Modul 5 VPNs und IPSEC



Ähnliche Dokumente
Modul 4 VPNs und IPSEC

Modul 4 Virtuelle Private Netze (VPNs)

Prof. Dr. Martin Leischner Netzwerksysteme und TK. Hochschule Bonn-Rhein-Sieg. Modul 5: IPSEC

Modul 4: IPsec Teil 1

Modul 4 Virtuelle Private Netze (VPNs)

Modul 6 Virtuelle Private Netze (VPNs) und Tunneling

Modul 6 Virtuelle Private Netze (VPNs) und Tunneling

VPN: Virtual-Private-Networks

VIRTUAL PRIVATE NETWORKS

VPN unterstützt 3 verschiedene Szenarien: Host to Host: Dies kennzeichnet eine sichere 1:1 Verbindung zweier Computer, z.b. über das Internet.

VPN Virtual Private Network

Prinzipiell wird bei IP-basierenden VPNs zwischen zwei unterschiedlichen Ansätzen unterschieden:

Virtual Private Networks Hohe Sicherheit wird bezahlbar

Modul 4 Virtuelle Private Netze (VPNs) und Tunneling

Workshop: IPSec. 20. Chaos Communication Congress

VPN: wired and wireless

VPN IPSec Tunnel zwischen zwei DI-804HV / DI-824VUP+

IPSec und IKE. Richard Wonka 23. Mai 2003

VPN (Virtual Private Network)

Bernd Blümel. Verschlüsselung. Prof. Dr. Blümel

IPsec. Vortrag im Rahmen des Seminars Neue Internet Technologien

VPN Gateway (Cisco Router)

Sicherheit in der Netzwerkebene

Security Associations Schlüsseltausch IKE Internet Key Exchange Automatischer Schlüsseltausch und Identitätsnachweis

NAT & VPN. Adressübersetzung und Tunnelbildung. Bastian Görstner

Dynamisches VPN mit FW V3.64

Netze und Protokolle für das Internet

Exkurs: IPSec. Brandenburg an der Havel, den 5. Juni 2005

Dynamisches VPN mit FW V3.64

P107: VPN Überblick und Auswahlkriterien

Internet-Praktikum II Lab 3: Virtual Private Networks (VPN)

IT-Sicherheit Kapitel 10 IPSec

VPN Virtual Private Networks

Virtual Private Networks. Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH

IPSec. Michael Gschwandtner, Alois Hofstätter, Roland Likar, Horst Stadler. Jänner 2003

Beispielkonfiguration eines IPSec VPN Servers mit dem NCP Client

TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL

Konfigurationsbeispiel USG

Eine Open Source SSL VPN Lösung. Patrick Oettinger Deutsche Telekom AG 2. Ausbildungsjahr

Inhalt. Erreichbarkeit von VPN-Gateways hinter einem Genexis FTTH-Abschlussrouter

Vorlesung VPN: Drahtgebunden und drahtlos Fachbereich Informatik (FB 20) Lehrstuhl Prof. J. Buchmann

Gestaltung von virtuellen privaten Netzwerken (VPN) - Tunneling und Encryption

Sicherheitsdienste in IPv6

Aurorean Virtual Network

Virtuelle Private Netzwerke

im DFN Berlin Renate Schroeder, DFN-Verein

Autor: St. Dahler. Für Phase 2, der eigentlichen Verschlüsselung der Daten stellen Sie das ESP Protokoll ein mit der Verschlüsselung DES3 und SHA1.

Programmiertechnik II

Virtual Private Network. David Greber und Michael Wäger

VPN: SSL vs. IPSec. erfrakon - Erlewein, Frank, Konold & Partner Martin Konold Dr. Achim Frank. Präsentation auf dem

IP Integration Sysmess Multi und Compact Firmware 3.6,X, July 2014

Multicast Security Group Key Management Architecture (MSEC GKMArch)

ITF Funktionsbeschreibung

Diameter. KM-/VS-Seminar. Wintersemester 2002/2003. schulze_diameter.ppt Christian Schulze_03-Februar-07

HOBLink VPN 2.1 Gateway

IKEv1 vs. v2. Wie verändert die Version 2 von IKE das Verhalten? Netzwerksicherheit - Monika Roßmanith CNB, Simon Rich CN

Erste Vorlesung Kryptographie

Anwendungsprotokolle: HTTP, POP, SMTP

Konfigurationsbeispiel

Sicherer Netzzugang im Wlan

Sicherheit in Netzwerken. Leonard Claus, WS 2012 / 2013

Virtuelle Netze. Virtuelle Netze von Simon Knierim und Benjamin Skirlo 1 Von Simon Knierim & Benjamin Skirlo.

VPN Tracker für Mac OS X

Konfigurationsanleitung Access Control Lists (ACL) Funkwerk. Copyright Stefan Dahler Oktober 2008 Version 1.0.

STARFACE SugarCRM Connector

VPN. Virtuelles privates Netzwerk. Vortrag von Igor Prochnau Seminar Internet- Technologie

Transition vom heutigen Internet zu IPv6

4 Netzwerkzugriff. 4.1 Einführung. Netzwerkzugriff

Einrichtung von VPN für Mac Clients bei Nortel VPN Router

3C02: VPN Überblick. Christoph Bronold. Agenda. VPN Überblick VPN Technologien für IP VPN Netzwerk Design VPN Auswahlkriterien

HowTo: Einrichtung einer IPSec Verbindung mit einem IPSEC VPN Client zum DWC-1000 am Beispiel der Shrewsoft VPN Clientsoftware

Voraussetzungen für die Nutzung der Format Rechenzentrumslösung (Hosting)

VirtualPrivate Network(VPN)

How-to: VPN mit IPSec und Gateway to Gateway. Securepoint Security System Version 2007nx

ISA Server 2004 Site to Site VPN mit L2TP/IPSEC - Von Marc Grote

Inhaltsverzeichnis. Teil I VPN-Technologie Danksagungen... XIII

Einführung in die Netzwerktechnik

VPN: Nochmal ein Kilo bitte?

IPSec. Markus Weiten Lehrstuhl für Informatik 4 Verteilte Systeme und Betriebssysteme Universität Erlangen-Nürnberg

1. IPSec Verbindung zwischen 2 Gateways mit dynamischen IP Adressen

Kurzeinführung VPN. Veranstaltung. Rechnernetze II

Modul 2: IPSEC. Ergänzung IKEv2. Prof. Dr. Martin Leischner Netzwerksysteme und TK. Hochschule Bonn-Rhein-Sieg

L2TP over IPSec mit Windows Mobile 5 für die VPN-Services an der Technischen Universität Wien.

Senden von strukturierten Berichten über das SFTP Häufig gestellte Fragen

Anleitung zur Einrichtung eines Lan-to-Lan Tunnels zwischen einen DI-804HV und einer DSR (Für DI-804HV ab Firmware 1.44b06 und DSR-250N/500N/1000N)

Collax PPTP-VPN. Howto

Virtuelle Private Netze (VPN) Copyright und Motivation und sowas

VPN / Tunneling. 1. Erläuterung

ADSL-Verbindungen über PPtP (Mac OS X 10.1)

HowTo: Einrichtung von L2TP over IPSec VPN

- Gliederung - 1. Motivation. 2. Grundlagen der IP-Sicherheit. 3. Die Funktionalität von IPSec. 4. Selektoren, SPI, SPD

Security Scan Wireless-LAN. Zielsetzung & Leistungsbeschreibung

How-to: Webserver NAT. Securepoint Security System Version 2007nx

Transkript:

Fchhochschule Modul 5 VPNs und SEC M. Lechner Sicherheit in Netzen Folie 1 Fchhochschule 5.1 VPNs M. Lechner Sicherheit in Netzen Folie 2

Fchhochschule Virtuelle Privte Netze - Begriffdefinition Formle Definition "A "A VPN VPN communictions communictions environment environment in in which which ccess ccess controlled controlled to to permit permit peer peer connections connections only only within within defined defined community community interest, interest, nd nd constructed constructed though though some some form form prtitioning prtitioning common common unlying unlying communictions communictions medium, medium, where where th th unlying unlying communictions communictions medium medium provides provides services services to to the the on on non-exclusive non-exclusive bs." bs." (Gef (Gef Huston, Huston, Pul Pul Ferguson: Ferguson: "Wht "Wht VPN?" VPN?" White White pper, pper, Mrch Mrch 1998. 1998. (http://www.potroo.net/ppers/vpn.pdf) (http://www.potroo.net/ppers/vpn.pdf) Kurzdefinition "A "A VPN VPN privte privte constructed constructed within within public public infrstructure, infrstructure, such such s s the the globl globl Internet." Internet." (Gef (Gef Huston, Huston, Pul Pul Ferguson: Ferguson: see see bove) bove) M. Lechner Sicherheit in Netzen Folie 3 Fchhochschule Wrum VPNs? - Anforungen Erwrtete Benefits: einfcheres und dmit kostengünstigeres Mngement des Netzes einfche geogrphche Erweiterung des Netzes einfche Anbindung von Telerbeitsplätzen vereinfchte Netztopologie Breitbndige Netzkpzität erhöhte Sicherheit schnellerer ROI (Return On Investment) ls bei trditioneller WAN-Lösung Huptmerkmle einer guten Lösung: Sicherheit / Zuverlässigkeit / Sklierbrkeit / Netzmngement / Policy- Mngement M. Lechner Sicherheit in Netzen Folie 4

Fchhochschule Relierung von -VPNs mittels Tunneling Tunneling (klssche Definition): Relierung eine Schicht-N-Kommuniktionsbeziehung über einen Schicht-M-Träger (Netz o Kommuniktionsbeziehung), wobei N <= M Heute flexiblere Verwendung Bepiel: Link-Lyer-VPN Dten L3 H3 PPP(L2) Drei Typen von Protokollen im Zusmmenhng mit Tunneling: Träger-Protokoll (crrier protocol): ds Protokoll, ds die Informtionen trnsportiert (z.b., UDP). UDP Tunnel-Protokoll (encpsulting protocol): ds Protokoll, ds die Originldten kpselt (z.b. Sec, GRE (Generic Route Encpsultion, -in--tunnel, RFC 1701), L2F, PPTP, L2TP (Lyer 2 Tunneling, RFC 2601) Pssgier-Protokoll (pssenger protocol): ds Protokoll, ds für die Originldten steht, die zu trnsportieren sind. L2TP Bepiel Crrier Crrier Encpsultor Encpsultor Pssenger Pssenger /UDP /UDP PPTP/L2F/L2TP PPTP/L2F/L2TP PPP PPP (Dt) (Dt) M. Lechner Sicherheit in Netzen Folie 5 Fchhochschule Typen von VPNs Gtewy Gtewy Server Gtewy Gtewy Server Gtewy Gtewy End-to-End End-to-End VPN VPN Site-to-Site Site-to-Site VPN VPN Server öffentliches Netz Public Crrier Gtewy Gtewy Firmen-Netz Remote RemoteAccess VPN VPN Tunnel M. Lechner Sicherheit in Netzen Folie 6

Fchhochschule 5.2 SEC M. Lechner Sicherheit in Netzen Folie 7 Fchhochschule SEC Überblick 2 Modi: Trnsport-Mode (=Originlhe) Tunnel-Mode (=gekpselt): ermöglicht den Aufbu virtueller Netze. Authentiction He (AH): für Integrität + Authentität Encpsulting Security Pylod (ESP): für Vertrulichkeit + Authentität Security Assosition (SA): "Verbindungskontext" Security prmeter index (SPI): dient Identifiktion des Verbindungskontextes Security policy dtbse (SPD): regelt dieanwendung des richtigen Verbindungskontextes SA dtbse (SAD): dynmches Repository für Verbindungskontexte Mngement von Sicherheitsssozitionen (Internet Key Exchnge, IKE) Internet Security Assocition nd Key Mngement (ISAKMP): Abstrkte Protokollbs zum Etblieren von SAs Okley: Schlüsselustusch bsierend uf Deffie-Hellmnn Domin Interprettion (DOI): konkrete Spezifiktion vereinbrten Prmeter und Konventionen M. Lechner Sicherheit in Netzen Folie 8

Fchhochschule Verschiedene Tunnel-Konfigurtionen Host Gtewy Gtewy Host ds liefert SEC Tunneling = virtuelle Leitungen in einem verbindungslosen Netz. Flexible Kombintion von Tunneling mit Verschlüsselung und Authentierung. M. Lechner Sicherheit in Netzen Folie 9 Fchhochschule Trnsport- und Tunnelmode -He Dten f -He f(dten) nur Länge modifiziert -He Dten f neuer -He f(-he, Dten) M. Lechner Sicherheit in Netzen Folie 10

Fchhochschule AH im Trnsport Mode / AH im Tunnel Mode -He TCP/UDP-He Dten -He AH-He TCP/UDP-He Dten Authentifiziert -He TCP/UDP-He Dten -He AH-He -He TCP/UDP-He Dten Authentifiziert M. Lechner Sicherheit in Netzen Folie 11 Fchhochschule ESP (Encpsulting Security Pylod) im Trnsport Mode -He TCP/UDP-He Dten -He ESP-He TCP/UDP-He Dten ESP-Triler Verschlüsselt Authentifiziert M. Lechner Sicherheit in Netzen Folie 12

Fchhochschule ESP im Tunnel Mode -He TCP/UDP-He Dten -He ESP-He -He TCP/UDP-He Dten ESP-Triler Verschlüsselt Authentifiziert M. Lechner Sicherheit in Netzen Folie 13 Fchhochschule Aufbu des AH-He und EPS-Formt Pointer Pointer dient dient mit mit zur zur eindeutigen eindeutigen Identifzierung Identifzierung einer einer SA SA Next He Pylod Length Reserved Security Prmeters Index(SPI) Sequence Number Authentiction Dt (Vrible length 32-bit words) gegen gegen Reply Reply Security Prmeters Index (SPI) Sequence number Pylod Dt(vrible) Pdding Pd Length Next He Authentiction Dt (vrible) M. Lechner Sicherheit in Netzen Folie 14

Fchhochschule Security Assocition (SA) nur nur für für eine eine unidirektionle unidirektionle Verbindung Verbindung nur nur für für einen einen Mechnmus: Mechnmus: AH AH o o ESP ESP Ggf. Ggf. Bündel Bündel von von SA s SA s Eindeutige Eindeutige Identifizierung Identifizierung einer einer SA: SA: Security Security Prmeter Prmeter Index Index (SPI) (SPI) Bitstring mit lokler Bedeutung Bitstring mit lokler Bedeutung SPI Bestndteil von AH- und ESP- SPI Bestndteil von AH- und ESP- He He Verknüpfung mit SA Verknüpfung mit SA -Zieldresse -Zieldresse Endbenutzersystem o Endbenutzersystem o Netzwerksystem (Router, Firewll) Netzwerksystem (Router, Firewll) zur Zeit nur Unicst-Adressen erlubt zur Zeit nur Unicst-Adressen erlubt Sicherheitsprotokoll-ID: Sicherheitsprotokoll-ID: AH- AHo o ESP-SA ESP-SA EPS, tunnel mode EPS, tunnel mode EPS, trnsport mode M. Lechner Sicherheit in Netzen Folie 15 Fchhochschule Prmeter einer SA Sequence Number Counter: 32 Bitwert zum Zählen Pkete mit einer SA Lebensduer SA: Zeitintervll o Byte-Zähler Sec Protokoll-Modus: Tunnel, Trnsport Modus. AH-Informtion Authentifizierungslgorithmus Schlüssel Lebensduer des Schlüssels ESP-Informtion Verschlüsselungs- und Authentifizierungslgorithmus Schlüssel Anfngswerte Lebensduer des Schlüssels M. Lechner Sicherheit in Netzen Folie 16

Fchhochschule Abluf: Zu sendendes -Pket TCP/ 3. 3. Die Die Policies Policies werden werden wieholt wieholt ngewndt, ngewndt, b b die die SPD SPD vollständig vollständig bgerbeitet bgerbeitet t. t. Security Assocition Dtbse (SAD-out) SEC(AH/EPS) Security Policy DB (SPD-out) 2. 2. Anhnd Anhnd SPI SPI werden werden us us SAD SAD die die kryptogrphchen kryptogrphchen Prmeter Prmeter (benötigte (benötigte Algorithmen Algorithmen und und Schlüssel) Schlüssel) geliefert. geliefert. 1. 1. Anhnd Anhnd Zieldresse Zieldresse wird wird in in SPD SPD ermittelt, ermittelt, wie wie weiter weiter zu zu verfhren verfhren und und welcher welcher SPI SPI zu zu verwenden verwenden t. t. M. Lechner Sicherheit in Netzen Folie 17 Fchhochschule Orgntion von sec Admintrtor wrnt/meldet richtet ein, änt, löscht verwet uf konfiguriert SPD schut nch fort Einrichtung von SA n sec DOI IKE Okley SKEME ISAKMP Sockets TCP / UDP Anwendungen Anw. Prot. (http, ftp) SAD schut nch / sec Link M. Lechner Sicherheit in Netzen Folie 18 nch: Ghline Lbouret: Ipsec: technicl overview (Ghline.Lbouret@hsc.fr)

Fchhochschule Komponenten des sec-assozitionsmngements IKE (Internet Key Exchnge) Rhmen-Anwendung für ds Mngement SAs in SAD und für den Schlüsselustusch. Phse 1: Etblierung eines SAs für IKE Phse 2: Etblierung von sec SAs ISAKMP (Internet Security Assocition nd Key Mngement ) Met-Protokoll, ds Pkettypen und Formte für den Schlüsselustusch und ds Mngement von SAs definiert. Generche Opertionen für Aufbu und Mngement von SAs. DOI (Domin Interprettion) Die sec DOI t ein Dokument, ds die Prmeter und Konventionen definiert, die bei Verwendung von ISAKMP für die Zwecke von sec einzuhlten sind. ("Die sec DOI steuert ISAKMP") Okley Key Determintion / SKEME (Secure Key Exchnge Mechnm) Beide Protokolle definieren verschiedene Verfhren für den Schlüsselustusch, wobei die zu verwendenden kryptogrphchen Methoden nicht festgeschrieben sind. M. Lechner Sicherheit in Netzen Folie 19 Fchhochschule Übersicht Abluf von sec sec IKE Phse 1 Phse 2 SA-IKE SA-sec SA-sec SA-sec AH EPS trnsport tunnel M. Lechner Sicherheit in Netzen Folie 20

Fchhochschule wichtige RFCs im Umfeld sec RFC 2401 Security Architecture for the Internet RFC 2402 Authentiction He RFC 2403 The Use HMAC-MD5-96 within ESP nd AH RFC 2404 The Use HMAC-SHA-1-96 within ESP nd AH RFC 2405 The ESP DES-CBC Cipher Algorithm with Explicit IV RFC 2406 Encpsulting Security Pylod (ESP) RFC 2407 The Internet Security Domin Interprettion for ISAKMP RFC 2408 Internet Security Assocition nd Key Mngement (ISAKMP) RFC 2409 The Internet Key Exchnge (IKE) RFC 2410 The NULL Encryption Algorithm nd Its Use with Sec RFC 2411 Security Document Rodmp RFC 2412 The OAKLEY Key Determintion M. Lechner Sicherheit in Netzen Folie 21

2026 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback