Bachelor-Thesis. Technisches Sicherheitskonzept für das WLAN-Funknetz der Hochschule Ulm

Größe: px
Ab Seite anzeigen:

Download "Bachelor-Thesis. Technisches Sicherheitskonzept für das WLAN-Funknetz der Hochschule Ulm"

Transkript

1 Bachelor-Thesis Technisches Sicherheitskonzept für das WLAN-Funknetz der Bachelorarbeit an der Fakultät Informatik Studiengang Technische Informatik vorgelegt von Mai Gutachter: Prof. Dr. Markus Schäffter 2. Gutachter: Prof. Dr. Stefan Traub

2 Eigenständigkeitserklärung ii Eigenständigkeitserklärung Hiermit erkläre ich, dass ich die vorliegende Arbeit selbstständig und ohne fremde Hilfe verfasst und keine anderen als die angegebenen Quellen und Hilfsmittel verwendet habe. Insbesondere versichere ich, dass ich alle wörtlichen und sinngemäßen Zitate als solche kenntlich gemacht und mit genauer Quellenangabe dargelegt habe. Ulm, 31. Mai 2011 Unterschrift

3 Zusammenfassung iii Zusammenfassung Die betreibt zurzeit ein offenes WLAN, bei welchem keine direkten Sicherheitsmerkmale des WLAN-Standards IEEE angewendet werden. Das WLAN dient einzig dem Zugang zum VPN-Gateway der Hochschule. Über diesen ist ein sicherer Zugang zum Intranet und Internet nur für Angehörige der möglich. Um den Komfort und die Kompatibilität zu verbessern und auch Gästen einen Zugang zum Internet über das WLAN zu ermöglichen, soll die WLAN-Infrastruktur der an einen Roaming-Dienst angebunden werden. Als Roaming-Dienst kommt eduroam zusammen mit dem DFNRoaming in Frage. Dafür muss eine WLAN-Infrastruktur auf Basis der 802.1X Authentifizierung aufgebaut werden. In dieser Arbeit wird ein Konzept entwickelt, welches alle Schritte, die zur Umstellung der WLAN-Infrastruktur auf die 802.1X Authentifizierung und die Anbindung an das DFNRoaming/eduroam notwendig sind, aufzeigt.

4 Danksagung iv Danksagung An dieser Stelle möchte ich Herrn Prof. Dr. Markus Schäffter für seine professionelle Betreuung und das entgegengebrachte Vertrauen danken. Dank gebührt auch Herrn Prof. Dr. Stefan Traub, Herrn Peter Nachtmann sowie Herrn Dietmar Rahlfs für die Zusammenarbeit und Bereitstellung der technischen Mittel. Meiner Familie und meinen Freunden danke ich für die Unterstützung.

5 Inhaltsverzeichnis v Inhaltsverzeichnis 1. Einleitung Einführung Problemstellung Zielstellung Aufbau der Arbeit Grundlagen Wireless LAN IEEE IEEE i WPA und WPA IEEE 802.1X EAP EAP-TLS EAP-TTLS EAP-PEAP MS-CHAPv EAPOL RADIUS RADIUS-Protokoll RADIUS-Geräte RadSec Ablauf der 802.1X Authentifizierung Schlüsselmanagement Roaming und 802.1X eduroam Das Deutsche Forschungsnetz DFN-Verein Wissenschaftsnetz X-WiN DFNRoaming

6 Inhaltsverzeichnis vi 3. Anforderungsanalyse Zielstellung Anwendungsfälle Angehöriger der meldet sich am WLAN der HSU an Angehöriger der meldet sich am WLAN einer anderen Institution an Gast meldet sich am WLAN der an Weitere Anwendungsfälle Anforderungen Funktionale Anforderungen Nichtfunktionale Anforderungen Zusammenfassung Konzeption Stand der Technik Grobkonzept Benötigte Komponenten Ablauf der Authentifizierung Feinkonzept Varianten im Überblick Varianten im Vergleich Verwendete Komponenten Verwendete Einstellungen Ablauf der Authentifizierung Zusammenfassung Performancemessung Versuchsaufbau Komponenten im Überblick Iperf / JPerf Iperf-Server Iperf-Client Access Point Durchführung und Auswertung der Messung Datenrate Iperf-Server Datenrate einzelner WLAN-Clients Datenrate mehrerer WLAN-Clients zusammen Access Point Cluster

7 Inhaltsverzeichnis vii 5.4. Zusammenfassung Umsetzung DFN-Anmeldung VLAN Access Points Firewall RADIUS-Server Installation Zertifikat Konfiguration RadSecProxy Installation Konfiguration Zusammenfassung Client-Konfiguration Anforderungen Einstellungen Beispiel-Konfiguration Fehleranalyse Bewertung Funktionale Anforderungen Nichtfunktionale Anforderungen Zusammenfassung und Ausblick 101 Abbildungsverzeichnis Tabellenverzeichnis Literaturverzeichnis Abkürzungsverzeichnis viii ix x xv A. radsecproxy Konfigurationsvorlage xviii

8 1. Einleitung 1 1. Einleitung 1.1. Einführung WLAN-Infrastrukturen sind weit verbreitet und bieten dem Nutzer einen einfachen und komfortablen Netzzugang. Dabei spielt die Sicherheit eine wichtige Rolle, da ein WLAN für jeden, der in dessen Reichweite ist, zu empfangen ist. Anforderungen wie Vertraulichkeit, Integrität und Authentifizierung müssen erfüllt werden. Zur Lösung gibt es unterschiedliche Ansätze, die alle ihre Vor- und Nachteile haben Problemstellung Die betreibt zurzeit ein offenes WLAN, bei welchem keine direkten Sicherheitsmerkmale des WLAN-Standards IEEE angewendet werden. Das WLAN dient einzig dem Zugang zum VPN-Gateway der Hochschule. Über diesen ist ein sicherer Zugang zum Intranet und Internet möglich. Der VPN-Tunnel bietet zwar ein hohes Maß an Sicherheit und erfüllt die Anforderungen für Vertraulichkeit, Integrität und Authentifizierung, jedoch ist er nicht sehr komfortabel. Es muss jedes Mal vor der Nutzung des WLANs der VPN-Tunnel vom Benutzer aufgebaut werden. Für die meisten Endgeräte (Laptops, Tablet-PCs, Smartphones) wird dazu eine spezielle Zusatzsoftware in Form eines VPN-Clients benötigt. Diese existiert aber nicht für jede Plattform und stellt einen gewissen Aufwand bei der Konfiguration dar. Für den Benutzer bietet dies daher nur wenig Komfort. Um den Komfort und die Kompatibilität zu verbessern, muss eine Alternative gesucht werden. Durch die Erweiterung IEEE i des WLAN-Standards um weitere und verbesserte Sicherheitsmaßnahmen ist eine komfortablere Lösung auf Basis der IEEE 802.1X Authentifizierung zusammen mit der WPA2-Verschlüsselung möglich. Neben Steigerung des Komforts und der Kompatibilität, sollen auch Gäste einen einfach Zugriff auf das Internet über das WLAN der erhalten. Die 802.1X Authentifizierung stellt dabei auch den Standard für Roaming-Dienste wie z. B. DFNRoaming/eduroam dar. Dabei handelt es sich um einen

9 1. Einleitung 2 Roaming-Dienst, welcher allen Teilnehmern dieses Verbundes einen einfachen und komfortablen Zugriff auf das Internet über das WLAN der jeweiligen Institution bietet Zielstellung Ziel dieser Arbeit ist die Erstellung eines Sicherheitskonzepts für das WLAN der Hochschule Ulm, welches dem Nutzer einen sicheren, vertraulichen und komfortablen Zugang zum WLAN und der darüber angebotenen Dienste bietet. Zudem sollen alle gängigen mobilen Geräte (Laptops, Tablet-PCs, Smartphones) mit allen gängigen Betriebssystemen (Windows, Linux, ios, Android, Windows Mobile, BlackBerry OS, Symbian) unterstützt werden. Dabei soll darauf geachtet werden, dass auf den Geräten möglichst keine Zusatzsoftware benötigt wird und dass sich der Konfigurationsaufwand für den Anwender in Grenzen hält. Durch Anbindung an den Roaming-Dienst des Deutschen Forschungsnetzes, soll auch Gästen ein sicherer und vertraulicher Zugang zum WLAN und somit zum Internet geboten werden Aufbau der Arbeit Die Arbeit behandelt zunächst alle Grundlagen, die im Zusammenhang mit der 802.1X Authentifizierung stehen und für die Anbindung an den Roaming-Dienst des DFNs benötigt werden. Danach wird auf die Anforderungen der neu zu entwickelnden WLAN-Infrastruktur eingegangen. Anhand der Anforderungen wird dann ein Konzept entwickelt, welches die Umstellung auf die 802.1X Authentifizierung und die dafür notwendigen Komponenten beschreibt. In Kapitel 5 wird die Leistungsfähigkeit der benötigten Access Points durch Performancemessungen unter Laborbedingungen bestimmt. Anhand der gewonnen Erkenntnisse in den Kapiteln Konzeption und Performancemessung wird im Kapitel Umsetzung auf die Konfiguration aller notwendigen Komponenten eingegangen, um die neu entwickelte WLAN-Struktur aufzubauen. Die Arbeit endet im Kapitel 7 mit einer Bewertung der neuen WLAN-Infrastruktur anhand der Anforderungen.

10 2. Grundlagen 3 2. Grundlagen 2.1. Wireless LAN Wireless LAN gewinnt mit der steigenden Verbreitung von mobilen Geräten (Laptops, Tablet- PCs, Smartphones) immer mehr an Bedeutung. Um die Mobilität der Geräte zu gewährleisten, sind diese auf drahtlose Datenverbindungen zwingend angewiesen. Im Gegensatz zur Anbindung über Mobilfunknetze sind IEEE Funknetze (WLAN) vergleichsweise performant und preiswert. Es liegt daher gerade für eine Hochschule für Technik nahe, ihren Angehörigen und Gästen einen schnellen und komfortablen WLAN-Zugang zu ermöglichen IEEE IEEE ist der Standard, auf welchem heute die meisten WLAN-Geräte basieren. [Rec08, S. 3] Beim Standard handelt es sich um eine Familie von technischen Standards. Der Grundstandard wurde 1997 vom IEEE (Institute of Electrical and Electronics Engineers) verabschiedet. Er ermöglicht Datenraten von bis zu 2 MBit/s. Die Funkübertragung arbeitet mit Infrarotverbindungen bzw. mit elektromagnetischen Wellen im 2,4-GHz-Band. Dieser Frequenzbereich liegt im so genannten ISM-Band (Industrial, Scientific, Medical), welches weltweit lizenz- und genehmigungsfrei genutzt werden darf. Dadurch ergibt sich der Vorteil, dass für den Betrieb eines WLANs keine Genehmigung erforderlich ist und keine Lizenzgebühren anfallen. [Rec08, S. 6] Um höhere Datenraten zu erreichen, wurde der Grundzustand erweitert und modifiziert. Im Jahre 1999 wurde die Standarderweiterung IEEE b verabschiedet, welche eine Datenrate von bis zu 11MBit/s im 2,4-GHz-Band ermöglicht. [Rec08, S. 6] Zeitgleich wurde 1999 die Standarderweiterung IEEE a verabschiedet. Diese ermöglicht Datenraten von bis zu 54 MBit/s und arbeitet im 5-GHz-Band. Da a mit einer Sendeleistung arbeitet, die in Europa nicht erlaubt ist, darf der Standard nur mit einer eingeschränkten

11 2. Grundlagen 4 Sendeleistung und einer geringeren Anzahl von Kanälen in Europa betrieben werden. [Rec08, S. 7] Erst mit der Standarderweiterung h, welche 2003 verabschiedet wurde, können Geräte nach dem Standard a mit vollem Leistungsumfang in Europa genutzt werden. Der Standard h erweitert den Standard a um zwei wesentliche Merkmale wie einer dynamischen Kanal- bzw. Frequenzwahl (Dynamic Frequency Selection (DFS)) und einer automatischen Leistungsreduzierung (Transmit Power Control (TPC)). [Rec08, S. 7] Wegen der Einschränkungen im Betrieb und der späten Einführung von h ist die Verbreitung von Geräten nach dem Standard a in Europa gering. [Rec08, S. 7] Mit IEEE g erfolgte 2003 eine weitere Standarderweiterung, welche eine Datenrate von bis zu 54MBit/s im 2,4-GHz-Band ermöglicht. Geräte nach g sind dabei auch mit Geräten nach b grundsätzlich kompatibel. [Rec08, S. 7]; [Hof05, S. 9] Ende 2009 wurde die Standarderweiterung IEEE n verabschiedet, welche eine Datenrate von bis zu 600MBit/s ermöglicht und dabei wahlweise auf das 2,4-GHz-Band und das 5-GHz- Band zurückgreift. Geräte nach n sind mit Geräten zu den Standards a/b/g kompatibel. [Ele11n] Eine weitere Standarderweiterung ist IEEE i, welche die Sicherheit von WLAN deutlich verbessert. Weitere Informationen können im Abschnitt auf der nächsten Seite entnommen werden. Neben den bereits erwähnten Standarderweiterungen gibt es noch weitere, die z. B. die Implementierung von QoS (Quality of Service) oder die Kommunikation zwischen Access Points behandeln. [Rec08, S. 8 ff.] Diese werden hier aber nicht weiter betrachtet. In Tabelle 2.1 sind die Standarderweiterungen mit zugehörigen Datenraten aufgelistet. Standard Datenrate (brutto) Datenrate (netto) Frequenzband IEEE MBit/s 1 MBit/s 2,4 GHz IEEE a 54 MBit/s 22 MBit/s 5GHz IEEE b 11 MBit/s 5 MBit/s 2,4 GHz IEEE g 54 MBit/s 22 MBit/s 2,4 GHz IEEE n 600 MBit/s 240 MBit/s 2,4 GHz / 5 GHz Tabelle 2.1.: WLAN Standards Überblick [Ele11b] Das 2,4-GHz-Band stellt für WLAN in Deutschland 13 Kanäle zur Verfügung, welche jeweils einen Abstand von 5 MHz aufweisen. Der Standard b arbeitet jedoch mit einer Bandbreite von 22 MHz pro Kanal. Dies führt dazu, dass sich benachbarte Kanäle wegen ihrer zu geringen

12 2. Grundlagen 5 Breite überlappen. Um einen störungsfreien Betrieb zu ermöglichen, sollte zwischen zwei WLAN-Geräten mindestens ein Kanalabstand von 25 MHz eingehalten werden. Dadurch ergeben sich die drei Kanäle 1, 6 und 11, auf welchen ein störungsfreier Betrieb möglich ist. Noch besser ist es, einen Kanalabstand von 30 MHz und somit die Kanäle 1, 7 und 13 zu verwenden. Es können daher immer nur 3 WLAN-Geräte nach dem Standard b gleichzeitig innerhalb eines Empfangsbereichs störungsfrei betrieben werden. [WikWLAN]; [Rec08, S. 400 ff.] Geräte nach dem Standard g arbeiten mit einer Bandbreite von 20 MHz pro Kanal. Dies ermöglicht jetzt 4 Geräte störungsfrei auf den Kanälen 1, 5, 9 und 13 zu betreiben, allerdings nur, wenn kein Mischbetrieb aus b/g verwendet wird. [WikWLAN] Im Gegensatz dazu können Geräte nach dem Standard n sowohl im 2,4-GHz- als auch im 5-GHz-Band arbeiten. Das 5-GHz-Band stellt insgesamt 19 Kanäle mit einer Bandbreite von jeweils 20 MHz zur Verfügung. Insgesamt können so 19 WLAN-Geräte gleichzeitig innerhalb eines Empfangsbereichs störungsfrei mit einer Bandbreite von 20 MHz betrieben werden. Um die Datenrate zu erhöhen, können Geräte nach dem Standard n auch mit einer erweiterten Bandbreite von 40 MHz betrieben werden. Im 2,4-GHz-Band wird dies nicht empfohlen, da dann nur noch zwei störungsfreie Kanäle vorhanden sind und weitere 2,4- GHz-Geräte ggf. gestört werden und sich ihre Performance somit deutlich verschlechtert. Im 5-GHz-Band hingegen ist ein Betrieb mit einer Kanalbreite von 40 MHz problemlos möglich. Es stehen dann statt 19 noch 8 störungsfreie Kanäle zur Verfügung. [WikWLAN]; [Rec08, S. 264 f.] Das WLAN der arbeitet derzeit nach dem Standard b/g im 2,4-GHz- Band. Dieser ist heute in Europa am meisten verbreitet. Mit der Zeit nimmt aber auch die Verbreitung von Geräten nach dem Standard n zu. Daher ist eine Erweiterung des WLANs der auf n und das 5-GHz-Band in naher Zukunft unbedingt zu empfehlen IEEE i Im WLAN Grundstandard sind bereits Sicherheitsmechanismen integriert, um den unautorisierten Zugriff auf das WLAN und das Mitlauschen und Manipulieren von Daten zu verhindern. Die Sicherheitsmechnismen werden unter dem Begriff WEP (Wired Equivalent Privacy) zusammengefasst. WEP soll den Zugang zum WLAN kontrollieren und dabei die Vertraulichkeit und Integrität der Daten sicherstellen. Wesentlicher Bestandteil von WEP ist die Authentifizierung durch einen Pre-Shared Key und die WEP-Datenverschlüsselung, welche auf RC4 basiert. Es wurde aber schnell festgestellt, dass die WEP-Verschlüsselung Schwachstellen aufweist und keinen ausreichenden Schutz bietet. Durch gezielte Angriffe und

13 2. Grundlagen 6 die Ausnutzung der Schwachstellen kann die WEP-Verschlüsselung gebrochen werden. [Rec08, S. 435 ff.]; [Hof05, S. 49 ff.]; [Oss10];[Kle06] Daher wurde im Jahr 2004 der IEEE i-Standard verabschiedet, welcher erweiterte Sicherheitsmechanismen bietet. IEEE i definiert einheitliche und herstellerübergreifende Sicherheitsmechanismen, welchen den heutigen Sicherheitsansprüchen gerecht werden. Um die Kompatibilität von älteren WLAN-Geräten weiter zu gewährleisten, wurden zwei neue Sicherheitsverfahren eingeführt, die die Vertraulichkeit und Datenintegrität sicherstellen sollen. Das erste Verfahren ist eine optionale Übergangslösung und basiert wie auch schon die WEP-Verschlüsselung auf RC4. Durch einen häufigen Schlüsselwechsel weist es aber nicht mehr deren Sicherheitsprobleme auf und wird als Temporary Key Integrity Protocol (TKIP) bezeichnet. TKIP stellt eine Übergangslösung für ältere WLAN-Geräte dar. Diese können TKIP durch Firmware- bzw. Treiberupdates mit der herkömmlichen Hardware nutzen. Um die Datenintegrität sicher zu stellen, verwendet TKIP einen Message Integrity Check (MIC). [Rec08, S. 449]; [BSI09, S. A-20 ff.] Das zweite und endgültige in i festgelegte Verfahren basiert auf dem symmetrischen Verschlüsselungsverfahren Advanced Encryption Standard (AES) und arbeitet im Modus CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol). Das Verfahren wird daher als AES-CCMP bezeichnet. AES stellt heute ein sehr sicheres Verschlüsselungsverfahren dar und wird vom National Institute of Standards and Technology (NIST) empfohlen. Um AES-CCMP zu nutzen, muss dies von der WLAN Hardware auch unterstützt werden, da AES-CCMP für bessere Performance in Hardware realisiert wird. [Rec08, S. 450]; [BSI09, S. A-20 ff.] Mit i wurde auch ein erweitertes Authentifizierungsverfahren zusammen mit einem automatischen, dynamischen Schlüsselmanagement eingeführt. Dies wird als Authentication and Key Management (AKM) bezeichnet. AKM verwendet entweder Authentifizierungsverfahren, die nach dem IEEE 802.1X-Standard spezifiziert sind und auf dem Extensible Authentication Protocol (EAP) basieren oder einen Pre-Shared Key (PSK). Wobei der PSK für kleinere WLAN Installationen ohne Authentifizierungsserver gedacht ist. WLAN Installationen, die die neuen Sicherheitsmechanismen (TKIP oder AES-CCMP) nach i einsetzen, werden vom IEEE als Robust Security Network (RSN) bezeichnet. [Rec08, S. 450 f.] WLAN-Geräte, die dem i-Standard entsprechen, müssen zwingend AES-CCMP und die 802.1X Authentifizierung unterstützten. TKIP ist nur eine optionale Übergangslösung und reicht allein nicht aus. [Rec08, S. 450]

14 2. Grundlagen WPA und WPA2 WPA steht für Wi-Fi Protected Access und ist eine Definition der Wi-Fi Alliance. WPA wurde im Jahr 2003 veröffentlicht und stellt eine Teilmenge des IEEE i-Standards dar, welcher damals noch in der Entwicklung war. WPA stützt sich dabei auf die TKIP-Verschlüsselung und die Integritätsprüfung MIC. WPA wurde als ein quasi vorzeitiger Standard von der Wi-Fi Alliance eingeführt, da sich die Verabschiedung des regulären IEEE i Standards verzögerte. Im Jahr 2004 wurde dann WPA2 veröffentlicht, welches dem finalen IEEE i-Standard im Wesentlichen entspricht und für die Verschlüsselung und Integritätsprüfung AES-CCMP nutzt. [Rec08, S. 451 f.] Für die Authentifizierung stehen sowohl bei WPA als auch bei WPA2 die zwei Möglichkeiten vom IEEE i-Standard zur Verfügung, welche als WPA-Personal und als WPA- Enterprise bezeichnet werden. WPA-Enterprise benötigt einen Authentifizierungsserver für die Authentifizierung der Clients und für den dynamischen Schlüsselaustausch. Dabei werden Authentifizierungsverfahren, die nach dem IEEE 802.1X-Standard spezifiziert sind und auf dem Extensible Authentication Protocol (EAP) basieren, genutzt. Bei WPA-Personal dagegen, wird ein Pre-Shared Key (PSK) für die Authentifizierung und die dynamische Schlüsselgenerierung verwendet. WPA-Personal eignet sich daher für kleinere WLAN-Installationen ohne Authentifizierungsserver. [Rec08, S. 451 f.] In Tabelle 2.2 sind die unterschiedlichen Verschlüsselungsvarianten nochmals dargestellt. Verschlüsselungsvariante WEP WPA WPA2 Personal-Mode Authentifizierung PSK PSK PSK Verschlüsselung WEP(RC4) TKIP(RC4) CCMP(AES) Enterprise-Mode Authentifizierung X/EAP 802.1X/EAP Verschlüsselung - TKIP(RC4) CCMP(AES) Tabelle 2.2.: WLAN-Verschlüsselungsvarianten 2.2. IEEE 802.1X Der IEEE 802.1X-Standard wurde ursprünglich für drahtgebundene Netzwerke (z. B. Ethernet) entwickelt. Er ermöglicht eine Port-basierte Zugangskontrolle zu einem Netzwerk (Port Based Network Access Control). Ein Rechner erhält erst Zugang auf das Netzwerk, wenn er sich erfolgreich bei einem Authentifizierungsserver authentifiziert hat. Mittlerweile wird 802.1X auch für die Authentifizierung von Clients im WLAN eingesetzt. Die 802.1X Authentifizierung besteht im Wesentlichen aus drei verschiedenen Instanzen: dem

15 2. Grundlagen 8 Supplicant, dem Authenticator und dem Authentifizierungsserver. [Rec08, S. 453 ff.]; [Hof05, S. 82 f.] Supplicant Der Supplicant (Bittsteller) stellt den Client dar, der auf das Netzwerk zugreifen möchte und um Zugang bittet. Im Fall von WLAN handelt es sich um den entsprechenden WLAN-Client (z. B. ein Laptop oder ein Smartphone). Authenticator Der Authenticator verwaltet den Zugriff auf das Netzwerk. Er fungiert dabei als Vermittler zwischen Supplicant und Authentifizierungsserver. Authentifizierungsanfragen des Supplicants werden vom Authenticator entgegen genommen und an den Authentifizierungsserver weiter geleitet. Wenn ein Supplicant erfolgreich authentifiziert wird, dann gibt der Authenticator den Zugriff auf das Netzwerk frei. Ohne erfolgreiche Authentifizierung blockt der Authenticator den Zugriff auf das Netzwerk und akzeptiert nur Authentifizierungsanfragen. Im Falle von Ethernet ist der Authenticator ein Switch, im Falle von WLAN ein Access Point. Authentifizierungsserver Der Authentifizierungsserver nimmt die Authentifizierungsanfrage des Supplicants über den Authenticator entgegen und entscheidet, ob der Supplicant Zugriff auf das Netz erhält oder nicht. Die entsprechende Bestätigung oder Ablehnung wird über den Authenticator an den Supplicant geschickt. Als Authentifizierungsserver wird häufig ein RADIUS-Server eingesetzt (Remote Authentication Dial-In User Service). Im Falle von WLAN ist der Authentifizierungsserver neben der Authentifizierung der Clients auch für die Verteilung der dynamischen Schlüssel für die Verschlüsselung verantwortlich. Das Zusammenspiel der drei Instanzen kann Abbildung 2.1 entnommen werden. Abbildung 2.1.: 802.1X-Modell Der Supplicant leitet den Authentifizierungsvorgang ein und bittet den Authenticator um Zugriff auf das Netzwerk. Der Authenticator leitet die Anfrage an den Authentifizierungsserver weiter. Bei einer erfolgreichen Authentifizierung des Supplicants sendet der Authentifizierungsserver eine Bestätigung über den Authenticator an den Supplicant. Der Authenticator autorisiert jetzt den Supplicant und gewährt ihm Zugriff auf das Netzwerk. Ohne bzw. bei keiner erfolgreichen

16 2. Grundlagen 9 Authentifizierung blockt der Authenticator den Zugriff auf das Netzwerk und akzeptiert nur Authentifizierungsanfragen vom Supplicant. Der Authenticator stellt dazu die Zugangsports (802.1X-Ports) zum Netzwerk bereit. Bei einem Ethernet Switch handelt es sich um die physikalischen Ports, bei einem WLAN Access Point hingegen um virtuelle Ports. Über den Port wird festgelegt, ob ein Datentransfer zugelassen wird oder nicht. Jeder Port hat zwei logische Einheiten von Ports, einen kontrollierten und einen unkontrollierten Port. Der unkontrollierte Port ist immer offen, akzeptiert aber nur Authentifizierungsanfragen. Alle anderen Anfragen und Pakete werden verworfen. Der kontrollierte Port ist standardmäßig blockiert (nicht autorisiert) und wird erst nach erfolgreicher Authentifizierung des Supplicants geöffnet (autorisiert). Über den kontrollierten Port erhält der Supplicant dann Zugriff auf das Netzwerk. [Rec08, S. 453 ff.]; [Hof05, S. 82 f.]; [Str04] In Abbildung 2.2 sind die Ports schematisch dargestellt. Abbildung 2.2.: 802.1X-Ports [Str04] Als Kommunikationsprotokoll von 802.1X wird das Extensible Authentication Protocol (EAP) eingesetzt. Dabei werden die EAP-Pakete vom Supplicant zum Authenticator mit EAPOL (EAP over LAN) übertragen. Der Supplicant fungiert als EAP-Proxy. Er nimmt die EAP- Pakete vom Supplicant entgegen und leitet diese an den Authentifizierungsserver weiter. Die Kommunikation zwischen Authenticator und Authentifizierungsserver findet in der Regel über das RADIUS-Protokoll statt. Je nach Übertragungsrichtung muss der Authenticator die EAP Pakete von EAPOL in RADIUS oder von RADIUS in EAPOL umpacken. [Rec08, S. 454 f.]

17 2. Grundlagen 10 Damit ein Client als Supplicant fungieren kann, benötigt er eine Authentifizierungssoftware (Supplicant). Ab Windows XP Service Pack 2 gehört ein Supplicant zum Lieferumfang von Windows. Für andere Betriebssysteme wie Linux und Mac OS X steht auch entsprechende Software zur Verfügung, oder ist teilweise schon im System integriert. [Rec08, S. 455] 2.3. EAP Das Extensible Authentication Protocol (EAP) wird im IEEE 802.1X-Standard für die Authentifizierung des Supplicants verwendet. EAP ist im RFC 3748 [RFC3748] spezifiziert und wurde ursprünglich für das Point-to-Point Protocol (PPP) entwickelt. EAP ist modular aufgebaut und gibt keine Authentifizierungsmethode vor, daher wird es auch als Authentifzierungs-Framework bezeichnet. Je nach Sicherheitsbedarf können unterschiedliche Authentifizierungsmethoden (z. B. EAP-TLS, EAP-TTLS, EAP-PEAP) gewählt werden. [Rec08, S. 457 ff.]; [Hof05, S. 83 ff.] Die EAP-Kommunikation ist einfach gehalten und basiert auf vier verschiedenen EAP-Paketen, mit denen ein Request-Response-Verfahren zwischen Supplicant (bei EAP auch als Peer bezeichnet) und Authenticator bzw. Authentifizierungsserver umgesetzt wird. [Rec08, S. 457 ff.] EAP-Request (Code 1) Das EAP-Request-Paket wird verwendet, um Nachrichten vom Authenticator zum Supplicant zu übertragen. Es enthält die Daten der entsprechend gewählten Authentifizierungsmethode. EAP-Response (Code 2) Das EAP-Response-Paket wird verwendet, um Nachrichten vom Supplicant zum Authenticator zu übertragen. Auch dieses enthält die Daten der entsprechend gewählten Authentifizierungsmethode. EAP-Success (Code 3) Die EAP-Success Nachricht teilt dem Supplicant mit, dass die Authentifizierung erfolgreich verlaufen ist. EAP-Failure (Code 4) Die EAP-Failure Nachricht teilt dem Supplicant mit, dass die Authentifizierung nicht erfolgreich war und der Supplicant abgelehnt wurde. Ein EAP-Paket, dargestellt in Abbildung 2.3 auf der nächsten Seite, besteht aus den folgenden Feldern:

18 2. Grundlagen 11 Abbildung 2.3.: EAP-Paket [Hof05, S. 85]; [RFC3748, S. 22] Code Das Code-Feld ist 1 Byte lang und legt den Typ bzw. die Funktion des EAP-Pakets fest. (Request, Response, Success, Failure) Identifier Das Identifier-Feld ist 1 Byte lang und enthält eine laufende Nummer, an der zusammengehörende EAP-Request- und EAP-Response-Pakete erkannt werden, die zu einem Authentifizierungsvorgang gehören. Length Das Length-Feld ist 2 Byte lang und gibt die Länge des EAP-Pakets, inklusiv Header und Datenteil, an. Datenfeld (nur bei EAP-Request- und EAP-Response-Paketen) EAP-Request- und EAP-Response-Pakete enthalten noch ein zusätzliches Datenfeld mit einem 1 Byte langem Type-Feld und einem darauffolgenden Datenteil (Type Data) variabler Länge, je nach gewähltem Type. Das Type-Feld legt fest, welche Information bzw. welche Authentifizierungsmethode über ein EAP-Request- oder ein EAP-Response-Paket transportiert wird. Tabelle 2.3 auf der nächsten Seite gibt einen Überblick über die wichtigsten EAP-Typen. Type 1 (Identity): EAP-Request/Identity- und EAP-Response/Identity-Pakete dienen zum Abfragen der Identität des Supplicants durch den Authenticator. Die Identität kann hierbei in der Form übermittelt werden. Die Übermittelung findet allerdings im Klartext statt. Daher sollte hier, wenn möglich, eine anonyme Identität in der Form verwendet werden. Diese dient nur für Routing-Zwecke, um die nachfolgenden EAP-Pakete an den richtigen Authentifizierungsserver weiterzuleiten. Erst in den nachfolgenden EAP-Paketen mit enthaltener Authentifizierungsmethode wird die vollständige Identität übermittelt. Je nach

19 2. Grundlagen 12 Type-Wert Beschreibung 1 Identity 2 Notification 3 Nak (Not acknowledged) 4 MD5-Challenge 5 One-Time Password (OTP) 6 Generic Token Card (GTC) 13 EAP-TLS 17 LEAP 21 EAP-TTLS 25 EAP-PEAP 29 EAP-MS-CHAPv2 Tabelle 2.3.: EAP-Typen [RFC3748, S. 27]; [Rec08, S. 459]; [Hof05, S. 85] gewählter Methode kann die Übermittlung der Identität dann auf einem sicheren Weg, z. B. durch einen verschlüsselten Tunnel erfolgen. [RFC3748, S. 28 f.]; [Rec08, S. 458] Type 2 (Notification) Über ein EAP-Request/Notification-Paket kann der Authenticator eine Nachricht in Klartext an den Supplicant schicken. Der Supplicant antwortet darauf mit einem EAP-Response/Notification- Paket. [RFC3748, S. 29 f.]; [Rec08, S. 458] Type 3 (Nak) Falls der Supplicant eine vom Authenticator angeforderte Authentifizierungsmethode nicht unterstützt, kann er ein EAP-Response/Nak-Paket (Not acknowledged) an den Authenticator schicken und die Authentifizierungsmethode somit ablehnen. Der Authenticator muss daraufhin eine andere Methode wählen. Ist das nicht möglich, wird der Supplicant abgelehnt.[rfc3748, S. 31 ff.]; [Rec08, S. 458] Type Die Typen stellen die unterschiedlichen Authentifizierungsmethoden dar, die für ein EAP-Request/Response-Paket zur Authentifizierung verwendet werden können. Die Authentifizierungsmethoden unterscheiden sich zum Teil stark in ihrer Funktionsweise und Sicherheit. Daher muss man je nach Anwendungsfall genau abwägen, welche Methode für einen Fall am besten geeignet ist. [Rec08, S. 461 ff.]; [Hof05, S. 87 ff.]; [RFC3748, S. 35 ff.] In Tabelle 2.3, sind die wichtigsten Methoden aufgelistet. Im Nachfolgenden wird aber nur auf die Methoden näher eingegangen, die für eine WLAN Authentifizierung nach IEEE 802.1X eine wichtige Rolle spielen.

20 2. Grundlagen EAP-TLS EAP-TLS steht für EAP-Transport Layer Security Protocol und ist eine Authentifizierungsmethode, die auf EAP und TLS basiert. TLS ist auch unter der Vorgängerbezeichnung Secure Socket Layer (SSL) bekannt und im RFC5246 [RFC5246] spezifiziert. EAP-TLS ist im RFC5216 [RFC5216] definiert. EAP-TLS führt eine gegenseitige Authentifizierung zwischen Supplicant und Authentifizierungsserver auf Basis von TLS durch. Der TLS-Handshake läuft dabei gekapselt in EAP-Paketen ab, die den Wert 13 im Type-Feld besitzen. EAP-TLS benötigt für die gegenseitige Authentifizierung sowohl ein Server-Zertifikat als auch jeweils ein Client-Zertifikat auf den einzelnen Supplicants. Um die Client-Zertifikate auszustellen und zu verwalten, wird eine eigene Public Key Infrastructure (PKI) benötigt. Dies macht die Einrichtung und Verwaltung recht aufwändig. EAP-TLS wird im WLAN-Bereich nur zur Authentifizierung und zum Aushandeln der dynamischen Schlüssel für die WLAN-Verschlüsselung verwendet. Dabei werden aber sowohl das Server- als auch das Client-Zertifikat unverschlüsselt übertragen, was einem Angreifer ermöglicht, die Identität des Nutzers zu ermitteln. Dies kann umgangen werden, indem zunächst eine TLS Verbindung zwischen Supplicant und Authentifizierungsserver aufgebaut wird, bei welcher sich zuerst nur der Server authentifiziert. Die Authentifizierung des Clients über das Client-Zertifikat findet dann anschließend verschlüsselt innerhalb des TLS-Tunnels statt. Diese Variante muss jedoch vom Supplicant als auch vom Server unterstützt werden. Das kann z. B. durch Kombination von EAP-PEAP mit EAP-TLS erreicht werden. [Hof05, S. 88 ff.]; [Rec08, S. 462 f.]; [RFC5216] EAP-TTLS EAP-TTLS (EAP-Tunneled Transport Layer Security Protocol) ist eine erweiterte Variante von EAP-TLS und ist im RFC 5281 [RFC5281] spezifiziert. EAP-TTLS besitzt den Wert 21 im Type-Feld eines EAP-Pakets. Ein Authentifizierungsvorgang mittels EAP-TTLS besteht aus zwei Phasen. In der ersten Phase wird ein verschlüsselter TLS-Tunnel zwischen Supplicant und Authentifizierungsserver aufgebaut. Dazu muss sich nur der Server gegenüber dem Supplicant authentifizieren. Dafür wird nur ein Server-Zertifikat benötigt. Ein Client-Zertifikat, wie bei EAP-TLS, ist nicht nötig. Die Authentifizierung des Supplicants findet dann in der zweiten Phase sicher und verschlüsselt durch den TLS-Tunnel statt. Für die Authentifizierung innerhalb des Tunnels ermöglicht EAP-TTLS ein beliebiges Authentifizierungsverfahren (z. B. PAP, CHAP, MS-CHAP, MS-CHAPv2, EAP) zu wählen, welches dann die komplette Authentifizierung innerhalb des Tunnels abwickelt. Die Authentifizierung läuft dann je nach gewähltem Verfahren über Benutzername und Password. Die Identität des Nutzers wird bei EAP-TTLS

Nutzerauthentifizierung mit 802.1X. Torsten Kersting kersting@dfn.de

Nutzerauthentifizierung mit 802.1X. Torsten Kersting kersting@dfn.de Nutzerauthentifizierung mit 802.1X Torsten Kersting kersting@dfn.de Inhalt EAP Protokoll EAP Methoden 802.1X Netzwerk Port Auth. 802.1X in WLAN s 802.11i (TKIP, CCMP, RSN) Einführung Design Fehler in statischem

Mehr

Motivation Sicherheit. WLAN Sicherheit. Karl Unterkalmsteiner, Matthias Heimbeck. Universität Salzburg, WAP Präsentation, 2005

Motivation Sicherheit. WLAN Sicherheit. Karl Unterkalmsteiner, Matthias Heimbeck. Universität Salzburg, WAP Präsentation, 2005 Universität Salzburg, WAP Präsentation, 2005 Gliederung 1 WLAN die neue drahtlose Welt Gefahren in WLAN Netzwerken Statistische Untersuchen 2 Gliederung WLAN die neue drahtlose Welt Gefahren in WLAN Netzwerken

Mehr

Sicherer Netzzugang im Wlan

Sicherer Netzzugang im Wlan PEAP Sicherer Netzzugang im Wlan Motivation Im Wohnheimnetzwerk des Studentenwerks erfolgt die Zugangskontrolle via 802.1X. Als Methode wurde MD5 eingesetzt. Dies wurde in Microsoft Vista nicht unterstützt.

Mehr

Black Box erklärt: Sicherheit nach IEEE 802.1x?

Black Box erklärt: Sicherheit nach IEEE 802.1x? Black Box erklärt: Sicherheit nach IEEE 802.1x? Bei Wireless LAN Netzwerken kennt jeder die Gefahr einer unbefugten Benutzung der Daten im Netzwerk durch Fremde. Aus diesem Grund gibt es in diesem Bereich

Mehr

Arbeitskreis Security

Arbeitskreis Security Arbeitskreis Security Positionspapier IEEE 802.1X BGNW Herbsttagung, 25. November 2005 Inhalt IEEE 802.1X im Überblick Problembereiche Standpunkt 1 Status von IEEE 802.1X Grundprinzip von IEEE 802.1X Dem

Mehr

Sicherheit in WLAN. Sämi Förstler Michael Müller

Sicherheit in WLAN. Sämi Förstler Michael Müller Sicherheit in WLAN Sämi Förstler Michael Müller 2.6.2005 Inhalt WLAN-Einführung Sicherheit: Eine Definition Sicherheitsmassnahmen Aktueller Stand / Fazit Ausblicke Fragen und Diskussion WLAN-Einführung

Mehr

IEEE 802.1x Authentifizierung. IEEE 802.1x Authentifizierung IACBOX.COM. Version 2.0.1 Deutsch 14.01.2015

IEEE 802.1x Authentifizierung. IEEE 802.1x Authentifizierung IACBOX.COM. Version 2.0.1 Deutsch 14.01.2015 Version 2.0.1 Deutsch 14.01.2015 Dieses HOWTO beschreibt die Konfiguration und Anwendung der IEEE 802.1x Authentifizierung in Kombination mit der IAC-BOX. TITEL Inhaltsverzeichnis Inhaltsverzeichnis...

Mehr

WLAN-Technologien an der HU

WLAN-Technologien an der HU WLAN-Technologien an der HU 1. Technik, Abdeckung, Verfahren 2. Gegenwärtige Sicherheitstechnologien 3. Authentifizierung 802.1x, Verschlüsselung WPA/WPA2 4. Authentifizierung und Verschlüsselung mit IPSec-VPN

Mehr

Drahtloser Netzwerkzugang und 802.1X-Sicherheit ohne Geheimnis

Drahtloser Netzwerkzugang und 802.1X-Sicherheit ohne Geheimnis Drahtloser Netzwerkzugang und 802.1X-Sicherheit ohne Geheimnis Die Offenheit drahtloser Netzwerke bringt Unsicherheiten für Netzwerkverwalter und Nutzer mit sich. Der Netzwerkverwalter will den Zugang

Mehr

Wohin geht es mit der WLAN Sicherheit? *Jakob Strebel (Sales Director DACH bei Colubris Networks)

Wohin geht es mit der WLAN Sicherheit? *Jakob Strebel (Sales Director DACH bei Colubris Networks) Wohin geht es mit der WLAN Sicherheit? *Jakob Strebel (Sales Director DACH bei Colubris Networks) Sicherheit in drahtlosen Netzwerkstrukturen ist die Voraussetzung für einen angemessen sicheren Betrieb.

Mehr

Wireless & Management

Wireless & Management 4. Access Point (WPA2 - Enterprise 802.1x) 4.1 Einleitung Im Folgenden wird die Konfiguration des Access Point Mode gezeigt. Zur Absicherung der Daten, Generierung der Schlüssel für die Verschlüsselung

Mehr

Radius Server. Bericht im Studiengang Computerengineering an der HS-Furtwangen. Student: Alphonse Nana Hoessi Martikelnr.:227106

Radius Server. Bericht im Studiengang Computerengineering an der HS-Furtwangen. Student: Alphonse Nana Hoessi Martikelnr.:227106 Radius Server Bericht im Studiengang Computerengineering an der HS-Furtwangen Student: Alphonse Nana Hoessi Martikelnr.:227106 Student: Daniel Lukac Martikelnr.: 227244 Student: Dominik Bacher Martikelnr.:

Mehr

eduroam piger@dfn.de

eduroam piger@dfn.de DFNRoaming/ eduroam St f Pi DFN V i Stefan Piger, DFN-Verein piger@dfn.de Motivation Einrichtungen im DFN-Umfeld betreiben in der Regel eigene WLAN-Infrastrukturen Nutzer dieser Einrichtungen erwarten

Mehr

802.1x. Zugangskontrolle mit EAP und Radius in LAN und WLAN Umgebungen

802.1x. Zugangskontrolle mit EAP und Radius in LAN und WLAN Umgebungen 802.1x Zugangskontrolle mit EAP und Radius in LAN und WLAN Umgebungen 1. Einleitung Angriffe auf die IT Sicherheit lassen sich in zwei Kategorien unterteilen: Angriffe von außen, z.b. über das Internet

Mehr

Andreas Dittrich dittrich@informatik.hu-berlin.de. 10. Januar 2006

Andreas Dittrich dittrich@informatik.hu-berlin.de. 10. Januar 2006 mit (2) mit (2) 2 (802.11i) Andreas Dittrich dittrich@informatik.hu-berlin.de Institut für Informatik Humboldt-Universität zu Berlin 10. Januar 2006 (1/27) 2006-01-10 mit (2) 2 (802.11i) 2 (802.11i) (2/27)

Mehr

Sicherheit in Wireless LANs

Sicherheit in Wireless LANs Sicherheit in Wireless LANs VS-Seminar Wintersemester 2002/2003 Betreuer: Stefan Schmidt Übersicht Funktion und Aufbau von Infrastruktur Wireless LAN Sicherheit in Wireless LANs Sicherungsmechanismen in

Mehr

eduroam und dessen sichere Nutzung Timo Bernard, Karsten Honsack

eduroam und dessen sichere Nutzung Timo Bernard, Karsten Honsack eduroam und dessen sichere Nutzung Timo Bernard, Karsten Honsack Agenda eduroam Infrastruktur Sichere Nutzung Sicherheitstest (Android-)Probleme Fazit 2 2002 durch TERENA in Europa gestartet 3 Verfügbar

Mehr

Fortgeschrittene Wireless Sicherheitsmechanismen

Fortgeschrittene Wireless Sicherheitsmechanismen Fortgeschrittene Wireless Sicherheitsmechanismen Was nach WEP kommt Von P. Infanger Inhaltsverzeichnis Wieso WEP so schlecht ist WPA WPA2 802.11i 802.1x Empfehlungen Wieso WEP so schlecht ist Verschlüsselung

Mehr

12. DFN-CERT Workshop Wireless Security

12. DFN-CERT Workshop Wireless Security 12. DFN-CERT Workshop Wireless Security W(EP PA PA2) matthias_hofherr@genua.de Überblick WEP Cisco LEAP WPA WPA2 / 802.11i Zusammenfassung / Schutzmaßnahmen WEP WEP = Wired Equivalent Privacy Optionaler

Mehr

LAN-Sicherheit. Schwachstellen, Angriffe und Schutzmechanismen in lokalen Netzwerken - am Beispiel von Cisco Catalyst Switches. von Andreas Aurand

LAN-Sicherheit. Schwachstellen, Angriffe und Schutzmechanismen in lokalen Netzwerken - am Beispiel von Cisco Catalyst Switches. von Andreas Aurand LAN-Sicherheit Schwachstellen, Angriffe und Schutzmechanismen in lokalen Netzwerken - am Beispiel von Cisco Catalyst Switches von Andreas Aurand 1. Auflage LAN-Sicherheit Aurand schnell und portofrei erhältlich

Mehr

WLAN an der Ruhr-Universität Bochum

WLAN an der Ruhr-Universität Bochum WLAN an der Ruhr-Universität Bochum Andreas Jobs, Andreas Noack 13. März 2009 Überblick Rechenzentrum - Abtl. Rechnernetz ca. 40.950 Switchports ca. 30.800 Netzwerkanschlüsse ca. 9600 aktive Anschlüsse

Mehr

Kurzeinführung VPN. Veranstaltung. Rechnernetze II

Kurzeinführung VPN. Veranstaltung. Rechnernetze II Kurzeinführung VPN Veranstaltung Rechnernetze II Übersicht Was bedeutet VPN? VPN Typen VPN Anforderungen Was sind VPNs? Virtuelles Privates Netzwerk Mehrere entfernte lokale Netzwerke werden wie ein zusammenhängendes

Mehr

TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL

TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL 1 TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL Kleine Auswahl bekannter Sicherheitsprotokolle X.509 Zertifikate / PKIX Standardisierte, häufig verwendete Datenstruktur zur Bindung von kryptographischen

Mehr

Wireless LAN (WLAN) Security

Wireless LAN (WLAN) Security Fraunhofer SIT Wireless LAN (WLAN) Security Gefahren erkennen Risiken minimieren Michael Epah Agenda - Ziel: Versachlichung der Diskussion! Ursprüngliche IEEE 802.11 Security Wired Equivalent Privacy (WEP)!

Mehr

W-LAN - Sicherheit. Cornelia Mayer Andreas Pollhammer Stefan Schwarz. 31. Jänner 2014 1 / 27

W-LAN - Sicherheit. Cornelia Mayer Andreas Pollhammer Stefan Schwarz. 31. Jänner 2014 1 / 27 Cornelia Mayer Andreas Pollhammer Stefan Schwarz 31. Jänner 2014 1 / 27 Gliederung 1 W-LAN - Sicherheit Angriffe in Hotspots WEP WPA/WPA2 2 / 27 Angriffe in Hotspots Angriffe in Hotspots Angriffsarten:

Mehr

VIRTUAL PRIVATE NETWORKS

VIRTUAL PRIVATE NETWORKS VIRTUAL PRIVATE NETWORKS Seminar: Internet-Technologie Dozent: Prof. Dr. Lutz Wegner Virtual Private Networks - Agenda 1. VPN Was ist das? Definition Anforderungen Funktionsweise Anwendungsbereiche Pro

Mehr

LANCOM Techpaper 802.1x

LANCOM Techpaper 802.1x 1 Einleitung In diesem Techpaper wird die Nutzung von für eine Zugangskontrolle und als erweiterte Sicherheitsfunktion in Wireless LANs vorgestellt. Neben werden die Begriffe RADIUS und EAP erläutert.

Mehr

Wireless Security. IT Security Workshop 2006. Moritz Grauel grauel@informatik.hu-berlin.de Matthias Naber naber@informatik.hu-berlin.

Wireless Security. IT Security Workshop 2006. Moritz Grauel grauel@informatik.hu-berlin.de Matthias Naber naber@informatik.hu-berlin. Wireless Security IT Security Workshop 2006 Moritz Grauel grauel@informatik.hu-berlin.de Matthias Naber naber@informatik.hu-berlin.de HU-Berlin - Institut für Informatik 29.09.2006 (HU-Berlin - Institut

Mehr

Virtuelle Netze. Virtuelle Netze von Simon Knierim und Benjamin Skirlo 1 Von 10-16.04.07. Simon Knierim & Benjamin Skirlo.

Virtuelle Netze. Virtuelle Netze von Simon Knierim und Benjamin Skirlo 1 Von 10-16.04.07. Simon Knierim & Benjamin Skirlo. 1 Von 10-16.04.07 Virtuelle Netze Simon Knierim & Benjamin Skirlo für Herrn Herrman Schulzentrum Bremen Vegesack Berufliche Schulen für Metall- und Elektrotechnik 2 Von 10-16.04.07 Inhaltsverzeichnis Allgemeines...

Mehr

WLAN,Netzwerk Monitoring & Filtering. SS 2011 Betreuer: Dr.Oliver Dippel Teilnehmer:Constant Mabou Bopda

WLAN,Netzwerk Monitoring & Filtering. SS 2011 Betreuer: Dr.Oliver Dippel Teilnehmer:Constant Mabou Bopda WLAN,Netzwerk Monitoring & Filtering SS 2011 Betreuer: Dr.Oliver Dippel Teilnehmer:Constant Mabou Bopda Überblick Wireless und Netzwerk Protokoll Was ist Netzwerk Monitoring? Was ist Netzwerk Filtering?

Mehr

Einrichtung von radsecproxy. Dipl.-Math. Christian Strauf Rechenzentrum TU Clausthal

Einrichtung von radsecproxy. Dipl.-Math. Christian Strauf Rechenzentrum TU Clausthal Einrichtung von radsecproxy Agenda Erinnerung: Funktionsweise von RADIUS RadSec - eine Übersicht Systemvoraussetzungen Installation von radsecproxy Konfiguration von radsecproxy Debugging 2 Erinnerung:

Mehr

IEEE 802.1X - Authentifizierung

IEEE 802.1X - Authentifizierung IEEE 802.1X - Authentifizierung Marco Francke 02INF2 09446 Inhalt 1 Einleitung 4 2 Probleme der bisherigen Ansätze 6 3 IEEE 802.1X Standard 8 3.1 Was ist Authentisierung 9 3.2 Warum Authentisierung auf

Mehr

l Wireless LAN Eine Option für Firmennetzwerke der Druckereibranche? WLAN Eine Option für Unternehmen? Komponenten eines WLAN-Netzwerks

l Wireless LAN Eine Option für Firmennetzwerke der Druckereibranche? WLAN Eine Option für Unternehmen? Komponenten eines WLAN-Netzwerks l Wireless LAN Eine Option für Firmennetzwerke der Druckereibranche? BU Wuppertal FB E 2005 Jens Heermann Svend Herder Alexander Jacob 1 WLAN Eine Option für Unternehmen? Vorteile durch kabellose Vernetzung

Mehr

Weltweite Internetzugänge und Netznutzung mit mobilen Geräten unter Nutzung Ihrer UBT-Kennung

Weltweite Internetzugänge und Netznutzung mit mobilen Geräten unter Nutzung Ihrer UBT-Kennung Weltweite Internetzugänge und Netznutzung mit mobilen Geräten unter Nutzung Ihrer UBT-Kennung http://www.eduroam.org https://www.dfn.de/dienstleistungen/dfnroaming/ Was ist eduroam? Internetzugang über

Mehr

WLAN Security. Bernhard Thaler Raiffeisen Informatik GmbH

WLAN Security. Bernhard Thaler Raiffeisen Informatik GmbH WLAN Security Bernhard Thaler Raiffeisen Informatik GmbH Vorstellung des Vortragenden Bernhard Thaler Raiffeisen Informatik GmbH IT-Security Analyst Absolvent FH St. Pölten Bachelorstudiengang IT-Security

Mehr

RADIUS Protokoll + Erweiterungen

RADIUS Protokoll + Erweiterungen RADIUS Protokoll + Erweiterungen Universität Hamburg Seminar: Internet-Sicherheit Claas Altschaffel Sommersemester 2005 Inhalt Einleitung Paketaufbau Ablauf Protokoll-Support RADIUS Proxy Erweiterungen

Mehr

Einführung in 802.1x Organisatorische und technische Voraussetzungen Zertifikatsbasierte 802.1x Anwendung in der Praxis

Einführung in 802.1x Organisatorische und technische Voraussetzungen Zertifikatsbasierte 802.1x Anwendung in der Praxis Präsentationen Einführung in 802.1x Organisatorische und technische Voraussetzungen Zertifikatsbasierte 802.1x Anwendung in der Praxis Erfahrungsbericht Wireless 802.1x am USZ Anforderungen des USZ und

Mehr

Wireless-LAN-Sicherheit. Matthias Wawrzik PING e.v. Sommerfest 07.08.2010 m.wawrzik@ping.de

Wireless-LAN-Sicherheit. Matthias Wawrzik PING e.v. Sommerfest 07.08.2010 m.wawrzik@ping.de Wireless-LAN-Sicherheit Matthias Wawrzik PING e.v. Sommerfest 07.08.2010 m.wawrzik@ping.de Inhalt 1) zur Absicherung 2) liche Situation 3) 1) WEP 2) WPA 3) WPA2 4) 1) PSK 2) 802.1X, RADIUS 5) 6) Weitere

Mehr

Zertifikate Radius 50

Zertifikate Radius 50 Herstellen einer Wirelessverbindung mit Zertifikat über einen ZyAIR G-1000 Access Point und einen Radius 50 Server Die nachfolgende Anleitung beschreibt, wie eine ZyWALL Vantage RADIUS 50 in ein WLAN zur

Mehr

WLAN-Sicherheit. de Lorenzo, Hopfgartner, Wilker. May 8, 2011. de Lorenzo, Hopfgartner, Wilker WLAN-Sicherheit May 8, 2011 1 / 39

WLAN-Sicherheit. de Lorenzo, Hopfgartner, Wilker. May 8, 2011. de Lorenzo, Hopfgartner, Wilker WLAN-Sicherheit May 8, 2011 1 / 39 WLAN-Sicherheit de Lorenzo, Hopfgartner, Wilker May 8, 2011 de Lorenzo, Hopfgartner, Wilker WLAN-Sicherheit May 8, 2011 1 / 39 Übersicht Allgemeines IEEE 802.11 Protokolle Sniffer Zusammenfassung und Fazit

Mehr

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: 1. Access Point im Personal Mode (WEP / WPA / WPA2) 1.1 Einleitung Im Folgenden wird die Konfiguration des Access Point Modus gezeigt. Zur Absicherung der Daten werden die verschiedenen Verschlüsselungsalgorithmen

Mehr

Anleitung. Gast-WLAN

Anleitung. Gast-WLAN Anleitung zum Gast-WLAN Schulen Basel-Landschaft Inhaltsverzeichnis Inhaltsverzeichnis Inhaltsverzeichnis... 2 Allgemein...... 3 Informationen zur Benutzung des WLAN... 3 Windows 7... 4 Windows 8 (Windows

Mehr

Grundlagen Vernetzung am Beispiel WLAN 1 / 6. Aufbau

Grundlagen Vernetzung am Beispiel WLAN 1 / 6. Aufbau Grundlagen Vernetzung am Beispiel WLAN 1 / 6 Peer-to Peer-Netz oder Aufbau Serverlösung: Ein Rechner (Server) übernimmt Aufgaben für alle am Netz angeschlossenen Rechner (Clients) z.b. Daten bereitstellen

Mehr

2 Typische Angriffe. 3 Sichere Kommunikationsdienste. 4 Einbruchssicherung. 5 Sicherung von Anwendungsdiensten

2 Typische Angriffe. 3 Sichere Kommunikationsdienste. 4 Einbruchssicherung. 5 Sicherung von Anwendungsdiensten Inhalt 1 Einführung 2 Typische Angriffe 3 Sichere Kommunikationsdienste 4 Einbruchssicherung 5 Sicherung von Anwendungsdiensten 6 Privacy NS-3.1 1 3 Sichere Kommunikationsdienste NS-3.1 2 Kommunikationssicherheit

Mehr

VPN. Virtuelles privates Netzwerk. Vortrag von Igor Prochnau Seminar Internet- Technologie

VPN. Virtuelles privates Netzwerk. Vortrag von Igor Prochnau Seminar Internet- Technologie VPN Virtuelles privates Netzwerk Vortrag von Igor Prochnau Seminar Internet- Technologie Einleitung ist ein Netzwerk, das ein öffentliches Netzwerk benutzt, um private Daten zu transportieren erlaubt eine

Mehr

IT-Sicherheit Kapitel 11 SSL/TLS

IT-Sicherheit Kapitel 11 SSL/TLS IT-Sicherheit Kapitel 11 SSL/TLS Dr. Christian Rathgeb Sommersemester 2014 1 Einführung SSL/TLS im TCP/IP-Stack: SSL/TLS bietet (1) Server-Authentifizierung oder Server und Client- Authentifizierung (2)

Mehr

PKI (public key infrastructure)

PKI (public key infrastructure) PKI (public key infrastructure) am Fritz-Haber-Institut 11. Mai 2015, Bilder: Mehr Sicherheit durch PKI-Technologie, Network Training and Consulting Verschlüsselung allgemein Bei einer Übertragung von

Mehr

IEEE 802.1x, Dynamic ARP Inspection und DHCP Snooping. von Thorsten Dahm 08.06.2006 t.dahm@resolution.de

IEEE 802.1x, Dynamic ARP Inspection und DHCP Snooping. von Thorsten Dahm 08.06.2006 t.dahm@resolution.de IEEE 802.1x, Dynamic ARP Inspection und DHCP Snooping von Thorsten Dahm 08.06.2006 t.dahm@resolution.de 1) Was Euch hier erwartet 1) Was ist 802.1x Wozu braucht man's? Möglichkeiten Artenreichtum: Authentifizierung

Mehr

Das Ende der Passwort-Ära X.509 Authentifizierung die Alternative!

Das Ende der Passwort-Ära X.509 Authentifizierung die Alternative! Das Ende der Passwort-Ära X.509 Authentifizierung die Alternative! - X.509 Sicherheit für alle mobilen Geräte - Die PKI/MDM Integrationsproblematik - Ist Ihre Infrastruktur kompatibel? Juni 2013 Nicolas

Mehr

Computeria Urdorf «Sondertreff» vom 7. November 2012. Workshop. auf das Internet

Computeria Urdorf «Sondertreff» vom 7. November 2012. Workshop. auf das Internet Computeria Urdorf «Sondertreff» vom 7. November 2012 Workshop mit WLAN-Zugriff auf das Internet 7. November 2012 Autor: Walter Leuenberger www.computeria-urdorf.ch Was ist ein (Computer-)Netzwerk? Netzwerk-Topologien

Mehr

im DFN Berlin 18.10.2011 Renate Schroeder, DFN-Verein

im DFN Berlin 18.10.2011 Renate Schroeder, DFN-Verein VoIP-Verschlüsselung Verschlüsselung im DFN Berlin 18.10.2011 Renate Schroeder, DFN-Verein Einordnung VoIP in DFNFernsprechen VoIP seit 5 Jahren im DFN verfügbar VoIP ist Teil des Fernsprechdienstes DFNFernsprechen

Mehr

eduroam an der TU Wien (www.zid.tuwien.ac.at/eduroam/) Anleitung für Windows

eduroam an der TU Wien (www.zid.tuwien.ac.at/eduroam/) Anleitung für Windows eduroam an der TU Wien (www.zid.tuwien.ac.at/eduroam/) Anleitung für Windows eduroam (802.1x) unter Windows XP mit SP2 Um die vorliegende Anleitung verwenden zu können, brauchen Sie einen Computer unter

Mehr

Mastervorlage zur Gestaltung von PowerPoint-Präsentationen

Mastervorlage zur Gestaltung von PowerPoint-Präsentationen 802.1x in der Praxis Mastervorlage zur Gestaltung von PowerPoint-Präsentationen DI (FH) Michael Perfler DI (FH) Bernhard Mitterer Kapsch BusinessCom AG Kapsch BusinessCom AG 1 Agenda Einleitung Protokolle

Mehr

Virtual Private Networks. Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH

Virtual Private Networks. Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH Virtual Private Networks Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH Inhalt Einleitung Grundlagen Kryptographie IPSec Firewall Point-to-Point Tunnel Protokoll Layer 2 Tunnel Protokoll Secure Shell

Mehr

Wireless LAN. nach IEEE 802.11

Wireless LAN. nach IEEE 802.11 Wireless LAN nach IEEE 802.11 Entstanden im Rahmen der Vorlesung LNWN II im Sommersemester 2002 INHALTSVERZEICHNIS 1 WIRELESS LAN NACH DEM IEEE 802.11 STANDARD 3 1.1 IEEE 802.11 3 1.2 IEEE 802.11B 3 1.3

Mehr

Verschlüsselung der Kommunikation zwischen Rechnern

Verschlüsselung der Kommunikation zwischen Rechnern Verschlüsselung der Kommunikation zwischen Rechnern Stand: 11. Mai 2007 Rechenzentrum Hochschule Harz Sandra Thielert Hochschule Harz Friedrichstr. 57 59 38855 Wernigerode 03943 / 659 0 Inhalt 1 Einleitung

Mehr

Matthias Hofherr. WLAN-Sicherheit. Professionelle Absicherung von 802.11-Netzen. Heise

Matthias Hofherr. WLAN-Sicherheit. Professionelle Absicherung von 802.11-Netzen. Heise Matthias Hofherr WLAN-Sicherheit Professionelle Absicherung von 802.11-Netzen Heise 5 Bevor man einen genaueren Blick auf die Sicherheitsmechanismen von Netzwerken auf Basis des Standards 802.11 wirft,

Mehr

Secure Sockets Layer (SSL) Prof. Dr. P. Trommler

Secure Sockets Layer (SSL) Prof. Dr. P. Trommler Secure Sockets Layer (SSL) Prof. Dr. P. Trommler Übersicht Internetsicherheit Protokoll Sitzungen Schlüssel und Algorithmen vereinbaren Exportversionen Public Keys Protokollnachrichten 29.10.2003 Prof.

Mehr

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: - Grundkonfiguration des Routers. - Ein Bootimage ab Version 7.4.x.

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: - Grundkonfiguration des Routers. - Ein Bootimage ab Version 7.4.x. 7. PPPoE Server 7.1 Einleitung Im Folgenden wird die Konfiguration einer Dialin Verbindung über PPPoE zum Router beschrieben, um eine zusätzliche Authentifizierung durchzuführen. Bei der Einwahl eines

Mehr

ComputeriaUrdorf «Sondertreff»vom30. März2011. Workshop mit WLAN-Zugriff auf das Internet

ComputeriaUrdorf «Sondertreff»vom30. März2011. Workshop mit WLAN-Zugriff auf das Internet ComputeriaUrdorf «Sondertreff»vom30. März2011 Workshop mit WLAN-Zugriff auf das Internet 30. März 2011 Autor: Walter Leuenberger www.computeria-urdorf.ch Was ist ein (Computer-)Netzwerk? Netzwerk-Topologien

Mehr

WEP and WPA: Lessons learned in WLAN-Security Vortrag im Rahmen des Seminars Kryptographie und Sicherheit am 31. Mai 2006 Von Tina Scherer Gliederung WEP WPA Aufbau Schwächen Cracking WEP Angriffe Behobene

Mehr

VPN unterstützt 3 verschiedene Szenarien: Host to Host: Dies kennzeichnet eine sichere 1:1 Verbindung zweier Computer, z.b. über das Internet.

VPN unterstützt 3 verschiedene Szenarien: Host to Host: Dies kennzeichnet eine sichere 1:1 Verbindung zweier Computer, z.b. über das Internet. 1. VPN Virtual Private Network Ein VPN wird eingesetzt, um eine teure dedizierte WAN Leitung (z.b. T1, E1) zu ersetzen. Die WAN Leitungen sind nicht nur teuer, sondern auch unflexibel, da eine Leitung

Mehr

SSL-Protokoll und Internet-Sicherheit

SSL-Protokoll und Internet-Sicherheit SSL-Protokoll und Internet-Sicherheit Christina Bräutigam Universität Dortmund 5. Dezember 2005 Übersicht 1 Einleitung 2 Allgemeines zu SSL 3 Einbindung in TCP/IP 4 SSL 3.0-Sicherheitsschicht über TCP

Mehr

Netzsicherheit 4: Layer 2-Sicherheit Das Point-to-Point- Protokoll und seine Erweiterungen

Netzsicherheit 4: Layer 2-Sicherheit Das Point-to-Point- Protokoll und seine Erweiterungen Netzsicherheit 4: Layer 2-Sicherheit Das Point-to-Point- Protokoll und seine Erweiterungen Das TCP/IP-Schichtenmodell Anwendungsschicht (FTP, HTTP, SMTP,...) Transportschicht (TCP, UDP) Internetschicht

Mehr

Verschlüsselung eines drahtlosen Netzwerkes

Verschlüsselung eines drahtlosen Netzwerkes Verschlüsselung eines drahtlosen Netzwerkes Die größte Sicherheitsgefahr eines drahtlosen Netzwerkes besteht darin, dass jeder, der sich innerhalb der Funkreichweite des Routers aufhält einen Zugriff auf

Mehr

RRC Connection Management Procedures (TS 25.331, S. 57 ff)

RRC Connection Management Procedures (TS 25.331, S. 57 ff) RRC Connection Management Procedures (TS 25.331, S. 57 ff) 1. Broadcast of System Informations 2. Paging 2.1 Paging Type 1 Diese Paging-Prozedur wird verwendet um eine oder mehrere s zu erreichen. Sie

Mehr

Diameter. KM-/VS-Seminar. Wintersemester 2002/2003. schulze_diameter.ppt Christian Schulze_03-Februar-07

Diameter. KM-/VS-Seminar. Wintersemester 2002/2003. schulze_diameter.ppt Christian Schulze_03-Februar-07 Diameter KM-/VS-Seminar Wintersemester 2002/2003 Betreuer: Martin Gutbrod 1 Übersicht Einleitung AAA Szenarien Remote dial-in Mobile dial-in Mobile telephony Design von Diameter Ausblick Features Protokoll

Mehr

57. DFN-Betriebstagung Überblick WLAN Technologien

57. DFN-Betriebstagung Überblick WLAN Technologien 57. DFN-Betriebstagung Überblick WLAN Technologien Referent / Redner Eugen Neufeld 2/ 36 Agenda WLAN in Unternehmen RadSec Technologie-Ausblick 3/ 36 WLAN in Unternehmen Entwicklung Fokus Scanner im Logistikbereich

Mehr

Fakultät für Informatik Professur Rechnernetze und verteilte Systeme. Diplomarbeit

Fakultät für Informatik Professur Rechnernetze und verteilte Systeme. Diplomarbeit Fakultät für Informatik Professur Rechnernetze und verteilte Systeme Diplomarbeit Untersuchung und Bewertung von Netzzugangssteuerungen auf Basis des Standards 802.1x (Port-Based Network Access Control)

Mehr

=XJDQJVNRQWUROOH]XP(WKHUQHW PLWWHOV,(((;

=XJDQJVNRQWUROOH]XP(WKHUQHW PLWWHOV,(((; =XJDQJVNRQWUROOH]XP(WKHUQHW PLWWHOV,(((; Portbasierte Benutzerauthentisierung im Ethernet auf der Basis von EAP Maximilian Riegel 021124-knf-kongress-8021x.ppt-1 (2002-11-24) ,QKDOW 802.1X Motivation und

Mehr

NAT & VPN. Adressübersetzung und Tunnelbildung. Bastian Görstner

NAT & VPN. Adressübersetzung und Tunnelbildung. Bastian Görstner Adressübersetzung und Tunnelbildung Bastian Görstner Gliederung 1. NAT 1. Was ist ein NAT 2. Kategorisierung 2. VPN 1. Was heißt VPN 2. Varianten 3. Tunneling 4. Security Bastian Görstner 2 NAT = Network

Mehr

RADIUS. Remote Authentication Dial In User Service. Ausarbeitung zur Vorlesung. 'Sicherheit in Datennetzen'

RADIUS. Remote Authentication Dial In User Service. Ausarbeitung zur Vorlesung. 'Sicherheit in Datennetzen' RADIUS Remote Authentication Dial In User Service Ausarbeitung zur Vorlesung 'Sicherheit in Datennetzen' Fachhochschule Aachen Fachbereich Elektrotechnik und Informationstechnik Dezember 2003 Inhaltsverzeichnis

Mehr

Verteilte Systeme. Übung 10. Jens Müller-Iden

Verteilte Systeme. Übung 10. Jens Müller-Iden Verteilte Systeme Übung 10 Jens Müller-Iden Gruppe PVS (Parallele und Verteilte Systeme) Institut für Informatik Westfälische Wilhelms-Universität Münster Sommersemester 2007 10.1 Unsicherheit in Verteilten

Mehr

Schritt-für-Schritt-Anleitung WDS mit FRITZ!Box WLAN

Schritt-für-Schritt-Anleitung WDS mit FRITZ!Box WLAN Schritt-für-Schritt-Anleitung WDS mit FRITZ!Box WLAN Begriffe Folgende Begriffe werden in dem Dokument genutzt: Access Point: Zugangspunkt, an dem sich WLAN-Clients anmelden. Es kann sich dabei um einen

Mehr

D r e ISP S P i m K l K as a s s e s n e r n au a m H.Funk, BBS II Leer

D r e ISP S P i m K l K as a s s e s n e r n au a m H.Funk, BBS II Leer Der ISP im Klassenraum H.Funk, BBS II Leer Überblick Agenda: Ziel des Workshops Grundlagen PPPoE Realisierung eines lokalen PPPoE Servers Port-Forwarding DNS / DDNS Ziel des Workshops Ein Netzwerk vergleichbar

Mehr

Web Service Security

Web Service Security Hochschule für Angewandte Wissenschaften Hamburg Fachbereich Elektrotechnik und Informatik SS 2005 Masterstudiengang Anwendungen I Kai von Luck Web Service Security Thies Rubarth rubart_t@informatik.haw-hamburg.de

Mehr

SSL Algorithmen und Anwendung

SSL Algorithmen und Anwendung SSL Algorithmen und Anwendung Stefan Pfab sisspfab@stud.uni-erlangen.de Abstract Viele Anwendungen erfordern nicht nur eine eindeutige und zuverlässige Identifizierung der an einer Kommunikation beteiligten

Mehr

Denn es geht um ihr Geld:

Denn es geht um ihr Geld: Denn es geht um ihr Geld: [A]symmetrische Verschlüsselung, Hashing, Zertifikate, SSL/TLS Warum Verschlüsselung? Austausch sensibler Daten über das Netz: Adressen, Passwörter, Bankdaten, PINs,... Gefahr

Mehr

WLAN Router sicher konfigurieren

WLAN Router sicher konfigurieren WLAN Router sicher konfigurieren Linux User Group Schwabach http://lusc.de 21. April 2007 Gliederung 1 Bedrohungen 2 3 Vorraussetzungen Bedrohungen Vortrag WLAN Karten und Treiber zu Netzwerkprotokollen

Mehr

Virtual Access Points Michael Roßberg

Virtual Access Points Michael Roßberg Virtual Access Points Michael Roßberg Übersicht Einleitung Definition und Motivation 802.11 Management Implementierungstechniken Zusammenfassung Quellen Einleitung 802.11 einer der erfolgreichsten Standards

Mehr

WLAN an der TUC. eduroam mit Windows 7. Empfohlen - gesichertes Funknetz mit WPA/WPA2

WLAN an der TUC. eduroam mit Windows 7. Empfohlen - gesichertes Funknetz mit WPA/WPA2 WLAN an der TUC eduroam mit Windows 7 (Education Roaming, http://www.eduroam.org ) ist eine internationale RADIUS basierte Infrastruktur, die 802.1X Sicherheitstechnologie für das Roaming von Nutzer zwischen

Mehr

SEH WHITEPAPER. Sicher Drucken im WLAN. JÖRG HECKE Product Manager. MARGARETE KEULEN Marketing Communications Manager

SEH WHITEPAPER. Sicher Drucken im WLAN. JÖRG HECKE Product Manager. MARGARETE KEULEN Marketing Communications Manager SEH WHITEPAPER Sicher Drucken im WLAN Wichtige Sicherheitsmerkmale bei der Einbindung von Netzwerkdruckern in drahtlose Netze In drahtlosen Netzen werden Daten über Funk durch die Luft übertragen. Effektive

Mehr

Seminar Neue Techologien in Internet und WWW

Seminar Neue Techologien in Internet und WWW Seminar Neue Techologien in Internet und WWW Sicherheit auf der Anwendungsschicht: HTTP mit SSL, TLS und dabei verwendete Verfahren Christian Raschka chrisra@informatik.uni-jena.de Seminar Neue Internettechnologien

Mehr

1 Allgemeine Erläuterungen zum WLAN... 2 1.1 Was kann über den WLAN-Zugang genutzt werden?... 2 1.2 Was ist für die Nutzung erforderlich?...

1 Allgemeine Erläuterungen zum WLAN... 2 1.1 Was kann über den WLAN-Zugang genutzt werden?... 2 1.2 Was ist für die Nutzung erforderlich?... WLAN-Zugang // DHBW Mosbach / Rechenzentrum Hinweis: Die Dokumentation des WLAN-Zugangs wird kontinuierlich erweitert und verbessert. Deshalb sollten Sie bei Problemen mit dem WLAN einen Blick in die aktuellste

Mehr

Virtual Private Networks mit OpenVPN. Matthias Schmidt Chaostreff Giessen/Marburg

Virtual Private Networks mit OpenVPN. Matthias Schmidt <xhr@giessen.ccc.de> Chaostreff Giessen/Marburg Virtual Private Networks mit OpenVPN Matthias Schmidt Agenda Einführung Szenarien Protokolle Transport Layer Security v1 pre-shared keys Installation Konfiguration Wichtige Parameter

Mehr

Verteilte Systeme. 10.1 Unsicherheit in Verteilten Systemen

Verteilte Systeme. 10.1 Unsicherheit in Verteilten Systemen Verteilte Systeme Übung 10 Jens Müller-Iden Gruppe PVS (Parallele und Verteilte Systeme) Institut für Informatik Westfälische Wilhelms-Universität Münster Sommersemester 2007 10.1 Unsicherheit in Verteilten

Mehr

Rechneranmeldung mit Smartcard oder USB-Token

Rechneranmeldung mit Smartcard oder USB-Token Rechneranmeldung mit Smartcard oder USB-Token Verfahren zur Authentifizierung am Rechnersystem und angebotenen Diensten, SS2005 1 Inhalt: 1. Systemanmeldung 2. Grundlagen 3. Technik (letzte Woche) 4. Standards

Mehr

Inhaltsverzeichnis Vorwort Kryptographie und das Internet Point-To-Point Sicherheit

Inhaltsverzeichnis Vorwort Kryptographie und das Internet Point-To-Point Sicherheit Inhaltsverzeichnis Vorwort... 1 Kryptographie und das Internet... 1 1.1 WasistdasInternet... 2 1.2 BedrohungenimInternet... 5 1.2.1 PassiveAngriffe... 5 1.2.2 AktiveAngriffe... 6 1.3 Kryptographie... 7

Mehr

Funknetzwerke und Sicherheit in Funknetzwerken. Dipl.-Inf. (FH) Hendrik Busch PING e.v. Revision 8, 31.8.2006

Funknetzwerke und Sicherheit in Funknetzwerken. Dipl.-Inf. (FH) Hendrik Busch PING e.v. Revision 8, 31.8.2006 Funknetzwerke und Sicherheit in Funknetzwerken Dipl.-Inf. (FH) Hendrik Busch PING e.v. Revision 8, 31.8.2006 Was ist Wireless LAN? Viele Namen, eine Technologie Funknetzwerk WLAN Wireless LAN WaveLAN IEEE

Mehr

Netzsicherheit Architekturen und Protokolle Infrastruktursicherheit

Netzsicherheit Architekturen und Protokolle Infrastruktursicherheit 1. Motivation 4. Netzzugang 2. Der Weg ins Internet 5. Drahtloser Netzzugang 3. Überblick 6. Aktuelle Entwicklung Wireless LAN Wireless LAN (WLAN) IEEE 802.11 private Nutzung Nutzung in der Internet-Infrastruktur

Mehr

Die Informationen in diesem Artikel beziehen sich auf: Einleitung

Die Informationen in diesem Artikel beziehen sich auf: Einleitung Die Informationen in diesem Artikel beziehen sich auf:? Microsoft ISA Server 2004 Einleitung Der ISA 2004 bietet als erste Firewall Lösung von Microsoft die Möglichkeit, eine Benutzer Authentifizierung

Mehr

L2TP over IPSEC. Built-in VPN für Windows 10 / 8 / 7 und MacOS X

L2TP over IPSEC. Built-in VPN für Windows 10 / 8 / 7 und MacOS X FORSCHUNGSZENTRUM JÜLICH GmbH Jülich Supercomputing Centre 52425 Jülich, (02461) 61-6402 Beratung und Betrieb, (02461) 61-6400 Technische Kurzinformation FZJ-JSC-TKI-0387 W.Anrath,S.Werner,E.Grünter 26.08.2015

Mehr

VPN / Tunneling. 1. Erläuterung

VPN / Tunneling. 1. Erläuterung 1. Erläuterung VPN / Tunneling Ein virtuelles privates Netzwerk (VPN) verbindet die Komponenten eines Netzwerkes über ein anderes Netzwerk. Zu diesem Zweck ermöglicht das VPN dem Benutzer, einen Tunnel

Mehr

WLAN über WPA mit auf Smart Cards abgelegten digitalen Zertifikaten absichern - Short How-To -

WLAN über WPA mit auf Smart Cards abgelegten digitalen Zertifikaten absichern - Short How-To - WLAN über WPA mit auf Smart Cards abgelegten digitalen Zertifikaten absichern - Short How-To - Knowlegde Guide Wien, Jänner 2005 INHALT INHALT... 2 Voraussetzungen... 3 Serverseitige Einstellungen... 3

Mehr

SelfLinux-0.12.3. WLAN unter Linux. Autor: Robin Haunschild (H@unschild.de) Formatierung: Robin Haunschild (H@unschild.

SelfLinux-0.12.3. WLAN unter Linux. Autor: Robin Haunschild (H@unschild.de) Formatierung: Robin Haunschild (H@unschild. WLAN unter Linux Autor: Robin Haunschild (H@unschild.de) Formatierung: Robin Haunschild (H@unschild.de) Lizenz: GPL WLAN unter Linux Seite 2 Inhaltsverzeichnis 1 Einleitung 2 Treiber 3 Die Wireless-Tools

Mehr

Weltweite Internetzugänge und Netznutzung mit mobilen Endgeräten

Weltweite Internetzugänge und Netznutzung mit mobilen Endgeräten Weltweite Internetzugänge und Netznutzung mit mobilen Endgeräten Dr. Christian Rank eduroam - 1 Was ist eduroam? Internetzugang (via WLAN) für Angehörige teilnehmender Forschungseinrichtungen an allen

Mehr

Windows Server 2008 für die RADIUS-Authentisierung einrichten

Windows Server 2008 für die RADIUS-Authentisierung einrichten Windows Server 2008 für die RADIUS-Authentisierung einrichten Version 0.2 Die aktuellste Version dieser Installationsanleitung ist verfügbar unter: http://www.revosec.ch/files/windows-radius.pdf Einleitung

Mehr

4 Netzwerkzugriff. 4.1 Einführung. Netzwerkzugriff

4 Netzwerkzugriff. 4.1 Einführung. Netzwerkzugriff 4 Netzwerkzugriff Prüfungsanforderungen von Microsoft: Configuring Network Access o Configure remote access o Configure Network Access Protection (NAP) o Configure network authentication o Configure wireless

Mehr

Einfache VPN Theorie. Von Valentin Lätt (www.valentin-laett.ch)

Einfache VPN Theorie. Von Valentin Lätt (www.valentin-laett.ch) Einfache VPN Theorie Von Valentin Lätt (www.valentin-laett.ch) Einführung Der Ausdruck VPN ist fast jedem bekannt, der sich mindestens einmal grob mit der Materie der Netzwerktechnik auseinandergesetzt

Mehr