Virtual Private Networks

Ähnliche Dokumente
Kurzeinführung VPN. Veranstaltung. Rechnernetze II

VPN - Virtuelle Private Netzwerke

Modul 4: IPsec Teil 1

IPsec. Chair for Communication Technology (ComTec), Faculty of Electrical Engineering / Computer Science

- Gliederung - 1. Motivation. 2. Grundlagen der IP-Sicherheit. 3. Die Funktionalität von IPSec. 4. Selektoren, SPI, SPD

IPSec. Markus Weiten Lehrstuhl für Informatik 4 Verteilte Systeme und Betriebssysteme Universität Erlangen-Nürnberg

Überblick. Fragmentierung IPv4. IPv6 IPsec. Aufbau ICMP Adress Auflösung

IPsec Hintergrund 1 Überblick

3.2 Vermittlungsschicht

8.2 Vermittlungsschicht

Internet-Praktikum II Lab 3: Virtual Private Networks (VPN)

Prof. Dr. Martin Leischner Netzwerksysteme und TK. Hochschule Bonn-Rhein-Sieg. Modul 5: IPSEC

Rechnernetze II SS Betriebssysteme / verteilte Systeme rolanda.dwismuellera@duni-siegena.de Tel.: 0271/ , Büro: H-B 8404

VIRTUAL PRIVATE NETWORKS

IPSec und IKE. Richard Wonka 23. Mai 2003

VPN. Virtuelles privates Netzwerk. Vortrag von Igor Prochnau Seminar Internet- Technologie

VPN Virtual Private Network

Gestaltung von virtuellen privaten Netzwerken (VPN) - Tunneling und Encryption

VPN: Virtual Private Network. Präsentiert von Abouchdak und Ben Guirat

Systeme II. Christian Schindelhauer Sommersemester Vorlesung

Security Associations Schlüsseltausch IKE Internet Key Exchange Automatischer Schlüsseltausch und Identitätsnachweis

IPsec. Vortrag im Rahmen des Seminars Neue Internet Technologien

Layer 2 Forwarding Protokoll. Chair for Communication Technology (ComTec), Faculty of Electrical Engineering / Computer Science

Systeme II 4. Die Vermittlungsschicht

VPN unterstützt 3 verschiedene Szenarien: Host to Host: Dies kennzeichnet eine sichere 1:1 Verbindung zweier Computer, z.b. über das Internet.

Netze und Protokolle für das Internet

NAT & VPN. Adressübersetzung und Tunnelbildung. Bastian Görstner

IT-Sicherheit - Sicherheit vernetzter Systeme -

VPN: wired and wireless

P107: VPN Überblick und Auswahlkriterien

Virtuelle Private Netzwerke in der Anwendung

IPSec. Motivation Architektur Paketsicherheit Sicherheitsrichtlinien Schlüsselaustausch

NCP Secure Entry macos Client Release Notes

VPN: wired and wireless

Rechnernetze II SS Betriebssysteme / verteilte Systeme Tel.: 0271/ , Büro: H-B 8404

Virtuelle Private Netzwerke

VPN: SSL vs. IPSec. erfrakon - Erlewein, Frank, Konold & Partner Martin Konold Dr. Achim Frank. Präsentation auf dem

IPSEC Gruppenarbeit im Fach Kryptografie HTA Horw

2.4 Hash-Prüfsummen Hash-Funktion message digest Fingerprint kollisionsfrei Einweg-Funktion

2G04: VPN Überblick und Auswahlkriterien

Vorlesung VPN: Drahtgebunden und drahtlos Fachbereich Informatik (FB 20) Lehrstuhl Prof. J. Buchmann

Virtual Private Network / IPSec

VPN über IPSec. Internet. AK Nord EDV- Vertriebsges. mbh Stormstr Itzehoe. Tel.: +49 (0) Fax:: +49 (0)

Site2Site VPN S T E F A N K U S I E K B F W L E I P Z I G

VPN Virtual Private Network

VPN: Virtual-Private-Networks

IKEv1 vs. v2. Wie verändert die Version 2 von IKE das Verhalten? Netzwerksicherheit - Monika Roßmanith CNB, Simon Rich CN

Sicherheit in Netzen und verteilten Systemen

VOLLE ZUGANGSKONTROLLE FÜR IHR WLAN

NCP Exclusive Remote Access Client (ios) Release Notes

Peer-to-Peer- Netzwerke

IT-Sicherheit Kapitel 10 IPSec

3 VPNProtokolle. 3.1 Einleitung

IPSec. Michael Gschwandtner, Alois Hofstätter, Roland Likar, Horst Stadler. Jänner 2003

Seminar: Konzeptionen von Betriebssystems Komponenten

Virtual Private Networks Hohe Sicherheit wird bezahlbar

Prinzipiell wird bei IP-basierenden VPNs zwischen zwei unterschiedlichen Ansätzen unterschieden:

IT-Sicherheit - Sicherheit vernetzter Systeme -

Knowledge Base IPSec-Tunnel zwischen Fortigate und Draytek Vigor

Firewalls und Virtuelle Private Netze

8 Sichere Kommunikationsdienste ITS-8.1 1

Kryptographie und IT-Sicherheit

Handout. Holger Christian. Thema: VPN

NCP Exclusive Remote Access Client (ios) Release Notes

Remote Access. Virtual Private Networks. 2000, Cisco Systems, Inc.

Workshop: IPSec. 20. Chaos Communication Congress

Thema: Internet Protokoll Version 6 IPv6 (IPng)

Konstruktion von MACs. Message Authentication Codes. Sicherheitsmodell CBC-MAC

Sicherheit in der Netzwerkebene

LANCOM Techpaper Performance

Dokumentation über IPSec

Sicherheit in Netzen Modul 5: TLS Transport Layer Security Teil 1

Virtual Private Networks Cisco IPSEC kompatible VPN Clients Microsoft Windows / opensuse Linux / Mac OS X

Sicherheitsdienste in IPv6

6-2. Sicherheit in Netzen u. verteilten Systemen Kapitel 6: Anwendungen u. Protokolle. Vertraulichkeit im WWW. IBR, TU Braunschweig

Vorlesung. Rechnernetze II Teil 14. Sommersemester 2004

Exkurs: IPSec. Brandenburg an der Havel, den 5. Juni 2005

Systeme II. Christian Schindelhauer Sommersemester Vorlesung

APM3 - OpenS/WAN 1. IPSec mit. Version Betriebssystem: Debian Sarge Testing Kernel: von Alexander Parret WS 2005/05. Fach: APM3 FH-Worms

Virtual Private Networks. Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH

WLAN-Technologien an der HU

Message Authentication Codes. Konstruktion von MACs. Hash-then-Encrypt. Sicherheitsmodell

Sichere Kommunikation mit IPsec

VPN Gateway (Cisco Router)

Sichere Netzwerke mit IPSec. Christian Bockermann

Security + Firewall. 3.0 IPsec Client Einwahl. 3.1 Szenario

NCP Secure Enterprise Client (ios) Release Notes

HowTo SoftEther VPN Server (global)

NCP Secure Enterprise Client (ios) Release Notes

Virtual Private Network. David Greber und Michael Wäger

Netzsicherheit Architekturen und Protokolle IP Security (IPsec) 1. Bausteine der Datensicherung 2. IPsec 3. Bewertung

NCP Secure Enterprise Client (ios) Release Notes

FAQ zur Kommunikation

Secure Real-time Communication

Sicherheit im Internet

IT-Sicherheit - Sicherheit vernetzter Systeme -

Werner Anrath. Inhalt

IPSec-VPN site-to-site. Zyxel USG Firewall-Serie ab Firmware-Version Knowledge Base KB-3514 September Zyxel Communication Corp.

Transkript:

Virtual Private Networks Veranstaltung Sicherheit in Rechnernetzen

Übersicht Was bedeutet VPN? VPN Typen VPN Anforderungen VPN mit IPsec

Was sind VPNs? Virtuelles Privates Netzwerk Mehrere entfernte lokale Netzwerke werden wie ein zusammenhängendes behandelt Zwischenliegende Netzwerke gelten als transparent Vertraulichkeit der lokalen Strukturen muss gewahrt bleiben

VPN Typen Remote-Access VPN Branch Office VPN Extranet VPN VPN Service Provider Intranet VPN

Remote Access Koncentrator

Remote Access Koncentrator Für jede Einwahltechnik muss Schnittstelle angeboten werden (GSM, ISDN, Analog) Primärmultiplexanschluss bietet in Deutschland (hier als S2M bezeichnet) 2048 kbit/s und 30 Nutzdatenkanäle Nutzung von Kabelmodems, DSL o.ä. Nicht möglich Hohe Kosten der Hardware Hohe Einwahlgebühren (wegen möglicher Ferngespräche)

Remote-Access VPN

Remote-Access VPN Einwahl erfolgt über Internet Service Provider (ISP) Einwahltechnik nur Abhängig von ISP Kunde benötigt nur noch einen Konzentrator, der Tunnel vom ISP terminiert Einwahl zu Orts- oder Spezialtarifen VPN-Konzentrator günstiger, da einfachere Technik

WAN Verbindungen

WAN Verbindungen Fest vorgegebene Verbindung Z.B. durch ATM, Frame Relay oder Standleitungen Qualität/Durchsatz der Verbindung wählbar Kosten abhängig von Entfernung Abhilfe Branch-Office

Branch Office VPN

Branch Office VPN Auch als Site-to-Site VPN bezeichnet Günstig bei großen Entfernungen, da Strecke zwischen POPs (Point of Presence) vom Internet überbrückt wird Verbindungen zwischen den POPs möglicherweise etwas schlechter

Extranet VPN

Extranet VPN Bietet externen Personen (limitierten) Zugang zum eigenen Netzwerk Externe Verbindung wird über eine Firewall umgeleitet Zugriffsbeschränkungen, Audit, Filterung usw. sind möglich

VPN Service Provider Vollständiger Eigenbetrieb Carrier und Provider stellen Internetzugang bereit Access-Equipment-Outsourcing LAN Anschluss wird vom Provider bereitgestellt Kunde betreibt VPN Gateway in Eigenregie

VPN Service Provider VPN- und Access-Equipment-Outsourcing VPN Management obliegt dem Kunden, Systemkonfiguration ist Aufgabe des Providers Abhören durch Ermittlungsbehörden möglich Vollständiges VPN-Outsourcing Einfachste Form des VPN für den Kunden Vollständige Kontrolle inkl. Verschlüsselungsstärke und Benutzerverwaltung liegen beim Provider

Intranet VPN Virtual LANs, meist unverschlüsselt Protokollbasiert (erfordert Layer 3 Switch) MAC-basiert Portbasiert

Anforderungen an VPNs Datenvertraulichkeit Schlüsselmanagement Paket-Authentifizierung Datenintegrität Benutzer-Authentifizierung und Autorisierung Schutz vor Sabotage Schutz vor unerlaubtem Eindringen

Datenvertraulichkeit Datenverkehr darf nicht mitgelesen werden können Zuordnung von Quelle, Ziel, Port verhindern => Tunneling Meist Verwendung symmetrischer Verschlüsselung z.b. DES, Triple-DES

Schlüsselmanagement Gängige VPN arbeiten mit kurzlebigen Schlüsseln (wenige Stunden, einmalige Sitzung usw.) Manuelle Schlüsselverteilung fällt aus Out-of-Band Verfahren sind zu aufwendig, da weiteres Kommunikationsmedium benötigt wird Häufigste Form sind Public-Key Verfahren

Paket-Authentifizierung Pakete mit gefälschten Adressen und neu berechneten Prüfsummen müssen erkannt werden Jedes ankommende Paket wird authentifiziert Symmetrische Schlüssel Shared Secret Aus Effizienzgründen meist mit Prüfung der Datenintegrität kombiniert

Datenintegrität Es muss gewährleistet sein, dass ankommende Pakete nicht verfälscht wurden Einsatz von Prüfsummen Einfache Prüfsumme kann vom Angreifer neu berechnet werden Prüfsummen werden meist mit symmetrischer Verschlüsselung gesichert Asymmetrische Verfahren hier i.d.r. zu aufwendig

Benutzer-Authentifizierung Besonders wichtig bei Remote-Access VPNs Gute Konzentratoren bieten eine Reihe abgestufter Verfahren zur Authentifizierung an (siehe auch Proxy VL) Passwort PKI Tokens

Benutzer-Autorisierung Besonders wichtig bei Extranet Zugriffssteuerung auf Benutzer- oder Gruppenebene wird von VPNs nicht unterstützt Filterung aufgrund von Adressen, Ports usw. möglich Weitere Autorisierung nur durch Proxy bzw. auf lokaler Ebene möglich

Schutz vor Sabotage Primäre Angriffsformen sind auch hier DoS Angriffe Speziell gegen DDoS Angriffe sind VPNs (theoretisch) besonders anfällig Ausfall Konzentrator => Teilnetz nicht erreichbar

Schutz vor unerlaubtem Eindringen Physische Sicherheit Verschliessen der Geräte Geräteräume unter Verschluss halten Interface Sicherheit IP Stack härten (Funktionalität beschränken) VPN nicht auf unsicherem Betriebssystem aufsetzen

Schutz vor unerlaubtem Eindringen Betriebssicherheit Zugriff von innen verhindern (Administrative Zugriffe im LAN verschlüsseln) Interne Konfigurationszugänge minimieren Hintertüren vermeiden

Tunnel Technologien Layer 2 Tunneling Protocol (L2TP) IP Security Protocol (IPsec) Gehört in IPv6 zum Standard Für IPv4 zusätzliche Installation notwendig

IPsec Implementierungen

IPsec Bietet Paketintegrität Verwendung von HMAC (Hash-based Message Authentication) vorgeschrieben Hashwert durch symmetrische Verschlüsselung abgesichert Paketauthentifizierung Ergibt sich aus Paketintegrität Paketvertraulichkeit Inhalte der IP Pakete wird symmetrisch verschlüsselt

IPsec Bietet Verkehrsflussvertraulichkeit Durch Tunnelmodus gewährleistet Schutz vor Replay-Angriffen Jedes Paket wird durch ARS (Anti Replay Service) auf Wiederholungen geprüft Schutz vor diversen DoS Angriffen VPN-Gateway nimmt nur Protokolle 50, 51 (IPsec) und UDP auf Port 500 (IKE) an Alles andere wird ohne Meldung verworfen

Datenverschlüsselung Symmetrische Verschlüsselung Modus: Cypher Block Chaining mit explizitem Initialisierungsvektor Gängige Verfahren und Schlüssellängen (Triple-)DES, Blowfish, IDEA, Cast, RC5 56 Bit (DES) - 448 Bit (Blowfish)

DES im CBC Modus mit IV

Integritätsprüfung Vorgeschriebene Verfahren HMAC-MD5-96 und HMAC-SHA1-96 Gelten als sicher gegenüber Kollisionen Sicherheit beruht auf symmetrischen Schlüsseln, die per IKE (Internet Key Exchange) ausgetauscht wurden Die niederwertigen 32 Bit des 128 Bit langen Wertes werden entfernt

HMAC

Integritätsprüfung ICV=Integrity Check Value

Anti-Replay-Service Erkennung doppelter bzw. veralteter Pakete Pakete werden durch monoton steigende 32Bit Sequenznummer markiert Empfänger hat 32 oder 64 Bit Empfangsfenster Eintreffende Pakete links davon werden verworfen Pakete rechts davon verschieben das Fenster

Anti-Replay-Service

ARS Problem IPsec sieht u.u. vor, die Integritäts- und Authentizitätsprüfung abzuschalten Dadurch können falsche Pakete mit zu großen Sequenznummern eingespielt werden ARS verschiebt Fenster zu schnell nach rechts Gültige Pakete werden verworfen Gefälschte Pakete werden erst nach Entschlüsselung erkannt

IPsec Sicherheitsassoziation (SA) Bestimmt das Verhalten von IPsec Verwendete Verschlüsselung Lebensdauer der SA Authentifizierungsprotokoll Verbindungsdaten werden jeweils in die Security Association Database (SAD) eingetragen Eine SA ist immer unidirektional Mehrere SAs über eine Verbindung möglich Z.B. bei Paketen mit verschiedener Sicherheitsstufe

Sicherheitsassoziation PFS=Perfect Forwarding Secrecy (siehe IKE Protokoll)

IPsec Sicherheitsassoziation (SA) Identifizierung der SA anhand des Security Parameter Index (SPI) Wichtig falls mehrere SAs innerhalb eine IP Verbindung mit gleichem Protokoll existieren und sich nur in Verschlüsselungsstärke unterscheiden SAs werden i.d.r. durch IKE-Protokoll erzeugt Löschen der SA erfolgt auch durch IKE, wenn Verbindsdauer überschritten Maximale Anzahl von Daten übertragen

Security Policy Security Policy Database (SPD) Beinhaltet Regeln für die Behandlung ein- und ausgehender Pakete discard - Pakete werden nicht bearbeitet bypass - Pakete umgehen IPsec apply - Verweis auf SA wird zurückgeliefert und Datagramm entsprechend bearbeitet Falls keine SA existiert wird sie per IKE erzeugt

Betriebsmodi Tunnelmodus Einbettung des originalen IP Paketes Schütz das gesamte IP Paket Kann in allen Einsatzszenarien verwendet werden Transportmodus Schütz den Datenbereich des IP Paketes Kann nur für Host zu Host Verbindungen genutzt werden

Einsatzszenarien

Authentication Header Sichert Authentizität und Integrität der Daten ARS kann eingesetzt werden Dient nicht zur vertraulichen Datenübertragung Schutz erstreckt sich über das gesamte Paket (auch IP Kopf) NAT somit nicht möglich

Authentication Header

AH-Paketformat

AH-Paketformat Next Header Gibt Protokoll des Inhaltes an (Transportmodus) Im Tunnelmodus immer Wert 4 (IP) Payload Lenght Länge des Kopfes in Vielfachen von 64 Bit

Encapsulating Security Payload-ESP Wie AH + Datenvertraulichkeit IP Kopf wird nicht mit authentifiziert Authentifizierungdaten werden hinten angehangen Erlaubte Variationen ESP mit Verschlüsselung (nicht sinnvoll) ESP mit Integritätscheck ESP mit beidem

Encapsulating Security Payload

ESP-Paketformat

ESP-Paketformat Initialisierungsvektor für CBC Padding Einige Verschlüsselungsalgorithmen erwarten vielfaches einer bestimmten Blocklänge Padding Länge 0 falls kein Padding verwendet wird Next Header Wie AH

Verarbeitung eines ESP Pakets

Zusammenfassung VPN bieten günstige und sichere Möglichkeit zur Verbindung weit entfernter lokaler Netze IPsec Einfache und meist sichere Methode für Einsatz von VPN Konzept in sich aufwendig großer Overhead

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback