Peer-to-Peer NAT Traversal for IPsec

Größe: px
Ab Seite anzeigen:

Download "Peer-to-Peer NAT Traversal for IPsec"

Transkript

1 Diplomarbeit Informatik Peer-to-Peer NAT Traversal for IPsec Tobias Brunner Daniel Röthlisberger Wintersemester 2006/ Dezember 2006 Betreut durch: Prof. Dr. Andreas Steffen Martin Willi HSR HOCHSCHULE FÜR TECHNIK RAPPERSWIL INFORMATIK Institute for Internet Technologies and Applications

2 Copyright c 2006, Tobias Brunner (tbrunner), Daniel Röthlisberger (droethli)

3 Some of us feel NAT boxes are sort of an abomination because they really do mess about with the basic protocol architecture of the Internet. Vint Cerf.

4 iv

5 Abstract Internet Protocol Security (IPsec) ist ein Standard für Virtual Private Networks (VPNs) auf IP- Basis. Internet Key Exchange, Version 2 (IKEv2) ist die neue Generation des verwendeten Schlüsselaustausch-Protokolls. Unter dem Sammelbegriff Network Address Translation (NAT) versteht man Verfahren, welche die Sender- und/oder Empfängeradressen von IP-Paketen unterwegs verändern. Im heutigen Internet ist NAT weit verbreitet. Lokale Netzwerke sind häufig über eine einzige öffentliche IP- Adresse eines NAT-Routers mit dem Internet verbunden. Verbindungen sind im Allgemeinen nur von innen nach aussen möglich. Die Traversierung von NAT ist insbesondere für verschlüsselte Protokolle problematisch. IPsec erlaubt mit NAT Traversal zwar das Überqueren von einfachen NAT von innen nach aussen, nicht aber Direktverbindungen in Situationen, in denen sich beide Peers je hinter NAT befinden. Hole Punching ist eine Technik für die direkte UDP/TCP- Kommunikation in solchen Double-NAT-Situationen. Im Rahmen dieser Diplomarbeit war das Ziel, mit Hilfe von Hole Punching auf der Basis von IPsec und IKEv2 VPN-Direktverbindungen zwischen Hosts herzustellen, welche sich beide hinter NAT befinden, ohne dazu die NAT-Router speziell konfigurieren zu müssen. Zusätzlich war eine Proof-of-Concept-Implementation zu entwickeln. Als Resultat unserer Arbeit ist mit Peer-to-Peer NAT Traversal (P2P-NAT-T) eine Erweiterung von IPsec entstanden, welche es ermöglicht, Verbindungen auch in Double-NAT-Situationen direkt End-zu-End aufzubauen. Wir definieren zu diesem Zweck ein auf IKEv2 basierendes Protokoll zur Kommunikation der Peers mit einem Mediation Server. Je nach Verhalten der NAT-Router ist es möglich, dass keine Direktverbindung zustande kommen kann. Für diesen Fall definieren wir zusätzlich eine Relay-Erweiterung, welche es erlaubt, IPsec-Verbindungen unter Beibehaltung der vollen End-zu-End-Sicherheit über den Mediation Server umzuleiten. Als Proof-of-Concept-Implementation haben wir die freie, linuxbasierte IPsec-Lösung strong- Swan mit P2P-NAT-T-Unterstützung (ohne Relay) ausgestattet. Unsere Arbeit ist in Form eines Branches bereits in das strongswan-projekt eingeflossen und wird dort von Martin Willi und Prof. Dr. Andreas Steffen weiterentwickelt werden. Es ist geplant, unsere Protokollerweiterung als Internet Draft zu publizieren, um allenfalls eine Standardisierung in Form eines RFC anzustreben. Zielsetzung Ergebnis Ausblick v

6 vi

7 Inhaltsverzeichnis Abstract v 1. Aufgabenstellung 1 2. Management Summary 3 3. Einleitung Problemstellung Mediation-Protokoll strongswan Gliederung der Dokumentation Danksagung Grundlagen Network Address Translation (NAT) Entstehungsgeschichte Beispiel Masquerading/NAPT Andere Formen von NAT Probleme für Protokolle und Anwendungen Klassifizierung von NAT-Varianten UDP Hole Punching Simple Traversal of UDP through NATs (STUN) Shared Secret Requests Binding Requests Ablauf Traversal Using Relay NAT (TURN) Interactive Connectivity Establishment (ICE) Internet Protocol Security (IPsec) AH, ESP, Tunnel und Transport Mode Security Associations, Policies, SPI Internet Key Exchange Version 2 (IKEv2) NAT Traversal (NAT-T) vii

8 Inhaltsverzeichnis Dead Peer Detection (DPD) Analyse STUN in Ruby Protokoll Ablauf Verhalten von NAT-Implementationen Hole Punching Kompatibilität Protokoll-Prototyp in Ruby Peer-to-Peer NAT Traversal for IPsec Begriffsdefinitionen Protokollablauf Mediation Server und Identity Management Mediation Connection Mediated Connection P2P Relay Extension Neue Protokoll-Elemente Vendor-ID Exchange Type P2P_IKE_AUTH Exchange Type P2P_PEERS Exchange Type P2P_CONNECT Exchange Type P2P_RELAY Payload Type Peer-ID IDp Notify Type P2P_CONNECT_FAILED Notify Type P2P_RELAY_FAILED Notify Type WANT_P2P Notify Type P2P_IPV4_ADDR Notify Type P2P_IPV6_ADDR Notify Type WANT_P2P_RELAY Design-Entscheide Mediation via Drittprotokolle oder IKEv Identity Management Protokolldesign P2P Relay Implementation Methodik Programmierrichtlinien viii Peer-to-Peer NAT Traversal for IPsec

9 Inhaltsverzeichnis Source Code Management Architektur im Überblick Grundsätzliches Bedienung Rollen Klassendokumentation Konfiguration Datenstrukturen Stroke Interface Transaktionen Jobs IKE-SA IKE-SA-Manager Socket Limitationen Sonstige Resultate Angeregte Verbesserungen Tests Methodik Reale Tests UML Tests Testfälle Mediation Connection (p2p-mediation) Mediated Connection (p2p-mediated) Rekey (p2p-rekey) DPD (p2p-dpd-mn) DPD (p2p-dpd-md) Roadwarrior (p2p-dpd-rw) Erweiterte Tests Konfiguration Konfigurationsparameter Globale Konfiguration Verbindungsspezifische Konfiguration Beispielkonfiguration Peer-to-Peer NAT Traversal for IPsec ix

10 Inhaltsverzeichnis 10. Projektstand Zukunftsvisionen Publikation als Internet Draft im Rahmen der IETF Netzwerktopologie im UML Test Framework STUN als optionale Komponente miteinbeziehen Mediation über Gruppen-ID/Passwort A. NAT-Konfigurationen 105 A.1. Linux Netfilter A.1.1. MASQUERADE A.1.2. SNAT A.2. OpenBSD/FreeBSD PF A.3. Cisco IOS A.4. Cisco PIX B. Projektmanagement 109 B.1. Projektplan B.2. Zeitabrechnung B.3. Qualitätssicherung B.3.1. Massnahmen B.3.2. Effektivität B.4. Protokolle B.4.1. Kick Off Meeting B.4.2. Sitzung Woche B.4.3. Sitzung Woche B.4.4. Sitzung Woche B.4.5. Sitzung Woche B.4.6. Sitzung Woche B.4.7. Sitzung Woche B.4.8. Sitzung Woche B.4.9. Sitzung Woche C. Erfahrungsberichte 127 C.1. Tobias Brunner C.2. Daniel Röthlisberger Abkürzungsverzeichnis 129 x Peer-to-Peer NAT Traversal for IPsec

11 1. Aufgabenstellung Einführung Häufig wollen Unternehmen netzwerkfähige Geräte und Systeme sicher via Internet der Fernwartung zugänglich machen. Dazu werden heute meistens Accounts auf einem VPN Gateway eingerichtet oder aber Löcher in die Firewalls konfiguriert, um von Aussen auf einzelne Systeme zu gelangen. Beide Methoden bergen aber beträchtliche Sicherheitsrisiken. Deshalb wird eine Hard- und Software basierte Lösung gesucht, die, in einem privaten Firmennetz platziert, vom Internet her via IPsec erreichbar sein soll, ohne dass die firmeninterne Firewall speziell konfiguriert werden muss. Es soll einzig vorausgesetzt werden, dass eine IPsec Verbindung von Innen über einen NAT Router nach Aussen aufgebaut werden kann. Da der Fernzugriff auch von einer privaten IP Adresse aus möglich sein soll, die sich ebenfalls hinter einem NAT Router befindet, muss die zu entwickelnde IPsec Box eine Double NAT Fähigkeit besitzen. Um unter diesen Umständen mittels IKE eine Verbindung aufbauen zu können, kann falls notwendig, die Dienste eines Mediation Servers in Anspruch genommen werden. Verschlüsselte ESP Pakete sollen aber direkt End-to-End transportiert werden. Aufgabenstellung Erarbeitung eines Grundkonzepts für die Double-NAT IPsec Funktionalität. Anleihen können z.b. bei den STUN und ICE Mechanismen gemacht werden, die im Umfeld des Session Initiation Protocols (SIP) zur Überwindung von Double NAT Situationen eingesetzt werden. Falls technisch möglich, sollte auch eine Linux Netfilter Firewall durchquert werden können. Implementierung der Double NAT IPsec Funktionalität auf der Basis der Linux strongswan- 4.x Distribution. Dabei kann vom Standard NAT-Traversal Floating Port 4500 abgewichen werden, wie er durch den IKEv2 RFC 4306 definiert wird. Proof-of-Concept mittels eines Double NAT IPsec Prototypen, lauffähig auf einem Standard PC unter dem Linux Betriebsystem. 1

12 1. Aufgabenstellung Links strongswan Projekt: Internet Key Exchange (IKEv2) Protocol: STUN - Simple Traversal of UDP through NAT ICE - Interactive Connectivity Establishment Rapperswil, 23. Oktober 2006 Prof. Dr. Andreas Steffen 2 Peer-to-Peer NAT Traversal for IPsec

13 2. Management Summary Internet Protocol Security (IPsec) ist ein Standard für Virtual Private Networks (VPNs) auf IP- Basis. Internet Key Exchange, Version 2 (IKEv2) ist die neue Generation des verwendeten Schlüsselaustausch-Protokolls. Unter dem Sammelbegriff Network Address Translation (NAT) versteht man Verfahren, welche die Sender- und/oder Empfängeradressen von IP-Paketen unterwegs verändern. Im heutigen Internet ist NAT weit verbreitet. Lokale Netzwerke sind häufig über eine einzige öffentliche IP- Adresse eines NAT-Routers mit dem Internet verbunden. Verbindungen sind im Allgemeinen nur von innen nach aussen möglich. Die Traversierung von NAT ist insbesondere für verschlüsselte Protokolle problematisch. IPsec erlaubt mit NAT Traversal zwar das Überqueren von einfachen NAT von innen nach aussen, nicht aber Direktverbindungen in Situationen, in denen sich beide Peers je hinter NAT befinden. Hole Punching ist eine Technik für die direkte UDP/TCP- Kommunikation in solchen Double-NAT-Situationen. Im Rahmen dieser Diplomarbeit war das Ziel, mit Hilfe von Hole Punching auf der Basis von IPsec und IKEv2 VPN-Direktverbindungen zwischen Hosts herzustellen, welche sich beide hinter NAT befinden, ohne dazu die NAT-Router speziell konfigurieren zu müssen. Zusätzlich war eine Proof-of-Concept-Implementation zu entwickeln. Als Resultat unserer Arbeit ist mit Peer-to-Peer NAT Traversal (P2P-NAT-T) eine Erweiterung von IPsec entstanden, welche es ermöglicht, Verbindungen auch in Double-NAT-Situationen direkt End-zu-End aufzubauen. Wir definieren zu diesem Zweck ein auf IKEv2 basierendes Protokoll zur Kommunikation der Peers mit einem Mediation Server. Je nach Verhalten der NAT-Router ist es möglich, dass keine Direktverbindung zustande kommen kann. Für diesen Fall definieren wir zusätzlich eine Relay-Erweiterung, welche es erlaubt, IPsec-Verbindungen unter Beibehaltung der vollen End-zu-End-Sicherheit über den Mediation Server umzuleiten. Als Proof-of-Concept-Implementation haben wir die freie, linuxbasierte IPsec-Lösung strong- Swan mit P2P-NAT-T-Unterstützung (ohne Relay) ausgestattet. Im Zusammenhang mit Hole Punching unterscheidet man zwischen den vier folgenden Typen von NAT-Implementationen: Projektauftrag Das Ergebnis NAT-Verhalten Full Cone NAT, Restricted Cone NAT, 3

14 2. Management Summary Port Restricted Cone NAT, Symmetric NAT. P2P-NAT-T Davon sind die ersten drei Hole Punching freundlich, während symmetrisches NAT Hole Punching im Allgemeinen verunmöglicht. Es existieren auch unterschiedliche Mischformen. Wir haben diverse NAT-Implementationen in Soft- und Hardware nach diesen und weiteren für Hole Punching relevanten Kriterien untersucht und analysiert, unter welchen Bedingungen Hole Punching erfolgreich sein kann. Basierend auf diesen Resultaten haben wir Peer-to-Peer NAT Traversal entwickelt. P2P-NAT- T definiert die folgenden Rollen: Clients (Peers), welche direkte Verbindungen mittels Hole Punching erstellen möchten und zu diesem Zweck die Dienste eines Mediation Servers in Anspruch nehmen, und Mediation Server, welche Direktverbindungen zwischen Clients vermitteln und als Outof-Band-Kommunikationskanal zwischen den Clients dienen, bis diese eine Direktverbindung aufgebaut haben. Im Relay-Fall werden UDP-Pakete der Direktverbindungen über den Mediation Server geleitet, ohne die End-zu-En d-sicherheit aufzugeben. Proof of Concept Ausblick Zur Kommunikation der Peers mit einem Mediation Server haben wir Protokoll-Elemente für den Austausch von Adress/Port-Tupeln und die Identifikation der Peers entwickelt. Zusätzlich haben wir Methoden entwickelt, um Hole Punching effizienter und auch in ungünstigen NAT- Situationen einsetzbar zu machen. Die Vermittlung der Verbindungen findet unter dem Schutz von IKEv2 statt, wodurch ein bestehendes Sicherheitsframework genutzt werden kann. Identity Management geschieht auf Basis der normalen IDs von IKEv2, was eine optimale Integration in die IPsec-Welt ermöglicht. Um die Praxistauglichkeit unseres Protokolls unter Beweis zu stellen, haben wir P2P-NAT- T im Rahmen von strongswan erfolgreich implementiert. strongswan ist nun in der Lage, als Mediation Server zu fungieren oder als Client Direktverbindungen auch in Double-NAT-Situationen über Hole Punching herzustellen. Wenn eine derart vermittelte Verbindung gestartet wird, so initiiert strongswan automatisch eine Verbindung mit dem entsprechenden Mediation Server und startet die Vermittlung mittels P2P-NAT-T. Die Verbindung zum Mediation Server wird nur so lange aufrecht erhalten, wie sie für die Vermittlung benötigt wird. Unsere Arbeit ist in Form eines Branches bereits in das strongswan-projekt eingeflossen und wird dort von Martin Willi und Prof. Dr. Andreas Steffen weiterentwickelt werden. Es ist geplant, unsere Protokollerweiterung als Internet Draft zu publizieren, um allenfalls eine Standardisierung in Form eines RFC anzustreben. 4 Peer-to-Peer NAT Traversal for IPsec

15 3. Einleitung 3.1. Problemstellung Die Zielsetzung dieser Diplomarbeit war im Wesentlichen die Entwicklung einer Protokollerweiterung zu IKEv2, welche das Betreiben von IPsec-Direktverbindungen zwischen zwei Clients erlaubt, welche sich beide hinter Network Address Translation befinden, was herkömmliche Direktverbindungen verunmöglicht. Hierbei war davon auszugehen, dass man keinerlei Kontrolle über die NAT-Konfiguration hat, diese also über Hole Punching Techniken traversieren muss. Im heutigen Internet ist ein grosser Anteil der Benutzer über NAT in irgend einer Ausprägung angeschlossen. Die Fähigkeit, ungeachtet der NAT-Situation IPsec-Direktverbindungen erzeugen zu können, wird deshalb immer wichtiger. Bisher war dies nur möglich, wenn man die Kontrolle über die NAT-Router-Konfiguration hatte und so mittels statischen Weiterleitungen Direktverbindungen ermöglichen konnte.???? / Verbindung zu B Verbindung zu A Client A Client B Abbildung 3.1.: Double NAT Problematik Wie in Abbildung 3.1 illustriert, existiert noch ein viel grundsätzlicheres Problem. Da die beiden Clients nicht wissen, über welche Endpunkte sie nach aussen hin sichtbar sind, gibt es auch keine IP-Adressen, zu welchen hin sie eine Direktverbindung initiieren könnten. Somit ist mit Sicherheit externe Hilfe irgend einer Art und Weise notwendig. 5

16 3. Einleitung Natürlich liegt der naive Lösungsansatz nahe, einfach zwei herkömmliche IPsec-Tunnels mit Hilfe von NAT Traversal (NAT-T) zu einem Drittserver aufzubauen, und den Nutzverkehr einfach über diesen Drittserver zu routen. Nur ist es aus Sicherheitsgründen unerwünscht, die Daten auf einem Drittserver zu entschlüsseln, weil damit die End-zu-End-Sicherheit aufgegeben würde. Abgesehen davon ist dies auch aus Performance-Gründen nicht sinnvoll. Zusätzlich zum Protokolldesign war eine Proof-of-Concept-Implementation im Rahmen von strongswan zu realisieren. Als Resultat unserer Studienarbeit [BR06] war Unterstützung für herkömmliches NAT-T bereits vorhanden. Für erfolgreiche Direktverbindungen von Peer zu Peer in Double-NAT-Situationen hingegen ist NAT-T aber natürlich ebenfalls Voraussetzung Mediation-Protokoll Von dieser Ausgangslage ausgehend, lag es auf der Hand, einen Mediation Server zu Hilfe zu nehmen, über welchen die beiden Peers hinter NAT die für eine Direktverbindung vorgängig nötige Kommunikation abwickeln. Die aus dem VoIP-Umfeld entstandenen Protokolle STUN, TURN respektive ICE verwenden zu diesem Zweck SIP/SDP. Diese haben wir in Kapitel 4 erläutert. Es ging also darum, nach einer Lösung zu suchen, welche die Ideen aus diesen Protokollen auf unsere Situation bei IPsec anwenden lässt. Insbesondere war die Möglichkeit von Erweiterungen zum Schlüsselaustauschprotokoll IKEv2 zu untersuchen, um diesen Out-of-Band-Kommunikationskanal zu schaffen strongswan strongswan II ist der interne Projektname der IKEv2-Implementation von strongswan. Diese ist im Rahmen der Diplomarbeit [HW05] von Jan Hutter und Martin Willi entstanden. strongswan ist eine Open Source, auf IPsec basierende VPN-Lösung mit Fokus auf X.509-Zertifikaten. Entstanden ist strongswan als Fork von FreeS/WAN sowie dem von Prof. Dr. Andreas Steffen entwickelten X.509 Patch. FreeS/WAN war die erste komplette Implementation von IPsec für Linux, ursprünglich auf die Initiative von John Gilmore hin entstanden. Die Entwicklung von FreeS/WAN wurde 2003 eingestellt. Neben dem ebenfalls von FreeS/WAN abstammenden Openswan ist strongswan heute eine der zwei bedeutendsten IPsec-Lösungen für Linux. strongswan besteht aus folgenden Komponenten: Der Daemon pluto implementiert IKEv1, während charon IKEv2 in einem separaten Daemon implementiert. whack ist das Kontrolltool zu pluto, und stroke das Pendant bei charon. 6 Peer-to-Peer NAT Traversal for IPsec

17 3.4. Gliederung der Dokumentation Der starter startet, konfiguriert und überwacht die Daemons, und mit KLIPS ist der IPsec Kernel-Patch zu Linux 2.4 weiterhin verfügbar. Ein Teil der gemeinsamen Funktionalität ist dabei in shared Libraries ausgelagert. Für weitergehende Informationen zum Kernel und seiner Schnittstelle zu Userland-Daemons wie pluto und charon verweisen wir auf unsere Studienarbeit [BR06] Gliederung der Dokumentation Die Dokumentation unserer Diplomarbeit ist in folgende Teile gegliedert: Im Kapitel Grundlagen erläutern wir technische Grundlagen, welche für das Verständnis der Arbeit relevant sind. Im Kapitel Analyse halten wir unser Vorgehen bei der Analyse der NAT-Verhalten und Hole-Punching-Problematik fest und zeigen Resultate auf. Im Kapitel Peer-to-Peer NAT Traversal for IPsec definieren wir die von uns entwickelte Protokollerweiterung und erläutern Designentscheide. Im Kapitel Implementation befassen wir uns mit unserer Proof-of-Concept-Implementation im Rahmen von strongswan. Im Kapitel Tests zeigen wir auf, wie wir unsere Proof-of-Concept-Implementation getestet haben, sowohl im Labor-Setup mit physikalischer Hardware als auch im virtuellen UML- Testing-Framework. Im Kapitel Konfiguration haben wir die Konfiguration unserer Implementation dokumentiert und Beispielkonfigurationen dargestellt. Im Kapitel Projektstand analysieren wir das Resultat und zeigen Möglichkeiten der Weiterentwicklung auf. Weitere Unterlagen wie die Konfigurationen der von uns getesteten NAT-Router, das Projektund Qualitätsmanagement oder die persönlichen Berichte haben wir im Anhang gesammelt Danksagung Wir möchten uns an dieser Stelle bei all jenen bedanken, welche uns im Rahmen unserer Diplomarbeit unterstützt haben. Insbesondere danken wir Prof. Dr. Andreas Steffen und Martin Willi für die souveräne Betreuung und die konstruktiven Inputs. Ebenfalls gebührt unser Dank der Peer-to-Peer NAT Traversal for IPsec 7

18 3. Einleitung suxessnet AG, Thalwil, welche uns grosszügigerweise eine nach unseren Wünschen vorkonfigurierte SonicWALL für Testzwecke zu Verfügung gestellt hat. Ferner danken wir dem Institut für vernetzte Systeme (INS) und dem Institut für Internet-Technologien und Anwendungen (ITA) für die uns als Leihgabe überlassene Cisco-Hardware. 8 Peer-to-Peer NAT Traversal for IPsec

19 4. Grundlagen In diesem Kapitel beschreiben wir die wichtigsten technischen Grundlagen, welche für das Verständnis der folgenden Kapitel notwendig sind. Wir beschränken uns hierbei auf das Notwendige und verweisen für eine weitergehende Beschreibung auf die jeweiligen Standards oder Originaldokumente. Dieses Kapitel kann bei entsprechendem Vorwissen auch gut übersprungen werden, um später bei Bedarf auf einzelne Abschnitte zurückzukommen. Wir empfehlen aber die Lektüre des Abschnittes über die NAT-Verhalten sowie dem Abschnitt 4.2 zu Hole Punching, da diese essentiell für das Verständnis der weiteren Teile der Arbeit sind. Teile dieses Kapitels basieren auf unserer Studienarbeit [BR06]. Der Abschnitt zu NAT (4.1) ist eine überarbeitete und erweiterte Fassung des gleichnamigen Abschnitts der Studienarbeit, und die Kurzeinführung zu IPsec (4.6) haben wir in einer leicht überarbeiteten Version vollständig übernommen. Alle anderen Teile dieses Kapitels sind komplett im Rahmen der Diplomarbeit entstanden Network Address Translation (NAT) Unter dem Sammelbegriff Network Address Translation (NAT) versteht man Verfahren, welche die Sender- und/oder Empfängeradressen von IP-Paketen unterwegs verändern. In der häufigsten Anwendungsform wird NAT verwendet, um Client-Rechner in einem lokalen Netzwerk über eine oder mehrere öffentliche IP-Adresse(n) mit einem externen Netz zu verbinden in der Regel mit dem Internet. Andere Anwendungsformen machen eine 1:1 Zuordnung von Adressen aus einem Adressblock auf Adressen in einem anderen Adressblock oder machen einen Server in einem internen Netzwerk unter einer externen IP-Adresse sichtbar. Man unterscheidet grundsätzlich zwischen einfacher Network Address Translation, auch Basic NAT genannt, wo nur die IP-Adressen modifiziert werden, und Network Address/Port Translation (NAPT), auch Hiding NAT, IP Masquerading (Linux), Port Address Translation (PAT) (Cisco) oder NAT Overloading (Cisco IOS) genannt, wo auch die Ports verändert werden, damit mehrere interne Adressen auf die gleiche externe Adresse gemappt werden können. 9

20 4. Grundlagen Entstehungsgeschichte Entwickelt wurde NAT ursprünglich infolge der Adressknappheit des Internet Protocol, Version 4 (IPv4). IP-Adressen sind 32 Bit gross, somit gäbe es theoretisch Mia. mögliche Adressen. In den Anfängen des Internet wurden IP-Adressen jedoch regelrecht verschwendet. Ursprünglich wurden die ersten 8 Bit als Netzwerknummer verwendet, der Rest zur Identifikation des Hosts. Um eine grössere Anzahl von Netzen zu ermöglichen, hat man später mit Classful Addressing [RFC791] die Länge der Netznummer abhängig gemacht vom Wert der ersten 1 4 Bit: je nach Wert dieser Bits wurden die Adressen in die Klassen A (8 Bit Netznummer), B (16 Bit Netznummer) und C (24 Bit Netznummer) eingeteilt (und einige Adressen für spezielle Zwecke wie Multicast reserviert). Doch auch dies reichte nicht aus, weshalb man mit Classless Inter-Domain Routing (CIDR) [RFC1518; RFC1519] schliesslich die Länge der Netzwerknummer komplett variabel gemacht hat, indem neben den Adressen immer eine sogenannte Netzmaske angegeben wird, welche spezifiziert, welche Bits der Adresse die Netzwerkidentifikation repräsentieren. Doch mit der explosionsartigen Verbreitung des Internet stiess man auch hier bald an Grenzen. Heute weist man schon lange nicht mehr jedem ans Internet angeschlossenen Rechner eine eigene Adresse fix zu. Stattdessen werden z.b. den Kunden eines Internet Service Providers (ISPs) Adressen aus einem kleinen Pool von öffentlichen IP-Adressen dynamisch zugewiesen. Während CIDR als kurzfristige Lösung für die Probleme von IPv4 angesehen wurde und mit Internet Protocol, Version 6 (IPv6) gleichzeitig an der langfristigen Lösung gearbeitet wurde, hat man als weitere kurzfristige Überbrückungslösung Network Address Translation entwickelt [RFC1631; RFC3022], um lokale Netze unter einer oder mehrerer öffentlichen IP-Adressen ans Internet anzuschliessen, ohne für das lokale Netz einen eigenen öffentlichen Adressblock und somit viele öffentliche Adressen zu verbrauchen Beispiel Masquerading/NAPT Am Beispiel des häufigsten Falles möchten wir die Funktionsweise von NAT im Detail aufzeigen. In dieser Anwendungsform wird ein internes Netzwerk über einen NAT-Router mit einer einzigen vom ISP zugewiesenen öffentlichen IP-Adresse mit dem Internet verbunden. Diese Ausgangslage ist in Abbildung 4.1 dargestellt. Diese Form von NAT wird auch PAT, NAPT, Hiding NAT und NAT Overloading genannt. Anstelle des Internets könnte das interne Netz natürlich analog zu der hier dargestellten Situation auch mit einem anderen Wide Area Network (WAN) verbunden werden. Der Gateway (NAT-Router) schreibt hierzu die Source-Adressen von Paketen, welche das lokale Netz verlassen, auf die externe IP-Adresse um. Nach aussen hin ist also nur die externe IP- Adresse des NAT-Routers sichtbar. Wenn der Client von seiner lokalen Adresse aus eine HTTP-Verbindung zum Server startet, so sieht der Server eine eingehende Verbindung von der Adresse , also der externen IP-Adresse des NAT-Routers. Der Source-Port wurde vom NAT-Router auf eine eindeutige Port-Nummer umgeschrieben, so dass 10 Peer-to-Peer NAT Traversal for IPsec

21 4.1. Network Address Translation (NAT) / Internet Client A NAT Router Server Client B Abbildung 4.1.: NAT in der Übersicht er die Antwortpakete des Servers wieder dem richtigen internen Host zuordnen kann. Zu diesem Zweck führt der NAT-Router eine Tabelle, in der er sich die Source-Adress und -Port Tupel aller laufenden Verbindungen 1 speichert. Der Vorgang ist in Abbildung 4.2 nochmals genauer dargestellt. src: :1078 dst: :80 src: :53263 dst: : Internet Client A Client B src: :80 dst: :1078 inside src outside src src: :80 dst: :53263 Abbildung 4.2.: NAT: Beispiel Masquerading/NAPT als Sicherheitsfeature? Aufgrund der Tatsache, dass Hosts im lokalen Netz hinter dem NAT-Router nicht direkt von aussen erreichbar sind, gelten NAT dieser Art heute auch als Sicherheitsfeature. Auch wenn die Aussage berechtigt ist, dass ein Client hinter einem solchen NAT-Router vor vielen aktiven Angriffen aus dem Internet geschützt ist, so muss man sich aber vor Augen halten, dass NAT nicht primär der Sicherheit dient, und den Client sowieso nur vor einer eingeschränkten Angriffsklasse schützt. Angriffe z.b. über den Web-Browser oder via können damit nicht verhindert werden und sind wesentlich gefährlicher, als nur von der eigenen Personal Firewall geschützt di- 1 Eine Verbindung ist in diesem Zusammenhang nicht auf verbindungsorientierte Protokolle wie TCP beschränkt, sondern bezieht sich auch auf verbindungslose Protokolle wie UDP und ICMP. Als UDP-Verbindung bezeichnet man hier alle Datagramme, welche zwischen zwei konkreten Host:Port-Kombinationen ausgetauscht werden. ICMP-Pakete werden je nach Typ der zugehörigen UDP- oder TCP-Verbindung zugeordnet (z.b. Host / Port Unreachable, Source Quench), oder als eigene Verbindung behandelt (z.b. Echo / Echo Reply). Peer-to-Peer NAT Traversal for IPsec 11

IRF2000, IF1000 Application Note Network Mapping mit 1:1 NAT

IRF2000, IF1000 Application Note Network Mapping mit 1:1 NAT Version 2.1 Original-Application Note ads-tec GmbH IRF2000, IF1000 Application Note Network Mapping mit 1:1 NAT Stand: 28.10.2014 ads-tec GmbH 2014 Big-LinX 2 Inhaltsverzeichnis 1 Einführung... 3 1.1 NAT

Mehr

VIRTUAL PRIVATE NETWORKS

VIRTUAL PRIVATE NETWORKS VIRTUAL PRIVATE NETWORKS Seminar: Internet-Technologie Dozent: Prof. Dr. Lutz Wegner Virtual Private Networks - Agenda 1. VPN Was ist das? Definition Anforderungen Funktionsweise Anwendungsbereiche Pro

Mehr

Prinzipiell wird bei IP-basierenden VPNs zwischen zwei unterschiedlichen Ansätzen unterschieden:

Prinzipiell wird bei IP-basierenden VPNs zwischen zwei unterschiedlichen Ansätzen unterschieden: Abkürzung für "Virtual Private Network" ein VPN ist ein Netzwerk bestehend aus virtuellen Verbindungen (z.b. Internet), über die nicht öffentliche bzw. firmeninterne Daten sicher übertragen werden. Die

Mehr

VPN: SSL vs. IPSec. erfrakon - Erlewein, Frank, Konold & Partner Martin Konold Dr. Achim Frank. Präsentation auf dem

VPN: SSL vs. IPSec. erfrakon - Erlewein, Frank, Konold & Partner Martin Konold Dr. Achim Frank. Präsentation auf dem VPN: SSL vs. IPSec erfrakon - Erlewein, Frank, Konold & Partner Martin Konold Dr. Achim Frank Präsentation auf dem IT Security Forum 9. November 2005, Frankfurt erfrakon Erlewein, Frank, Konold & Partner

Mehr

Robert Fehrmann Proseminar Technische Informatik Institut für Informatik, Betreuer: Matthias Wählisch. You are Skyping - But How Does it Work!?

Robert Fehrmann Proseminar Technische Informatik Institut für Informatik, Betreuer: Matthias Wählisch. You are Skyping - But How Does it Work!? Robert Fehrmann Proseminar Technische Informatik Institut für Informatik, Betreuer: Matthias Wählisch You are Skyping - But How Does it Work!? 1 Gliederung You are Skyping - But How Does it Work!? Probleme

Mehr

NAT-Traversal for strongswan II

NAT-Traversal for strongswan II Studienarbeit Informatik NAT-Traversal for strongswan II Tobias Brunner Daniel Röthlisberger Sommersemester 2006 7. Juli 2006 Betreut durch: Martin Willi, Prof. Dr. Andreas Steffen Institut für Internet-Technologien

Mehr

Network Address Translation (NAT) Prof. B. Plattner

Network Address Translation (NAT) Prof. B. Plattner Network Address Translation (NAT) Prof. B. Plattner Warum eine Übersetzung von Adressen? Adressknappheit im Internet Lösungen langfristig: IPv6 mit 128-bit Adressen einsetzen kurzfristig (und implementiert):

Mehr

VPN Virtual Private Network

VPN Virtual Private Network VPN Virtual Private Network LF10 - Betreuen von IT-Systemen Marc Schubert FI05a - BBS1 Mainz Lernfeld 10 Betreuen von IT-Systemen VPN Virtual Private Network Marc Schubert FI05a - BBS1 Mainz Lernfeld 10

Mehr

VPN unterstützt 3 verschiedene Szenarien: Host to Host: Dies kennzeichnet eine sichere 1:1 Verbindung zweier Computer, z.b. über das Internet.

VPN unterstützt 3 verschiedene Szenarien: Host to Host: Dies kennzeichnet eine sichere 1:1 Verbindung zweier Computer, z.b. über das Internet. 1. VPN Virtual Private Network Ein VPN wird eingesetzt, um eine teure dedizierte WAN Leitung (z.b. T1, E1) zu ersetzen. Die WAN Leitungen sind nicht nur teuer, sondern auch unflexibel, da eine Leitung

Mehr

Zentrum für Informationsdienste und Hochleistungsrechnen (ZIH) Technische Grundlagen und Beispiele. Christian Hoffmann & Hanjo, Müller

Zentrum für Informationsdienste und Hochleistungsrechnen (ZIH) Technische Grundlagen und Beispiele. Christian Hoffmann & Hanjo, Müller Zentrum für Informationsdienste und Hochleistungsrechnen (ZIH) VPN (Virtual Private Network) Technische Grundlagen und Beispiele Christian Hoffmann & Hanjo, Müller Dresden, 3. April 2006 Übersicht Begriffsklärung

Mehr

IPsec. Vortrag im Rahmen des Seminars Neue Internet Technologien

IPsec. Vortrag im Rahmen des Seminars Neue Internet Technologien IPsec Vortrag im Rahmen des Seminars Neue Internet Technologien Friedrich Schiller Universität Jena Wintersemester 2003/2004 Thomas Heinze, Matrikel xxxxx Gliederung IPsec? - Motivation, Grundbegriffe,

Mehr

Scaling IP Addresses. CCNA 4 version 3.0 Wolfgang Riggert,, FH Flensburg

Scaling IP Addresses. CCNA 4 version 3.0 Wolfgang Riggert,, FH Flensburg Scaling IP Addresses CCNA 4 version 3.0 Wolfgang Riggert,, FH Flensburg auf der Grundlage von Rick Graziani, Cabrillo College Vorbemerkung Die englische Originalversion finden Sie unter : http://www.cabrillo.cc.ca.us/~rgraziani/

Mehr

VPN Gateway (Cisco Router)

VPN Gateway (Cisco Router) VPN Gateway (Cisco Router) Mario Weber INF 03 Inhalt Inhalt... 2 1 VPN... 3 1.1 Virtual Private Network... 3 1.1.1 Allgemein... 3 1.1.2 Begriffsklärung... 4 1.2 Tunneling... 4 1.3 Tunnelprotkolle... 5

Mehr

NAT und Firewalls. Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de. Universität Bielefeld Technische Fakultät

NAT und Firewalls. Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de. Universität Bielefeld Technische Fakultät NAT und Firewalls Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de Universität Bielefeld Technische Fakultät Stand der Veranstaltung 13. April 2005 Unix-Umgebung 20. April 2005 Unix-Umgebung 27. April 2005

Mehr

Sichere Fernwartung über das Internet

Sichere Fernwartung über das Internet asut Lunch Forum vom 4. Mai 2007 Sichere Fernwartung über das Internet Prof. Dr. Andreas Steffen Sicher durchs Netz dank Innovation! A. Steffen, 4.05.2007, asut_lunch_forum.ppt 1 Kernkompetenzen des Instituts

Mehr

Grundlagen Firewall und NAT

Grundlagen Firewall und NAT Grundlagen Firewall und NAT Was sind die Aufgaben einer Firewall? Welche Anforderungen sind zu definieren? Grundlegende Funktionsweise Technische Varianten NA[P]T Portmapping Übungsaufgabe Quellen im WWW

Mehr

NAT & VPN. Adressübersetzung und Tunnelbildung. Bastian Görstner

NAT & VPN. Adressübersetzung und Tunnelbildung. Bastian Görstner Adressübersetzung und Tunnelbildung Bastian Görstner Gliederung 1. NAT 1. Was ist ein NAT 2. Kategorisierung 2. VPN 1. Was heißt VPN 2. Varianten 3. Tunneling 4. Security Bastian Görstner 2 NAT = Network

Mehr

Domain Name Service (DNS)

Domain Name Service (DNS) Domain Name Service (DNS) Aufgabe: den numerischen IP-Adressen werden symbolische Namen zugeordnet Beispiel: 194.94.127.196 = www.w-hs.de Spezielle Server (Name-Server, DNS) für Listen mit IP-Adressen

Mehr

TCP/UDP. Transport Layer

TCP/UDP. Transport Layer TCP/UDP Transport Layer Lernziele 1. Wozu dient die Transportschicht? 2. Was passiert in der Transportschicht? 3. Was sind die wichtigsten Protkolle der Transportschicht? 4. Wofür wird TCP eingesetzt?

Mehr

VPN / Tunneling. 1. Erläuterung

VPN / Tunneling. 1. Erläuterung 1. Erläuterung VPN / Tunneling Ein virtuelles privates Netzwerk (VPN) verbindet die Komponenten eines Netzwerkes über ein anderes Netzwerk. Zu diesem Zweck ermöglicht das VPN dem Benutzer, einen Tunnel

Mehr

TCP/IP-Protokollfamilie

TCP/IP-Protokollfamilie TCP/IP-Protokollfamilie Internet-Protokolle Mit den Internet-Protokollen kann man via LAN- oder WAN kommunizieren. Die bekanntesten Internet-Protokolle sind das Transmission Control Protokoll (TCP) und

Mehr

Virtual Private Networks. Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH

Virtual Private Networks. Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH Virtual Private Networks Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH Inhalt Einleitung Grundlagen Kryptographie IPSec Firewall Point-to-Point Tunnel Protokoll Layer 2 Tunnel Protokoll Secure Shell

Mehr

SIRTCP/IP und Telekommunikations netze

SIRTCP/IP und Telekommunikations netze SIRTCP/IP und Telekommunikations netze Next Generation Networks und VolP - konkret von Ulrich Trick und Frank Weber 2., erweiterte und aktualisierte Auflage Oldenbourg Verlag München Wien Inhalt Inhalt

Mehr

Virtual Private Networks Hohe Sicherheit wird bezahlbar

Virtual Private Networks Hohe Sicherheit wird bezahlbar Virtual Private Networks Hohe Sicherheit wird bezahlbar Paul Schöbi, cnlab AG paul.schoebi@cnlab.ch www.cnlab.ch Präsentation unter repertoire verfügbar 27.10.99 1 : Internet Engineering Dr. Paul Schöbi

Mehr

Security Associations Schlüsseltausch IKE Internet Key Exchange Automatischer Schlüsseltausch und Identitätsnachweis

Security Associations Schlüsseltausch IKE Internet Key Exchange Automatischer Schlüsseltausch und Identitätsnachweis Wie Interoperabel ist IPsec? Ein Erfahrungsbericht Arturo Lopez Senior Consultant März 2003 Agenda Internet Protokoll Security (IPsec) implementiert Sicherheit auf Layer 3 in OSI Modell Application Presentation

Mehr

Prof. Dr. Martin Leischner Netzwerksysteme und TK. Hochschule Bonn-Rhein-Sieg. Modul 5: IPSEC

Prof. Dr. Martin Leischner Netzwerksysteme und TK. Hochschule Bonn-Rhein-Sieg. Modul 5: IPSEC Modul 5: IPSEC Teil 1: Transport- und Tunnelmode / Authentication Header / Encapsulating Security Payload Security Association (SAD, SPD), IPsec-Assoziationsmanagements Teil 2: Das IKE-Protokoll Folie

Mehr

Network Address Translation (NAT) Prof. B. Plattner

Network Address Translation (NAT) Prof. B. Plattner Network Address Translation (NAT) Prof. B. Plattner Warum eine Übersetzung von Adressen? Adressknappheit im Internet Lösungen langfristig: IPv6 mit 128-bit Adressen einsetzen kurzfristig (und implementiert):

Mehr

Gateway für netzwerkfähige Komponenten ewon kann als Gateway für alle netzwerkfähigen Komponenten dienen

Gateway für netzwerkfähige Komponenten ewon kann als Gateway für alle netzwerkfähigen Komponenten dienen ewon - Technical Note Nr. 005 Version 1.3 Gateway für netzwerkfähige Komponenten ewon kann als Gateway für alle netzwerkfähigen Komponenten dienen 08.08.2006/SI Übersicht: 1. Thema 2. Benötigte Komponenten

Mehr

Rechnernetze II SS 2015. Betriebssysteme / verteilte Systeme rolanda.dwismuellera@duni-siegena.de Tel.: 0271/740-4050, Büro: H-B 8404

Rechnernetze II SS 2015. Betriebssysteme / verteilte Systeme rolanda.dwismuellera@duni-siegena.de Tel.: 0271/740-4050, Büro: H-B 8404 Rechnernetze II SS 2015 Betriebssysteme / verteilte Systeme rolanda.dwismuellera@duni-siegena.de Tel.: 0271/740-4050, Büro: H-B 8404 Stand: 14. Juli 2015 Betriebssysteme / verteilte Systeme Rechnernetze

Mehr

Mobilität in IP (IPv4 und IPv6)

Mobilität in IP (IPv4 und IPv6) Mobilität in IP (IPv4 und IPv6) Prof. B. Plattner ETH Zürich IP Next Generation - Mobilität (1) Uebersicht Formen der Mobilitätsunterstützung 1 Echt mobile Benutzer (drahtlos erschlossene Laptops)» Handover

Mehr

Anytun - Secure Anycast Tunneling

Anytun - Secure Anycast Tunneling Anytun - Secure Anycast Tunneling Christian Pointner http://www.anytun.org 19. Mai 2015 Christian Pointner http://www.anytun.org 1 / 21 Überblick 1 Open Source VPN Lösungen 2 Warum Anytun? 3 SATP und (u)anytun

Mehr

IPSec. Motivation Architektur Paketsicherheit Sicherheitsrichtlinien Schlüsselaustausch

IPSec. Motivation Architektur Paketsicherheit Sicherheitsrichtlinien Schlüsselaustausch IPSec Motivation Architektur Paketsicherheit Sicherheitsrichtlinien Schlüsselaustausch Motivation Anwendung auf Anwendungsebene Anwendung Netzwerk- Stack Netzwerk- Stack Anwendung Netzwerk- Stack Netz

Mehr

Warum noch IPsec benutzen?

Warum noch IPsec benutzen? Erlanger Linux User Group OpenVPN Warum noch IPsec benutzen? Klaus Thielking-Riechert ktr@erlug.de 3. Erlanger Linuxtage 15./16. Januar 2005 Was ist ein VPN? ein Mechanismus zur sicheren Kommunikation

Mehr

VPN. Virtuelles privates Netzwerk. Vortrag von Igor Prochnau Seminar Internet- Technologie

VPN. Virtuelles privates Netzwerk. Vortrag von Igor Prochnau Seminar Internet- Technologie VPN Virtuelles privates Netzwerk Vortrag von Igor Prochnau Seminar Internet- Technologie Einleitung ist ein Netzwerk, das ein öffentliches Netzwerk benutzt, um private Daten zu transportieren erlaubt eine

Mehr

Internet Routing am 14. 11. 2006 mit Lösungen

Internet Routing am 14. 11. 2006 mit Lösungen Wissenstandsprüfung zur Vorlesung Internet Routing am 14. 11. 2006 mit Lösungen Beachten Sie bitte folgende Hinweise! Dieser Test ist freiwillig und geht in keiner Weise in die Prüfungsnote ein!!! Dieser

Mehr

Multicast Security Group Key Management Architecture (MSEC GKMArch)

Multicast Security Group Key Management Architecture (MSEC GKMArch) Multicast Security Group Key Management Architecture (MSEC GKMArch) draft-ietf-msec-gkmarch-07.txt Internet Security Tobias Engelbrecht Einführung Bei diversen Internetanwendungen, wie zum Beispiel Telefonkonferenzen

Mehr

7 Transportprotokolle

7 Transportprotokolle 7 Transportprotokolle 7.1 Transmission Control Protocol (TCP) 7.2 User Datagram Protocol (UDP) 7.3 Ports 7.1 TCP (1) IP-Pakete (Datagramme) von A nach B transportieren reicht nicht interaktive Verbindungen

Mehr

Authentication Header: Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen

Authentication Header: Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen IP Security Zwei Mechanismen: Authentication : Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen Encapsulating Security Payloads (ESP): Verschl., Datenauth. Internet Key Exchange Protokoll:

Mehr

Site2Site VPN S T E F A N K U S I E K B F W L E I P Z I G

Site2Site VPN S T E F A N K U S I E K B F W L E I P Z I G Site2Site VPN S T E F A N K U S I E K B F W L E I P Z I G Übersicht Einleitung IPSec SSL RED Gegenüberstellung Site-to-Site VPN Internet LAN LAN VPN Gateway VPN Gateway Encrypted VPN - Technologien Remote

Mehr

Diameter. KM-/VS-Seminar. Wintersemester 2002/2003. schulze_diameter.ppt Christian Schulze_03-Februar-07

Diameter. KM-/VS-Seminar. Wintersemester 2002/2003. schulze_diameter.ppt Christian Schulze_03-Februar-07 Diameter KM-/VS-Seminar Wintersemester 2002/2003 Betreuer: Martin Gutbrod 1 Übersicht Einleitung AAA Szenarien Remote dial-in Mobile dial-in Mobile telephony Design von Diameter Ausblick Features Protokoll

Mehr

1.) Nennen Sie Aufgaben und mögliche Dienste der Transportschicht (Transport Layer) des ISO/OSI-Schichtenmodells.

1.) Nennen Sie Aufgaben und mögliche Dienste der Transportschicht (Transport Layer) des ISO/OSI-Schichtenmodells. Übung 7 1.) Nennen Sie Aufgaben und mögliche Dienste der Transportschicht (Transport Layer) des ISO/OSI-Schichtenmodells. 2.) Charakterisieren Sie kurz das User Datagram Protokoll (UDP) aus der Internetprotokollfamilie

Mehr

Referat von Sonja Trotter Klasse: E2IT1 Datum Jan. 2003. Subnetting

Referat von Sonja Trotter Klasse: E2IT1 Datum Jan. 2003. Subnetting Referat von Sonja Trotter Klasse: E2IT1 Datum Jan. 2003 Subnetting Einleitung Thema dieser Ausarbeitung ist Subnetting Ganz zu Beginn werden die zum Verständnis der Ausführung notwendigen Fachbegriffe

Mehr

Migration IPv4 auf IPv6. Untersuchung verschiedener Methoden für die Migration von IPv4 auf Ipv6 Tobias Brunner, 9.7.2008

Migration IPv4 auf IPv6. Untersuchung verschiedener Methoden für die Migration von IPv4 auf Ipv6 Tobias Brunner, 9.7.2008 Migration IPv4 auf IPv6 Untersuchung verschiedener Methoden für die Migration von IPv4 auf Ipv6 Tobias Brunner, 9.7.2008 1 Agenda Kurzer Überblick über das Protokoll IPv6 Vorstellung Migrationsmethoden

Mehr

How-to: Webserver NAT. Securepoint Security System Version 2007nx

How-to: Webserver NAT. Securepoint Security System Version 2007nx Securepoint Security System Inhaltsverzeichnis Webserver NAT... 3 1 Konfiguration einer Webserver NAT... 4 1.1 Einrichten von Netzwerkobjekten... 4 1.2 Erstellen von Firewall-Regeln... 6 Seite 2 Webserver

Mehr

SNMP 1 -basierte dynamische Netzwerkkonfiguration und analyse

SNMP 1 -basierte dynamische Netzwerkkonfiguration und analyse Fakultät Informatik Institut für Systemarchitektur Professur für Rechnernetze SNMP 1 -basierte dynamische Netzwerkkonfiguration und analyse Versuchsvorgaben (Aufgabenstellung) Der neu zu gestaltende Versuch

Mehr

IP routing und traceroute

IP routing und traceroute IP routing und traceroute Seminar Internet-Protokolle Dezember 2002 Falko Klaaßen fklaasse@techfak.uni-bielefeld.de 1 Übersicht zum Vortrag Was ist ein internet? Was sind Router? IP routing Subnet Routing

Mehr

HOBLink VPN 2.1 Gateway

HOBLink VPN 2.1 Gateway Secure Business Connectivity HOBLink VPN 2.1 Gateway die VPN-Lösung für mehr Sicherheit und mehr Flexibilität Stand 02 15 Mehr Sicherheit für Unternehmen Mit HOBLink VPN 2.1 Gateway steigern Unternehmen

Mehr

Virtuelle Netze. Virtuelle Netze von Simon Knierim und Benjamin Skirlo 1 Von 10-16.04.07. Simon Knierim & Benjamin Skirlo.

Virtuelle Netze. Virtuelle Netze von Simon Knierim und Benjamin Skirlo 1 Von 10-16.04.07. Simon Knierim & Benjamin Skirlo. 1 Von 10-16.04.07 Virtuelle Netze Simon Knierim & Benjamin Skirlo für Herrn Herrman Schulzentrum Bremen Vegesack Berufliche Schulen für Metall- und Elektrotechnik 2 Von 10-16.04.07 Inhaltsverzeichnis Allgemeines...

Mehr

VPN Tracker für Mac OS X

VPN Tracker für Mac OS X VPN Tracker für Mac OS X How-to: Kompatibilität mit DrayTek Vigor Routern Rev. 1.0 Copyright 2003 equinux USA Inc. Alle Rechte vorbehalten. 1. Einführung 1. Einführung Diese Anleitung beschreibt, wie eine

Mehr

Übersicht. Was ist FTP? Übertragungsmodi. Sicherheit. Öffentliche FTP-Server. FTP-Software

Übersicht. Was ist FTP? Übertragungsmodi. Sicherheit. Öffentliche FTP-Server. FTP-Software FTP Übersicht Was ist FTP? Übertragungsmodi Sicherheit Öffentliche FTP-Server FTP-Software Was ist FTP? Protokoll zur Dateiübertragung Auf Schicht 7 Verwendet TCP, meist Port 21, 20 1972 spezifiziert Übertragungsmodi

Mehr

Netzwerk Teil 2 Linux-Kurs der Unix-AG

Netzwerk Teil 2 Linux-Kurs der Unix-AG Netzwerk Teil 2 Linux-Kurs der Unix-AG Zinching Dang 17. Juni 2015 Unterschied Host Router Standardverhalten eines Linux-Rechners: Host nur IP-Pakete mit Zieladressen, die dem Rechner zugeordnet sind,

Mehr

Einfache VPN Theorie. Von Valentin Lätt (www.valentin-laett.ch)

Einfache VPN Theorie. Von Valentin Lätt (www.valentin-laett.ch) Einfache VPN Theorie Von Valentin Lätt (www.valentin-laett.ch) Einführung Der Ausdruck VPN ist fast jedem bekannt, der sich mindestens einmal grob mit der Materie der Netzwerktechnik auseinandergesetzt

Mehr

ICMP Internet Control Message Protocol. Michael Ziegler

ICMP Internet Control Message Protocol. Michael Ziegler ICMP Situation: Komplexe Rechnernetze (Internet, Firmennetze) Netze sind fehlerbehaftet Viele verschiedene Fehlerursachen Administrator müsste zu viele Fehlerquellen prüfen Lösung: (ICMP) Teil des Internet

Mehr

1. Netzwerkprogrammierung für mobile Geräte

1. Netzwerkprogrammierung für mobile Geräte 1. Netzwerkprogrammierung für mobile Geräte Lernziele 1. Netzwerkprogrammierung für mobile Geräte Themen/Lernziele: Konzepte der verbindungslosen Kommunikation beherrschen Client/Server-Anwendungen auf

Mehr

Konfigurationsbeispiel

Konfigurationsbeispiel ZyWALL 1050 dynamisches VPN Dieses Konfigurationsbeispiel zeigt, wie man einen VPN-Tunnel mit einer dynamischen IP-Adresse auf der Client-Seite und einer statischen öffentlichen IP-Adresse auf der Server-Seite

Mehr

Modul 3: IPSEC Teil 2 IKEv2

Modul 3: IPSEC Teil 2 IKEv2 Modul 3: IPSEC Teil 2 IKEv2 Teil 1: Transport- und Tunnelmode / Authentication Header / Encapsulating Security Payload Security Association (SAD, SPD), IPsec-Assoziationsmanagements Teil 2: Design-Elemente

Mehr

Kurzeinführung VPN. Veranstaltung. Rechnernetze II

Kurzeinführung VPN. Veranstaltung. Rechnernetze II Kurzeinführung VPN Veranstaltung Rechnernetze II Übersicht Was bedeutet VPN? VPN Typen VPN Anforderungen Was sind VPNs? Virtuelles Privates Netzwerk Mehrere entfernte lokale Netzwerke werden wie ein zusammenhängendes

Mehr

HowTo: Einrichtung einer IPSec Verbindung mit einem IPSEC VPN Client zum DWC-1000 am Beispiel der Shrewsoft VPN Clientsoftware

HowTo: Einrichtung einer IPSec Verbindung mit einem IPSEC VPN Client zum DWC-1000 am Beispiel der Shrewsoft VPN Clientsoftware HowTo: Einrichtung einer IPSec Verbindung mit einem IPSEC VPN Client zum DWC-1000 am Beispiel der Shrewsoft VPN Clientsoftware [Voraussetzungen] 1. DWC-1000 mit Firmware Version: 4.2.0.3_B502 und höher

Mehr

Digitale Sprache und Video im Internet

Digitale Sprache und Video im Internet Digitale Sprache und Video im Internet Kapitel 6.4 SIP 1 SIP (1) SIP (Session Initiation Protocol), dient als reines Steuerungsprotokoll (RFC 3261-3265) für MM-Kommunikation Weiterentwicklung des MBONE-SIP.

Mehr

Dies ist eine Schritt für Schritt Anleitung wie man den Router anschließt und mit dem Internet verbindet.

Dies ist eine Schritt für Schritt Anleitung wie man den Router anschließt und mit dem Internet verbindet. Schnellinstallations Anleitung: Dies ist eine Schritt für Schritt Anleitung wie man den Router anschließt und mit dem Internet verbindet. 1) Verkabeln Sie Ihr Netzwerk. Schließen Sie den Router ans Stromnetz,

Mehr

Chapter 9 TCP/IP-Protokoll Protokoll und IP-Adressierung. CCNA 1 version 3.0 Wolfgang Riggert,, FH Flensburg auf der Grundlage von

Chapter 9 TCP/IP-Protokoll Protokoll und IP-Adressierung. CCNA 1 version 3.0 Wolfgang Riggert,, FH Flensburg auf der Grundlage von Chapter 9 TCP/IP-Protokoll Protokoll und IP-Adressierung CCNA 1 version 3.0 Wolfgang Riggert,, FH Flensburg auf der Grundlage von Rick Graziani Cabrillo College Vorbemerkung Die englische Originalversion

Mehr

UDP-, MTU- und IP- Fragmentierung

UDP-, MTU- und IP- Fragmentierung UDP-, MTU- und IP- Fragmentierung Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de Universität Bielefeld Technische Fakultät Stand der Veranstaltung 13. April 2005 Unix-Umgebung 20. April 2005 Unix-Umgebung

Mehr

So wird der administrative Aufwand bei der Konfiguration von Endgeräten erheblich reduziert.

So wird der administrative Aufwand bei der Konfiguration von Endgeräten erheblich reduziert. 11.2 Cisco und DHCP.. nur teilweise CCNA relevant DHCP Dynamic Host Configuration Protocol ist der Nachfolger des BOOTP Protokolls und wird verwendet um anfrandenen Hosts dynamisch IP Parameter - i.d.r.

Mehr

Konfigurationsanleitung Quality of Service (QoS) Funkwerk. Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1.1.

Konfigurationsanleitung Quality of Service (QoS) Funkwerk. Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1.1. Konfigurationsanleitung Quality of Service (QoS) Funkwerk Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1.1 Seite - 1 - 1. Konfiguration von Quality of Service 1.1 Einleitung Im Folgenden

Mehr

KN 20.04.2015. Das Internet

KN 20.04.2015. Das Internet Das Internet Internet = Weltweiter Verbund von Rechnernetzen Das " Netz der Netze " Prinzipien des Internet: Jeder Rechner kann Information bereitstellen. Client / Server Architektur: Server bietet Dienste

Mehr

FOPT 5: Eigenständige Client-Server-Anwendungen (Programmierung verteilter Anwendungen in Java 1)

FOPT 5: Eigenständige Client-Server-Anwendungen (Programmierung verteilter Anwendungen in Java 1) 1 FOPT 5: Eigenständige Client-Server-Anwendungen (Programmierung verteilter Anwendungen in Java 1) In dieser Kurseinheit geht es um verteilte Anwendungen, bei denen wir sowohl ein Client- als auch ein

Mehr

Exkurs: IPSec. Brandenburg an der Havel, den 5. Juni 2005

Exkurs: IPSec. <muehlber@fh-brandenburg.de> Brandenburg an der Havel, den 5. Juni 2005 Exkurs: IPSec Brandenburg an der Havel, den 5. Juni 2005 1 Gliederung 1. IPSec: Problem und Lösung 2. Übertragungsmodi 3. Encapsulating Security Payload 4. Authentication Header

Mehr

VPNs mit OpenVPN. von Michael Hartmann

VPNs mit OpenVPN. von Michael Hartmann <michael.hartmann@as netz.de> VPNs mit OpenVPN von Michael Hartmann Allgemeines Was ist ein VPN? VPN: Virtual Privat Network (virtuelles, privates Netzwerk) Tunnel zwischen zwei Rechnern durch ein (unsicheres)

Mehr

Virtuelle Private Netze

Virtuelle Private Netze Virtuelle Private Netze VPN mit openvpn und openssl michael dienert, peter maaß Walther-Rathenau-Gewerbeschule Freiburg 30. April 2012 Inhalt Was ist ein VPN Rahmen, Pakete, virtuelle Verbindungen Die

Mehr

Router 1 Router 2 Router 3

Router 1 Router 2 Router 3 Network Layer Netz 1 Netz 2 Netz 3 Router 1 Router 2 Router 3 Router 1 Router 2 Router 3 Netz 1, Router 1, 1 Netz 1, Router 1, 2 Netz 1, Router 2, 3 Netz 2, Router 2, 2 Netz 2, Router 2, 1 Netz 2, Router

Mehr

Um IPSec zu konfigurieren, müssen Sie im Folgenden Menü Einstellungen vornehmen:

Um IPSec zu konfigurieren, müssen Sie im Folgenden Menü Einstellungen vornehmen: 1. IPSec Verbindung zwischen IPSec Client und Gateway 1.1 Einleitung Im Folgenden wird die Konfiguration einer IPSec Verbindung vom Bintec IPSec Client zum Gateway gezeigt. Dabei spielt es keine Rolle,

Mehr

Scharl 2010 Dokument ist Urheberrechtlich geschützt. Port Forwarding via PuTTY und SSH. Was ist Port forwarding?

Scharl 2010 Dokument ist Urheberrechtlich geschützt. Port Forwarding via PuTTY und SSH. Was ist Port forwarding? Port Forwarding via PuTTY und SSH Was ist Port forwarding? Eine Portweiterleitung (englisch Port Forwarding) ist die Weiterleitung einer Verbindung, die über ein Rechnernetz auf einen bestimmten Port eingeht,

Mehr

Breitband ISDN Lokale Netze Internet WS 2009/10. Martin Werner, November 09 1

Breitband ISDN Lokale Netze Internet WS 2009/10. Martin Werner, November 09 1 Telekommunikationsnetze 2 Breitband ISDN Lokale Netze Internet Martin Werner WS 2009/10 Martin Werner, November 09 1 Breitband-ISDN Ziele Flexibler Netzzugang Dynamische Bitratenzuteilung Effiziente Vermittlung

Mehr

Strategie zur Verfolgung einzelner IP-Pakete zur Datenflussanalyse

Strategie zur Verfolgung einzelner IP-Pakete zur Datenflussanalyse Strategie zur Verfolgung einzelner IP-Pakete zur Datenflussanalyse Peter Hillmann Institut für Technische Informatik Fakultät für Informatik Peter.Hillmann@unibw.de Peter Hillmann 1 Gliederung 1. Motivation

Mehr

Wortmann AG. Terra Black Dwraf

Wortmann AG. Terra Black Dwraf Terra Black Dwraf Inhalt 1 VPN... 3 2 Konfigurieren der dyndns Einstellungen... 4 3 VPN-Verbindung mit dem IPSec Wizard erstellen... 5 4 Verbindung bearbeiten... 6 5 Netzwerkobjekte anlegen... 8 6 Regel

Mehr

TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL

TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL 1 TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL Kleine Auswahl bekannter Sicherheitsprotokolle X.509 Zertifikate / PKIX Standardisierte, häufig verwendete Datenstruktur zur Bindung von kryptographischen

Mehr

IP Adressen & Subnetzmasken

IP Adressen & Subnetzmasken IP Adressen & Subnetzmasken Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de Universität Bielefeld Technische Fakultät Stand der Veranstaltung 13. April 2005 Unix-Umgebung 20. April 2005 Unix-Umgebung 27. April

Mehr

Sichere Fernwartung über das Internet

Sichere Fernwartung über das Internet Sichere Fernwartung über das Internet Implementierung, Skalierbarkeit, Zugriffs- und Datenschutz DI Günter Obiltschnig Applied Informatics Software Engineering GmbH Maria Elend 143 9182 Maria Elend Austria

Mehr

Workshop: IPSec. 20. Chaos Communication Congress

Workshop: IPSec. 20. Chaos Communication Congress Cryx (cryx at h3q dot com), v1.1 Workshop: IPSec 20. Chaos Communication Congress In diesem Workshop soll ein kurzer Überblick über IPSec, seine Funktionsweise und Einsatzmöglichkeiten gegeben werden.

Mehr

Sicherheitsdienste in IPv6

Sicherheitsdienste in IPv6 Sicherheitsdienste in IPv6 Dr. Hannes P. Lubich Bank Julius Bär Zürich IP Next Generation - Sicherheitsdienste in IPv6 (1) Motivation Die neuen Benutzungsformen des Internet für Electronic Commerce und

Mehr

Hinweise zur Kommunikation mit BRAVIS zwischen mehreren Unternehmensstandorten

Hinweise zur Kommunikation mit BRAVIS zwischen mehreren Unternehmensstandorten Hinweise zur Kommunikation mit BRAVIS zwischen mehreren Unternehmensstandorten Inhaltsverzeichnis Über BRAVIS... 3 BRAVIS Videokonferenzsysteme... 3 Kontakt... 3 Basiseinstellungen... 4 Anbindung verschiedener

Mehr

L2TP over IPSEC. Built-in VPN für Windows 10 / 8 / 7 und MacOS X

L2TP over IPSEC. Built-in VPN für Windows 10 / 8 / 7 und MacOS X FORSCHUNGSZENTRUM JÜLICH GmbH Jülich Supercomputing Centre 52425 Jülich, (02461) 61-6402 Beratung und Betrieb, (02461) 61-6400 Technische Kurzinformation FZJ-JSC-TKI-0387 W.Anrath,S.Werner,E.Grünter 26.08.2015

Mehr

IPSec. Michael Gschwandtner, Alois Hofstätter, Roland Likar, Horst Stadler. Jänner 2003

IPSec. Michael Gschwandtner, Alois Hofstätter, Roland Likar, Horst Stadler. Jänner 2003 IPSec Michael Gschwandtner, Alois Hofstätter, Roland Likar, Horst Stadler Jänner 2003 Gschwandtner/Hofstätter/Likar/Stadler - IPsec 1 Einleitung (1) Ziele des Datenverkehrs Geschwindigkeit Verlässlichkeit

Mehr

Modul 2: IPSEC. Ergänzung IKEv2. Prof. Dr. Martin Leischner Netzwerksysteme und TK. Hochschule Bonn-Rhein-Sieg

Modul 2: IPSEC. Ergänzung IKEv2. Prof. Dr. Martin Leischner Netzwerksysteme und TK. Hochschule Bonn-Rhein-Sieg Modul 2: IPSEC Ergänzung IKEv2 M. Leischner Sicherheit in Netzen Folie 1 Übersicht Ablauf von IPsec mit IKEv2 Start: IPSec Phase 1.1 IKEv2: IKE_INIT Phase 1.2 IKEv2: IKE_AUTH Phase 2 IKEv2: CREATE_CHILD_SA

Mehr

VPN: Virtual-Private-Networks

VPN: Virtual-Private-Networks Referate-Seminar WS 2001/2002 Grundlagen, Konzepte, Beispiele Seminararbeit im Fach Wirtschaftsinformatik Justus-Liebig-Universität Giessen 03. März 2002 Ziel des Vortrags Beantwortung der folgenden Fragen:

Mehr

im DFN Berlin 18.10.2011 Renate Schroeder, DFN-Verein

im DFN Berlin 18.10.2011 Renate Schroeder, DFN-Verein VoIP-Verschlüsselung Verschlüsselung im DFN Berlin 18.10.2011 Renate Schroeder, DFN-Verein Einordnung VoIP in DFNFernsprechen VoIP seit 5 Jahren im DFN verfügbar VoIP ist Teil des Fernsprechdienstes DFNFernsprechen

Mehr

Chapter 8 ICMP. CCNA 2 version 3.0 Wolfgang Riggert, FH Flensburg auf der Grundlage von

Chapter 8 ICMP. CCNA 2 version 3.0 Wolfgang Riggert, FH Flensburg auf der Grundlage von Chapter 8 ICMP CCNA 2 version 3.0 Wolfgang Riggert, FH Flensburg auf der Grundlage von Rick Graziani Cabrillo College Vorbemerkung Die englische Originalversion finden Sie unter : http://www.cabrillo.cc.ca.us/~rgraziani/

Mehr

VPN zum Miniserver mit Openvpn auf iphone/ipad und Synology NAS

VPN zum Miniserver mit Openvpn auf iphone/ipad und Synology NAS VPN zum Miniserver mit Openvpn auf iphone/ipad und Synology NAS Um den Zugriff auf den Miniserver aus dem Internet sicherer zu gestalten bietet sich eine VPN Verbindung an. Der Zugriff per https und Browser

Mehr

Vorlesung SS 2001: Sicherheit in offenen Netzen

Vorlesung SS 2001: Sicherheit in offenen Netzen Vorlesung SS 2001: Sicherheit in offenen Netzen 2.13 File Transfer Protocol - FTP Prof. Dr. Christoph Meinel Informatik, Universität Trier & Institut für Telematik, Trier Prof. Dr. sc. nat. Christoph Meinel,

Mehr

Lösungen zu 978-3-8045-5387-3 Informations- und Telekommunikationstechnik - Arbeitsheft

Lösungen zu 978-3-8045-5387-3 Informations- und Telekommunikationstechnik - Arbeitsheft Lösungen zu ---- Informations- und Telekommunikationstechnik - Arbeitsheft Handlungsschritt Aufgabe a) Die TCP/IP-Protokollfamilie verwendet logischen Adressen für die Rechner (IP- Adressen), die eine

Mehr

ISA 2004 Netzwerkerstellung von Marc Grote

ISA 2004 Netzwerkerstellung von Marc Grote Seite 1 von 7 ISA Server 2004 Mehrfachnetzwerke - Besonderheiten - Von Marc Grote Die Informationen in diesem Artikel beziehen sich auf: Microsoft ISA Server 2004 Einleitung In meinem ersten Artikel habe

Mehr

VoIP Security. Konzepte und Lösungen für sichere VoIP-Kommunikation. von Evren Eren, Kai-Oliver Detken. 1. Auflage. Hanser München 2007

VoIP Security. Konzepte und Lösungen für sichere VoIP-Kommunikation. von Evren Eren, Kai-Oliver Detken. 1. Auflage. Hanser München 2007 VoIP Security Konzepte und Lösungen für sichere VoIP-Kommunikation von Evren Eren, Kai-Oliver Detken 1. Auflage Hanser München 2007 Verlag C.H. Beck im Internet: www.beck.de ISBN 978 3 446 41086 2 Zu Leseprobe

Mehr

Cisco SA 500 Series Security Appliance

Cisco SA 500 Series Security Appliance TheGreenBow IPSec VPN Client Konfigurationsbeispiel Cisco SA 500 Series Security Appliance Diese Anleitung gilt für folgende Modelle: Cisco SA 520 Cisco SA 520W Cisco SA 540 WebSite: Kontakt: http://www.thegreenbow.de/

Mehr

Technischer Anhang. Version 1.2

Technischer Anhang. Version 1.2 Technischer Anhang zum Vertrag über die Zulassung als IP-Netz-Provider im electronic cash-system der deutschen Kreditwirtschaft Version 1.2 30.05.2011 Inhaltsverzeichnis 1 Einleitung... 3 2 Anforderungen

Mehr

Secure Socket Layer V.3.0

Secure Socket Layer V.3.0 Konzepte von Betriebssystem-Komponenten Schwerpunkt Internetsicherheit Secure Socket Layer V.3.0 (SSLv3) Zheng Yao 05.07.2004 1 Überblick 1.Was ist SSL? Bestandteile von SSL-Protokoll, Verbindungherstellung

Mehr

SSL/TLS und SSL-Zertifikate

SSL/TLS und SSL-Zertifikate SSL/TLS und SSL-Zertifikate Konzepte von Betriebssystem-Komponenten Informatik Lehrstuhl 4 16.06.10 KvBK Wolfgang Hüttenhofer sethur_blackcoat@web.de Motivation Sichere, verschlüsselte End-to-End Verbindung

Mehr

Masterarbeit über IPv6 Security: http://blog.webernetz.net/2013/05/06/ipv6-security-master-thesis/ Xing:

Masterarbeit über IPv6 Security: http://blog.webernetz.net/2013/05/06/ipv6-security-master-thesis/ Xing: 1 Masterarbeit über IPv6 Security: http://blog.webernetz.net/2013/05/06/ipv6-security-master-thesis/ Xing: https://www.xing.com/profile/johannes_weber65 2 3 4 Kernproblem: Wer hatte wann welche IPv6-Adresse?

Mehr

Dirk Becker. OpenVPN. Das Praxisbuch. Galileo Press

Dirk Becker. OpenVPN. Das Praxisbuch. Galileo Press Dirk Becker OpenVPN Das Praxisbuch Galileo Press Vorwort 11 Einführung o 1.1 VPN (Virtual Private Network) 18 1.2 Alternativen zu einem VPN 21 1.2.1 Telnet 22 1.2.2 File Transfer Protocol - FTP 23 1.2.3

Mehr

8 Das DHCPv6-Protokoll

8 Das DHCPv6-Protokoll 8 Das DHCPv6-Protokoll IPv6 sollte DHCP als eigenständiges Protokoll ursprünglich überflüssig machen, da viele DHCP- Funktionen serienmäßig in IPv6 enthalten sind. Ein IPv6-fähiger Rechner kann aus der

Mehr

Dokumentation über IPSec

Dokumentation über IPSec Dokumentation über IPSec von Joana Schweizer und Stefan Schindler Inhaltsverzeichnis 1 Einleitung...3 1.1 Warum Sicherheit?...3 1.2 Datenschutz allgemein...3 1.3 Datenschutz für eine Firma...3 1.4 Eine

Mehr