Virtuelle Private Netzwerke VPN Dortmund, Oktober 2004 Prof. Dr. Heinz-Michael Winkels, Fachbereich Wirtschaft FH Dortmund Emil-Figge-Str. 44, D44227-Dortmund, TEL.: (0231)755-4966, FAX: (0231)755-4902 1
Inhalt Seite Grundlagen 3 Konstellationen 7 End-to-End Site-to-Site End-to-Site Technik 16 Layer-2-Protokolle 18 IPSec 21 Internet-Links 28 2
Begriffserklärung VPNs sollen Merkmale von privaten Netzwerken über öffentliche Netzwerke anbieten Scheinbares privates Netzwerk Privates Netzwerk Komponenten und Strukturen stehen nur einer Organisation zur Verfügung (also auch gemietete Standleitungen) Öffentliches Netzwerk Telefonnetze, Datennetze (global: Internet) Bei einem VPN werden mit Hilfe von Chiffrier- und Authentifizierungstechniken vertrauliche Daten über ein öffentliches Netz abhör- und manipulationssicher zwischen genau zwei Kommunikationspartner ausgetauscht. 3
Anwendungsgebiete für VPNs entsprechen grundsätzlich denen reiner privaten Netzwerke, erweitert bzw. vereinfacht durch: Verbindung von LANs an verschiedene Standorten eines Unternehmens Anbindung von Außendienstmitarbeitern an interne Firmennetze (remote access) Erweiterung des Firmennetzes auf Zulieferer und Geschäftspartner (e-commerce) sichere Datenübertragung für Online Banking Kunden zum Bankrechner 4
Vorteile des Einsatzes von VPNs Hauptmotivation: Kostenersparnis, Flexibilität Bandbreite von privaten Netzwerken muss sich an Spitzenlasten orientieren, VPN kann dynamisch Ressourcen verwenden 60-80 % Kosteneinsparung bei Telearbeitsplätzen keine Ferngespräche, (fast) keine Hardware 20-50 % Kosteneinsparungen bei Mietleitungen (fast) keine Kosten für ungenutzte Kapazität, einfache und schnelle Erweiterungsmöglichkeiten 5
Anforderungen an ein VPN Datensicherheit Integrität der Information Abhörsicherheit durch Verschlüsselung Authentifizierung des Kommunikationspartners Dienstgüte ( Quality of Service, QoS) garantierte Verfügbarkeit der Verbindung unabhängige Adressierung innerhalb eines VPN Kompatibilität zu allen Anwendungsprogrammen Standard?! 6
Konstellationen Virtueller Privater Netzwerke End-to-End End-to-End VPN stellen eine direkte Verbindung zwischen mehreren Arbeitsrechnern dar Site-to-Site (Intranet / Extranet) mehrere LANs an verschiedenen Standorten verbunden End-to-Site End-to-Site oder Remote-access VPN dienen in erster Linie zur Anbindung von Außendienstmitarbeitern an ein internes Firmennetz 7
End-to-End Konstellation auf jedem der an das VPN angeschlossenen Rechner muss eine entsprechende VPN-Software installiert ist, da die Arbeitsrechner direkt untereinander und nicht über zwischengeschaltete VPN- Server verbunden werden. 8
... End-to-End Konstellation Beispiele: Bankkunden über das Internet sicher mit einem Buchungsrechner zu verbinden mehreren Wissenschaftlern an verschiedenen Standorten die Arbeit an einem gemeinsamen Projekt zu erleichtern Vorteile deckt die gesamte Verbindung bis zum Rechner ab jeder Rechner muss mit einer speziellen VPN Software ausgestattet sein Nachteile hoher Administrationsaufwand hoher Performanceverlust 9
Site-to-Site Konstellation für Intranets mehrere LANs an verschiedenen Standorten verbunden Mindestmaß an Sicherheit, großer Wert auf die Geschwindigkeit volles Vertrauen in jede der angeschlossenen Parteien alle Ressourcen im Netz müssen allen Parteien zugänglich sein um die Datensicherheit zu erhöhen, können Zugriffsbeschränkungen auf Benutzerebene eingesetzt werden 10
... Site-to-Site Konstellation für Intranets Beispiele: Zusammenschluß von Firmennetzen Krankenhäuser zum Datenaustausch verbinden Forschungsnetze mit mehreren Forschungsgruppen aufbauen Vorteile kein lokaler Rechner muss mit spezieller VPN Software ausgestattet sein alle Rechner sind in einem VPN transparent zentrale und effiziente Administration angemessene Sicherheit bei hoher Geschwindigkeit Nachteile geringe Sicherheit kann man jedem vertrauen? 11
Site-to-Site Konstellation für Extranets Im Vergleich zum Intranet VPN geringere Geschwindigkeit, dafür ein Höchstmaß an Sicherheit Voraussetzung Gewährleistung, dass jeder Teilnehmer nur auf die für ihn bestimmten Ressourcen Zugriff erlangen kann das Datenaufkommen ist geringer als in Intranet VPN 12
... Site-to-Site Konstellation für Extranets Beispiel verbindet das interne Netzwerk einer Firma mit den Netzen von Geschäftspartnern und/oder Zulieferern Vorteile gleiche Vorteile wie bei Intranet Konstellation für Zulieferer- und Geschäftspartner- Firmennetze wird größere Sicherheit gefordert Firewall ermöglicht Kontrolle auf einzelne Anwendungen Nachteil geringere Geschwindigkeit 13
End-to-Site Konstellation End-to-Site oder Remote-access VPN dienen in erster Linie zur Anbindung von Außendienstmitarbeitern an ein internes Firmennetz 14
... End-to-Site Konstellation Beispiele Vertriebsmitarbeiter im Außendienst Telearbeiter Vorteile Mitarbeiter können sich über einen beliebigen Internet Service Provider in das Firmennetzwerk einwählen Kosten für Fernverbindungen werden reduziert Identifizierung der einzelnen mobilen Mitarbeiter Nachteil hohe Sicherheitsmaßnahmenerforderlich ( z.b. RADIUS ) 15
Die Technik Virtueller Privater Netzwerke Technische Grundlagen: Protokolle IPSec (Internet Protocol Security)( Transportmodus / Tunnelmodus ) IP ESP (Internet Protocol Encapsulated Security Payload) PPTP (Point-to-Point Tunneling Protocol) L2F (Layer Two Forwarding) L2TP (Layer Two Tunneling Protocol) 16
... Die Technik Virtueller Privater Netzwerke Tunneling IP Tunneling über das Internet beruht darauf, dass dem zu transportierenden Paket ein neuer IP-Kopf vorangestellt wird (Ausgangspunkt des Tunnels) Der Kopf des Datenpaketes enthält als Quelladresse die Adresse dieses Rechners und als Zieladresse die eines Servers, der den Endpunkt des Tunnels bildet und das transportierende Paket wieder entpackt, also den Tunnel-Kopf entfernt. Dient zum Verschicken beliebiger Datenpakete aus einem LAN oder einem anderen Netzwerk transparent über ein WAN Die kommunizierenden Stationen in den verbundenen LANs sind nicht mit der Verwaltung und dem Aufbau des Tunnels betraut 17
Layer 2 - Protokolle PPTP ( Point-to-Point Tunneling Protocol) Von Microsoft entwickelt PPTP kapselt PPP Pakete in IP Paketen, so können Protokolle wie IP, IPX und NetBEUI über das Internet getunnelt werden Zugangskontrolle mit PAP (Password Authentification Protocol) oder CHAP ( Challenge Handshake Protocol) Verschlüsselung mit RC4 oder DES (40-128 Bit) L2P (Layer Two Forwarding) Von der Firma CISCO entwickelt Ähnlich wie PPTP aber Benutzeridentifizierung schwächer als PPTP; L2F unterstützt verschiedene Protocolle und mehrere unabhängige, parallele Tunnel Extra Verschlüsselung der Daten ist nicht vorgesehen L2TP ( Layer 2 Tunneling Protocol ) Unterscheidet sich zu PPTP dadurch, dass der Endpunkt eines Tunnels nicht vom Anwender sondern vom ISP vorgegeben wird mehrere unabhängige parallele Tunnel möglich 18
IP ESP (Internet Protocol Encapsulated Security Payload) Ablaufbeispiel Sender: Edmund (München) VPN Gateway München: A) Verschlüsselung 19
... IP ESP (Internet Protocol Encapsulated Security Payload) Ablaufbeispiel (Forts.) VPN Gateway Müchen: B) Prüfsumme erzeugen VPN Gateway Berlin: Authentifizierung und Entschlüsselung Empfänger: Angela (Berlin) 20
Internet Protocol Security (IPSec) Layer 3 Verschlüsselung und Authentifizierung Neuere Technik, die PPTP / L2TP als VPN Standard ablösen soll IPv4 und IPv6 kompatibel Datensicherheit Identitätsprüfung: Diffie-Hellmann Schlüsselaustausch Datenvertraulichkeit: Triple-DES, IDEA, Blowfish Datenintegrität durch Hashbildung: MD5 und SHA Zwei Modi: Transportmodus Tunnelmodus 21
... Internet Protocol Security (IPSec) Transportmodus Wenige Bytes Overhead PCs müssen IPSec beherrschen Datenanalyse möglich IP-Kopf Daten IP-Kopf IPSec-Kopf Daten verschlüsselt 22
... Internet Protocol Security (IPSec) Tunnelmodus IP Header wird mitverschlüsselt Performance IP-Kopf Daten Neuer IP-Kopf IPSec- Kopf IP-Kopf Daten verschlüsselt 23
... Internet Protocol Security (IPSec) Funktionsweise im Tunnelmodus 24
Sicherheitsbetrachtungen bei IPSec Authentisierung VPN ist ein potentielles Ziel für Eindringungsversuche aus dem Internet VPN ist im Internet und damit prinzipiell über jeden IPSec-Client direkt erreichbar Zugangskontrolle sollte nicht auf Username und Passwort beschränkt bleiben Besser: Token-Card oder Smart-Card oder USB-Datenchip 25
... Sicherheitsbetrachtungen bei IPSec Angreifbarkeit nach Aufbau des IP Tunnels ist der Rechner nicht sichtbar sog. gehärtetes Protokoll-Stack Der Pc ist damit nach außen geschützt aber im lokalem Netz immer noch angreifbar! 26
... Sicherheitsbetrachtungen bei IPSec Verschlüsselungen starke Verschlüsselungsalgorithmen im IPSec nach dem heutigen Stand der Kryptologie betrachtet man dies für absolut sicher Aber auch hier ist nur die Strecke vom Client bis zur VPN Server sicher Im Intranet selbst sind die Daten nicht sicher! 27
Internet-Links http://www.tldp.org/howto/vpn-howto/index.html http://www.vpnc.org http://www.firstvpn.com http://www.t-online.de http://www.google.de 28