Wie funktionieren Sicherheitsprotokolle?

Größe: px
Ab Seite anzeigen:

Download "Wie funktionieren Sicherheitsprotokolle?"

Transkript

1 IT-Sicherheit: Sicherheitsprotokolle Zurück zur Theorie: Wie funktionieren Sicherheitsprotokolle?

2 Das Needham-Schroeder- Protokoll! Roger Needham, Michael Schroeder (1978)! Schlüsselaustausch-Protokoll: Kommunikationspartner A und B vereinbaren mit Hilfe des Protokolls einen gemeinsamen Schlüssel K AB, ohne ein Public-Key-Verfahren zu verwenden.! Vertrauenswürdige dritte Instanz S (trusted third party), Authentisierungsserver! Voraussetzung:! A und B besitzen mit S jeweils einen gemeinsamen Schlüssel: K AS und K BS 3 Die Schritte des Needham- Schroeder-Protokolls (1) 1. A! S : A, B, N A! A fragt S nach einem gemeinsamen geheimen Schlüssel K AB für die Kommunikation mit B. 2. S! A : {N A, B, K AB, {K AB,A} KBS } KAS! S antwortet mit dem geheimen Schlüssel K AB, der mittels K AS verschlüsselt ist! das Nonce N A verhindert einen Replay-Angriff! Nachricht enthält ferner ein Zertifikat für B mit dem gemeinsamen geheimen Schlüssel K AB 4

3 Die Schritte des Needham- Schroeder-Protokolls (2) 3. A! B :, {K AB,A} KBS! A sendet das von S ausgestellte Zertifikat an B, d.h. B kennt nun den gemeinsamen Schlüssel K AB 4. B! A : {N B } KAB 5. A! B : {N B -1} KAB! Die Schritte 4. und 5. stellen eine Art Challenge-Response dar: B überprüft, dass A wirklich mit B kommunizieren will. 5 Sicherheitsproblem des Needham-Schroeder Protokolls! Subtiles Sicherheitsproblem: B nimmt an, dass der Schlüssel K AB aktuell von S stammt (vgl. Nachricht 3): 3. S! A : {N A, B, K AB, {K AB,A} KBS } KAS! Wiedereinspielungen mit geknacktem K AB sind möglich.! Bei Kompromittierung von K AS kann sich der Angreifer sogar auf Vorrat Schlüssel K AX für verschiedene Kommunikationsteilnehmer X besorgen (nicht nur für B). Selbst wenn A erkennt, dass K AS gebrochen ist, werden dadurch die Schlüssel K AX nicht automatisch ungültig.! Lösung: Nachrichten mit Zeitstempel versehen. 6

4 Design-Prinzipien für Sicherheitsprotokolle (1)! M. Abadi, R. Needham: Prudent Engineering Practice for Cryptographic Protocols, IEEE Transactions on Software Engineering, Vol.23, No.3, März 1997 (auch DEC SRC- 125, Juni 1994)! Regel 1: Vollständige Information: Alle relevanten Informationen (z.b. Namen der Partner) sollten in einer Protokollnachricht kodiert werden.! vgl. Schwäche in Denning-Sacco bzw. im Mutual Challenge- Response-Protokoll 7 Design-Prinzipien für Sicherheitsprotokolle (2)! Regel 2: Verschlüsselungszweck klären:! Gewährleisten der Vertraulichkeit,! Nachweis der Authentizität des Absenders! Verknüpfung unterschiedlicher Nachrichten-Bestandteile Bemerkung: unterschiedliche Schlüssel für unterschiedliche Zwecke verwenden, z.b. Signieren, Verschlüsseln! Regel 3: Vorsicht bei Doppelverschlüsselung Redundanz verursacht unnötige Kosten, ggf. sogar Lücken 8

5 Design-Prinzipien für Sicherheitsprotokolle (3)! Regel 4: Digitale Signaturen: Erst Signieren (nach dem Hashen), dann Verschlüsseln! Regel 5: frischer Schlüssel Frischenachweis über Zeitstempel oder Nonces (vgl. Problem bei Needham-Schroeder Protokoll) 9 Kerberos (1)! Weit verbreitete Weiterentwicklung des Needham-Schroeder Protokolls! Name: gr. Mythologie: 3-köpfiger Hund, der den Eingang zum Hades bewacht.! 1983 im Athena Projekt am MIT entwickelt (+ IBM, DEC)! Version 4 (nur TCP/IP, einige Sicherheits-Probleme)! Version 5 (RFC 1510, September 1993)! Ziele von Kerberos:! Authentisierung von Subjekten (Principals): u.a. Benutzer, PC/Laptop, Server! Austausch von Sitzungs-Schlüsseln für Principals! Single-Sign-on für Dienste in einer administrativen Domäne! Beispiele für Dienste: Drucker, NFS, DB 10

6 Kerberos (2)! Im Gegensatz zum Needham-Schroeder-Protokoll zwei Server:! Authentisierungsserver (AS)! Ticket-Granting Server (S)! AS und S werden oft zusammen KDC genannt (Key Distribution Center)! Idee: Trennung von Authentisierung (zentral beim KDC) und Überprüfung (dezentral bei den einzelnen Dienst-Servern)! Vorgehen:! Client C besitzt Passwort für Authentisierungsserver AS! C fordert einen Schlüssel K CS für den Ticket-Granting Server S von AS an! K CS ist verschlüsselt mit dem Passwort von C (Kerberos v4)! v5: Wörterbuchangriffe durch verschlüsselte Anfragen verhindern! Client führt korrigierte Variante von Needham-Schroeder mit Hilfe von S und dem Dienst -Server B durch 11 Kerberos-Architektur Key Distribution Center KDC Benutzer Alice Client C Schlüsseldatenbank AS Ticket-Granting-Server S DB Drucken... NFS Server Server Server 12

7 Kerberos: Protokollschritte! Schritte 1. und 2.: Aushandlung des gemeinsamen Schlüssel K CS für den Client C und den Ticket-Granting-Server S! Hier nur das abgewandelte Needham-Schroeder-Protokoll: 3. C! S : C, B 4. S! C : {T S, L, K CB, B, {T S, L, K CB,C} K BS } KCS (T Zeitstempel, L Gültigkeitsdauer) 5. C! B :, {T S, L, K CB,C} KBS, {C,T C } KCB 6. B! C : {T S +1} KCB! {T S, L, K CB,C} KBS ist das Ticket für den Zugriff auf den Server! {C,T C } KCB der Authentikator 13 Sicherheitsprotokolle auf den unteren Schichten: IPsec (unter Nutzung von Material von Prof. Gollmann, TU-Hamburg Harburg, das wiederum auf Material von Kenny Paterson, Royal Holloway, basiert)

8 Sicherer Kanal (Secure Channel)! Schutzziele: Vertraulichkeit, Authentizität und Integrität über unsichere Netze! Nicht notwendigerweise nur für das Internet: auch LANs, WANs! Typische Anwendungen:! Vernetzung von Zweigstellen eines Unternehmens! Entfernte Kommunikation mit Geschäftspartnern! Entfernter Zugriff für Angestellte! Schutz von Kreditkartennummern bei Online-Transaktionen Sicherer Kanal (Secure Channel)! Oft nicht ganz klar: Was genau wird authentisiert?! Maschine, OS?! Anwendung?! Benutzer?! Nicht-Ziele: Nichtabstreitbarkeit Schutz lokaler Daten 16

9 Schritte zu einem sicheren Kanal! Ein sicherer Kanal wird üblicherweise in folgenden Schritten erzeugt:! Authentisierter Schlüsselaustausch! Eine oder beide Parteien werden authentisiert! Ein frisches gemeinsames Geheimnis wird erzeugt! Ableitung von Schlüsselinformationen aus dem gemeinsamen Geheimnis! MAC! Verschlüsselung! Schutz des Datenverkehrs mit MACs und durch Verschlüsselung! Nützlich: Wiederverwendung von Schlüsseln; schnelles Aushandeln neuer Schlüssel (rekeying) 17 IPsec grundlegende Merkmale (1)! Vorbemerkung: IPsec wird aus RN1 vorausgesetzt; Schwerpunkt hier: Schlüsselaustausch mit IKE-Protokoll! Bereitstellen eines sicheren Kanals auf der Vermittlungsschicht:! Alle IP-Datagramme werden behandelt! Anwendungen müssen nicht angepasst werden! Transparent für den Nutzer! Verpflichtend für IPv6, optional für IPv4! RFC

10 IPsec grundlegende Merkmale (2)! Zwei Modi:! Transport -Modus:! Schutz für Pakete höherer Schichten (TCP, UDP, ICMP)! Schutz der IP-Daten (und ausgewählter Headerinformationen)! Ende-zu-Ende-Sicherheit (zwischen den Endpunkten eines sicheren Kanals)! Tunnel =Modus:! Kann auch von Gateways (z.b. Firewalls) aus aufgebaut werden! stellt Authentizität und/oder Vertraulichkeit sicher.! Protokolle: AH (Authentication Header) und ESP (Encapsulated Security Payload)! Flexible Möglichkeiten für den Schlüsselaustausch:! IKE, IKEv2 19 Transportmodus IP datagram IP datagram Header Payload Header Payload Network 20

11 Tunnelmodus (1)! Kann als Technik zum Aufbau eines VPN (virtual private network) verwendet werden! Das gesamte IP-Paket (inkl. IP-Header) wird in ein neues IP-Paket eingkapselt! Voranstellung eines neuen IP-Headers mit den Adressen der Gateways! Schutz des gesamten inneren IP-Paketes! Security Gateways:! Gateway kann eine Firewall oder ein Router sein.! Gateway-zu-Gateway versus Ende-zu-Ende Sicherheit! Hosts brauchen nicht notwendigerweise IPsec zu verstehen.! Inneres IP-Paket ist nicht sichtbar für intermediäre Router:! Nicht einmal die Quell- und Zieladresse der Hosts sichtbar. 21 Tunnelmodus (2) Inner IP datagram Header Payload Security Gateway Network Inner IP datagram Header Payload Security Gateway Outer Header Inner IP datagram Header Payload Outer Header Inner IP datagram Header Payload 22

12 IPsec-Teilprotokoll: AH! AH = Authentication Header (RFC 2402)! Authentisierung der Herkunft und Integrität (Authentizität)! AH authentisiert die Daten und den größten Teil des Headers eines IP-Paketes! Abwehr von IP Address Spoofing! Quell-Adresse wird authentisiert! Zustandsbehafteter Informationskanal Abgesagt! Laufnummern! Abwehr von Replay-Angriffen! AH-Laufnummer wird mitauthentisiert! Einsatz von MACs und geheimen Schlüsseln 23 Grundlegende IPsec- Teilprotokolle: ESP! ESP = Encapsulating Security Payload (RFC 2406)! Stellt eines oder beide der folgenden Schutzziele sicher:! Vertraulichkeit der Daten! Authentizität der (gekapselten) Daten; aber nicht des Headers! Im Tunnelmodus sogar Vertraulichkeit des Verkehrsflusses! Einsatz von symmetrischer Verschlüsselung und MACs! Ursprüngliche Trennung von AH und ESP aus technischen und politischen Gründen 24

13 Security Association (SA)! Woher wissen die Kommunikationspartner, welche Parameter für ESP bzw. AH gewählt sollen?! Konzept der Security Association (SA).! Unidirektional gültig! Stellt eine Art Abkommen zwischen den Kommunikationspartnern für die Verbindung dar! Eine SA enthält u.a.:! Informationen über Authentisierungsverfahren, Modi und die Schlüssel für AH! Informationen über Authentisierungsverfahren, Modi und die Schlüssel für ESP! Initialisierungsvektoren! Lebensdauer von Schlüsseln! Sequenznummern SA Database! Alle aktiven SAs! Zieladresse, Protokoll, SPI (Security Parameter Index)! Parameter:! Authentication algorithm and keys! Encryption algorithm and keys! Lifetime! Security Protocol Mode (tunnel or transport)! Anti-replay service! Link with an associated policy in the SPD 26

14 Security Policy Database (SPD)! Für welche Pakete ist IPsec erforderlich! Kommende Pakete ohne AH/ESP werden verworfen! Gehende Pakete werden in AH/ESP verpackt! Bei Bedarf SA mit IKE erzeugen! Selektoren! Destination IP Address, Source IP Address! Name (z.b. User ID!)! Transport Layer Protocol (protocol number)! Source and Destination Ports! Policy! Discard the packet, bypass or process IPsec; falls ja:! Security Protocol and Mode! Enabled Services (anti-replay, authentication, encryption)! Algorithms (for authentication and/or encryption)! Link to an active SA in the SAD (if it exists) 27 Schlüsselmanagement von IPsec! Extensive Verwendung von symmetrischen Schlüsseln in IPsec! Für jede SA ein Schlüssel! Je zwei Schlüssel für ESP und AH (beide Richtungen)! Zwei Arten für die Schlüsselverwaltung:! manuell.! Nur für eine kleine Anzahl von Knoten geeignet! IKE: Internet Key Exchange, RFC 2409.! IKE ist eine Anpassung der allgemeineren Protokolle Oakley and ISAKMP! Diese Protokolle haben viele Optionen und Parameter. 28

15 Sicherheitsziele von IKE (1)! IKE (Oakley) beruht auf Diffie-Hellman-Schlüsselvereinbarung! Diffie-Hellmann allein reicht nicht:! Gefahr von Man-in-the-Middle-Angriffen! Diffie-Hellman-Algorithmus ist rechenintensiv (modulare Potenzierung ist aufwendig):! Gefahr von Denial-of-Service-Angriffen:! Verstopfungsangriff mit gefälschten Adressen und Ports: Angreifer verlangt eine große Anzahl von Schlüsseln 29 Sicherheitsziele von IKE (2)! Authentisierung der Kommunikationspartner (gegen Man-in-the-Middle-Angriff)! Vereinbarung eines frischen, gemeinsamen Geheimnisses! Zur Ableitung weiterer Schlüssel (ähnlich wie bei TLS/SSL)! Zur Sicherstellung der Vertraulichkeit und der Authentizität des IKE Kommunikationskanals (nicht des IPsec-Kommunikationskanals!)! Abwehr von DoS-Angriffen! Durch Cookie-Mechanismus (nächste Folien)! Sichere Aushandlung der Algorithmen:! Methode zur Authentisierung, Methode für den Schlüsselaustausch, Gruppe, Algorithmen zur Verschlüsselung und zur Bildung von MACs, Hash-Algorithmen 30

16 Cookie-Mechanismus (1)! Vorgeschlagen in Photuris, RFC 2522! Anti-Clogging Token (ACT)! Prinzip:! Jeder Kommunikationspartner sendet eine Pseudozufallszahl (Cookie)! Dieser Cookie muss von der Gegenseite bestätigt, d.h. zurückgesendet werden 31 Cookie-Mechanismus (2)! Drei grundlegende Anforderungen an Cookies:! Cookie muss von den Kommunikationspartnern abhängen (wie z.b. Quellund Zieladresse und Quell- und Zielports enthalten)! gegen Fälschen von Adressen und Ports! Nur der ausgebende Kommunikationsteilnehmer kann den Cookie erzeugen (und verifizieren)! Sender des Cookies muss also einen lokal vorhandenen geheimen Wert besitzen! Das Verfahren zum Erzeugen und Überprüfen der Cookies muss schnell durchführbar sein, um Verstopfungsangriffe zu verhindern! Kein Verfahren vorgeschrieben, aber empfohlen:! Hash (Quell- und Zieladresse, Quell- und Zielport, lokales Geheimnis)! Hashverfahren z.b. MD5 32

17 Die Phasen von IKE! Zwei Phasen:! Phase 1: Einrichten einer SA und eines sicheren Kanals für die Kommunikation in Phase 2! Bidirektional (!)! Authentisierung und Schlüsselaustausch! Richtet einen ISAKMP-Kanal ein (IPsec key management protocol) sicherer Kanal für Phase 2! Phase 2: Aushandlung der SAs für die eigentliche Kommunikation:! Schnellere Aushandlung als in Phase 1 ( quick mode ); nutzt den in Phase 1 etablierten Kanal! Mehrere Durchläufe der Phase 2 möglich! PFS (erneuter DH fuer IPsec-SAs) optional 33 Perfect Forward Secrecy! Szenario:! Angreifer hört Kommunikation ab! Kann sie nicht entschlüsseln, speichert sie daher nur! Später kompromittiert Angreifer einen Partner! Perfect Forward Secrecy:! Auch mit den Schlüsseln eines Partners läßt sich Sitzungsschlüssel (und damit die Kommunikation) nicht rekonstruieren! Lösung: authentisierter Diffie-Hellman! Statt verschlüsselt übertragenen Sitzungsschlüsseln 34

18 IKE: Phase 1! Zwei Varianten zum Aufbau eines sicheren IKE-Kanals! Main mode : sechs Nachrichten! Aggressive mode : Nur drei Nachrichten, Preisgabe von mehr Informationen! Mechanismen zur Authentisierung der DH-Schlüsselvereinbarung:! Verschiedene Arten der Authentisierung: u.a. DSS-Signatur, Public-Key-Verschlüsselung! Nonces gegen Replay-Angriffe! Zertifikate für öffentlichen Schlüssel! Wahl der Parameter für die DH-Schlüsselvereinbarung! mehrere fest vorgegebene Gruppen: n und g vorgegeben (Beispiel nächste Folie) 35 Beispiel: DH-Parameter! n= * { [2 1406!] }! Hexadezimale Darstellung: FFFFFFFF FFFFFFFF C90FDAA2 2168C234 C4C6628B 80DC1CD E08 8A67CC74 020BBEA6 3B139B22 514A0879 8E3404DD EF9519B3 CD3A431B 302B0A6D F25F1437 4FE1356D 6D51C245 E485B E7EC6 F44C42E9 A637ED6B 0BFF5CB6 F406B7ED EE386BFB 5A899FA5 AE9F2411 7C4B1FE ECE45B3D C2007CB8 A163BF05 98DA4836 1C55D39A 69163FA8 FD24CF5F 83655D23 DCA3AD96 1C62F BB 9ED D 670C354E 4ABC9804 F1746C08 CA FFFFFFFF FFFFFFFF! Generator: g=2. 36

19 Vereinfachter Ablauf von IKE Initiator A Partner B Cookie-Erzeugung Anfrage-Cookie C A Cookie-Erzeugung Überprüfung CA, falls korrekt: Berechnen des gemeinsamen IKE- Schlüssels C A, Anfrage-Cookie C B DH-Parameter, C B Überprüfung C b, falls korrekt: Berechnen des gemeinsamen IKE-Schlüssels DH-Parameter Wechsels. Authentisierung Verschlüsselt Verschlüsselter Austausch von Sicherheitsattributen SA -Erzeugung SA -Erzeugung 37 Bemerkungen zu IPsec! Viele Modes, Optionen, etc.! Interoperabilitäts- und Konfigurationsalbtraum! Komplexe Wartung der IPsec-Policy und Installation! Sehr viele IPsec-Optionen, schlechte Dokumentation! Systemebene vs. Benutzerebene! Hauptanwendung: VPN-Szenarien! Z.B. Unterstützung von IPsec in Windows XP, Ersatz für PPTP 38

20 IPsec vs. NATs! Zusammenspiel von IPsec und NATs problematisch:! Authentisierung der äußeren Quelladressen in AH ist wenig nützlich! NATs ändern diese Adressen für nach außen gehende Pakete! Rückweg von globaler Seite in den genatteten Adreßraum?! Einkapselung in UDP 39 IKEv2! Ziele von IKEv2:! Vereinfachung und Verbesserung von IKEv1! Fixing von Fehlern! Performance-Verbesserung! Keine grundlegende Änderung: It was also a goal of IKEv2 to understand IKEv1 and not to make gratuitous changes. (Radia Perlman) 40

21 IKEv2: was ist neu?! Zwei-Phasen für Handshake nur noch optional:! Ein-Phasen-Mechanismus auch möglich, bei dem nur eine IPsec- SA erzeugt wird! Zwei-Phasen aber weiterhin empfohlen! Festlegung von Cipher-Suites (mit den entsprechenden Parametern) wie in SSL/TLS:! Der initiierende Kommunikationspartner bietet Cipher-Suites an, der antwortende Partner wählt die Kombination von Verfahren aus! Cookie-Mechanismus optional! Cookie braucht nur überprüft zu werden, wenn ein Angriff vorliegt (z.b. wenn Ressourcen knapp werden) 41 IKEv2: was ist neu?! You Tarzan, me Jane! IP-Adresse allein mag nicht ausreichen! Authentisierung kann mit EAP erfolgen! Leichte Erweiterbarkeit, z.b. für EAP-SIM! Während des Austauschs kann auch eine IP-Adresse vergeben werden! Szenario VPN-Login in geschütztes Netz! Überwindung von NATs ist Standard-Bestandteil! Patentfragen leider großenteils ungeklärt 42

22 Nächste Termine Mo, Uhr: Übung Do, Uhr: Sicherheitsmanagement Übungsblatt 9 bald auf Stud.IP, s.: https://elearning.uni-bremen.de 43

IT-Sicherheit Kapitel 10 IPSec

IT-Sicherheit Kapitel 10 IPSec IT-Sicherheit Kapitel 10 IPSec Dr. Christian Rathgeb Sommersemester 2014 1 TCP/IP TCP/IP-Schichtenmodell: 2 TCP/IP Sicherheitsmechanismen in den Schichten: 3 TCP/IP TCP verpackt die Anwenderdaten in eine

Mehr

Prof. Dr. Martin Leischner Netzwerksysteme und TK. Hochschule Bonn-Rhein-Sieg. Modul 5: IPSEC

Prof. Dr. Martin Leischner Netzwerksysteme und TK. Hochschule Bonn-Rhein-Sieg. Modul 5: IPSEC Modul 5: IPSEC Teil 1: Transport- und Tunnelmode / Authentication Header / Encapsulating Security Payload Security Association (SAD, SPD), IPsec-Assoziationsmanagements Teil 2: Das IKE-Protokoll Folie

Mehr

TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL

TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL 1 TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL Kleine Auswahl bekannter Sicherheitsprotokolle X.509 Zertifikate / PKIX Standardisierte, häufig verwendete Datenstruktur zur Bindung von kryptographischen

Mehr

Gestaltung von virtuellen privaten Netzwerken (VPN) - Tunneling und Encryption

Gestaltung von virtuellen privaten Netzwerken (VPN) - Tunneling und Encryption Gestaltung von virtuellen privaten Netzwerken (VPN) - Tunneling und Encryption Markus Keil IBH Prof. Dr. Horn GmbH Gostritzer Str. 61-63 01217 Dresden http://www.ibh.de/ support@ibh.de 1 2 Was ist ein

Mehr

VPN Virtual Private Network

VPN Virtual Private Network VPN Virtual Private Network LF10 - Betreuen von IT-Systemen Marc Schubert FI05a - BBS1 Mainz Lernfeld 10 Betreuen von IT-Systemen VPN Virtual Private Network Marc Schubert FI05a - BBS1 Mainz Lernfeld 10

Mehr

IPSec. Motivation Architektur Paketsicherheit Sicherheitsrichtlinien Schlüsselaustausch

IPSec. Motivation Architektur Paketsicherheit Sicherheitsrichtlinien Schlüsselaustausch IPSec Motivation Architektur Paketsicherheit Sicherheitsrichtlinien Schlüsselaustausch Motivation Anwendung auf Anwendungsebene Anwendung Netzwerk- Stack Netzwerk- Stack Anwendung Netzwerk- Stack Netz

Mehr

Security Associations Schlüsseltausch IKE Internet Key Exchange Automatischer Schlüsseltausch und Identitätsnachweis

Security Associations Schlüsseltausch IKE Internet Key Exchange Automatischer Schlüsseltausch und Identitätsnachweis Wie Interoperabel ist IPsec? Ein Erfahrungsbericht Arturo Lopez Senior Consultant März 2003 Agenda Internet Protokoll Security (IPsec) implementiert Sicherheit auf Layer 3 in OSI Modell Application Presentation

Mehr

Sichere Netzwerke mit IPSec. Christian Bockermann

Sichere Netzwerke mit IPSec. Christian Bockermann <christian@ping.de> Sichere Netzwerke mit IPSec Christian Bockermann Überblick Gefahren, Ziele - Verschlüsselung im OSI-Modell IPSec - Architektur - Schlüssel-Management - Beispiele Unsichere Kommunikation

Mehr

Rechnernetze II SS 2015. Betriebssysteme / verteilte Systeme rolanda.dwismuellera@duni-siegena.de Tel.: 0271/740-4050, Büro: H-B 8404

Rechnernetze II SS 2015. Betriebssysteme / verteilte Systeme rolanda.dwismuellera@duni-siegena.de Tel.: 0271/740-4050, Büro: H-B 8404 Rechnernetze II SS 2015 Betriebssysteme / verteilte Systeme rolanda.dwismuellera@duni-siegena.de Tel.: 0271/740-4050, Büro: H-B 8404 Stand: 14. Juli 2015 Betriebssysteme / verteilte Systeme Rechnernetze

Mehr

VIRTUAL PRIVATE NETWORKS

VIRTUAL PRIVATE NETWORKS VIRTUAL PRIVATE NETWORKS Seminar: Internet-Technologie Dozent: Prof. Dr. Lutz Wegner Virtual Private Networks - Agenda 1. VPN Was ist das? Definition Anforderungen Funktionsweise Anwendungsbereiche Pro

Mehr

VPN: wired and wireless

VPN: wired and wireless VPN: wired and wireless Fachbereich Informatik (FB 20) Fachgruppe: Security Engineering Modul: 2000096VI LV-9 er Skriptum und Literatur: http://www2.seceng.informatik.tu-darmstadt.de/vpn10/ Wolfgang BÖHMER,

Mehr

VPN unterstützt 3 verschiedene Szenarien: Host to Host: Dies kennzeichnet eine sichere 1:1 Verbindung zweier Computer, z.b. über das Internet.

VPN unterstützt 3 verschiedene Szenarien: Host to Host: Dies kennzeichnet eine sichere 1:1 Verbindung zweier Computer, z.b. über das Internet. 1. VPN Virtual Private Network Ein VPN wird eingesetzt, um eine teure dedizierte WAN Leitung (z.b. T1, E1) zu ersetzen. Die WAN Leitungen sind nicht nur teuer, sondern auch unflexibel, da eine Leitung

Mehr

IPsec. Vortrag im Rahmen des Seminars Neue Internet Technologien

IPsec. Vortrag im Rahmen des Seminars Neue Internet Technologien IPsec Vortrag im Rahmen des Seminars Neue Internet Technologien Friedrich Schiller Universität Jena Wintersemester 2003/2004 Thomas Heinze, Matrikel xxxxx Gliederung IPsec? - Motivation, Grundbegriffe,

Mehr

IKEv1 vs. v2. Wie verändert die Version 2 von IKE das Verhalten? Netzwerksicherheit - Monika Roßmanith CNB, Simon Rich CN

IKEv1 vs. v2. Wie verändert die Version 2 von IKE das Verhalten? Netzwerksicherheit - Monika Roßmanith CNB, Simon Rich CN IKEv1 vs. v2 Wie verändert die Version 2 von IKE das Verhalten? 1 Agenda Einführung IPSec IKE v1 v2 Zusammenfassung der Unterschiede Fazit Quellen Fragen und Antworten 2 IPSec OSI Layer 3 (Network Layer)

Mehr

Modul 3: IPSEC Teil 2 IKEv2

Modul 3: IPSEC Teil 2 IKEv2 Modul 3: IPSEC Teil 2 IKEv2 Teil 1: Transport- und Tunnelmode / Authentication Header / Encapsulating Security Payload Security Association (SAD, SPD), IPsec-Assoziationsmanagements Teil 2: Design-Elemente

Mehr

VPN: wired and wireless

VPN: wired and wireless VPN: wired and wireless Fachbereich Informatik (FB 20) Fachgruppe: Security Engineering Modul: 2000096VI LV-08 er Skriptum und Literatur: http://www.seceng.informatik.tu-darmstadt.de/teaching/ws11-12/vpn11

Mehr

Exkurs: IPSec. Brandenburg an der Havel, den 5. Juni 2005

Exkurs: IPSec. <muehlber@fh-brandenburg.de> Brandenburg an der Havel, den 5. Juni 2005 Exkurs: IPSec Brandenburg an der Havel, den 5. Juni 2005 1 Gliederung 1. IPSec: Problem und Lösung 2. Übertragungsmodi 3. Encapsulating Security Payload 4. Authentication Header

Mehr

IT-Sicherheit: Übung 6

IT-Sicherheit: Übung 6 IT-Sicherheit: Übung 6 Zertifikate, Kryptographie (Diffie-Hellman), Sicherheitsprotokolle (SSL/TLS) Zertifikate! Problem: Woher weiß Bob, dass K E Alice zu Alice gehört?! Persönlicher Austausch des öffentlichen

Mehr

IPSec und IKE. Richard Wonka 23. Mai 2003

IPSec und IKE. Richard Wonka 23. Mai 2003 IPSec und IKE Eine Einführung Richard Wonka richard.wonka@uni-konstanz.de 23. Mai 2003 Inhaltsverzeichnis 1 Wozu IPSec? 3 2 Was bietet IPSec? 6 3 Zutaten für ein IPSec 8 4 IKE 14 1 Wozu IPSec? Häufige

Mehr

IT-Sicherheit: Kryptographie. Asymmetrische Kryptographie

IT-Sicherheit: Kryptographie. Asymmetrische Kryptographie IT-Sicherheit: Kryptographie Asymmetrische Kryptographie Fragen zur Übung 5 C oder Java? Ja (gerne auch Python); Tips waren allerdings nur für C Wie ist das mit der nonce? Genau! (Die Erkennung und geeignete

Mehr

IPSec. Markus Weiten Lehrstuhl für Informatik 4 Verteilte Systeme und Betriebssysteme Universität Erlangen-Nürnberg

IPSec. Markus Weiten Lehrstuhl für Informatik 4 Verteilte Systeme und Betriebssysteme Universität Erlangen-Nürnberg IPSec Markus Weiten markus@weiten.de Lehrstuhl für Informatik 4 Verteilte Systeme und Betriebssysteme Universität Erlangen-Nürnberg 1 Inhalt Motivation, Ansätze Bestandteile von IPsec (Kurzüberblick) IPsec

Mehr

Sicherheitsdienste in IPv6

Sicherheitsdienste in IPv6 Sicherheitsdienste in IPv6 Dr. Hannes P. Lubich Bank Julius Bär Zürich IP Next Generation - Sicherheitsdienste in IPv6 (1) Motivation Die neuen Benutzungsformen des Internet für Electronic Commerce und

Mehr

Seminar: Konzeptionen von Betriebssystems Komponenten

Seminar: Konzeptionen von Betriebssystems Komponenten Seminar: Konzeptionen von Betriebssystems Komponenten Schwerpunkt: Sicherheit Informatik Studium Fachsemester 4 - SS 2002 Thema: IPsec, inkl. Schlüsselverwaltung (ISAKMP/IKE, Photuris) Referent: Matthias

Mehr

Virtuelle Netze. Virtuelle Netze von Simon Knierim und Benjamin Skirlo 1 Von 10-16.04.07. Simon Knierim & Benjamin Skirlo.

Virtuelle Netze. Virtuelle Netze von Simon Knierim und Benjamin Skirlo 1 Von 10-16.04.07. Simon Knierim & Benjamin Skirlo. 1 Von 10-16.04.07 Virtuelle Netze Simon Knierim & Benjamin Skirlo für Herrn Herrman Schulzentrum Bremen Vegesack Berufliche Schulen für Metall- und Elektrotechnik 2 Von 10-16.04.07 Inhaltsverzeichnis Allgemeines...

Mehr

Sicherheit in der Netzwerkebene

Sicherheit in der Netzwerkebene Sicherheit in der Netzwerkebene Diskussion verschiedener Ansätze Sicherheitsmechanismen in IPv6 Anwendungsszenarien Sicherheit in Datennetzen Sicherheit in der Netzwerkebene 1 Dedizierter (IP-) Router

Mehr

9 Schlüsseleinigung, Schlüsselaustausch

9 Schlüsseleinigung, Schlüsselaustausch 9 Schlüsseleinigung, Schlüsselaustausch Ziel: Sicherer Austausch von Schlüsseln über einen unsicheren Kanal initiale Schlüsseleinigung für erste sichere Kommunikation Schlüsselerneuerung für weitere Kommunikation

Mehr

HowTo: Einrichtung einer IPSec Verbindung mit einem IPSEC VPN Client zum DWC-1000 am Beispiel der Shrewsoft VPN Clientsoftware

HowTo: Einrichtung einer IPSec Verbindung mit einem IPSEC VPN Client zum DWC-1000 am Beispiel der Shrewsoft VPN Clientsoftware HowTo: Einrichtung einer IPSec Verbindung mit einem IPSEC VPN Client zum DWC-1000 am Beispiel der Shrewsoft VPN Clientsoftware [Voraussetzungen] 1. DWC-1000 mit Firmware Version: 4.2.0.3_B502 und höher

Mehr

Site2Site VPN S T E F A N K U S I E K B F W L E I P Z I G

Site2Site VPN S T E F A N K U S I E K B F W L E I P Z I G Site2Site VPN S T E F A N K U S I E K B F W L E I P Z I G Übersicht Einleitung IPSec SSL RED Gegenüberstellung Site-to-Site VPN Internet LAN LAN VPN Gateway VPN Gateway Encrypted VPN - Technologien Remote

Mehr

Modul 2: IPSEC. Ergänzung IKEv2. Prof. Dr. Martin Leischner Netzwerksysteme und TK. Hochschule Bonn-Rhein-Sieg

Modul 2: IPSEC. Ergänzung IKEv2. Prof. Dr. Martin Leischner Netzwerksysteme und TK. Hochschule Bonn-Rhein-Sieg Modul 2: IPSEC Ergänzung IKEv2 M. Leischner Sicherheit in Netzen Folie 1 Übersicht Ablauf von IPsec mit IKEv2 Start: IPSec Phase 1.1 IKEv2: IKE_INIT Phase 1.2 IKEv2: IKE_AUTH Phase 2 IKEv2: CREATE_CHILD_SA

Mehr

Zentrum für Informationsdienste und Hochleistungsrechnen (ZIH) Technische Grundlagen und Beispiele. Christian Hoffmann & Hanjo, Müller

Zentrum für Informationsdienste und Hochleistungsrechnen (ZIH) Technische Grundlagen und Beispiele. Christian Hoffmann & Hanjo, Müller Zentrum für Informationsdienste und Hochleistungsrechnen (ZIH) VPN (Virtual Private Network) Technische Grundlagen und Beispiele Christian Hoffmann & Hanjo, Müller Dresden, 3. April 2006 Übersicht Begriffsklärung

Mehr

Unterhalten Sie sich leise mit Ihrem Nachbarn über ein aktuelles Thema. Dauer ca. 2 Minuten

Unterhalten Sie sich leise mit Ihrem Nachbarn über ein aktuelles Thema. Dauer ca. 2 Minuten Versuch: Eigenschaften einer Unterhaltung Instant Messaging Unterhalten Sie sich leise mit Ihrem Nachbarn über ein aktuelles Thema. Dauer ca. 2 Minuten welche Rollen gibt es in einem IM-System? Analysieren

Mehr

IPsec Hintergrund 1 Überblick

IPsec Hintergrund 1 Überblick IPsec Hintergrund 1 Überblick IPv4 kannte ursprünglich keine Sicherheitsaspekte. Das Protokoll wurde unter den Aspekten Geschwindigkeit und Robustheit entwickelt. Bei IPv6 wurde bereits während der Standardisierungsphase

Mehr

IT-Sicherheit - Sicherheit vernetzter Systeme -

IT-Sicherheit - Sicherheit vernetzter Systeme - IT-Sicherheit - Sicherheit vernetzter Systeme - Kapitel 11: Netzsicherheit - Schicht 3: Network Layer - IPSec Wolfgang Hommel, Helmut Reiser, LRZ, WS 13/14 IT-Sicherheit 1 Inhalt Schwächen des Internet-Protokolls

Mehr

Vorlesung VPN: Drahtgebunden und drahtlos Fachbereich Informatik (FB 20) Lehrstuhl Prof. J. Buchmann

Vorlesung VPN: Drahtgebunden und drahtlos Fachbereich Informatik (FB 20) Lehrstuhl Prof. J. Buchmann Vorlesung VPN: Drahtgebunden und drahtlos Fachbereich Informatik (FB 20) Lehrstuhl Prof. J. Buchmann WS-05 / V2-20.205.1 In Zusammenarbeit mit dem CAST-Forum Dr. Wolfgang Böhmer Skript: http://www.cdc.informatik.tudarmstadt.de/~wboehmer/

Mehr

Netze und Protokolle für das Internet

Netze und Protokolle für das Internet Inhalt Netze und Protokolle für das Internet 8. Virtuelle Private Netze Virtuelle Private Netze Layer- 2-und Layer- 3- VPNs Virtuelle Private Netze mit MPLS Entfernter VPN- Zugriff L2TP und RADIUS IP Security

Mehr

Authentication Header: Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen

Authentication Header: Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen IP Security Zwei Mechanismen: Authentication : Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen Encapsulating Security Payloads (ESP): Verschl., Datenauth. Internet Key Exchange Protokoll:

Mehr

Workshop: IPSec. 20. Chaos Communication Congress

Workshop: IPSec. 20. Chaos Communication Congress Cryx (cryx at h3q dot com), v1.1 Workshop: IPSec 20. Chaos Communication Congress In diesem Workshop soll ein kurzer Überblick über IPSec, seine Funktionsweise und Einsatzmöglichkeiten gegeben werden.

Mehr

Sicherheitsmanagement in TCP/IP-Netzen

Sicherheitsmanagement in TCP/IP-Netzen Kai Martius Sicherheitsmanagement in TCP/IP-Netzen Aktuelle Protokolle, praktischer Einsatz, neue Entwicklungen vieweg Inhalt Einleitung 1 Was kann man aus diesem Buch erfahren 2 Wegweiser durch das Buch

Mehr

Authentifizierung. Benutzerverwaltung mit Kerberos. Referent: Jochen Merhof

Authentifizierung. Benutzerverwaltung mit Kerberos. Referent: Jochen Merhof Authentifizierung Benutzerverwaltung mit Kerberos Referent: Jochen Merhof Überblick über Kerberos Entwickelt seit Mitte der 80er Jahre am MIT Netzwerk-Authentifikations-Protokoll (Needham-Schroeder) Open-Source

Mehr

Prinzipiell wird bei IP-basierenden VPNs zwischen zwei unterschiedlichen Ansätzen unterschieden:

Prinzipiell wird bei IP-basierenden VPNs zwischen zwei unterschiedlichen Ansätzen unterschieden: Abkürzung für "Virtual Private Network" ein VPN ist ein Netzwerk bestehend aus virtuellen Verbindungen (z.b. Internet), über die nicht öffentliche bzw. firmeninterne Daten sicher übertragen werden. Die

Mehr

Secure Sockets Layer (SSL) Prof. Dr. P. Trommler

Secure Sockets Layer (SSL) Prof. Dr. P. Trommler Secure Sockets Layer (SSL) Prof. Dr. P. Trommler Übersicht Internetsicherheit Protokoll Sitzungen Schlüssel und Algorithmen vereinbaren Exportversionen Public Keys Protokollnachrichten 29.10.2003 Prof.

Mehr

SSL/TLS Sicherheit Warum es sich lohnt, sich mit Ciphersuites zu beschäftigen

SSL/TLS Sicherheit Warum es sich lohnt, sich mit Ciphersuites zu beschäftigen SSL/TLS Sicherheit Warum es sich lohnt, sich mit Ciphersuites zu beschäftigen Immo FaUl Wehrenberg immo@ctdo.de Chaostreff Dortmund 16. Juli 2009 Immo FaUl Wehrenberg immo@ctdo.de (CTDO) SSL/TLS Sicherheit

Mehr

Netzsicherheit Architekturen und Protokolle IP Security (IPsec) 1. Bausteine der Datensicherung 2. IPsec 3. Bewertung

Netzsicherheit Architekturen und Protokolle IP Security (IPsec) 1. Bausteine der Datensicherung 2. IPsec 3. Bewertung IP Security () 1. Bausteine der Datensicherung 2. 3. Bewertung IP Security () 1. Bausteine der Datensicherung 2. 3. Bewertung Reihenfolge Sicherungsmechanismen Entwurfsentscheidung: In welcher Reihenfolge

Mehr

Modul 8 Kerberos. Fachhochschule Bonn-Rhein-Sieg. Prof. Dr. Martin Leischner Fachbereich Informatik

Modul 8 Kerberos. Fachhochschule Bonn-Rhein-Sieg. Prof. Dr. Martin Leischner Fachbereich Informatik Modul 8 Kerberos M. Leischner Sicherheit in Netzen Folie 1 Steckbrief Kerberos Woher kommt der Name "Kerberos" aus der griechischen Mythologie - dreiköpfiger Hund, der den Eingang des Hades bewacht. Wagt

Mehr

SSL-Protokoll und Internet-Sicherheit

SSL-Protokoll und Internet-Sicherheit SSL-Protokoll und Internet-Sicherheit Christina Bräutigam Universität Dortmund 5. Dezember 2005 Übersicht 1 Einleitung 2 Allgemeines zu SSL 3 Einbindung in TCP/IP 4 SSL 3.0-Sicherheitsschicht über TCP

Mehr

Virtual Private Networks. Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH

Virtual Private Networks. Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH Virtual Private Networks Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH Inhalt Einleitung Grundlagen Kryptographie IPSec Firewall Point-to-Point Tunnel Protokoll Layer 2 Tunnel Protokoll Secure Shell

Mehr

NAT & VPN. Adressübersetzung und Tunnelbildung. Bastian Görstner

NAT & VPN. Adressübersetzung und Tunnelbildung. Bastian Görstner Adressübersetzung und Tunnelbildung Bastian Görstner Gliederung 1. NAT 1. Was ist ein NAT 2. Kategorisierung 2. VPN 1. Was heißt VPN 2. Varianten 3. Tunneling 4. Security Bastian Görstner 2 NAT = Network

Mehr

Modul 8 Kerberos. Prof. Dr. Martin Leischner Netzwerksysteme und TK. Fachhochschule Bonn-Rhein-Sieg

Modul 8 Kerberos. Prof. Dr. Martin Leischner Netzwerksysteme und TK. Fachhochschule Bonn-Rhein-Sieg Modul 8 Kerberos M. Leischner Sicherheit in Netzen Folie 1 Steckbrief Kerberos Woher kommt der Name "Kerberos" aus der griechischen Mythologie - dreiköpfiger Hund, der den Eingang des Hades bewacht. Wagt

Mehr

Virtuelle Private Netze (VPN) Copyright und Motivation und sowas

Virtuelle Private Netze (VPN) Copyright und Motivation und sowas Virtuelle Private Netze (VPN) Geschrieben von ~Creepy~Mind~ Version 1.3 ;-) (Wybe Dijkstra: "Tue nur, was nur Du tun kannst.") Copyright und Motivation und sowas Naja was soll ich hierzu groß schreiben...

Mehr

Public Key Infrastruktur. Georg Gruber & Georg Refenner 26.Jänner 2009 ITTK 09

Public Key Infrastruktur. Georg Gruber & Georg Refenner 26.Jänner 2009 ITTK 09 Public Key Infrastruktur Georg Gruber & Georg Refenner 26.Jänner 2009 ITTK 09 Grundlagen Symmetrische Verschlüsselung Asymmetrische Verschlüsselung Hybridverschlüsselung Hashverfahren/Digitale Signaturen

Mehr

Dokumentation über IPSec

Dokumentation über IPSec Dokumentation über IPSec von Joana Schweizer und Stefan Schindler Inhaltsverzeichnis 1 Einleitung...3 1.1 Warum Sicherheit?...3 1.2 Datenschutz allgemein...3 1.3 Datenschutz für eine Firma...3 1.4 Eine

Mehr

VPN: SSL vs. IPSec. erfrakon - Erlewein, Frank, Konold & Partner Martin Konold Dr. Achim Frank. Präsentation auf dem

VPN: SSL vs. IPSec. erfrakon - Erlewein, Frank, Konold & Partner Martin Konold Dr. Achim Frank. Präsentation auf dem VPN: SSL vs. IPSec erfrakon - Erlewein, Frank, Konold & Partner Martin Konold Dr. Achim Frank Präsentation auf dem IT Security Forum 9. November 2005, Frankfurt erfrakon Erlewein, Frank, Konold & Partner

Mehr

IKEv1 vs. v2 Wie verändert die Version 2 von IKE das Verhalten?

IKEv1 vs. v2 Wie verändert die Version 2 von IKE das Verhalten? Zusammenfassung und Ergänzung zum Vortrag IKEv1 vs. v2 Wie verändert die Version 2 von IKE das Verhalten? Von Monika Roßmanith (CNB) und Simon Rich (CN) Somersemester 2008 Vorlesung: Netzwerksicherheit

Mehr

Betriebssysteme und Sicherheit Sicherheit. Signaturen, Zertifikate, Sichere E-Mail

Betriebssysteme und Sicherheit Sicherheit. Signaturen, Zertifikate, Sichere E-Mail Betriebssysteme und Sicherheit Sicherheit Signaturen, Zertifikate, Sichere E-Mail Frage Public-Key Verschlüsselung stellt Vertraulichkeit sicher Kann man auch Integrität und Authentizität mit Public-Key

Mehr

Bernd Blümel. Verschlüsselung. Prof. Dr. Blümel

Bernd Blümel. Verschlüsselung. Prof. Dr. Blümel Bernd Blümel 2001 Verschlüsselung Gliederung 1. Symetrische Verschlüsselung 2. Asymetrische Verschlüsselung 3. Hybride Verfahren 4. SSL 5. pgp Verschlüsselung 111101111100001110000111000011 1100110 111101111100001110000111000011

Mehr

VPN Gateway (Cisco Router)

VPN Gateway (Cisco Router) VPN Gateway (Cisco Router) Mario Weber INF 03 Inhalt Inhalt... 2 1 VPN... 3 1.1 Virtual Private Network... 3 1.1.1 Allgemein... 3 1.1.2 Begriffsklärung... 4 1.2 Tunneling... 4 1.3 Tunnelprotkolle... 5

Mehr

HowTo: Einrichtung von L2TP over IPSec VPN

HowTo: Einrichtung von L2TP over IPSec VPN HowTo: Einrichtung von L2TP over IPSec VPN [Voraussetzungen] 1. DWC-1000/2000 mit Firmware Version: 4.4.1.2 und höher mit aktivierter VPN-Lizenz 2. DSR-150N,250N,500N,1000N,1000AC mit Firmware Version

Mehr

Konfigurationsbeispiel USG & ZyWALL

Konfigurationsbeispiel USG & ZyWALL ZyXEL OTP (One Time Password) mit IPSec-VPN Konfigurationsbeispiel USG & ZyWALL Die Anleitung beschreibt, wie man den ZyXEL OTP Authentication Radius Server zusammen mit einer ZyWALL oder einer USG-Firewall

Mehr

Autor: St. Dahler. Für Phase 2, der eigentlichen Verschlüsselung der Daten stellen Sie das ESP Protokoll ein mit der Verschlüsselung DES3 und SHA1.

Autor: St. Dahler. Für Phase 2, der eigentlichen Verschlüsselung der Daten stellen Sie das ESP Protokoll ein mit der Verschlüsselung DES3 und SHA1. IPSec Verbindung zwischen Watchguard und Bintec IPSec zwischen Watchguard und X1200 - auf beiden Seiten statische IP-Adressen IP: 81.213.30.2 IPSec-Tunnel IP: 62.134.120.112 Internet IP: 192.168.200.1

Mehr

Modul 8 Kerberos. Prof. Dr. Martin Leischner Netzwerksysteme und TK. Hochschule Bonn-Rhein-Sieg

Modul 8 Kerberos. Prof. Dr. Martin Leischner Netzwerksysteme und TK. Hochschule Bonn-Rhein-Sieg Modul 8 Kerberos Auch den Kerberos sah ich, mit bissigen Zähnen bewaffnet Böse rollt er die Augen, den Schlund des Hades bewachend. Wagt es einer der Toten an ihm vorbei sich zu schleichen, So schlägt

Mehr

VPN: Virtual-Private-Networks

VPN: Virtual-Private-Networks Referate-Seminar WS 2001/2002 Grundlagen, Konzepte, Beispiele Seminararbeit im Fach Wirtschaftsinformatik Justus-Liebig-Universität Giessen 03. März 2002 Ziel des Vortrags Beantwortung der folgenden Fragen:

Mehr

Handbuch für IPsec- Einstellungen

Handbuch für IPsec- Einstellungen Handbuch für IPsec- Einstellungen Version 0 GER Definition der e In diesem Handbuch wird das folgende Symbol verwendet: e informieren Sie, wie auf eine bestimmte Situation reagiert werden sollte, oder

Mehr

Remote Access. Virtual Private Networks. 2000, Cisco Systems, Inc.

Remote Access. Virtual Private Networks. 2000, Cisco Systems, Inc. Remote Access Virtual Private Networks 2000, Cisco Systems, Inc. 1 Remote Access Telefon/Fax WWW Banking E-mail Analog (?) ISDN xdsl... 2 VPNs... Strong encryption, authentication Router, Firewalls, Endsysteme

Mehr

Verteilte Systeme. Übung 10. Jens Müller-Iden

Verteilte Systeme. Übung 10. Jens Müller-Iden Verteilte Systeme Übung 10 Jens Müller-Iden Gruppe PVS (Parallele und Verteilte Systeme) Institut für Informatik Westfälische Wilhelms-Universität Münster Sommersemester 2007 10.1 Unsicherheit in Verteilten

Mehr

Virtual Private Network / IPSec

Virtual Private Network / IPSec 1. Einführung 1.1 Was ist ein Virtual Private Network? Mit einem Virtual Private Network (virtuelles privates Netzwerk, VPN) können zwei Netzwerke über ein öffentliches Netzwerk (Internet) miteinander

Mehr

Kurzeinführung VPN. Veranstaltung. Rechnernetze II

Kurzeinführung VPN. Veranstaltung. Rechnernetze II Kurzeinführung VPN Veranstaltung Rechnernetze II Übersicht Was bedeutet VPN? VPN Typen VPN Anforderungen Was sind VPNs? Virtuelles Privates Netzwerk Mehrere entfernte lokale Netzwerke werden wie ein zusammenhängendes

Mehr

WLAN-Technologien an der HU

WLAN-Technologien an der HU WLAN-Technologien an der HU 1. Technik, Abdeckung, Verfahren 2. Gegenwärtige Sicherheitstechnologien 3. Authentifizierung 802.1x, Verschlüsselung WPA/WPA2 4. Authentifizierung und Verschlüsselung mit IPSec-VPN

Mehr

Übung 6 Lösungsskizze Kryptographie, Sicherheit in verteilten Dateisystemen

Übung 6 Lösungsskizze Kryptographie, Sicherheit in verteilten Dateisystemen Übung zu Verteilte Betriebssysteme (WS 2003) Übung 6 Lösungsskizze Kryptographie, Sicherheit in verteilten Dateisystemen Andreas I. Schmied Verteilte Systeme Universität Ulm Mail zur Übung an vbs@vs.informatik.uni-ulm.de

Mehr

Sichere Kommunikation mit IPsec

Sichere Kommunikation mit IPsec Proseminar Konzepte von Betriebssystem-Komponenten: Schwerpunkt Sicherheit Sichere Kommunikation mit IPsec Markus Weiten markus@weiten.de Inhalt 1 Motivation 2 IPsec im Überblick 3 IPsec Modi 3a Transportmodus

Mehr

Verteilte Systeme. 10.1 Unsicherheit in Verteilten Systemen

Verteilte Systeme. 10.1 Unsicherheit in Verteilten Systemen Verteilte Systeme Übung 10 Jens Müller-Iden Gruppe PVS (Parallele und Verteilte Systeme) Institut für Informatik Westfälische Wilhelms-Universität Münster Sommersemester 2007 10.1 Unsicherheit in Verteilten

Mehr

IPSec. Michael Gschwandtner, Alois Hofstätter, Roland Likar, Horst Stadler. Jänner 2003

IPSec. Michael Gschwandtner, Alois Hofstätter, Roland Likar, Horst Stadler. Jänner 2003 IPSec Michael Gschwandtner, Alois Hofstätter, Roland Likar, Horst Stadler Jänner 2003 Gschwandtner/Hofstätter/Likar/Stadler - IPsec 1 Einleitung (1) Ziele des Datenverkehrs Geschwindigkeit Verlässlichkeit

Mehr

Multicast Security Group Key Management Architecture (MSEC GKMArch)

Multicast Security Group Key Management Architecture (MSEC GKMArch) Multicast Security Group Key Management Architecture (MSEC GKMArch) draft-ietf-msec-gkmarch-07.txt Internet Security Tobias Engelbrecht Einführung Bei diversen Internetanwendungen, wie zum Beispiel Telefonkonferenzen

Mehr

Virtual Private Networks Hohe Sicherheit wird bezahlbar

Virtual Private Networks Hohe Sicherheit wird bezahlbar Virtual Private Networks Hohe Sicherheit wird bezahlbar Paul Schöbi, cnlab AG paul.schoebi@cnlab.ch www.cnlab.ch Präsentation unter repertoire verfügbar 27.10.99 1 : Internet Engineering Dr. Paul Schöbi

Mehr

Handout. Holger Christian. Thema: VPN

Handout. Holger Christian. Thema: VPN Handout Holger Christian Thema: VPN VPN-Definition: Ein virtuelles privates Netz (VPN) ist ein Netz von logischen Verbindungen zur Übermittlung von privaten Daten/Informationen bzw. Datenverkehr. Eine

Mehr

IPsec. Der Sicherheitsstandard für das Internet. Sicherheit auf Netzebene

IPsec. Der Sicherheitsstandard für das Internet. Sicherheit auf Netzebene KOMMUNIKATIONSMANAGEMENT IPsec Der Sicherheitsstandard für das Internet Kai-Oliver Detken Das Internet war ursprünglich nicht für eine kommerzielle Nutzung vorgesehen. Deshalb verwundert es auch kaum,

Mehr

Inhaltsverzeichnis Vorwort Kryptographie und das Internet Point-To-Point Sicherheit

Inhaltsverzeichnis Vorwort Kryptographie und das Internet Point-To-Point Sicherheit Inhaltsverzeichnis Vorwort... 1 Kryptographie und das Internet... 1 1.1 WasistdasInternet... 2 1.2 BedrohungenimInternet... 5 1.2.1 PassiveAngriffe... 5 1.2.2 AktiveAngriffe... 6 1.3 Kryptographie... 7

Mehr

IT Sicherheit: Authentisierung

IT Sicherheit: Authentisierung Dr. Christian Rathgeb IT-Sicherheit, Kapitel 4 / 18.11.2015 1/21 IT Sicherheit: Dr. Christian Rathgeb Hochschule Darmstadt, CASED, da/sec Security Group 18.11.2015 Dr. Christian Rathgeb IT-Sicherheit,

Mehr

Einrichtung von VPN für Mac Clients bei Nortel VPN Router

Einrichtung von VPN für Mac Clients bei Nortel VPN Router Einrichtung von VPN für Mac Clients bei Nortel VPN Router 2009 DeTeWe Communications GmbH! Seite 1 von 13 Einrichtung des Nortel VPN Routers (Contivity)! 3 Konfigurieren der globalen IPSec Einstellungen!

Mehr

Informatik für Ökonomen II HS 09

Informatik für Ökonomen II HS 09 Informatik für Ökonomen II HS 09 Übung 5 Ausgabe: 03. Dezember 2009 Abgabe: 10. Dezember 2009 Die Lösungen zu den Aufgabe sind direkt auf das Blatt zu schreiben. Bitte verwenden Sie keinen Bleistift und

Mehr

HOBLink VPN 2.1 Gateway

HOBLink VPN 2.1 Gateway Secure Business Connectivity HOBLink VPN 2.1 Gateway die VPN-Lösung für mehr Sicherheit und mehr Flexibilität Stand 02 15 Mehr Sicherheit für Unternehmen Mit HOBLink VPN 2.1 Gateway steigern Unternehmen

Mehr

Sicherheit in Netzwerken. Leonard Claus, WS 2012 / 2013

Sicherheit in Netzwerken. Leonard Claus, WS 2012 / 2013 Sicherheit in Netzwerken Leonard Claus, WS 2012 / 2013 Inhalt 1 Definition eines Sicherheitsbegriffs 2 Einführung in die Kryptografie 3 Netzwerksicherheit 3.1 E-Mail-Sicherheit 3.2 Sicherheit im Web 4

Mehr

VPN IPSec Tunnel zwischen zwei DI-804HV / DI-824VUP+

VPN IPSec Tunnel zwischen zwei DI-804HV / DI-824VUP+ VPN IPSec Tunnel zwischen zwei DI-804HV / DI-824VUP+ Schritt für Schritt Anleitung DI-804HV Firmwarestand 1.41b03 DI-824VUP+ Firmwarestand 1.04b02 Seite 1: Netz 192.168.0.0 / 24 Seite 2: Netz 192.168.1.0

Mehr

Wiederholung: Informationssicherheit Ziele

Wiederholung: Informationssicherheit Ziele Wiederholung: Informationssicherheit Ziele Vertraulichkeit: Schutz der Information vor unberechtigtem Zugriff bei Speicherung, Verarbeitung und Übertragung Integrität: Garantie der Korrektheit (unverändert,

Mehr

Sicherheit in Netzen und verteilten Systemen Prof. Dr. Stefan Fischer. Überblick. Anordnung der Techniken

Sicherheit in Netzen und verteilten Systemen Prof. Dr. Stefan Fischer. Überblick. Anordnung der Techniken TU Braunschweig Institut für Betriebssysteme und Rechnerverbund Sicherheit in Netzen und verteilten Systemen Kapitel 6: Protokolle und Anwendungen Wintersemester 2002/2003 Überblick sec Authentisierungsanwendungen

Mehr

Mobility Support by HIP

Mobility Support by HIP Mobile Systems Seminar Mobility Support by HIP Universität Zürich Institut für Informatik Professor Dr. Burkhard Stiller Betreuer Peter Racz 8 Mai 2008 Svetlana Gerster 01-728-880 1 Gliederung OSI und

Mehr

im DFN Berlin 18.10.2011 Renate Schroeder, DFN-Verein

im DFN Berlin 18.10.2011 Renate Schroeder, DFN-Verein VoIP-Verschlüsselung Verschlüsselung im DFN Berlin 18.10.2011 Renate Schroeder, DFN-Verein Einordnung VoIP in DFNFernsprechen VoIP seit 5 Jahren im DFN verfügbar VoIP ist Teil des Fernsprechdienstes DFNFernsprechen

Mehr

Das Kerberos-Protokoll

Das Kerberos-Protokoll Konzepte von Betriebssystemkomponenten Schwerpunkt Authentifizierung Das Kerberos-Protokoll Referent: Guido Söldner Überblick über Kerberos Network Authentication Protocol Am MIT Mitte der 80er Jahre entwickelt

Mehr

IT-Sicherheit Kapitel 11 SSL/TLS

IT-Sicherheit Kapitel 11 SSL/TLS IT-Sicherheit Kapitel 11 SSL/TLS Dr. Christian Rathgeb Sommersemester 2014 1 Einführung SSL/TLS im TCP/IP-Stack: SSL/TLS bietet (1) Server-Authentifizierung oder Server und Client- Authentifizierung (2)

Mehr

Seite - 1 - 12. IPsec Client / Gateway mit Zertifikaten (CA / DynDNS) 12.1 Einleitung

Seite - 1 - 12. IPsec Client / Gateway mit Zertifikaten (CA / DynDNS) 12.1 Einleitung 12. IPsec Client / Gateway mit Zertifikaten (CA / DynDNS) 12.1 Einleitung Sie konfigurieren eine IPsec Verbindung zwischen dem IPsec Client und der UTM. Die UTM hat eine dynamische IP-Adresse und ist über

Mehr

Key Agreement. Diffie-Hellman Schlüsselaustausch. Key Agreement. Authentifizierter Diffie-Hellman Schlüsselaustausch

Key Agreement. Diffie-Hellman Schlüsselaustausch. Key Agreement. Authentifizierter Diffie-Hellman Schlüsselaustausch Digitale Signaturen Signaturverfahren mit Einwegfunktion mit Falltür: Full Domain Hash, RSA Signatures, PSS Signaturverfahren mit Einwegfunktion ohne Falltür: Allgemeine Konstruktion von Lamport, One-time

Mehr

Netzsicherheit Architekturen und Protokolle Internet Key Exchange. 1. Motivation 2. Bausteine des Schlüsselaustauschs 3. Internet Key Exchange

Netzsicherheit Architekturen und Protokolle Internet Key Exchange. 1. Motivation 2. Bausteine des Schlüsselaustauschs 3. Internet Key Exchange Internet Key Exchange 1. Motivation 2. Bausteine des Schlüsselaustauschs 3. Internet Key Exchange Motivation Schlüsselaustausch-Protokoll Schlüsselaustausch-Protokoll Kanal zur Schlüsselaushandlung Setzen

Mehr

VPN: wired and wireless

VPN: wired and wireless VPN: wired and wireless Fachbereich Informatik (FB 20) Fachgruppe: Security Engineering Modul: 2000096VI LV-11 er Skriptum und Literatur: http://www2.seceng.informatik.tu-darmstadt.de/vpn10/ Wolfgang BÖHMER,

Mehr

Die Rolle von VPNs für eine sichere externe Unternehmenskommunikation

Die Rolle von VPNs für eine sichere externe Unternehmenskommunikation Die Rolle von VPNs für eine sichere externe Unternehmenskommunikation Prof. Dr. Norbert Pohlmann Institut für Internet-Sicherheit Fachhochschule Gelsenkirchen https://www.internet-sicherheit.de Inhalt

Mehr

Sichere E-Mail-Kommunikation - SecureMail Gateway -

Sichere E-Mail-Kommunikation - SecureMail Gateway - Material-bereitstellung VANO Euro-Gebinde Durchlaufregal 2,5 * 2,7 7 8 9 10 Materialbereitstellung pulenkörper alettendurchlaufregal Dipl.-Ing. Gerd tammwitz enbiz gmbh, Kaiserslautern ichere E-Mail-Kommunikation

Mehr

Windows Server 2008 R2 und Windows 7 Stand-Alone Arbeitsplatz per VPN mit L2TP/IPSec und Zertifikaten verbinden.

Windows Server 2008 R2 und Windows 7 Stand-Alone Arbeitsplatz per VPN mit L2TP/IPSec und Zertifikaten verbinden. Windows Server 2008 R2 und Windows 7 Stand-Alone Arbeitsplatz per VPN mit L2TP/IPSec und Zertifikaten verbinden. Inhalt Voraussetzungen in diesem Beispiel... 1 Sicherstellen dass der Domänenbenutzer sich

Mehr

Konfigurationsbeispiel

Konfigurationsbeispiel ZyWALL 1050 dynamisches VPN Dieses Konfigurationsbeispiel zeigt, wie man einen VPN-Tunnel mit einer dynamischen IP-Adresse auf der Client-Seite und einer statischen öffentlichen IP-Adresse auf der Server-Seite

Mehr

APM3 - OpenS/WAN 1. IPSec mit. Version 2.2.0 Betriebssystem: Debian Sarge Testing Kernel: 2.6.9. von Alexander Parret WS 2005/05. Fach: APM3 FH-Worms

APM3 - OpenS/WAN 1. IPSec mit. Version 2.2.0 Betriebssystem: Debian Sarge Testing Kernel: 2.6.9. von Alexander Parret WS 2005/05. Fach: APM3 FH-Worms APM3 - OpenS/WAN 1 IPSec mit OpenS/WAN Version 2.2.0 Betriebssystem: Debian Sarge Testing Kernel: 2.6.9 von Alexander Parret WS 2005/05 Fach: APM3 FH-Worms APM3 - OpenS/WAN 2 Inhaltsverzeichnis 1 Kurzinfo

Mehr

VPN. Virtuelles privates Netzwerk. Vortrag von Igor Prochnau Seminar Internet- Technologie

VPN. Virtuelles privates Netzwerk. Vortrag von Igor Prochnau Seminar Internet- Technologie VPN Virtuelles privates Netzwerk Vortrag von Igor Prochnau Seminar Internet- Technologie Einleitung ist ein Netzwerk, das ein öffentliches Netzwerk benutzt, um private Daten zu transportieren erlaubt eine

Mehr

Security + Firewall. 3.0 IPsec Client Einwahl. 3.1 Szenario

Security + Firewall. 3.0 IPsec Client Einwahl. 3.1 Szenario 3.0 IPsec Client Einwahl 3.1 Szenario In dem folgenden Szenario werden Sie eine IPsec Verbindung zwischen einem IPsec Gateway und dem IPsec Client konfigurieren. Die Zentrale hat eine feste IP-Adresse

Mehr

Seminar Internet-Technologie

Seminar Internet-Technologie Seminar Internet-Technologie Zertifikate, SSL, SSH, HTTPS Christian Kothe Wintersemester 2008 / 2009 Inhalt Asymmetrisches Kryptosystem Digitale Zertifikate Zertifikatsformat X.509 Extended-Validation-Zertifikat

Mehr