VPN Virtual Private Network LF10 - Betreuen von IT-Systemen Marc Schubert FI05a - BBS1 Mainz Lernfeld 10 Betreuen von IT-Systemen
VPN Virtual Private Network Marc Schubert FI05a - BBS1 Mainz Lernfeld 10 Betreuen von IT-Systemen Agenda Definition VPN Funktionsweise Szenario Anwendungsbereiche Pro und Contra Protokolle IPSec Demonstration VPN Quellenverzeichnis
Definition VPN Funktionsweise Szenario Anwendungsbereiche Pro und Contra Protokolle IPSec Authentifizierung Datenintegrität/ Verschlüsselung Betriebsmodi Verbindungsaufbau Demonstration Quellenverzeichnis VPN Virtual Private Network Definition Virtual Private Network Virtuelles privates Netz Aufbau eines privaten logischen Netzes auf Basis von physischer Netze (Internet) Aufbauen eines logischen Tunnels
Definition VPN Funktionsweise Szenario Anwendungsbereiche Pro und Contra Protokolle IPSec Authentifizierung Datenintegrität/ Verschlüsselung Betriebsmodi Verbindungsaufbau Demonstration Quellenverzeichnis VPN Virtual Private Network Funktionsweise Verbindung durch 2 Endpunkte (s oder Software) Aufbau eines Tunnels Sichere Datenkommunikation besteht
Szenario Zugriff auf einen Server im Internen Firmennetz über das Internet Software Tunnel Telearbeiter Internet- Provider Internet Internes Firmennetz Marc Schubert FI05a 2006/12/28
Definition VPN Funktionsweise Szenario Anwendungsbereiche Pro und Contra Protokolle IPSec Authentifizierung Datenintegrität/ Verschlüsselung Betriebsmodi Verbindungsaufbau Demonstration Quellenverzeichnis VPN Virtual Private Network Anwendungsbereiche Sicheres Verbinden von zwei entfernten Netzwerken über unsichere (kostengünstige) Netze Telearbeit Einwahl ins Firmennetz von zuhause Remote-Zugriff: Wartung von Servern [ ]
Definition VPN Funktionsweise Szenario Anwendungsbereiche Pro und Contra Protokolle IPSec Authentifizierung Datenintegrität/ Verschlüsselung Betriebsmodi Verbindungsaufbau Demonstration Quellenverzeichnis VPN Virtual Private Network Pro und Contra Pro sichere Kommunikation kostengünstige Lösungen vielgefächert und flexibel Contra abhängig von der Verfügbarkeit anderer Netze eventuelle Kompatibilitätsprobleme aufgrund verschiedener Software/Hardware
Definition VPN Funktionsweise Szenario Anwendungsbereiche Pro und Contra Protokolle IPSec Authentifizierung Datenintegrität/ Verschlüsselung Betriebsmodi Verbindungsaufbau Demonstration Quellenverzeichnis VPN Virtual Private Network Protokolle PPTP (Point-to-Point-Tunneling Protocol) (Microsoft-Verbindungen) L2TP (Layer-to-Tunneling-Protocol) (Erweiterung PPTP, Site-To-End-Verbindungen) IPSec (IP Security Protocol) (Site-To-Site, sowie Site-To-End-Verbindungen)
Definition VPN Funktionsweise Szenario Anwendungsbereiche Pro und Contra Protokolle IPSec Authentifizierung Datenintegrität/ Verschlüsselung Betriebsmodi Verbindungsaufbau Demonstration Quellenverzeichnis VPN Virtual Private Network IPSec IPSec - IP Security Entwickelt in 1998 IETF (Internet Engineering Task Force) Ursprünglich für IPv6 angedacht Sicherheitsarchitektur für IP-Netze Gewährleistet Vertraulichkeit, Authentizität und Integrität Arbeitet auf OSI-Layer 3
Definition VPN Funktionsweise Szenario Anwendungsbereiche Pro und Contra Protokolle IPSec Authentifizierung Datenintegrität/ Verschlüsselung Betriebsmodi Verbindungsaufbau Demonstration Quellenverzeichnis VPN Virtual Private Network IPSec Authentifizierung Manual Keying Feste Konfiguration auf Tunnelendpunkten IKE (Internet Key Exchange Protocol) Dynamisches Aushandeln von Schlüsseln (Diffie-Hellmann-Verfahren) Verwendet zur Authentifizierung Pre-Shared-Keys oder Zertifikate UDP Port 500
Definition VPN Funktionsweise Szenario Anwendungsbereiche Pro und Contra Protokolle IPSec Authentifizierung Datenintegrität/ Verschlüsselung Betriebsmodi Verbindungsaufbau Demonstration Quellenverzeichnis VPN Virtual Private Network IPSec Datenintegrität / Verschlüsselung AH Authentification Header Gewährleistet Datenintegrität Hashwert über gesamtes IP-Paket Schutz vor Replay-Attacks durch Sequenznr. keine Verschlüsselung ESP Encapsulating Security Payload Funktionalitäten des AH-Protokolls Verschlüsselung der Pakete
Definition VPN Funktionsweise Szenario Anwendungsbereiche Pro und Contra Protokolle IPSec Authentifizierung Datenintegrität/ Verschlüsselung Betriebsmodi Verbindungsaufbau Demonstration Quellenverzeichnis VPN Virtual Private Network IPSec Betriebsmodi Transportmodus Original IP-Header wird weiterhin verwendet Tunnelmodus IP-Header wird mitverschlüsselt
Verbindungsaufbau Ablauf einer Kommunikation über IPSec mit IKE (zertifikatsbasiert) und ESP Hamburg Internet München Voraussetzung Geräte sind konfiguriert (Eigenes Netz, Zielnetz, Verschlüsselung, Zertifikat etc.)
Verbindungsaufbau Ablauf einer Kommunikation über IPSec mit IKE (zertifikatsbasiert) und ESP UDP 500 Hamburg Internet München Schritt 1 (IKE Phase I Main Mode) Initiator sendet per UDP Vorschläge zur Authentifizierung und Verschlüsselung. (Verschlüsselungsstandards welche vom Gerät unterstützt werden)
Verbindungsaufbau Ablauf einer Kommunikation über IPSec mit IKE (zertifikatsbasiert) und ESP UDP 500 Hamburg Internet München Schritt 2 (IKE Phase I Main Mode) Gegenstelle wertet die Informationen aus. Sie wählt den sichersten Verschlüsselungsstandard den beide Gegenstellen unterstützen und schickt diesen zurück.
Verbindungsaufbau Ablauf einer Kommunikation über IPSec mit IKE (zertifikatsbasiert) und ESP UDP 500 Hamburg Internet München Schritt 3 (IKE Phase I Main Mode) Initiator sendet öffentlichen Teil des Diffie-Hellmann-Schlüssels sowie zufälligen Wert (Nonce)
Verbindungsaufbau Ablauf einer Kommunikation über IPSec mit IKE (zertifikatsbasiert) und ESP UDP 500 Hamburg Internet München Schritt 4 (IKE Phase I Main Mode) Responder sendet öffentlichen Teil des Diffie-Hellmann-Schlüssels sowie zufälligen Wert (Nonce)
Verbindungsaufbau Ablauf einer Kommunikation über IPSec mit IKE (zertifikatsbasiert) und ESP Hamburg Internet München Schritt 5 (IKE Phase I Main Mode) Beide s errechnen nun einen geheimen Schlüssel nach dem Diffie-Hellman Verfahren
Verbindungsaufbau Ablauf einer Kommunikation über IPSec mit IKE (zertifikatsbasiert) und ESP Authentifizierung Hamburg Internet München Schritt 6 (IKE Phase I Main Mode) Authentifizierung (verschlüsselt durch den geheimen Schlüssel)
Verbindungsaufbau Ablauf einer Kommunikation über IPSec mit IKE (zertifikatsbasiert) und ESP Hamburg Internet München Schritt 7 (IKE Phase I Main Mode) Errechnen eines Hashwertes (= Verschlüsselungskey) aus geheimen Schlüssel, Identifikation, Verschlüsselungsalgorithmus, u.a.
Verbindungsaufbau Ablauf einer Kommunikation über IPSec mit IKE (zertifikatsbasiert) und ESP Security Association Hamburg Internet München Schritt 8 (IKE Phase I Main Mode) Eine Vertrauensbasis wurde hergestellt zwischen beiden s (SA Security Association)
Verbindungsaufbau Ablauf einer Kommunikation über IPSec mit IKE (zertifikatsbasiert) und ESP Hamburg Internet München Schritt 9 (IKE Phase II Quick Mode) Alle Schritte der IKE Phase I werde wiederholt (aushandeln einer neuen SA), jedoch verschlüsselt.
Verbindungsaufbau Ablauf einer Kommunikation über IPSec mit IKE (zertifikatsbasiert) und ESP Security Association Hamburg Internet München Schritt 10 (IKE Phase II Quick Mode) Eine neue SA wurde ausgehandelt. Die Verbindungsdaten der vorherigen SA werden gelöscht. Nur noch diese SA ist gültig.
Verbindungsaufbau Ablauf einer Kommunikation über IPSec mit IKE (zertifikatsbasiert) und ESP Tunnel Hamburg Internet München Schritt 11 Der Tunnel wurde aufgebaut. Anschließend können Daten ausgetauscht werden.
Verbindungsaufbau Ablauf einer Kommunikation über IPSec mit IKE (zertifikatsbasiert) und ESP Tunnel Hamburg Internet München Schritt 12 HTTP-GET http://10.10.20.23/ show/index.aspx von einem Client-Zugriff (gelb) auf den Webserver (rot)
Verbindungsaufbau Ablauf einer Kommunikation über IPSec mit IKE (zertifikatsbasiert) und ESP Tunnel Hamburg Internet München Schritt 12 HTTP-GET http://10.10.20.23/ show/index.aspx von einem Client-Zugriff (gelb) auf den Webserver (rot)
Verbindungsaufbau Ablauf einer Kommunikation über IPSec mit IKE (zertifikatsbasiert) und ESP IP-Header Transport Header Data Verschlüsseln / Kapseln über ESP durch den IP-Header ESP Header IP-Header Transport Header Data ESP Trailer ESP Auth verschlüsselt authentisiert
Verbindungsaufbau Ablauf einer Kommunikation über IPSec mit IKE (zertifikatsbasiert) und ESP Tunnel Hamburg Internet München Schritt 12 HTTP-GET http://10.10.20.23/ show/index.aspx von einem Client-Zugriff (gelb) auf den Webserver (rot)
Verbindungsaufbau Ablauf einer Kommunikation über IPSec mit IKE (zertifikatsbasiert) und ESP IP-Header ESP Header IP-Header Transport Header Data ESP Trailer ESP Auth Entschlüsseln / entkapseln durch den IP-Header Transport Header Data
Verbindungsaufbau Ablauf einer Kommunikation über IPSec mit IKE (zertifikatsbasiert) und ESP Tunnel Hamburg Internet München Schritt 13 HTTP 200 vom Webserver Antwortseite wird zurück gesendet über den selben Weg.
Demonstration Topologie eth0: 192.168.1.10 255.255.255.0 eth0: 192.168.1.1 255.255.255.0 eth1: 192.168.3.1 255.255.255.0 Tunnel eth1: 192.168.3.2 255.255.255.0 eth0: 192.168.2.1 255.255.255.0 Virtueller PC eth0: 192.168.2.10 255.255.255.0
Demonstration Topologie eth0: 192.168.1.10 255.255.255.0 eth0: 192.168.1.1 255.255.255.0 eth1: 192.168.3.1 255.255.255.0 Tunnel eth1: 192.168.3.2 255.255.255.0 eth0: 192.168.2.1 255.255.255.0 Virtueller PC eth0: 192.168.2.10 255.255.255.0
Demonstration II Konfiguration
Demonstration II Konfiguration
Demonstration II Konfiguration
Rückfragen und Diskussion
Definition VPN Funktionsweise Szenario Anwendungsbereiche Pro und Contra Protokolle IPSec Authentifizierung Datenintegrität/ Verschlüsselung Betriebsmodi Verbindungsaufbau Demonstration Quellenverzeichnis VPN Virtual Private Network Quellenverzeichnis Universität Münster http://www.uni-muenster.de/ziv/lehre/2006-2/itsicherheitueberwachung/vortrag_ipsec_11-05-2006.pdf Touchbriefings.com http://www.touchbriefings.com/pdf/1418/spaulding.pdf Techrepublic.com http://articles.techrepublic.com.com/5100-6346-1055272.html Elektronik-Kompendium professional IT Knowledge http://www.elektronik-kompendium.de/sites/net/0906191.htm IntranetJournal.com http://www.intranetjournal.com/articles/200206/se_06_13_02a.html Teia-Lehrbuch Internetpräsenz http://www.teialehrbuch.de/kostenlose-kurse/internet-technik/16262-ipsec-sicherheitsarchitektur-fuer-ip.html Wiikmedia Foundation, Inc. http://www.wikipedia.de/ IT-Handbuch (S. 269)
Definition VPN Funktionsweise Szenario Anwendungsbereiche Pro und Contra Protokolle IPSec Authentifizierung Datenintegrität/ Verschlüsselung Betriebsmodi Verbindungsaufbau Demonstration Quellenverzeichnis VPN Virtual Private Network Quellenverzeichnis LDI Landesbetrieb Daten und Information Bereitstellen der LineCrypt s Knowledge
Vielen Dank für Ihre Aufmerksamkeit Kontakt fi05a@marcschubert.de Marc Schubert FI05a - BBS1 Mainz Lernfeld 10 Betreuen von IT-Systemen