VPN Virtual Private Networks

Transkript

1 Wolfgang Böhmer VPN Virtual Private Networks Die reale Welt der virtuellen Netze HANSER

2 Inhaltsverzeichnis Teil I VPN-Grundlagen und Techniken 1 1 Einleitung Was ist ein VPN? Welche VPN-Varianten gibt es? Was soll ein VPN leisten? 11 2 Netzgrundlagen der VPN-Technologie Verfahren der Kommunikationstechnik für ein VPN Offene Kommunikation in Datennetzen Die Architektur des OSI-Referenzmodell Die sieben OSI-Funktionen Die OSI-Dienste Die OSI-Protokolle Das Internet-Protokoll in der Version IPv4 und IPv BOOTP/DHCP und Mobile-IP Ende-zu-Ende-Flusskontrolle mittels TCP Dienstgüte (CoS) und (QoS) in IP-Netzen Integrierte und differenzierte Dienste Multi-Protocol Label Switching (MPLS) Weitverkehrsnetze (WAN) Fast-Packet-Switching (FPS) Frame-Relay MPLS über Frame-Relay Asynchroner Transfer Modus (ATM) ATM-Referenzmodell MPLS über ATM-Verbindungen IP/MPLS und Multiprotokoll Lambda Switching (MPXS)... 91

3 VIII Inhaltsverzeichnis Teil II Realisierung der Privatsphäre in VPN 95 3 Informations- und Kommunikationssicherheit Definition IuK-Sicherheit Verfahren zur Erlangung der IuK-Sicherheit Risikoanalysen ITSEC und Common Criteria (CC) Vergleich zwischen CC und ITSEC Kurzüberblick Common Criteria Sicherheitsarchitektur offener Systeme Sicherheitsphilosophie und Sicherheitspyramide Evaluierung der Gesamtunternehmenssicherheit Verschlüsselung Verschlüsselungstechniken Substitutionstechniken Transpositionstechniken Symmetrische Kryptosysteme Blockchiffre und Stromchiffre DES, Triple DES, IDEA und AES Triple DES IDEA AES RIJNDAEL Asymmetrische Kryptosysteme Schlüsselaustauschverfahren Diffie-Hellman, RSA, ELGamal, DSA Kryptograpische Hashfunktionen Digitale Signatur Mechanismen einer digitalen Signatur Bedeutung der digitalen und der elektronischen Signatur PKI und Trust Center x.500 und x.509v Zertifizierung und Validierung PKI-Unterscheidungsmerkmale Einsatz von Digitalen Zertifikaten 174

4 Inhaltsverzeichnis IX 5 Verfahren zur Authentifizierung Einfache Authentifizierungsverfahren Starke Authentifizierungsverfahren Ein-Wege-Authentifizierung Zwei-Wege-Authentifizierung Drei-Wege-Authentifizierung Zwei-Faktoren-Authentifizierung in der Praxis Zeitsynchrone Authentifizierung mittels Token-Cards Speicherkarten und Smart-Cards Authentifizierungsverfahren in der Anwendung Die PPP-Verbindung als Voraussetzung für PAP und CHAP Password Authentication Protocol (PAP) Challenge-Handshake Authentication Protocol (CHAP) Die AAA-Sicherheitsarchitektur Remote Authentication Dial-In User Service (RADIUS) Terminal Access Controller Access Control System (TACACS) Vergleich zwischen RADIUS und TACACS Kerberos 202 Teil III Die reale Welt der VPN Varianz der VPN-Typen VPN Einsatzmöglichkeiten Intranet-VPN (Site-to-Site) 217^ Extranet-VPN (End-to-End) Remote-Access-VPN (End-to-Site) Eckpunkte für den Einsatz eines VPN VPN-Sicherheitspolitik VPN und Firewall VPN und Router Quality-of-Service in VPN Diffserv in VPN 227

5 X Inhaltsverzeichnis 7 VPN-Basistechnologien Tunneling Layer-2-Techniken L2F PPTP L2TP L2Sec Layer-3-Techniken Sicherheitsstandard für das Internet (IPSec) Das Ziel von IPSec Die IPSec-Sicherheitsvereinbarungen (SA) IPSec-Authentifizierung mittels AH-Header IPSec-Vertraulichkeit mittels ESP-Header Transport- und Tunnel-Modus Kombinationen von Security Associations Initiierung einer Security Association IPSec und Remote Access Das Internet-Key-Exchange-Management (IKE) IKE-Phase YKE-Fhase-2-Quick Mode Das Internet Security Association and Key Management Protocol (ISAKMP) Das Oakley-Schlüssel-Protokoll (Oakley) Das Simple Key Management for Internet Protocols (SKIP) Layer-2- und Layer-3-Vergleich Layer-4-Techniken Secure Socket Layer (SSL) und Transport Layer Sicherheit (TLS) Vergleich zwischen IPSec und SSL/TLS Layer-5-Techniken SOCKSV.5 294

6 Inhaltsverzeichnis XI 8 Provider-Netze - sichere Kommunikation über fremde Netze Provider-Netze und Netzstrukturen IP-VPN über Wählverbindungen VPN über fremde Netze Referenzmodell für ein verwaltetes CE-basierendes VPN Referenzmodell für ein Netzwerk-basierendes VPN Netzwerk-Performance und Management Sicherheitsaspekte Service-Vereinbarungen (SLA) VPN-Klassifizierungen Vergleichsverfahren und Anforderungen Einsatz von Virtuellen Privaten Netzen VPN-Marktbetrachtungen IPSec und MPLS für VPN der zweiten Generation IPSec und Performance Aspekte Planungsaspekte Phasenplan zur Durchführung eines VPN-Projektes Analyse Konzeption Realisierung Betrieb Schlussbemerkung 356 Literaturverzeichnis 358 Stichwortverzeichnis 365