Virtuelle Private Netze Teil 1



Ähnliche Dokumente
Integrierte IT-Service-Management- Lösungen anhand von Fallstudien. Virtuelle Private Netze Teil 1

VIRTUAL PRIVATE NETWORKS

Prof. Dr. Martin Leischner Netzwerksysteme und TK. Hochschule Bonn-Rhein-Sieg. Modul 5: IPSEC

VPN: Virtual-Private-Networks

VPN Virtual Private Network

Security Associations Schlüsseltausch IKE Internet Key Exchange Automatischer Schlüsseltausch und Identitätsnachweis

VPN: wired and wireless

Workshop: IPSec. 20. Chaos Communication Congress

Modul 6 Virtuelle Private Netze (VPNs) und Tunneling

VPN Virtual Private Networks

Connectivity Everywhere

Modul 4 Virtuelle Private Netze (VPNs)

Einführung in die Netzwerktechnik

P107: VPN Überblick und Auswahlkriterien

Virtual Private Network. David Greber und Michael Wäger

Modul 6 Virtuelle Private Netze (VPNs) und Tunneling

Inhalt. Erreichbarkeit von VPN-Gateways hinter einem Genexis FTTH-Abschlussrouter

VPN unterstützt 3 verschiedene Szenarien: Host to Host: Dies kennzeichnet eine sichere 1:1 Verbindung zweier Computer, z.b. über das Internet.

Dynamisches VPN mit FW V3.64

Modul 4 Virtuelle Private Netze (VPNs) und Tunneling

Prinzipiell wird bei IP-basierenden VPNs zwischen zwei unterschiedlichen Ansätzen unterschieden:

Fachbereich Medienproduktion

VPN (Virtual Private Network)

VPN: SSL vs. IPSec. erfrakon - Erlewein, Frank, Konold & Partner Martin Konold Dr. Achim Frank. Präsentation auf dem

Kurzeinführung VPN. Veranstaltung. Rechnernetze II

Security + Firewall. 3.0 IPsec Client Einwahl. 3.1 Szenario

Virtual Private Networks. Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH

HowTo: Einrichtung von L2TP over IPSec VPN

2G04: VPN Überblick und Auswahlkriterien

Exkurs: IPSec. Brandenburg an der Havel, den 5. Juni 2005

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: - Ein Bootimage ab Version Optional einen DHCP Server.

Multicast Security Group Key Management Architecture (MSEC GKMArch)

3C02: VPN Überblick. Christoph Bronold. Agenda. VPN Überblick VPN Technologien für IP VPN Netzwerk Design VPN Auswahlkriterien

HTTPS Checkliste. Version 1.0 ( ) Copyright Hahn und Herden Netzdenke GbR

IT-Sicherheit Kapitel 10 IPSec

IPsec. Vortrag im Rahmen des Seminars Neue Internet Technologien

VPN Tracker für Mac OS X

VPN IPSec Tunnel zwischen zwei DI-804HV / DI-824VUP+

Virtual Private Networks Hohe Sicherheit wird bezahlbar

Anbindung des eibport an das Internet

Virtual Private Network

VPN / Tunneling. 1. Erläuterung

Dynamisches VPN mit FW V3.64

Firewall oder Router mit statischer IP

Einrichtung von VPN für Mac Clients bei Nortel VPN Router

NAT & VPN. Adressübersetzung und Tunnelbildung. Bastian Görstner

Konfigurationsbeispiel

Zehn SSH Tricks. Julius Plen z

Vertraulichkeit für sensible Daten und Transparenz für ihre Prozesse

TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL

VPN - Virtual Private Networks

Windows Server 2008 R2 und Windows 7 Stand-Alone Arbeitsplatz per VPN mit L2TP/IPSec und Zertifikaten verbinden.

Mobile Computing Fallstudie am Beispiel der sd&m AG Vortrag im Seminar Beratungsbetriebslehre am 26. Juni 2003

Firewalls und Virtuelle Private Netze

HOBLink VPN. HOBLink VPN & Produktionsumgebung- / Steuerung

Vertrauliche Videokonferenzen im Internet

Voraussetzungen für die Nutzung der Format Rechenzentrumslösung (Hosting)

Sichere für Rechtsanwälte & Notare

iphone 4 - Einrichtung des VPN Clients (Cisco VPN Client) / Verbinden des iphones mit einem Exchange

VPN Gateway (Cisco Router)

Diameter. KM-/VS-Seminar. Wintersemester 2002/2003. schulze_diameter.ppt Christian Schulze_03-Februar-07

ISA Server 2004 Erstellen eines neuen Netzwerkes - Von Marc Grote

Anleitung zur Einrichtung eines Lan-to-Lan Tunnels zwischen einen DI-804HV und einer DSR (Für DI-804HV ab Firmware 1.44b06 und DSR-250N/500N/1000N)

STRATO Mail Einrichtung Microsoft Outlook

Netzwerktechnologie 2 Sommersemester 2004

ARCHITEKTUR VON INFORMATIONSSYSTEMEN

Analyse und Darstellung der Protokollabläufe in IPv6-basierten Rechnernetzen

Beispielkonfiguration eines IPSec VPN Servers mit dem NCP Client

Modul 4: IPsec Teil 1

IT-Sicherheit Kapitel 11 SSL/TLS

ISA Server Exchange RPC over HTTPS mit NTLM-Authentifizierung

ISA Server 2004 Site to Site VPN mit L2TP/IPSEC - Von Marc Grote

ISA Server 2004 Erstellen einer Webverkettung (Proxy-Chain) - Von Marc Grote

Special Timetable of Lufthansa German Airlines for 20APR10 Sonderflugplan der Deutschen Lufthansa für 20APR10

WLAN Konfiguration. Michael Bukreus Seite 1

Konfiguration eines Lan-to-Lan VPN Tunnels

IPv6. Übersicht. Präsentation von Mark Eichmann Klasse WI04f 22. November 2005

Eine Open Source SSL VPN Lösung. Patrick Oettinger Deutsche Telekom AG 2. Ausbildungsjahr

Sicherheitsdienste für große Firmen => Teil 2: Firewalls

MSXFORUM - Exchange Server 2003 > SMTP Konfiguration von Exchange 2003

Um IPSec zu konfigurieren, müssen Sie im Folgenden Menü Einstellungen vornehmen:

Konfiguration des Wireless Breitband Routers.

Rechnernetze II SS Betriebssysteme / verteilte Systeme rolanda.dwismuellera@duni-siegena.de Tel.: 0271/ , Büro: H-B 8404

HOBLink VPN 2.1 Gateway

Internetzugang Modul 129 Netzwerk Grundlagen

Uni-Firewall. Absicherung des Überganges vom Hochschulnetz zum Internet am Wingate (Helmut Celina)

Vorlesung SS 2001: Sicherheit in offenen Netzen

12. Kieler OpenSource und Linux Tage. Wie funktioniert eigentlich Mail? , Frank Agerholm, Linux User Group Flensburg e.v.

CCNA 4 WAN Technologies

Open Source und Sicherheit

Security + Firewall. 4.0 PPTP Client Einwahl. 4.1 Szenario

1E05: VPN Verbindungen zwischen Data Center und Branch Office

Kryptographische Anonymisierung bei Verkehrsflussanalysen

CARL HANSER VERLAG. Wolfgang Böhmer. VPN - Virtual Private Networks Die reale Welt der virtuellen Netze

How-to: Webserver NAT. Securepoint Security System Version 2007nx

Konfigurationsbeispiel USG

1 Mit einem Convision Videoserver über DSL oder ISDN Router ins Internet

Man unterscheidet zwischen LAN (Local Area Network) und WAN (Wide Area Network), auch Internet genannt.

Transkript:

Design und Realisierung von E-Business- und Internet-Anwendungen Virtuelle Private Netze Teil 1 Dr. Michael Nerb et al., Prof. Dr. Heinz-Gerd Hegering SoSe 2005 Seite 2 Virtuelle Private Netze Einordnung in den Teil Grundlagen Sicherer Zugang zum World Wide Web (HTTP, FTP etc.) Verzeichnisdienste Sicherer Übergang zum Internet: Firewalls und Intrusion Detection Sichere Email (SMTP etc.) Sichere Kommunikation: Virtuelle Private Netze

Seite 3 Virtuelle Private Netze Inhalte dieses Teils (verteilt auf zwei Termine) Virtuelle Private Netze Beispiel eines VPN s Begriffsdefinition und Charakteristika von VPN s Anforderungen und Klassifikation von VPN s Technologien für Internet-basierte VPN s Layer-2 Technologien Layer-3 Technologien Layer-4-7 Technologien VPN s in Weitverkehrnetzen Cell, Frame und Label Switching MPLS basierende VPN s QoS in MPLS-Netzen Seite 4 Beispiel Corporate Network eines Großkonzerns Hayward Mexico Toronto Chicago New York Alpharetta West Orange Atlanta Dallas Norcross Miami Bogota Puerto Rico Caracas Curitiba Upplands Espoo (Perkaa) Bergen Oslo Väsby St. Petersburg Ballerup Belfast Manchester Klaipeter Moscow Dublin Den Haag Warsaw Katowic Bracknell Brussels Prag Paris Bratislava Kiev Michalovce Zurich Vienna Budapest Lisbon Barcelona Rome Madrid Evora Malaga Manaus Fortaleza Recife Brasilia Salvador Belo Horizonte Porto Alegre Buenos Aires Toulouse Milan Rio de Janeiro Sao Paulo Trondheim Kranj Istanbul Ankara Athens Casablanca Bucharest Cairo Pretoria Johannesburg Kapstadt Tehran Karachi Riyadh Bahrain Jeddah Changchun Shenyans Seoul Beijing ChengduShanghai Guangzhou Delhi Calcutta Taipei Hanoi Bombay Hong Kong Madras Bangkok Manila Penang Bangalore Ho Chi Kuala LumpurMinh City Malacca Singapore Essen Köln Frankfurt Mannheim Regensburg Karlsruhe Stuttgart Mch P Augsburg Mch M München Jakarta Bandung Bremen Hannover Düsseldorf Perth Paderborn Tokyo Hamburg Berlin Fürth Leipzig Erlangen Nürnberg Brisbane Bayswater Adelaide Sydney Canberra Melbourne Auckland

Seite 5 Beispiel Mengengerüst (Auszug) Lokationen: Präsenz in 85 Ländern Anbindung von > 290 Standorten (davon ca. 150 in Deutschland) > 2.500 Liegenschaften Leitungen: > 200 Leitungen in Deutschland > 100 Internationale Leased Lines > 2.500 Local Loops und Zubringerleitungen Technologien: Ca. 220 StrataCom, ca. 2.200 Cisco Router 200 TK-Anlagen mit > 23.000 Teilnehmeranschlüssen > 800 angeschlossene LAN s mit > 30.000 managed objects Seite 6 Virtuelle Private Netze ein schillernder Begriff Ein paar Definitionsmöglichkeiten... Cisco Systems: Connectivity deployed on a shared infrastructure with the same policies as a private network RFC 2828 (Internet Security Glossary): A restricted-use, logical computer network that is constructed from the system resources of a relatively public, physical network, often by using encryption, and often by tunneling links of the virtual network across the real network. Wired Magazine (Februar 1998): The wonderful thing about virtual private networks is that its myriad definitions give every company a fair chance that its existing product is actually a VPN

Seite 7 Virtuelle Private Netze Charakteristika Virtual: Eine logische Struktur Statisch oder dynamisch Unterschiedliche Technologien und Techniken zur Virtualisierung Private: Beschränkter Zugang und Zugriff, Closed User Groups Mandantenfähigkeit Sicherstellung von Authentifizierung, Integrität, Vertraulichkeit Network: Strukturen auf Basis einer gesharten Infrastruktur, z.b.: (In zunehmendem Maße) über das Internet Aber auch Datennetze (z.b. Frame Relay, ATM, MPLS) Tunneling oder Tagging Transparent oder Nicht-Transparent für Benutzer Seite 8 Virtuelle Private Netze Kundenanforderungen Wirtschaftlichkeit: Kostengünstige Lösungen Hohe Flächenabdeckung, Einbettung von mobilen Benutzern Sicherheit und Qualität: vergleichbar einem privaten Netz (z.b. auf Basis leased lines ) Flexible, individuelle Quality of Service (QoS), Bandbreiten- Management Interoperabilität und Integration in Geschäftsprozesse: Gesicherte Übergänge zu Internet / Intranet / Extranet Zugriff auf Unternehmensdaten und anwendungen Verwendung vorhandener Adressen und Adressierungsschemata Transparenz (bzw. einfache Anwendung) für Benutzer

Seite 9 Klassifikation VPN s nach Organisation und Nutzungsformen Intranet VPN: Internes Netz einer Organisation/Firma Verbindet z.b. Zentrale, Niederlassungen, Außenstellen, etc. Intranet ist über Firewalls usw. vom Internet abgeschottet Extranet VPN: Kopplung von Firmen (z.b. B2B) Bindet Zulieferer, Partner o.ä. an das Intranet einer Firma Beispiele: Supply Chain Management, Online-Ordering o.ä. Remote Access VPN: bindet mobile Nutzer ( Road warriors ), Heimarbeitsplätze etc. an das Intranet an (z.b. über das Internet oder Dial-In) Beispiele: Teleworker, Field Service o.ä. Seite 10 Klassifikation VPN s nach Kommunikations-Endpunkten Site-to-Site : Quasi-Standverbindung zwischen den Standorten Transparent für die Benutzer/Applikationen Typischerweise bei Intranet/Extranet End-to-Site : Erfordert VPN-Software auf dem Client, ist aber für die Benutzer/Applikationen sonst transparent Nur mit Virenscanning und Personal Firewall zu empfehlen Typischerweise bei Remote Access VPN End-to-End : Höchste Sicherheit, da Daten durchgehend verschlüsselt Kein typisches Einsatzszenario, aber gut geeignet für Webbasierte Anwendungen

Seite 11 Klassifikation VPN s nach OSI-Schichtenmodell Layer-2 Technologien: L2F, PPTP, L2TP, L2Sec Layer-3 Technologien: IPSec Layer-4-7 Technologien: SSH, SSL/TLS, SSL-VPN s VPN-Technologien in WAN s Virtuelle Verbindungen in Frame Relay Netzen Virtuelle Pfade und Kanäle in zellbasierten Netzen (z.b. ATM) Multiprotokoll Label Switching (MPLS) Vertiefung der VPN s erfolgt anhand dieser Klassifikation Seite 12 Layer-2 Technologien Einordnung und Überblick PPP: Point to Point Protocol Authentifizierung (PAP,CHAP), Kompression L2F: Layer 2 Forwarding, Cisco Systems Keine Authentifizierung, keine Verschlüsselung PPTP: Point to Point Tunneling Protocol, v.a. Microsoft Authentifizierung z.b. durch MS-CHAPv2 Verschlüsselung über MPPE (RFC2118) L2TP: Layer 2 Tunneling Protocol Keine Verschlüsselung -> z.b. IPSec erforderlich L2Sec: Layer 2 Security ( SSL over L2TP ) Authentifizierung und Verschlüsselung auf Basis von SSLv3 Mechanismen L2F RFC 2341 PPP RFC 1661 L2TP RFC 2661 L2Sec RFC 2716 PPTP RFC 2637

Seite 13 Tunneling Beschreibung des Mechanismus Realisierung einer Schicht (N+1) Kommunikationsbeziehung über ein Schicht (N) Trägernetz Tunnel damit oft vergleichbar (mit Nutzung) einer (virtuellen) Verbindung Bestandteile des Tunnelmechanismus: Passagier-Protokoll (passenger protocol) Tunnel-Protokoll (encapsulating protocol) Träger-Protokoll (carrier protocol) Kann dazu führen, dass der OSI-Stack etwas durcheinander gewürfelt wird, z.b.: Ein PPTP Protokoll (Schicht 2) wird über IP (Schicht 3) geführt IP wird in IP eingebettet Seite 14 Tunneling für Layer-2 Technologien Beispiel: End-to-Site PSTN Internet/ ISP Network Corporate Intranet NAS ISDN PPP IP-Hdr UDP L2TP PPP IP-Hdr Data Träger Tunnel Passagier

Seite 15 Layer-2 Mechanismen Zusammenfassung Wirtschaftlichkeit: Trägerprotokoll ist IP Kostengüstige Realisierungsmöglichkeiten für kleine Umgebungen Sicherheit: Schwache/keine Mechanismen zur Authentifizierung, Integrität und Vertraulichkeit Keine (starke) Kryptografie zur Verschlüsselung (Ausnahme: L2Sec) Interoperabilität und Integration in Geschäftsprozesse: Unabhängigkeit vom Trägernetz durch Tunneling Durch Trägerprotokoll IP hohe Interoperabilität und Integration Hohe Verbreitung durch Microsoft PPTP Aber auch: Quality of Service? Mangelnde Sicherheit erfordert Einsatz anderer Mechanismen! Seite 16 Layer-3 Technologien IPSec Einordnung und Überblick IETF Working Group (WG) IPSec Framework für Sicherheitsfunktionen auf OSI-Layer 3 Authentication Header (AH) Encapsulating Security Payload (ESP) Management von Sicherheitsassoziationen und Schlüsseln IP Security Architecture RFC 2401 Authentication Header (AH) RFC 2402 Encapsulating Security Payload (ESP) RFC 2406 ISAKMP RFC 2408 OAKLEY RFC 2412 HMAC-MD5-96 RFC 2403 HMAC-SHA1-96 RFC 2404 DES-CBC RFC 2405 NULL Encryption Algorithmus RFC 2410 IPSec ISAKMP DOI RFC 2407 Internet Key Exchange RFC 2409

Seite 17 Tunneling für Layer-3 Technologien Beispiel: Site-to-Site zwischen zwei Standorten Standort A Standort B IP-Header ESP IP-Hdr Data Träger Tunnel Passagier Seite 18 IPSec Funktionen und Protokolle Transport- und Tunnel-Modus Tunnel-Modus: Komplettes IP-Paket wird gekapselt (inkl. IP Header) Anwendung: Site-to-Site oder End-to-Site Transport-Modus: Nur IP-Daten ( Payload ) werden gekapselt IP-Header mit IP-Adressen bleibt erhalten Anwendung für End-to-End Tunnel Mode Tunnel Mode PC Host/ Server Transport Mode

Seite 19 IPSec Funktionen und Protokolle AH und ESP Authentication Header (AH): Protokoll zur Sicherstellung von Integrität und Authentizität Kryptographische Prüfsumme (Hash) über IP Paket (MD5, SHA1) Encapsulating Security Payload (ESP): Protokoll zur Sicherstellung von Vertraulichkeit und Authentizität Verschlüsselung des IP-Pakets oder Payload (DES, 3DES, Blowfish, RC4,...) AH und ESP können sowohl im Tunnel- als auch im Transport Modus verwendet werden Vorsicht: Bei IPSec nutzen sowohl Tunnel- als Transport Mode den vorher vorgestellten Mechanismus des Tunnelings Seite 20 Details: ESP im Transport und Tunnel Modus PDU Formate Transport Mode: IP Header DATA Original IP-Paket IP Header ESP Header DATA ESP Trailer ESP Auth Verschlüsselt Authentifiziert Tunnel Mode: IP Header DATA Original IP-Paket New IP Header IP Header DATA Ohne Verschlüsselung New IP Header ESP Header IP Header DATA ESP Trailer ESP Auth Verschlüsselt Authentifiziert

Seite 21 IPSec Funktionen und Protokolle Management von Sicherheitsassoziationen (SA) ISAKMP (RFC 2408): Internet Security Association and Key Management Protocol Prozeduren und Formate für Aufbau, Abbau, Verhandlung von SA s abstrakte Protokollbasis IPSec DOI for ISAKMP (RFC 2407): Domain Of Interpretation konkrete Spezifikation für ISAKMP Oakley Key Determination Protocol (RFC 2412) Schlüsselaustausch auf Basis von Diffie-Hellman Key Exchange Etablieren eines gemeinsamen, geheimen Schlüssels über einen unsicheren Kanal Internet Key Exchange (RFC 2409): Konkrete Implementierung von ISAKMP und Oakley Seite 22 ISAKMP und Oakley Aufbau der SA und Schlüsselaustausch (vereinfacht) 1. Ausgehendes Paket von A zu B. Keine SA. IPSec A 4. Paket von A zu B geschützt durch IPSec SA s IPSec B ISAKMP A ISAKMP Tunnel ISAKMP B 2. A s ISAKMP beginnt Verhandlung mit B. 3. Verhandlung fertig. A und B haben gemeinsame SAs 2a. Verschlüsselung erfolgt anhand von Pre-Shared Keys oder X.509 Zertifikaten (Oakley generiert Schlüssel)

Seite 23 VPN Server Praktische Umsetzung - Beispiel End-to-Site IPSec VPN (vereinfacht) RZ NAT FW Public Internet DSL-Router NAT Firewall Home LAN (vereinfacht) VPN Client Server private LAN IP (192.168.13.2) Server Routable IP (62.156.4.18) Client Routable IP (e.g. 217.177.30.12) Client Private LAN IP (e.g. 192.168.1.30) (e.g. 172.16.10.6) #123456 #123457 VPN Server #123451 #123452 (e.g. 172.16.10.1) (e.g. 172.16.10.7) #123458 #123453 (e.g. 172.16.10.2) (e.g. 172.16.10.8) (e.g. 172.16.10.9) #123459 RZ Services Server private LAN IP (192.168.13/24) #123454 (e.g. 172.16.10.3) (e.g. 172.16.10.4) Seite 24 Praktische Umsetzung - Beispiel NAT-Traversal Problem: und/oder VPN Server werden genatted Beispiel NATting beim Client : NAT FW betreibt Masquerading (Spezialfall von S-NAT) Mehrere Clients sind hinter einer IP Adresse verborgen NAT FW identifiziert Client anhand der IP Adresse und Port# Aber: IPSec Paket hat kein sichtbares TCP/UDP Header (verschlüsselt!) IP-Hdr Lösung: NAT-Traversal (RFC 3947) Während ISAKMP (IKE Phase 1) wird festgestellt, ob und wer genatted ist Bei Bedarf wird der IPSec Traffic in UDP enkapsuliert (Phase 2) IP-Hdr Data (verschlüsselt) UDP-Hdr Data (verschlüsselt) Somit kann NAT FW diese Pakete wieder zum korrekten Client zuordnen

Seite 25 IPSec Zusammenfassung Wirtschaftlichkeit: Trägerprotokoll ist IP Kostengüstige Realisierungsmöglichkeiten Sicherheit: Mechanismen zur Authentifizierung, Integrität und Vertraulichkeit Einsatz starker Kryptografie zur Verschlüsselung Interoperabilität und Integration in Geschäftsprozesse: Unabhängigkeit vom Trägernetz durch Tunneling Durch Trägerprotokoll IP hohe Interoperabilität und Integration Aber auch: Quality of Service? Komplexität der IPSec Standards und Implementierungen? Interoperabilität von verschiedenen IPSec Implementierungen? Aufwände durch Aufbau von Certification Authorities (CA) usw. Seite 26 Layer-4-7 Technologien Einordnung und Überblick SSH (Secure Shell): Tatu Ylönen (Helsinki University of Technology) Ursprüngliches Ziel: Ersetzen der r-tools (rlogin, rsh, rcp usw.) Heute: Tunneln von Anwendungen ( weit verbreitet : X11 Forwarding) SSL (Secure Socket Layer) Version 3: Netscape Communications Sicherheitsschicht zw. Anwendungs- und Transportschicht, geeignet für TCP-basierten Anwendungen (z.b. POP3, IMAP, HTTP) OpenSSL als Open-Source Implementierung inkl. PKI und Zertifikatsmanagement TLS (Transport Layer Security) IETF WG Transport Layer Security, TLS Version 1 (RFC 2246) Konzeptionell und inhaltlich identisch zu SSLv3 SSL-VPN s : Produkte auf Basis von SSL/TLS

Seite 27 Praktische Umsetzung - Beispiel SMTP over ssh - Prinzipdarstellung Ssh/SMTP Server RZ NAT FW SSH daemon ist aus dem Internet für jeden erreichbar SSH daemon erlaubt login, wenn authorized_key Eintrag vorhanden Public Internet DSL-Router NAT Firewall 4. ssh-tunnel Home LAN (vereinfacht) Client PC Beim Booten des Client PC: ssh f N L 25:ssh-server-ip:25 ssh-server-ip ssh-tunnel etabliert (rote Linie) Client-PC sendet E-Mail per SMTP: telnet localhost 25 SSH daemon empfängt und entschlüsselt die Daten; SMTP-Server verarbeitet die empfangene E-Mail Mail wird verschlüsselt durch den ssh-tunnel zum SMTP Server gesendet Seite 28 Layer-4-7 Technologien Zusammenfassung Benutzerfreundlich und Easy-to-use : Je nach Anwendung keine oder wenig zusätzliche Software erforderlich Typischerweise überschaubarer Konfigurationsaufwand an den Clients Viele Anwendungen sind inzwischen Web-basiert, d.h. Zugriff kann über HTTP erfolgen Zertifikate usw. können auch anderweitig verwendet werden (z.b. für 2-Factor Authentication auf Client-PC, Single-Sign-On o.ä.) Ende-zu-Ende Authentifizierung und Verschlüsselung Komplexität von IPSec und Layer-2 Technologien entfällt Aber auch: Ausgabe/Verwaltung von Schlüsseln, Zertifikaten, Revocation Lists usw. Initiator typischerweise der Client (nicht der Server), nur für TCPbasierte Anwendungen Weiterhin Notwendigkeit für Schutzmaßnahmen Auf jedem PC (Personal Firewalls, Virenscanning usw.) An der Grenze zum Internet (Firewalls, IDS, Virenscanning, usw.)

Seite 29 Literatur Links zum Thema RFC-Archiv im Internet, z.b. unter: http://www.rfc-archive.org/ F. L. Bauer; Decrypted Secrets - Methods and Maxims of Cryptology, 3. Auflage 2002, Springer Verlag Helmar Gerloni, Barbara Oberhaitzinger, Helmut Reiser, Jürgen Plate: Praxisbuch Sicherheit für Linux-Server und Netze, Hanser Fachbuchverlag 2004 Uyless Black: MPLS and Label Switching Networks, Prentice Hall, 2. Auflage, 2002 C t Magazin 17/01 (Seite 164ff) und 18/01 (Seite 182ff) I X Magazin 07/03 (Seite 84ff) und 10/02 (Seite 92ff) Bruce Schneier: http://www.counterpane.com, http://www.schneier.com SSH: http://www.ssh.org Seite 30 Das wärs für heute... Fragen / Diskussion Verbesserungsvorschläge Die Folien von heute sind bereits auf die Web-Seite der Vorlesung Nächste Woche (19. Mai 2005): VPN s Teil 2 Einen schönen Abend!!!

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback