Tunneling-Protokolle ganz erheblich: Es bleiben die in Tabelle 3.1 beschriebenen Verfahren, aus denen man ein geeignetes Protokoll auswählen sollte. Leider gibt es dafür keine allgemein gültige Checkliste oder eine Art VPN-Kochbuch, denn es spielen einfach zu viele unternehmensspezifische Planungs- und Entscheidungskriterien eine Rolle. Es kann sich durchaus auch als sinnvoll zu erweisen, mehrere Protokolle miteinander zu kombinieren. So kann es sich einerseits aus Sicht der Infrastruktur durchaus als sinnvoll erweisen, von einem Provider oder Carrier seine Standorte per MPLS-VPN verbinden zu lassen, andererseits erfordern gesetzliche Vorgaben oder bestimmte Sicherheitsvorgaben die Verschlüsselung und Integritätssicherung der durch Sec. Die wichtigsten Faktoren zur Auswahl sind: Die Netzwerkprotokolle, die übertragen werden müssen Die Sicherheitsstrategie des Unternehmens Die eingesetzten Applikationen Benötigte Client-Unterstützung (Betriebssysteme) Der VPN-Typ Kompatibilitätsanforderungen Netzwerkprotokolle Dieser Faktor ist neben der Sicherheitsstrategie der am meisten ausschlaggebende. Unter Umständen sollten Sie auch Ihre mittel- und langfristige Netzwerkstrategie zurate ziehen, ob nicht vielleicht eine Protokollkonsolidierung stattfinden soll und nur noch übrig bleibt. Diese Tendenz ist im Augenblick bei fast allen Unternehmen zu beobachten; bei etlichen ist dieser Prozess auch schon abgeschlossen. Ein VPN ist in diesem Zusammenhang möglicherweise ein guter Punkt, um mit dieser Konsolidierung zu beginnen und nur noch zu tunneln. Jetzt werden Sie vielleicht einwenden, dass diese Überlegung nichts gebracht hat, denn alle vier Protokolle tunneln. Das ist richtig, aber es bleiben mehr Alternativen, um die nachfolgenden Kriterien erfüllen zu können. Sicherheitsstrategie Die Netzwerkabteilung eines Unternehmens ist in der Regel dafür verantwortlich, die Sicherheitsstrategie des Unternehmens im Netzwerkbereich zu implementieren. Im Fall von Internet-VPN entstehen dadurch oft ganz bestimmte Anforderungen an die Sicherheitsdienste, die ein geeignetes Tunneling-Protokoll zur Verfügung stellen muss. An diesem Punkt scheiden schon Protokolle wie MPLS und L2TP aus, es sei denn, sie werden mit entsprechenden Sicherheitsprotokollen kombiniert. Wenn die Anforderungen an die Sicherheit der übertragung sehr hoch sind, bleibt praktisch keine Alternative zu Sec. Müssen unbedingt auch andere Netzwerkprotokolle als getunnelt werden, kann man im Clientbereich L2TP/Sec und im Bereich von Standortverbindungen MPLS mit Sec auf -Ebene verwenden.

19 Applikationen Hier ist nicht von Interesse, welche Applikationen benutzt werden, sondern welche Anforderungen an Verzögerungszeiten und Bandbreite sie stellen. Es ist auch von Interesse, ob im privaten Netzwerk bereits Quality-of-Service-Dienste auf -Ebene eingesetzt werden und ob diese Informationen an den Service Provider gesendet werden sollen. Hier spielt in gewissem Maße auch schon die Auswahl der VPN-Systeme mit hinein, auf die in Kapitel 11 näher eingegangen wird. Client-Unterstützung Wenn, zum Beispiel in einem Remote-Access-VPN, ein Ende-zu-Ende-Modell eingesetzt wird, müssen für das entsprechende Betriebssystem auch Client-Implementierungen des auszuwählenden Tunneling-Protokolls existieren. Dies dürfte für L2F schon das Aus sein; hier muss man sich zwischen den restlichen drei Protokollen entscheiden. VPN-Typ Natürlich ist es auch wichtig, welcher VPN-Typ zum Einsatz kommt, ob man also ein Remote-Access-, ein Branch-Office- oder ein Extranet-VPN aufbauen will oder beliebige Kombinationen davon. Die Tunneling-Protokolle haben ihre spezifischen Schwerpunkte und sind für bestimmte Einsatzszenarien nicht geeignet. So bieten nur ganz wenige Service Provider im Augenblick ein Provider-Enterprise-Modell mit zwangsweisem Tunneling mit Sec an. Und Branch-Office-VPNs mit L2F fallen auch unter die Rubrik exotisch. Und im Extranet-Bereich macht sich ohnehin ein Protokoll breit, das selbst gar kein Tunneling unterstützt: SSL. Kompatibilität Insbesondere wenn das VPN auch Extranet-Dienste zur Verfügung stellen muss, ist die Kompatibilität ein ganz wesentliches Entscheidungskriterium. Denn dann muss ein Tunneling-Protokoll eingesetzt werden, das die Organisationen, die angebunden werden sollen, auch benutzen. Natürlich muss nicht notwendigerweise nur ein einziges Tunneling- Protokoll im VPN eingesetzt werden. Falls man aus bestimmten Gründen zum Beispiel sein VPN mit PPTP aufbaut, die externen Extranet-Systeme aber Sec einsetzen, kann man für diesen genau abzugrenzenden Bereich auch Sec einsetzen. Falls die Forderung nach Kompatibilität jedoch einer grundsätzlichen Strategie des Unternehmens entspringt mit dem Ziel, eine möglichst hohe Interoperabilität und Herstellerunabhängigkeit zu erzielen, sollte man standardisierte Protokolle wie Sec oder L2TP einsetzen.

Kurzeinführung VPN. Veranstaltung. Rechnernetze II

Kurzeinführung VPN. Veranstaltung. Rechnernetze II Kurzeinführung VPN Veranstaltung Rechnernetze II Übersicht Was bedeutet VPN? VPN Typen VPN Anforderungen Was sind VPNs? Virtuelles Privates Netzwerk Mehrere entfernte lokale Netzwerke werden wie ein zusammenhängendes

Mehr

2G04: VPN Überblick und Auswahlkriterien

2G04: VPN Überblick und Auswahlkriterien 2G04: VPN Überblick und Auswahlkriterien Referent: Christoph Bronold BKM Dienstleistungs GmbH 2004 BKM Dienstleistungs GmbH VPN Überblick VPN Technologien für IP VPN Netzwerk Design VPN Auswahlkriterien

Mehr

P107: VPN Überblick und Auswahlkriterien

P107: VPN Überblick und Auswahlkriterien P107: VPN Überblick und Auswahlkriterien Referent: Christoph Bronold BKM Dienstleistungs GmbH 2004 BKM Dienstleistungs GmbH VPN Überblick VPN Technologien für IP VPN Netzwerk Design VPN Auswahlkriterien

Mehr

VPN Gateway (Cisco Router)

VPN Gateway (Cisco Router) VPN Gateway (Cisco Router) Mario Weber INF 03 Inhalt Inhalt... 2 1 VPN... 3 1.1 Virtual Private Network... 3 1.1.1 Allgemein... 3 1.1.2 Begriffsklärung... 4 1.2 Tunneling... 4 1.3 Tunnelprotkolle... 5

Mehr

VPN. Virtuelles privates Netzwerk. Vortrag von Igor Prochnau Seminar Internet- Technologie

VPN. Virtuelles privates Netzwerk. Vortrag von Igor Prochnau Seminar Internet- Technologie VPN Virtuelles privates Netzwerk Vortrag von Igor Prochnau Seminar Internet- Technologie Einleitung ist ein Netzwerk, das ein öffentliches Netzwerk benutzt, um private Daten zu transportieren erlaubt eine

Mehr

VIRTUAL PRIVATE NETWORKS

VIRTUAL PRIVATE NETWORKS VIRTUAL PRIVATE NETWORKS Seminar: Internet-Technologie Dozent: Prof. Dr. Lutz Wegner Virtual Private Networks - Agenda 1. VPN Was ist das? Definition Anforderungen Funktionsweise Anwendungsbereiche Pro

Mehr

Virtual Private Network. David Greber und Michael Wäger

Virtual Private Network. David Greber und Michael Wäger Virtual Private Network David Greber und Michael Wäger Inhaltsverzeichnis 1 Technische Grundlagen...3 1.1 Was ist ein Virtual Private Network?...3 1.2 Strukturarten...3 1.2.1 Client to Client...3 1.2.2

Mehr

VPN Virtual Private Network

VPN Virtual Private Network VPN Virtual Private Network LF10 - Betreuen von IT-Systemen Marc Schubert FI05a - BBS1 Mainz Lernfeld 10 Betreuen von IT-Systemen VPN Virtual Private Network Marc Schubert FI05a - BBS1 Mainz Lernfeld 10

Mehr

3C02: VPN Überblick. Christoph Bronold. Agenda. VPN Überblick VPN Technologien für IP VPN Netzwerk Design VPN Auswahlkriterien

3C02: VPN Überblick. Christoph Bronold. Agenda. VPN Überblick VPN Technologien für IP VPN Netzwerk Design VPN Auswahlkriterien 3C02: VPN Überblick Referent: Christoph Bronold BKM Dienstleistungs GmbH 2006 BKM Dienstleistungs GmbH VPN Überblick VPN Technologien für IP VPN Netzwerk Design VPN Auswahlkriterien Agenda 2 www.decus.de

Mehr

1E05: VPN Verbindungen zwischen Data Center und Branch Office

1E05: VPN Verbindungen zwischen Data Center und Branch Office 1E05: VPN Verbindungen zwischen Data Center und Branch Office Referent: Christoph Bronold BKM Dienstleistungs GmbH 2008 BKM Dienstleistungs GmbH VPN Verbindungen Data Center und Backup Data Center Data

Mehr

VPN Techniken im Vergleich

VPN Techniken im Vergleich VPN Techniken im Vergleich Welche Technik ist wo die Richtige? 1. Grundlagen 1.1. Was ist VPN? Definition: Ein privates Netz wird über ein öffentliches Netz betrieben, jedoch so, dass die Privatheit, d.

Mehr

VPN / Tunneling. 1. Erläuterung

VPN / Tunneling. 1. Erläuterung 1. Erläuterung VPN / Tunneling Ein virtuelles privates Netzwerk (VPN) verbindet die Komponenten eines Netzwerkes über ein anderes Netzwerk. Zu diesem Zweck ermöglicht das VPN dem Benutzer, einen Tunnel

Mehr

1 Praktikum Protokolle SS2007 Fachhochschule OOW 15.05.2007. VPN Dokumentation. Erstellt von: Jens Nintemann und Maik Straub

1 Praktikum Protokolle SS2007 Fachhochschule OOW 15.05.2007. VPN Dokumentation. Erstellt von: Jens Nintemann und Maik Straub 1 Praktikum Protokolle SS2007 Fachhochschule OOW VPN Dokumentation 1 2 Praktikum Protokolle SS2007 Fachhochschule OOW Inhaltsverzeichnis Thema Seite 1. Einleitung 3 2. Unsere Aufbaustruktur 3 3. Installation

Mehr

Modul 4 Virtuelle Private Netze (VPNs) und Tunneling

Modul 4 Virtuelle Private Netze (VPNs) und Tunneling Modul 4 Virtuelle Private Netze (VPNs) und Tunneling 14.11.2011 17:47:26 M. Leischner Sicherheit in Netzen Folie 1 Virtuelle Private Netze - Begriffsdefinition Wiki-Definition " Virtual Private Network

Mehr

NAT & VPN. Adressübersetzung und Tunnelbildung. Bastian Görstner

NAT & VPN. Adressübersetzung und Tunnelbildung. Bastian Görstner Adressübersetzung und Tunnelbildung Bastian Görstner Gliederung 1. NAT 1. Was ist ein NAT 2. Kategorisierung 2. VPN 1. Was heißt VPN 2. Varianten 3. Tunneling 4. Security Bastian Görstner 2 NAT = Network

Mehr

Prinzipiell wird bei IP-basierenden VPNs zwischen zwei unterschiedlichen Ansätzen unterschieden:

Prinzipiell wird bei IP-basierenden VPNs zwischen zwei unterschiedlichen Ansätzen unterschieden: Abkürzung für "Virtual Private Network" ein VPN ist ein Netzwerk bestehend aus virtuellen Verbindungen (z.b. Internet), über die nicht öffentliche bzw. firmeninterne Daten sicher übertragen werden. Die

Mehr

Modul 6 Virtuelle Private Netze (VPNs) und Tunneling

Modul 6 Virtuelle Private Netze (VPNs) und Tunneling Modul 6 Virtuelle Private Netze (VPNs) und Tunneling M. Leischner Sicherheit in Netzen Folie 1 Virtuelle Private Netze - Begriffsdefinition Wiki-Definition " Virtual Private Network (deutsch virtuelles

Mehr

ISA Server 2004 Site to Site VPN mit L2TP/IPSEC - Von Marc Grote

ISA Server 2004 Site to Site VPN mit L2TP/IPSEC - Von Marc Grote ISA Server 2004 Site to Site VPN mit L2TP/IPSEC - Von Marc Grote Die Informationen in diesem Artikel beziehen sich auf:? Microsoft ISA Server 2004 Einleitung Dieser Artikel beschreibt die Einrichtung eines

Mehr

Firewalls illustriert

Firewalls illustriert Jörg Fritscfo Steffen GurTdeP Firewalls illustriert Netzwerksicherheit durch Paketfilter ADDISON-WESLEY An imprint of Pearson Education München Boston San Francisco Harlow, England Don Mills, Ontario Sydney

Mehr

Zentrum für Informationsdienste und Hochleistungsrechnen (ZIH) Technische Grundlagen und Beispiele. Christian Hoffmann & Hanjo, Müller

Zentrum für Informationsdienste und Hochleistungsrechnen (ZIH) Technische Grundlagen und Beispiele. Christian Hoffmann & Hanjo, Müller Zentrum für Informationsdienste und Hochleistungsrechnen (ZIH) VPN (Virtual Private Network) Technische Grundlagen und Beispiele Christian Hoffmann & Hanjo, Müller Dresden, 3. April 2006 Übersicht Begriffsklärung

Mehr

Modul 4 Virtuelle Private Netze (VPNs)

Modul 4 Virtuelle Private Netze (VPNs) Modul 4 Virtuelle Private Netze (VPNs) M. Leischner Sicherheit in Netzen Folie 1 Virtuelle Private Netze - Begriffsdefinition Formale Definition "A VPN is a communications environment in which access is

Mehr

Informationen für Kunden zur Anbindung an die Systeme von SIX Financial Information. Juli 2013

Informationen für Kunden zur Anbindung an die Systeme von SIX Financial Information. Juli 2013 Informationen für Kunden zur Anbindung an die Systeme von SIX Financial Information Juli 2013 Inhalt 1 Einleitung 3 2 Anbindungsmöglichkeiten 4 2.1 Übersicht 4 2.2 IP VPN über MPLS 5 2.2.1 Anschluss in

Mehr

4 Netzwerkzugriff. 4.1 Einführung. Netzwerkzugriff

4 Netzwerkzugriff. 4.1 Einführung. Netzwerkzugriff 4 Netzwerkzugriff Prüfungsanforderungen von Microsoft: Configuring Network Access o Configure remote access o Configure Network Access Protection (NAP) o Configure network authentication o Configure wireless

Mehr

Virtual Private Network / IPSec

Virtual Private Network / IPSec 1. Einführung 1.1 Was ist ein Virtual Private Network? Mit einem Virtual Private Network (virtuelles privates Netzwerk, VPN) können zwei Netzwerke über ein öffentliches Netzwerk (Internet) miteinander

Mehr

VPN Virtual Private Network

VPN Virtual Private Network VPN Virtual Private Network DEFINITION Was ist eigentlich ein Virtual Private Network (VPN)? Definition: Was ist eigentlich ein VPN? Übliche Bezeichnung: Virtual Virtuelles Private Privates Network - Netz

Mehr

Virtual Private Network Ver 1.0

Virtual Private Network Ver 1.0 Virtual Private Network Ver 1.0 Mag Georg Steingruber Veröffentlicht: April 2003 Installationsanleitung für den Einsatz der im Microsoft-BM:BWK Schoolagreement enthaltenen Serverprodukte Abstract Dieses

Mehr

und -netzen Vermittlung mit IP Idee Virtuelle Verbindung Datagramm-basiert

und -netzen Vermittlung mit IP Idee Virtuelle Verbindung Datagramm-basiert Performance von Kommunikationssystemen und -netzen 5. Multi-Protocol Label Switching (MPLS) Vermittlung mit IP Datagramm-basiert Wegewahl für jedes einzelne IP-Datagramm Kein Kontext im Router bezüglich

Mehr

Internet Protokolle für Multimedia - Anwendungen

Internet Protokolle für Multimedia - Anwendungen Internet Protokolle für Multimedia - Anwendungen Kapitel 5.5 Multiprotocol Label Switching (MPLS) 1 Gliederung Grundlagen Idee, Konzept Label Switching Technologie Label Distribution Protokolle LDP und

Mehr

VPN unterstützt 3 verschiedene Szenarien: Host to Host: Dies kennzeichnet eine sichere 1:1 Verbindung zweier Computer, z.b. über das Internet.

VPN unterstützt 3 verschiedene Szenarien: Host to Host: Dies kennzeichnet eine sichere 1:1 Verbindung zweier Computer, z.b. über das Internet. 1. VPN Virtual Private Network Ein VPN wird eingesetzt, um eine teure dedizierte WAN Leitung (z.b. T1, E1) zu ersetzen. Die WAN Leitungen sind nicht nur teuer, sondern auch unflexibel, da eine Leitung

Mehr

Virtuelle Private Netzwerke

Virtuelle Private Netzwerke Virtuelle Private Netzwerke VPN Dortmund, Oktober 2004 Prof. Dr. Heinz-Michael Winkels, Fachbereich Wirtschaft FH Dortmund Emil-Figge-Str. 44, D44227-Dortmund, TEL.: (0231)755-4966, FAX: (0231)755-4902

Mehr

D r e ISP S P i m K l K as a s s e s n e r n au a m H.Funk, BBS II Leer

D r e ISP S P i m K l K as a s s e s n e r n au a m H.Funk, BBS II Leer Der ISP im Klassenraum H.Funk, BBS II Leer Überblick Agenda: Ziel des Workshops Grundlagen PPPoE Realisierung eines lokalen PPPoE Servers Port-Forwarding DNS / DDNS Ziel des Workshops Ein Netzwerk vergleichbar

Mehr

Collax PPTP-VPN. Howto

Collax PPTP-VPN. Howto Collax PPTP-VPN Howto Dieses Howto beschreibt wie ein Collax Server innerhalb weniger Schritte als PPTP-VPN Server eingerichtet werden kann, um Clients Zugriff ins Unternehmensnetzwerk von außen zu ermöglichen.

Mehr

2L03: VPN Verbindungen zwischen RZ und Standorten

2L03: VPN Verbindungen zwischen RZ und Standorten 2L03: VPN Verbindungen zwischen RZ und Standorten Referent: Christoph Bronold BKM Dienstleistungs GmbH 2006 BKM Dienstleistungs GmbH VPN Überblick VPN Verbindungen zwischen Standorten VPN Verbindungen

Mehr

VirtualPrivate Network(VPN)

VirtualPrivate Network(VPN) Deine Windows Mobile Community VirtualPrivate Network(VPN) Yves Jeanrenaud yjeanrenaud, pocketpc.ch VPN-Grundlagen Geräte aus einem Netz in ein anderes, inkompatibles, Netz einbinden: VPN-Tunnel Verschiedene

Mehr

VPN (Virtual Private Network)

VPN (Virtual Private Network) VPN (Virtual Private Network) basierend auf Linux (Debian) Server Praktikum Protokolle Bei Prof. Dr. Gilbert Brands Gliederung Gliederung 1. Was ist VPN 2. VPN-Implementierungen 3. Funktionsweise von OpenVPN

Mehr

L2TP over IPSEC. Built-in VPN für Windows 10 / 8 / 7 und MacOS X

L2TP over IPSEC. Built-in VPN für Windows 10 / 8 / 7 und MacOS X FORSCHUNGSZENTRUM JÜLICH GmbH Jülich Supercomputing Centre 52425 Jülich, (02461) 61-6402 Beratung und Betrieb, (02461) 61-6400 Technische Kurzinformation FZJ-JSC-TKI-0387 W.Anrath,S.Werner,E.Grünter 26.08.2015

Mehr

VPN Virtuelle Private Netzwerke

VPN Virtuelle Private Netzwerke Manfred Lipp VPN Virtuelle Private Netzwerke Aufbau und Sicherheit ADDISON-WESLEY An imprint of Pearson Education München Boston San Francisco Harlow, England Don Mills, Ontario Sydney Mexico City Madrid

Mehr

Virtuelle Netze. Virtuelle Netze von Simon Knierim und Benjamin Skirlo 1 Von 10-16.04.07. Simon Knierim & Benjamin Skirlo.

Virtuelle Netze. Virtuelle Netze von Simon Knierim und Benjamin Skirlo 1 Von 10-16.04.07. Simon Knierim & Benjamin Skirlo. 1 Von 10-16.04.07 Virtuelle Netze Simon Knierim & Benjamin Skirlo für Herrn Herrman Schulzentrum Bremen Vegesack Berufliche Schulen für Metall- und Elektrotechnik 2 Von 10-16.04.07 Inhaltsverzeichnis Allgemeines...

Mehr

VPN Sicherheit. Marina Sturm (sturmm@in.tum.de) Hauptseminar: Sicherheit in Kommunikationsnetzen Technische Universität München

VPN Sicherheit. Marina Sturm (sturmm@in.tum.de) Hauptseminar: Sicherheit in Kommunikationsnetzen Technische Universität München VPN Sicherheit Marina Sturm (sturmm@in.tum.de) Hauptseminar: Sicherheit in Kommunikationsnetzen Technische Universität München WS 2002 (Version 13.12.2002) Zusammenfassung Dieses Papier behandelt den Aufbau

Mehr

VPN: Virtual-Private-Networks

VPN: Virtual-Private-Networks Referate-Seminar WS 2001/2002 Grundlagen, Konzepte, Beispiele Seminararbeit im Fach Wirtschaftsinformatik Justus-Liebig-Universität Giessen 03. März 2002 Ziel des Vortrags Beantwortung der folgenden Fragen:

Mehr

Was ist VoIP. Ist-Zustand

Was ist VoIP. Ist-Zustand Was ist VoIP Unter Internet-Telefonie bzw. IP-Telefonie (Internet Protokoll-Telefonie; auch Voice over IP (VoIP)) versteht man das Telefonieren über e, die nach Internet-Standards aufgebaut sind. Dabei

Mehr

Herzlich Willkommen zum Beitrag: Sichere und wirtschaftliche Standortvernetzung durch Virtuelle Private Netze (VPN)

Herzlich Willkommen zum Beitrag: Sichere und wirtschaftliche Standortvernetzung durch Virtuelle Private Netze (VPN) Herzlich Willkommen zum Beitrag: Sichere und wirtschaftliche Standortvernetzung durch Virtuelle Private Netze (VPN) 1 Kurzprofil Informationen zur nicos AG: Gründung im Jahre 2000 Unternehmenssitz in Münster

Mehr

Netze und Protokolle für das Internet

Netze und Protokolle für das Internet Inhalt Netze und Protokolle für das Internet 8. Virtuelle Private Netze Virtuelle Private Netze Layer- 2-und Layer- 3- VPNs Virtuelle Private Netze mit MPLS Entfernter VPN- Zugriff L2TP und RADIUS IP Security

Mehr

Analyse und Darstellung der Protokollabläufe in IPv6-basierten Rechnernetzen

Analyse und Darstellung der Protokollabläufe in IPv6-basierten Rechnernetzen Analyse und Darstellung der Protokollabläufe in IPv6-basierten Rechnernetzen Diplomarbeit Harald Schwier Vortragsthema: Integration von IPv6 in IPv4-basierte Netze Harald Schwier 26.05.2005 Themen der

Mehr

Remote Administration von Windows Servern mit Microsoft Terminal Services und OpenSSH

Remote Administration von Windows Servern mit Microsoft Terminal Services und OpenSSH Remote Administration von Windows Servern mit Microsoft Terminal Services und OpenSSH von Dominick Baier (dbaier@ernw.de) und Jens Franke (jfranke@ernw.de) 1 Einleitung Dieses Dokument behandelt die flexible

Mehr

Security + Firewall. 4.0 PPTP Client Einwahl. 4.1 Szenario

Security + Firewall. 4.0 PPTP Client Einwahl. 4.1 Szenario 4.0 PPTP Client Einwahl 4.1 Szenario In dem folgenden Szenario werden Sie eine VPN Verbindung mit PPTP konfigurieren. In der Zentrale steht ein VPN Server mit statischer IP Adresse. Ein Windows Client

Mehr

Was ist VoIP. Nachteile: - Sicherheitsfragen müssen stärker betrachtet werden

Was ist VoIP. Nachteile: - Sicherheitsfragen müssen stärker betrachtet werden Was ist VoIP Unter Internet-Telefonie bzw. IP-Telefonie (Internet Protokoll-Telefonie; auch Voice over IP (VoIP)) versteht man das Telefonieren über Computernetzwerke, die nach Internet-Standards aufgebaut

Mehr

Sicherheitsmechanismen für Voice over IP

Sicherheitsmechanismen für Voice over IP Sicherheitsmechanismen für Voice over IP von Dr. Behrooz Moayeri Technologie Report: Sicherheitsmechanismen für VoIP Seite 6-138 6.2 Schutz für Quality of Service (QoS) Dieser Abschnitt befasst sich mit

Mehr

Echtzeitplattformen für das Internet

Echtzeitplattformen für das Internet Kai-Oliver Detken Echtzeitplattformen für das Internet Grundlagen, Lösungsansätze der sicheren Kommunikation mit QoS und VoIP ADDISON-WESLEY An imprint of Pearson Education München Boston San Francisco

Mehr

VPN: SSL vs. IPSec. erfrakon - Erlewein, Frank, Konold & Partner Martin Konold Dr. Achim Frank. Präsentation auf dem

VPN: SSL vs. IPSec. erfrakon - Erlewein, Frank, Konold & Partner Martin Konold Dr. Achim Frank. Präsentation auf dem VPN: SSL vs. IPSec erfrakon - Erlewein, Frank, Konold & Partner Martin Konold Dr. Achim Frank Präsentation auf dem IT Security Forum 9. November 2005, Frankfurt erfrakon Erlewein, Frank, Konold & Partner

Mehr

Modul 6 Virtuelle Private Netze (VPNs) und Tunneling

Modul 6 Virtuelle Private Netze (VPNs) und Tunneling Modul 6 Virtuelle Private Netze (VPNs) und Tunneling M. Leischner Netzmanagement Folie 1 Virtuelle Private Netze Begriffsdefinition Fortsetz. VPNC Definition "A virtual private network (VPN) is a private

Mehr

Dies ist eine Schritt für Schritt Anleitung wie man den Router anschließt und mit dem Internet verbindet.

Dies ist eine Schritt für Schritt Anleitung wie man den Router anschließt und mit dem Internet verbindet. Schnellinstallations Anleitung: Dies ist eine Schritt für Schritt Anleitung wie man den Router anschließt und mit dem Internet verbindet. 1) Verkabeln Sie Ihr Netzwerk. Schließen Sie den Router ans Stromnetz,

Mehr

Dokumentation VPN-Server unter Windows 2000 Server

Dokumentation VPN-Server unter Windows 2000 Server Dokumentation VPN-Server unter Windows 2000 Server Ziel: Windows 2000 Server als - VPN-Server (für Remoteverbindung durch Tunnel über das Internet), - NAT-Server (für Internet Sharing DSL im lokalen Netzwerk),

Mehr

MPLS Multiprotocol Label Switching

MPLS Multiprotocol Label Switching MPLS Multiprotocol Label Switching Jürgen Quittek Institut für Informatik Freie Universität Berlin C&C Research Laboratories NEC Europe Ltd., Berlin Vorlesung Rechnernetze Institut für Informatik Freie

Mehr

How-to: VPN mit IPSec und Gateway to Gateway. Securepoint Security System Version 2007nx

How-to: VPN mit IPSec und Gateway to Gateway. Securepoint Security System Version 2007nx Securepoint Security System Version 2007nx Inhaltsverzeichnis VPN mit IPSec und Gateway to Gateway... 3 1 Konfiguration der Appliance... 4 1.1 Erstellen von Netzwerkobjekten im Securepoint Security Manager...

Mehr

Gebäudeautomatisation mit IPv6 - Praxis holt die Theorie ein?

Gebäudeautomatisation mit IPv6 - Praxis holt die Theorie ein? Gebäudeautomatisation mit IPv6 - Praxis holt die Theorie ein? Nach einer Projektarbeit von M. Bitzi und M. Häfliger HSLU T&A in Zusammenarbeit mit Siemens BT (begleitet durch P. Infanger) Einleitung Projektarbeit

Mehr

ANYWHERE Zugriff von externen Arbeitsplätzen

ANYWHERE Zugriff von externen Arbeitsplätzen ANYWHERE Zugriff von externen Arbeitsplätzen Inhaltsverzeichnis 1 Leistungsbeschreibung... 3 2 Integration Agenda ANYWHERE... 4 3 Highlights... 5 3.1 Sofort einsatzbereit ohne Installationsaufwand... 5

Mehr

Einfache VPN Theorie. Von Valentin Lätt (www.valentin-laett.ch)

Einfache VPN Theorie. Von Valentin Lätt (www.valentin-laett.ch) Einfache VPN Theorie Von Valentin Lätt (www.valentin-laett.ch) Einführung Der Ausdruck VPN ist fast jedem bekannt, der sich mindestens einmal grob mit der Materie der Netzwerktechnik auseinandergesetzt

Mehr

Aurorean Virtual Network

Aurorean Virtual Network Übersicht der n Seite 149 Aurorean Virtual Network Aurorean ist die VPN-Lösung von Enterasys Networks und ist als eine Enterprise-class VPN-Lösung, auch als EVPN bezeichnet, zu verstehen. Ein EVPN ist

Mehr

Virtual Private Networks. Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH

Virtual Private Networks. Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH Virtual Private Networks Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH Inhalt Einleitung Grundlagen Kryptographie IPSec Firewall Point-to-Point Tunnel Protokoll Layer 2 Tunnel Protokoll Secure Shell

Mehr

Konfigurieren von Remotezugriff

Konfigurieren von Remotezugriff Unterrichtseinheit 7: Konfigurieren von Remotezugriff Über Remotezugriff können Benutzer an einem Remotestandort eine Verbindung zu Ihrem Netzwerk herstellen. Aufbau einer RAS-Verbindung (siehe Kapitel

Mehr

Rechnernetze II SS 2015. Betriebssysteme / verteilte Systeme rolanda.dwismuellera@duni-siegena.de Tel.: 0271/740-4050, Büro: H-B 8404

Rechnernetze II SS 2015. Betriebssysteme / verteilte Systeme rolanda.dwismuellera@duni-siegena.de Tel.: 0271/740-4050, Büro: H-B 8404 Rechnernetze II SS 2015 Betriebssysteme / verteilte Systeme rolanda.dwismuellera@duni-siegena.de Tel.: 0271/740-4050, Büro: H-B 8404 Stand: 14. Juli 2015 Betriebssysteme / verteilte Systeme Rechnernetze

Mehr

ISA Server 2004 Erstellen eines neuen Netzwerkes - Von Marc Grote

ISA Server 2004 Erstellen eines neuen Netzwerkes - Von Marc Grote Seite 1 von 10 ISA Server 2004 Erstellen eines neuen Netzwerkes - Von Marc Grote Die Informationen in diesem Artikel beziehen sich auf: Microsoft ISA Server 2004 Einleitung Microsoft ISA Server 2004 bietet

Mehr

Einrichtung von VPN-Verbindungen unter Windows NT

Einrichtung von VPN-Verbindungen unter Windows NT www.netzwerktotal.de Einrichtung von VPN-Verbindungen unter Windows NT Installation des VPN-Servers: Unter "Systemsteuerung / Netzwerk" auf "Protokolle / Hinzufügen" klicken. Jetzt "Point to Point Tunneling

Mehr

SSL VPNs 2G06. VPNs eine Übersicht. IT-Symposium 2004. Andreas Aurand Network Consultant NWCC, HP. www.decus.de

SSL VPNs 2G06. VPNs eine Übersicht. IT-Symposium 2004. Andreas Aurand Network Consultant NWCC, HP. www.decus.de SSL VPNs 2G06 Andreas Aurand Network Consultant NWCC, HP 2004 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice VPNs eine Übersicht 1 VPNs Virtual

Mehr

KNX EtherGate Eine universelle Plattform für KNX/IP Interfaces

KNX EtherGate Eine universelle Plattform für KNX/IP Interfaces WEINZIERL ENGINEERING GMBH F. Heiny, Dr. Th. Weinzierl Bahnhofstr. 6 84558 Tyrlaching Tel. +49 (0) 8623 / 987 98-03 Fax +49 (0) 8623 / 987 98-09 E-Mail info@weinzierl.de KNX EtherGate Eine universelle

Mehr

Referat von Sonja Trotter Klasse: E2IT1 Datum Jan. 2003. Subnetting

Referat von Sonja Trotter Klasse: E2IT1 Datum Jan. 2003. Subnetting Referat von Sonja Trotter Klasse: E2IT1 Datum Jan. 2003 Subnetting Einleitung Thema dieser Ausarbeitung ist Subnetting Ganz zu Beginn werden die zum Verständnis der Ausführung notwendigen Fachbegriffe

Mehr

Handout. Holger Christian. Thema: VPN

Handout. Holger Christian. Thema: VPN Handout Holger Christian Thema: VPN VPN-Definition: Ein virtuelles privates Netz (VPN) ist ein Netz von logischen Verbindungen zur Übermittlung von privaten Daten/Informationen bzw. Datenverkehr. Eine

Mehr

Eine Open Source SSL VPN Lösung. Patrick Oettinger Deutsche Telekom AG 2. Ausbildungsjahr

Eine Open Source SSL VPN Lösung. Patrick Oettinger Deutsche Telekom AG 2. Ausbildungsjahr p Eine Open Source SSL VPN Lösung Patrick Oettinger Deutsche Telekom AG 2. Ausbildungsjahr Inhaltsverzeichnis Simon Singh über die Verschlüsslungen Facts about OpenVPN Hintergrund Funktionsweise inkl.

Mehr

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: - Grundkonfiguration des Routers. - Ein Bootimage ab Version 7.4.x.

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: - Grundkonfiguration des Routers. - Ein Bootimage ab Version 7.4.x. 7. PPPoE Server 7.1 Einleitung Im Folgenden wird die Konfiguration einer Dialin Verbindung über PPPoE zum Router beschrieben, um eine zusätzliche Authentifizierung durchzuführen. Bei der Einwahl eines

Mehr

2 Die Terminaldienste Prüfungsanforderungen von Microsoft: Lernziele:

2 Die Terminaldienste Prüfungsanforderungen von Microsoft: Lernziele: 2 Die Terminaldienste Prüfungsanforderungen von Microsoft: Configuring Terminal Services o Configure Windows Server 2008 Terminal Services RemoteApp (TS RemoteApp) o Configure Terminal Services Gateway

Mehr

bintec Workshop Dynamic Host Configuration Protocol Copyright 8. November 2005 Funkwerk Enterprise Communications GmbH Version 0.9

bintec Workshop Dynamic Host Configuration Protocol Copyright 8. November 2005 Funkwerk Enterprise Communications GmbH Version 0.9 bintec Workshop Dynamic Host Configuration Protocol Copyright 8. November 2005 Funkwerk Enterprise Communications GmbH Version 0.9 Ziel und Zweck Haftung Marken Copyright Richtlinien und Normen Wie Sie

Mehr

Root-Server für anspruchsvolle Lösungen

Root-Server für anspruchsvolle Lösungen Root-Server für anspruchsvolle Lösungen I Produktbeschreibung serverloft Internes Netzwerk / VPN Internes Netzwerk Mit dem Produkt Internes Netzwerk bietet serverloft seinen Kunden eine Möglichkeit, beliebig

Mehr

Konfigurationsanleitung Astimax (SIP) an RT1202 (ISDN) Graphical User Interface (GUI) Seite - 1 -

Konfigurationsanleitung Astimax (SIP) an RT1202 (ISDN) Graphical User Interface (GUI) Seite - 1 - Konfigurationsanleitung Astimax (SIP) an RT1202 (ISDN) Graphical User Interface (GUI) Copyright Stefan Dahler 22. Oktober 2013 Version 1.0 www.neo-one.de Seite - 1 - 6. Astimax (SIP) an RT1202 (ISDN) 6.1

Mehr

Thema IPv6. Geschichte von IPv6

Thema IPv6. Geschichte von IPv6 Geschichte von IPv6 IPv6 ist der Nachfolger des aktuellen Internet Protokolls IPv4, welches für die Übertragung von Daten im Internet zuständig ist. Schon Anfang der 90er Jahre wurde klar, dass die Anzahl

Mehr

2. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt.

2. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt. Arbeitsblätter Der Windows Small Business Server 2011 MCTS Trainer Vorbereitung zur MCTS Prüfung 70 169 Aufgaben Kapitel 1 1. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt.

Mehr

Konfigurationsbeispiel USG

Konfigurationsbeispiel USG ZyWALL USG L2TP VPN over IPSec Dieses Konfigurationsbeispiel zeigt das Einrichten einer L2TP Dial-Up-Verbindung (Windows XP, 2003 und Vista) auf eine USG ZyWALL. L2TP over IPSec ist eine Kombination des

Mehr

Internetworking. Motivation für Internetworking. Übersicht. Situation: viele heterogene Netzwerke

Internetworking. Motivation für Internetworking. Übersicht. Situation: viele heterogene Netzwerke Internetworking Motivation für Internetworking Übersicht Repeater Bridge (Brücke) Verbindung zwischen zwei gleichen LANs Verbindung zwischen zwei LANs nach IEEE 802.x Verbindung zwischen mehreren LANs

Mehr

Internet Routing am 14. 11. 2006 mit Lösungen

Internet Routing am 14. 11. 2006 mit Lösungen Wissenstandsprüfung zur Vorlesung Internet Routing am 14. 11. 2006 mit Lösungen Beachten Sie bitte folgende Hinweise! Dieser Test ist freiwillig und geht in keiner Weise in die Prüfungsnote ein!!! Dieser

Mehr

VPN Tunnel Konfiguration. VPN Tunnel Konfiguration IACBOX.COM. Version 2.0.2 Deutsch 11.02.2015

VPN Tunnel Konfiguration. VPN Tunnel Konfiguration IACBOX.COM. Version 2.0.2 Deutsch 11.02.2015 VPN Tunnel Konfiguration Version 2.0.2 Deutsch 11.02.2015 Dieses HOWTO beschreibt die Konfiguration eines VPN Tunnels zu einem (zentralisierten) OpenVPN Server. VPN Tunnel Konfiguration TITEL Inhaltsverzeichnis

Mehr

TCP/UDP. Transport Layer

TCP/UDP. Transport Layer TCP/UDP Transport Layer Lernziele 1. Wozu dient die Transportschicht? 2. Was passiert in der Transportschicht? 3. Was sind die wichtigsten Protkolle der Transportschicht? 4. Wofür wird TCP eingesetzt?

Mehr

Site2Site VPN S T E F A N K U S I E K B F W L E I P Z I G

Site2Site VPN S T E F A N K U S I E K B F W L E I P Z I G Site2Site VPN S T E F A N K U S I E K B F W L E I P Z I G Übersicht Einleitung IPSec SSL RED Gegenüberstellung Site-to-Site VPN Internet LAN LAN VPN Gateway VPN Gateway Encrypted VPN - Technologien Remote

Mehr

How to: VPN mit L2TP und dem Windows VPN-Client Version 2007nx Release 3

How to: VPN mit L2TP und dem Windows VPN-Client Version 2007nx Release 3 Inhalt 1 Konfiguration der Appliance... 4 1.1 Erstellen von Netzwerkobjekten im Securepoint Security Manager... 4 1.2 Erstellen von Firewall-Regeln... 5 1.3 L2TP Grundeinstellungen... 6 1.4 L2TP Konfiguration...

Mehr

NAS 323 NAS als VPN-Server verwenden

NAS 323 NAS als VPN-Server verwenden NAS 323 NAS als VPN-Server verwenden NAS als VPN-Server verwenden und über Windows und Mac eine Verbindung dazu herstellen A S U S T O R - K o l l e g Kursziele Nach Abschluss dieses Kurses sollten Sie:

Mehr

Grundlagen der Rechnernetze. Internetworking

Grundlagen der Rechnernetze. Internetworking Grundlagen der Rechnernetze Internetworking Übersicht Grundlegende Konzepte Internet Routing Limitierter Adressbereich SS 2012 Grundlagen der Rechnernetze Internetworking 2 Grundlegende Konzepte SS 2012

Mehr

GWDG ISDN-Zugang unter Windows NT als Server

GWDG ISDN-Zugang unter Windows NT als Server ISDN-Zugang unter Windows NT als Server ISDN-Server unter Windows NT bei der Die betreibt zwei Einwahlserver mit jeweils einem S2M Anschluß Dieser stellt den Benutzern jeweils 30 B-Kanäle für den Zugang

Mehr

Telekommunikationsnetze 2

Telekommunikationsnetze 2 Telekommunikationsnetze 2 Breitband-ISDN Lokale Netze Internet WS 2008/09 Martin Werner martin werner, January 09 1 Breitband-ISDN Ziele Flexibler Netzzugang Dynamische Bitratenzuteilung Effiziente Vermittlung

Mehr

Einführung in die Netzwerktechnik

Einführung in die Netzwerktechnik Ich Falk Schönfeld Seit 8 Jahren bei eurogard GmbH Entwickler für Remoteserviceprodukte Kernkompetenz Linux Mail: schoenfeld@eurogard.de Telefon: +49/2407/9516-15 Ablauf: Was bedeutet Netzwerktechnik?

Mehr

How-to: VPN mit PPTP und dem Windows VPN-Client. Securepoint Security System Version 2007nx

How-to: VPN mit PPTP und dem Windows VPN-Client. Securepoint Security System Version 2007nx How-to: VPN mit PPTP und dem Windows VPN-Client Securepoint Security System Version 2007nx Inhaltsverzeichnis VPN mit PPTP und dem Windows VPN-Client... 3 1 Konfiguration der Appliance... 4 1.1 Erstellen

Mehr

Netzwerksicherheit mit Hilfe von IPSec

Netzwerksicherheit mit Hilfe von IPSec Unterrichtseinheit 6: Netzwerksicherheit mit Hilfe von IPSec Bei IPSec (Internet Protocol Security) handelt es sich um ein Gerüst offener Standards, um eine sichere, private Kommunikation über IP-Netzwerke

Mehr

EP 1 093 253 A2 (19) (11) EP 1 093 253 A2 (12) EUROPÄISCHE PATENTANMELDUNG. (43) Veröffentlichungstag: 18.04.2001 Patentblatt 2001/16

EP 1 093 253 A2 (19) (11) EP 1 093 253 A2 (12) EUROPÄISCHE PATENTANMELDUNG. (43) Veröffentlichungstag: 18.04.2001 Patentblatt 2001/16 (19) Europäisches Patentamt European Patent Office Office européen des brevets (11) EP 1 093 23 A2 (12) EUROPÄISCHE PATENTANMELDUNG (43) Veröffentlichungstag: 18.04.2001 Patentblatt 2001/16 (1) Int. Cl.

Mehr

Nutzen und Vorteile der Netzwerkvirtualisierung

Nutzen und Vorteile der Netzwerkvirtualisierung Nutzen und Vorteile der Netzwerkvirtualisierung Dominik Krummenacher Systems Engineer, Econis AG 09.03.2010 Econis AG 2010 - Seite 1 - What s the Meaning of Virtual? If you can see it and it is there It

Mehr

Auftrag zum Erwerb und zur Einrichtung von Fernverbindungen Version 1 Version 2 Version 3 Allgemeines

Auftrag zum Erwerb und zur Einrichtung von Fernverbindungen Version 1 Version 2 Version 3 Allgemeines Auftrag zum Erwerb und zur Einrichtung von Fernverbindungen Eine Daten-Fernverbindung ist immer dann erforderlich, wenn Daten verschlüsselt von 2 PCs übertragen werden, die nur über eine Internetverbindung

Mehr

Um IPSec zu konfigurieren, müssen Sie im Folgenden Menü Einstellungen vornehmen:

Um IPSec zu konfigurieren, müssen Sie im Folgenden Menü Einstellungen vornehmen: 1. IPSec Verbindung zwischen IPSec Client und Gateway 1.1 Einleitung Im Folgenden wird die Konfiguration einer IPSec Verbindung vom Bintec IPSec Client zum Gateway gezeigt. Dabei spielt es keine Rolle,

Mehr

Universal Mobile Gateway V4

Universal Mobile Gateway V4 PV-Electronic, Lyss Universal Mobile Gateway V4 Autor: P.Groner Inhaltsverzeichnis Allgemeine Informationen... 3 Copyrightvermerk... 3 Support Informationen... 3 Produkte Support... 3 Allgemein... 4 Definition

Mehr

Lösungen zu 978-3-8045-5387-3 Informations- und Telekommunikationstechnik - Arbeitsheft

Lösungen zu 978-3-8045-5387-3 Informations- und Telekommunikationstechnik - Arbeitsheft Lösungen zu ---- Informations- und Telekommunikationstechnik - Arbeitsheft Handlungsschritt Aufgabe a) Die TCP/IP-Protokollfamilie verwendet logischen Adressen für die Rechner (IP- Adressen), die eine

Mehr

VPN mit Windows Server 2003

VPN mit Windows Server 2003 VPN mit Windows Server 2003 Virtuelle private Netzwerke einzurichten, kann eine sehr aufwendige Prozedur werden. Mit ein wenig Hintergrundwissen und dem Server- Konfigurationsassistenten von Windows Server

Mehr

ADSL-Verbindungen über PPtP (Mac OS X 10.1)

ADSL-Verbindungen über PPtP (Mac OS X 10.1) ADSL-Verbindungen über PPtP (Mac OS X 10.1) Wenn Sie einen ADSL-Anschluß haben und so eine Verbindung ins Internet herstellen wollen, dann gibt es dafür zwei Protokolle: PPP over Ethernet (PPoE) und das

Mehr

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: - Ein Bootimage ab Version 7.4.4. - Optional einen DHCP Server.

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: - Ein Bootimage ab Version 7.4.4. - Optional einen DHCP Server. 1. Dynamic Host Configuration Protocol 1.1 Einleitung Im Folgenden wird die Konfiguration von DHCP beschrieben. Sie setzen den Bintec Router entweder als DHCP Server, DHCP Client oder als DHCP Relay Agent

Mehr

KNX IP Interface 730 KNX IP Router 750 KNX IP LineMaster 760 KNX IP BAOS 770 KNX IP BAOS 771 KNX IP BAOS 772 KNX IP BAOS 777

KNX IP Interface 730 KNX IP Router 750 KNX IP LineMaster 760 KNX IP BAOS 770 KNX IP BAOS 771 KNX IP BAOS 772 KNX IP BAOS 777 KNX IP Interface 730 KNX IP Router 750 KNX IP LineMaster 760 KNX IP BAOS 770 KNX IP BAOS 771 KNX IP BAOS 772 KNX IP BAOS 777 Fernzugriff mit der ETS Achatz 3 84508 Burgkirchen Tel.: 08677 / 91 636 0 Fax:

Mehr