VPN Gateway (Cisco Router)

VPN Gateway (Cisco Router) Mario Weber INF 03

Inhalt Inhalt... 2 1 VPN... 3 1.1 Virtual Private Network... 3 1.1.1 Allgemein... 3 1.1.2 Begriffsklärung... 4 1.2 Tunneling... 4 1.3 Tunnelprotkolle... 5 1.3.1 PPTP... 5 1.3.2 L2F... 6 1.3.3 L2TP... 6 1.3.4 IPsec... 7 1.3.4.1 Transportmodus... 8 1.3.4.2 Tunnelmodus... 8 1.3.4.3 Authentification Header... 9 1.3.4.4 Encapsulating Secutity Payload... 9 1.3.4.5 Internet Key Exchange... 10 1.4 Tunneltypen... 10 1.4.1 Freiwillige Tunnel... 10 1.4.2 Erzwungene Tunnel... 10 1.5 Anwendungen... 11 1.5.1 End to End VPN... 11 1.5.2 End to Site VPN... 11 1.5.3 Site to Site VPN... 12 2 Konfiguration eines VPN... 12 2.1 Eingesetzte Technik... 12 2.2 Erstellen und Import des Zertifikates... 13 2.3 Einrichten des VPN-Servers... 20 2.4 Einrichten des VPN-Client... 24 2.5 Test... 25 3 Zusammenfassung... 26 4 Quellen... 27

1 VPN 1.1 Virtual Private Network 1.1.1 Allgemein Ein virtuelles privates Netzwerk (VPN) verbindet zwei Netzwerke, die sich an unterschiedlichen Orten befinden, miteinander. Diese Verbindung wird über das Internet oder ein anderes öffentliches Netz hergestellt. VPN ermöglicht es Benutzern, die zu hause oder unterwegs arbeiten, eine sichere Verbindung mit einem Unternehmensserver unter Verwendung eines öffendlichen Netzes herzustellen. Für den Benutzer ist ein VPN eine Punkt zu Punkt verbindung zwischen Clint und Server. Mit VPN können Unternehmen auch verbindungen mit Zweigstellen über ein öffentliches Netz herstellen, dabei Arbeitet das VPN logisch wie ein WAN (Wide Area Network) zwischen den Standorten. VPN Verbindungen stellen sich für den Benutzer wie ein LAN dar, aber reell bleiben es eine Verbindung über ein öffendliches Netz. Daher der Name Virtuelles Privates Netzwerk. 3

1.1.2 Begriffsklärung Virtuell Virtuell bedeutet, dass etwas nicht in der Form existiert, in der sie zu wirken scheint, aber in ihrem Wesen und ihrer Wirkung einer real existierenden Sache gleichartig ist Privat Privat bedeutet, das etwas nicht für die öffendlichkeit bestimmt ist. 1.2 Tunneling Beim Tunnelverfahren (Tunneling) werden Daten zwischen VPN-Gateway und VPN-Client, über ein öffentliches Netz, übertragen. Das Tunneling erzeugt dabei ein Virtuelles Netz zwischen den Tunnelendpunkten. Das Tunnelportokoll kapselt an die Daten-Pakete ein oder mehrere zusätzliche Header (je nach dem welches Protokoll man verwendet). Die gekapselten Pakete werden dann über das Netz weitergeleitet. Der logische Pfad den die Gekapselten Pakete dabei nehmen, wird Tunnel genannt. Sobald die gekapselten Pakete ihr ziel erreicht haben wird die Kapselung aufgehoben. Das Tunneling enthält den gesamten beschriebenen Prozess (Kapselung, Übertragung und Entkapselung der Daten). Abbildung 2. Tunneling 4

1.3 Tunnelprotkolle Die Vorraussetzung für die Einrichtung eines Tunnels ist das Tunnelclient und auch Tunnelserver das gleiche Tunnelprotokoll verwenden. Für Tunneling gibt es zwei Ansätze. Zum einem das Layer 2 Tunneling welches der Schicht 2 des OSI Referenzmodells entspricht und zum anderen das Layer 3 Tunneling das der Schicht 3 des OSI Referenzmodells entspricht. Layer 2-Protokolle entsprechen der Sicherungsschicht (Data Link Layer) und verwenden Rahmen als Übertragungseinheit. Layer 2-Protokolle sind PPTP, L2TP und L2F. Diese kapseln Datenpakete in PPP-Rahmen, der über das Netz geschickt wird. Layer 3-Protokolle entsprechen der Vermittlungsschicht (Network Layer) und verwenden Pakete. Beispiele für Layer 3-Protokolle sind IP - over - IP und IPsec. Diese Protokolle kapseln IP - Pakete und einen zusätzlichen Header. 1.3.1 PPTP Das PPTP (Point - to - Point Tunneling Protokoll) wurde ursprünglich von Microsoft und Ascend entwickelt und ist aufgrund seiner Integration in Windows weit verbreitet. PPTP ist eine Erweiterung des PPP (Point - to - Point Protokoll). Es ermöglicht nicht nur die Übertragung von IP - Paketen, sondern auch von IPX- und NetBUI - Paketen. Je kommunitakionspartner kann nur ein Tunnel aufgebaut werden. Die Abbildung 3 zeigt wie ein PPTP - Paket vor der Übertragung gekapselt wird. 5

Abbildung 3. Aufbau eines PPTP - Paket GRE - Verfahren (Generic Routing Encapsulation) gekapselter PPP-Rahmen für getunnelte Daten 1.3.2 L2F L2F steht für Layer 2 Forwarding und ist eine von Cisco stammende Technologie. Es erlaubt den betrieb mehrerer Tunnel und mehrere Parallele Verbindungen innerhalb eines Tunnels. L2F hat eine schwache Benutzerauthentifizierung, es erfolgt keine Verschlüsselung der Daten und kann nur bei erzwungenen Tunneling verwendet werden. 1.3.3 L2TP L2TP (Layer 2 Tunneling Protokoll) ist eine Kombination von PPTP und L2F und soll die besten Merkmale beider vereinen. Es unterstützt verschiedene Protokolle und ermöglicht mehrere unabhängige, parallele Tunnel. 6

Abbildung 4. Aufbau eines L2TP-Paket 1.3.4 IPsec Das IPsec (IP Security Protokoll) wurde von der IETF (Internet Engineering Task Force) entwickelt und soll die Datensicherheit bei der IP - basierenden Kommunikation sicherstellen. Es kann nur in IP Netzwerken verwendet werden. Die zentralen Funktionen in der IPsec - Architektur sind: - AH - Protokoll (Authentification Header) - ESP - Protokoll (Encapsulating Secutity Payload) - IKE - Protokoll (Internet Key Exchange) IPsec kennt zwei Betriebsmodi: Der Transportmodus und den Tunnelmodus. 7

1.3.4.1 Transportmodus Im Transportmodus wird nur der Datenteil des IP - Paketes verschlüsselt. Der IP - Header bleibt unverändert. Zwischen den IP - Header und den Datenteil wird ein IPsec Header eingefügt (siehe Abbildung 5). Der Transportmodus kann die Verschlüsselung durch AH oder ESP nutzen. Abbildung 5. IPsec im Transportmodus 1.3.4.2 Tunnelmodus Im Tunnelmodus wird das gesamte IP - Paket verschlüsselt und mit neuen IP und IPsec Header versehen. Der neue IP Header enthält die Daten des Ziel - Gateways. Der Tunnelmodus nutzt die Verschlüsselung mit ESP. Die Verwendung für den Tunnelmodus ist das VPN. Abbildung 6. IPsec im Tunnelmodus 8

1.3.4.3 Authentification Header Das Authentification Header - Protokoll sorgt für die Authentisierung der zu übertragenen Daten. AH wird zum Schutz der Integrität und Authentizität eingesetzt. In einem AH - Paket befinden sich unter anderen der Security Profile Index (SPI) und eine Sequenznummer. Die Sequenznummer kann zum Schutz vor Replay - Attacks verwendet werden. Abbildung 7. Aufbau eines AH - Header Das AH - Protokoll kann sowohl in Transport-, als auch in Tunnelmodus eingesetzt werden. 1.3.4.4 Encapsulating Secutity Payload Das Encapsulating Secutity Paylad Protokoll ist im wesendlichen das gleiche wir das AH - Protokoll. Es unterstützt eine zusätzliche Verschlüsselungskomponente und zwar die Vertraulichkeit von IP - Paketen. 9

Abbildung 8. Aufbau eines ESP - Paket 1.3.4.5 Internet Key Exchange Das Internet Key Exchange-Protokoll dient der Automatischen Schlüsselverwaltung in IPsec. IKE definiert, wie Sicherheitsparameter vereinbart und gemeinsame Schlüssel ausgetauscht werden. 1.4 Tunneltypen 1.4.1 Freiwillige Tunnel Ein freiwilliger Tunnel entsteht wenn eine Client VPN - Fähig ist und eine virtuelle Verbindung mit dem Tunnelserver erstellt. Der Client ist dabei selbst dafür zuständig den Tunnel anzulegen. 1.4.2 Erzwungene Tunnel Beim Erzwungnen Tunnel wird anstatt einer Client Workstation ein Tunnel Server verwendet um Tunnel einzurichten. Diese Clients haben keine Kontrolle über die Nutzung eines VPN. 10

1.5 Anwendungen 1.5.1 End to End VPN End to End VPN ist eine Verbindung zwischen mehreren Computern. Diese Art des VPN bietet ein hohes Maß an Sicherheit, weswegen sich IPsec als Protokoll am besten eignet. Verwendet wird werden End to End VPN zum Beispiel um Bankkunden sicher mit einem Buchungsrechner zu verbinden. Abbildung 9. End to End VPN 1.5.2 End to Site VPN Beim End to Site VPN werden verwendet um zum Beispiel Außendienstmitarbeiter an ein internes Netz anzubinden. Dabei baut der Computer des Mitarbeiters eine VPN - Verbindung zum VPN - Gateway des Unternehmens auf. Der Mitarbeiter kann nun so Arbeiten, als ob er im lokalem Netz des Unternehmens wäre (Remote - Access - VPN). Abbildung 10. End to Site VPN 11

1.5.3 Site to Site VPN Bei dem Site to Site VPN werden mehrere LANs, die sich an unterschiedlichen Orten befinden, miteinander Verbunden. Abbildung 11. Site to Site VPN 2 Konfiguration eines VPN 2.1 Eingesetzte Technik Der Cisco Router 1841 der als VPN Server dient, ein Windows 2003 Server Rechner als Zertifizierungsstelle zur Ausstellung von Zertifikaten und als VPN Client und ein Windows XP Rechner welcher der Rechner im LAN ist auf das der VPN Client zugreifen will. Der Cisco Router nutzt das IPsec als Tunnelprotokoll. 12

2.2 Erstellen und Import des Zertifikates Der Cisco Router wird mit Hilfe der SDM (Security Device Manager), einer Webbasierenden grafischen Benutzeroberfläche, konfiguriert. Abbildung 12. SDM (Security Device Manager) Als erstes muss man einen Zertifikats request erstellen welches mit den dazugehörigen Wizzard (Abbildung 13 Abbildung 18) schnell erledigt ist. 13

Abbildung 13. Zertifikats Wizzard Abbildung 14. Authorisierungs Informationen 14

Abbildung 15 / 16. Zertifikats Name und Attribute 15

Abbildung 17. Erstellung der Verschlüsselungsschlüssel Abbildung 18. Erhalt des Zertifikats request 16

Der erhaltenen request muss nun an die Zertifizierungsstelle übergeben und dort angekommen werden. Danach kann das Zertifikat bei der Zertifizierungsstelle herunder geladen und in den Router Importiert werden (Abbildung 19 22). Abbildung 19. Zertifizierungsstelle 17

Abbildung 20. Request an Zertifizierungsstelle übergeben Abbildung 21. Import des Zertifikats 18

Abbildung 22. Zertifikat wurde Importiert 19

2.3 Einrichten des VPN-Servers Nach erfolgreichen Import des Zertifikats beginnt nun die Einrichtung des VPN-Servers was auch hier wieder mit einen Wizzard schnell umsetzten lässt (Abbildung 23 29). Abbildung 23. Wizzard zur Erstellung eines VPN Servers 20

Abbildung 24. Auswahl des IKE Abbildung 25. Auswahl des Transform Set 21

Abbildung 26. Auswahl der Gruppen Authentifiierung Abbildung 27. Auswahl der User Authentifizierung 22

Über den Button Add User Account können wie in Abbildung 28 zu sehen ist Änderungen der Gruppeninformationen, des Gruppenpasswort, und des IP Pools der Clients vorgenommen werden. Abbildung 28. Gruppeninformationen 23

Abbildung 29. Fertiger VPN Server 2.4 Einrichten des VPN-Client Der Client benötigt um Verbindung zum Server aufzubauen eine Client Software, welche in diesem Falle der von Cisco angebotene VPN Client in der Version 4.8.01.0300 ist. Abbildung 30. VPN Client 24

Abbildung 31. VPN Client Nun ist das VPN vollständig eingerichtet und kann genutzt werden. 2.5 Test Um die Funktionalität des VPN zu testen habe ich einen Ping von den Client Rechner zum Rechner im LAN und umgekehrt geschickt. Abbildung 32. Ping vom Client 25

Wie in der Abbildung 32 zu sehen ist hat die Client Software einen Virtuellen Ethernet Adapter mit der IP 192.168.0.1 erstellt. Weiterhin ist zu sehen, dass der Ping zu dem Rechner im LAN erfolgreich war. Abbildung 33. Ping vom Rechner im LAN Auch der Ping vom Rechner im LAN zum Client war erfolgreich, wie in der Abbildung 33 zu sehen ist. 3 Zusammenfassung Der wichtigste Punkte der für eine VPN Verbindung spricht sind die Kosten. Für die Internetund VPN-Anbindung können dieselben Hardware-Komponenten verwendet werden, wodurch die Anschaffungskosten und der Administrationsaufwand minimiert werden. Es wird Geschätzt, dass der Einsatz von VPNs, gegenüber klassischen Lösungen, eine Kostenersparnis von 20-60% zur Folge hat. Zusammenfassend kann man sagen das VPN die günstige und einfache art ist um Benutzern oder Firmen eine Sichere Verbindung, über ein öffentliches Netz, zu einer Zweigstelle oder anderen Unternehmen herzustellen. 26

4 Quellen Internet: Buch: http://www.teco.edu/~zimmer/vpn/ http://www.tcp-ip-info.de/ http://de.wikipedia.org/ http://wwwiti.cs.uni-magdeburg.de/iti_amsl/lehre/03_04_wisem/ak_itsec_v/additional/mswpvpn.pdf (Windows 2000 Server Virtuelle Private Netzwerke (VPN): Eine Übersicht) Manfred Lipp: VPN Virtuelle Private Netzwerke Aufbau und Sicherheit, Addison Wesley, 2001 27