VPN: wired and wireless



Ähnliche Dokumente
Vorlesung VPN: Drahtgebunden und drahtlos Fachbereich Informatik (FB 20) Lehrstuhl Prof. J. Buchmann

Prof. Dr. Martin Leischner Netzwerksysteme und TK. Hochschule Bonn-Rhein-Sieg. Modul 5: IPSEC

IT-Sicherheit Kapitel 10 IPSec

Security Associations Schlüsseltausch IKE Internet Key Exchange Automatischer Schlüsseltausch und Identitätsnachweis

Workshop: IPSec. 20. Chaos Communication Congress

VPN: wired and wireless

VPN unterstützt 3 verschiedene Szenarien: Host to Host: Dies kennzeichnet eine sichere 1:1 Verbindung zweier Computer, z.b. über das Internet.

IPsec. Vortrag im Rahmen des Seminars Neue Internet Technologien

VIRTUAL PRIVATE NETWORKS

VPN Virtual Private Networks

IPSec und IKE. Richard Wonka 23. Mai 2003

IT-Sicherheit Kapitel 11 SSL/TLS

Exkurs: IPSec. Brandenburg an der Havel, den 5. Juni 2005

Vertrauliche Videokonferenzen im Internet

VPN. Virtuelles privates Netzwerk. Vortrag von Igor Prochnau Seminar Internet- Technologie

Dynamisches VPN mit FW V3.64

VPN: wired and wireless

Fachbereich Medienproduktion

Virtual Private Networks Hohe Sicherheit wird bezahlbar

Security + Firewall. 3.0 IPsec Client Einwahl. 3.1 Szenario

Konfigurationsbeispiel

Vorlesung SS 2001: Sicherheit in offenen Netzen

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Modul 4: IPsec Teil 1

VPN Virtual Private Network

Prinzipiell wird bei IP-basierenden VPNs zwischen zwei unterschiedlichen Ansätzen unterschieden:

Virtual Private Networks. Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH

IEEE 802.1x Authentifizierung. IEEE 802.1x Authentifizierung IACBOX.COM. Version Deutsch

IPSec-VPN mit IKEv2 und Windows. ZyXEL USG Firewall-Serie ab Firmware Version Knowledge Base KB-3520 August 2014.

HTTPS Checkliste. Version 1.0 ( ) Copyright Hahn und Herden Netzdenke GbR

Virtual Private Network

HOBLink VPN. HOBLink VPN & Produktionsumgebung- / Steuerung

VPN: Virtual-Private-Networks

Einrichtung von VPN für Mac Clients bei Nortel VPN Router

Anleitung zur Einrichtung eines Lan-to-Lan Tunnels zwischen einen DI-804HV und einer DSR (Für DI-804HV ab Firmware 1.44b06 und DSR-250N/500N/1000N)

HOBLink VPN 2.1 Gateway

Seite IPsec Client / Gateway mit Zertifikaten (CA / DynDNS) 12.1 Einleitung

Konfiguration eines Lan-to-Lan VPN Tunnels

Inhalt. Erreichbarkeit von VPN-Gateways hinter einem Genexis FTTH-Abschlussrouter

- Gliederung - 1. Motivation. 2. Grundlagen der IP-Sicherheit. 3. Die Funktionalität von IPSec. 4. Selektoren, SPI, SPD

Seite Wireless Distribution System (Routing / Bridging) 3.1 Einleitung

Internet-Praktikum II Lab 3: Virtual Private Networks (VPN)

How-to: VPN mit IPSec und Gateway to Gateway. Securepoint Security System Version 2007nx

Collax VPN. Howto. Vorraussetzungen Collax Security Gateway Collax Business Server Collax Platform Server inkl. Collax Modul Gatekeeper

1. IPSec Verbindung zwischen 2 Gateways mit dynamischen IP Adressen

VPN - Virtual Private Networks

Reale Nutzung kryptographischer Verfahren in TLS/SSL

Virtual Private Network. David Greber und Michael Wäger

msm net ingenieurbüro meissner kompetent - kreativ - innovativ

IPSec. Michael Gschwandtner, Alois Hofstätter, Roland Likar, Horst Stadler. Jänner 2003

IKEv1 vs. v2. Wie verändert die Version 2 von IKE das Verhalten? Netzwerksicherheit - Monika Roßmanith CNB, Simon Rich CN

HowTo: Einrichtung von L2TP over IPSec VPN

Analyse und Darstellung der Protokollabläufe in IPv6-basierten Rechnernetzen

Kryptographische Anonymisierung bei Verkehrsflussanalysen

Anytun - Secure Anycast Tunneling

Um IPSec zu konfigurieren, müssen Sie im Folgenden Menü Einstellungen vornehmen:

Windows Server 2008 R2 und Windows 7 Stand-Alone Arbeitsplatz per VPN mit L2TP/IPSec und Zertifikaten verbinden.

Protokollbeschreibung Modbus TCP für EMU TCP/IP Modul

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: - Ein Bootimage ab Version Optional einen DHCP Server.

How-to: Webserver NAT. Securepoint Security System Version 2007nx

Firewall oder Router mit statischer IP

VPN Gateway (Cisco Router)

Einrichtung einer eduroam Verbindung unter dem Betriebssystem Android

IT-Sicherheit. IT-Sicherheit. Axel Pemmann. 03. September 2007

Konfiguration IKMZ / Universitätsrechenzentrum des Cisco VPN-Clients v3.6 Netze und Datenkommunikation

Dynamisches VPN mit FW V3.64

1) Farbsteuergerät in der Nikobus-Software unter Modul zufügen hinzufügen.

VPN/WLAN an der Universität Freiburg

ISA Server 2004 Erstellen einer Webverkettung (Proxy-Chain) - Von Marc Grote

IPSec. Markus Weiten Lehrstuhl für Informatik 4 Verteilte Systeme und Betriebssysteme Universität Erlangen-Nürnberg

HowTo: Einrichtung einer IPSec Verbindung mit einem IPSEC VPN Client zum DWC-1000 am Beispiel der Shrewsoft VPN Clientsoftware

3.2 Vermittlungsschicht

D-Link VPN-IPSEC Test Aufbau

Konfigurationsanleitung Access Control Lists (ACL) Funkwerk. Copyright Stefan Dahler Oktober 2008 Version 1.0.

Konfiguration eduroam

Sichere Netzwerke mit IPSec. Christian Bockermann

Konfigurationsbeispiel USG

VPN IPSec Tunnel zwischen zwei DI-804HV / DI-824VUP+

TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL

8.2 Vermittlungsschicht

Kryptographische Verfahren auf Basis des Diskreten Logarithmus

Mit einem PDA über VPN in s Internet der Uni Stuttgart

Konfigurationsanleitung Tobit David Fax Server mit Remote CAPI Graphical User Interface (GUI) Seite - 1 -

Database Exchange Manager. Infinqa IT Solutions GmbH, Berlin Stralauer Allee Berlin Tel.:+49(0) Fax.:+49(0)

FIREBIRD BETRIEB DER SAFESCAN TA UND TA+ SOFTWARE AUF MEHR ALS EINEM COMPUTER

WLAN Konfiguration. Michael Bukreus Seite 1

Systemvoraussetzungen Hosting

Netzwerksicherheit Übung 5 Transport Layer Security

E-Government in der Praxis Jan Tobias Mühlberg. OpenPGP. Brandenburg an der Havel, den 23.

Multicast Security Group Key Management Architecture (MSEC GKMArch)

Virtual Private Network

Transkript:

VPN: wired and wireless Fachbereich Informatik (FB 20) Fachgruppe: Security Engineering Modul: 2000096VI LV-9 er Skriptum und Literatur: http://www2.seceng.informatik.tu-darmstadt.de/vpn10/ Wolfgang BÖHMER, TU-Darmstadt, Hochschulstr. 10, D-64289 Darmstadt, Dep. of Computer Science, Security Engineering Group Email: wboehmer@cdc.informatik.tu-darmstadt.de

Vorlesungsinhalt LV-9 Layer 3 Techniken und die Absicherung des IP-Protokolls Kurzüberblick IPSec SA Sicherheitsvereinbarung / Initiierung und Kombination IPSec Header (AH, ESP) IPSec und Remote Access (Siehe Exkurs WLAN) IKE Schlüsselaustauschprotokoll (Phase 1 / Phase 2) Alternatives Austauschprotokoll (ISAKMP / Oakley und SKIP) Vergleich der Layer 2 und Layer 3 Absicherung Layer 4 Techniken SSL/TLS Secure Socket Layer und Transportabsicherung Vergleich IPSec und TLS Layer 5 Techniken Socks Version 5 Übungen Literatur Folie 2

Der Sicherheitsstandard für das IP- Protokoll (IPSec) IETF (IP Security Working Group) gebildet RFC-1825 bis RFC-1829 (1995) RFC-2405 bis RFC-2412 und RFC-2451 (1998) und weitere siehe Lit.Liste Zwei neue Protokolle zur Erhöhung der Verkehrssicherheit Authentication Header (AH) Daten-Authentifizierung, verbindungslose Integrität Schutz von Wiedereinspielen (Replay-attack) Encapsulation Security Payload (ESP) Daten-Vertraulichkeit begrenzte Vertraulichkeit des Verkehrsflusses verbindungslose Integrität Daten-Authentifizierun Schutz von Wiedereinspielen (Replay-attack) Folie 3

IPSec: Kurzübersicht IPSec kennt zwei Betriebsmodi jeweils für AH und ESP Transport Modus Tunnelmodus Schlüsselmanagement IKE ausgewählte Kryptographische Algorithmen für AH und ESP auszuhandeln Erzeugung der notwendigen Schlüssel IPSec verwendet Protokolle die Algorithmus unabhängig sind Wahl der Algorithmen obliegt in der Security Policy Database, SPD hängt von der konkreten IPSec-Implementierung ab Standard Satz zur Gewährleistung von Interoperabilität IPSec gestattet Nutzer/Admin eines Systems Sicherheits-Dienste zu kontrollieren und Tiefe festzulegen. IPSec verwendet Security Assosiations, SA Folie 4

IPSec: Sicherheitsvereinbarung Konzept der SA ist fundamental für IPSec AH und ESP arbeiten mit der Security Association, SA SA ist eine Vereinbarung zwischen Kommunikationspartnern IPSec-Protokoll Betriebsmodus (Tunnel / Transport) kryptographischer Algorithmen Lebensdauer und Gültigkeit der Schlüssel Lebensdauer der SA Security Policy Database (SPD) Menge an grundsätzlichen Service Security Association Database (SAD) konkrete Parameter für ein unidirektionale SA SA = {Security Parameter Index, IP Destination Address, Security Protocol} Folie 5

IPSec: AH-Header (Authentifizierung) AH-Header = 5 Felder Next Header (TCP,UDP,ICMP) Länge des AH-Header SPI und Seq-Num Authentifizierung mittels HMAC-MD5-96 HMAC-SHA-1 Optional DES-MAC IP-Datagramm wird nicht verschlüsselt 24 Byte Vergrößerung des IP- Paket Folie 6

IPSec: ESP (Vertraulichkeit) ESP = 6 Felder Nutzdaten liegen zwischen ESP-Header und ESP- Trailer eingebettet SPI und Seq-Num ESP-Authentication data Verschlüsselung 1. DES-CBC 2. Null (RFC-2410)! 3. Optional CAST, RC5, IDEA, AES Blowfish, 3DES HASH-Algorithmen 1. HMAC-MD5 2. HMAC-SHA-1 3. Optional DES-MAC Folie 7

IPSec: Transport Modus Nur die Nutzlast des IP-Paket wird verschlüsselt Original IP-Kopf bleibt erhalten IETF-Empfehlung zur Absicherung zweier Host ohne Gateway Nur Verwendung des Transport Modus in der Kombination AH/ESP- Transport Probleme beim Einsatz von AH im Transport Modus bei NAT-Gateways Lösung: Das Gateway müsste die Authentifizierung durchführen Probleme beim Einsatz von AH im Transport Modus bei Proxys Einschränkungen gelten für IPv4 und IPv6 Einschränkungen gelten nicht für ESP im Transport Modus Es können ohne Probleme NAT-Gateways und Proxys eingesetzt werden Außer ESP-Header kann jedes IP-Header-Feld verändert werden, falls die Header-Prüfsumme neu berechnet wird und die SA nur die ESP- Authentifizierung nutzt Authentifizierung des ESP-Transport Modus bietet weniger Schutz als AH-Transport Modus Folie 8

IPSec-Verbindung im Transport Modus zwischen Host-H1 und Host-H2 Folie 9

IPSec-VPN Fallstudie (1) Konfiguration des PKI-Servers (NetTools PKI Xcert-PKI- Appl. Fa. NAI) 1. Eingeben genereller Konfigurationsinformationen 2. Erstellen der ROOT Certiificate Authority (CA)-Zertifikate 3. Generieren der Administrativen CA-Zertifikate 4. Erzeugung der Beitritts- und Administrations-Web-Server-Zertifikate 5. Erstellen eines administrativen Client-Zertifikates Konfiguration des VPN-Gateways (Gauntlet Firewall) 1. Erstellen der PKI-Komponenten 2. Download der CA-Zertifikate 3. Erstellung eines Requests für ein Firewall-Zertifikat 4. Wiederlangung des Firewall-Zertifikates vom PKI-Server während der Verarbeitung und der Aktivierung 5. Konfiguration des VPN-Links 6. Konfigurieren der Link-Einstellungen Konfiguration des VPN-Clients (PGP-VPN-Client) Folie 10

IPSec-VPN Fallstudie (2) Konfiguration des VPN-Clients (PGP-VPN-Client) 1. Erhalt eines digitalen Zertifikates sowie hinzufügen zum Key-Ring 2. Auswahl des Zertifikates, das für die Authentifizierung am VPN-Gateway eingesetzt werden soll. 3. Hinzufügen des VPN-Links 4. Konfiguration der Security Policy Database (SPD) Folie 11

Verfügbare Implementierungen KAME-Projekt for FreeBSD, OpenBSD http://www.kame.net/ Free/SWAN in der Version 2.04 released am 13/11/2003 unterstützt den Linux Kernel 2.6 http://www.freeswan.org/ Folie 12

Übungen zur Vorlesung VPN Virtual Private Networks ÜBUNGEN LV09 Folie 13

Übungen LV09 Frage: Für welches Anwendungsszenario ist der Transport Modus bei IPSec ideal geeignet? Frage: Für welches Anwendungsszenario ist der Tunnel Modus bei IPSec ideal geeignet? Frage: Worauf sind die Interoperabilitätsprobleme bei IPSec zum großen Teil zurück zuführen? Falls Sie eine Übung einreichen möchten, dann bitte in der folgenden Nomenklatur für die Datei LV09-Ü01-Name.pdf Folie 14

Literatur Schneier, B.: IPSec an critical description Liste der RFC die für IPSec geschrieben wurden (Stand 2003): 1191, 1321, 1421, 1422, 1423, 1424, 1701, 1827, 1728, 2093, 2094, 2104, 2246, 2311, 2312, 2315, 2394, 2395, 2401, 2403, 2404, 2405, 2408, 2409, 2410, 2411, 2412, 2437, 2451, 2507, 2510, 2511, 2522, 2523, 2535, 2549, 2559, 2560, 2585, 2627, 2631, 2633, 2660, 2661, 2828, 2845, 2857, 2888, 2898, 2931, 2944, 2945, 2985, 2986, 3007, 3008, 3039, 3051, 3526,3554, 3566, 3602. Folie 15

2026 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback