VPN Virtuelles privates Netzwerk Vortrag von Igor Prochnau Seminar Internet- Technologie
Einleitung ist ein Netzwerk, das ein öffentliches Netzwerk benutzt, um private Daten zu transportieren erlaubt eine sichere, stabile und preisgünstige Kommunikation über das Internet VPNs bieten eine große Flexibilität bei VPNs unterscheidet man zwischen verschiedenen Typen, wobei diese auch miteinander kombiniert werden können verteilte Unternehmensnetze können verbunden werden Außendienstmitarbeiter können auf Ressourcen und Daten in dem Unternehmensnetz zuzugreifen 22.06.2007 Seminar Internet- Technologie 2
VPN- Typen Remote- Access- VPN (End-to-Site) Extranet- VPN (End- to- End) Intranet- VPN (Site- to- Site) 22.06.2007 Seminar Internet- Technologie 3
Remote- Access- VPN ermöglicht es, von entfernten Systemen aus auf ein Unternehmensnetz zuzugreifen die klassische Anwendung eines Remote- Access- VPN ist die Anbindung von Außendienstmitarbeitern die Verschlüsselung erfolgt vom Client zum VPN- Gateway es gibt im Prinzip zwei Möglichkeiten, um ein Remote- Access- VPN aufzubauen: Client initiiert Server initiiert Quelle (2) 22.06.2007 Seminar Internet- Technologie 4
Extranet- VPN öffnet das private Netzwerk für externe Personen oder Organisationen und gewährt diesen Zugriff auf Ressourcen im Unternehmensnetzwerk die Datenpakete stammen nicht von eigenen Mitarbeitern und müssen deshalb gesondert behandelt werden die Zugangskontrollmechanismen regeln den beschränkten Zugriff der unterschiedlichen Organisationen die Zugangskontrolle wird häufig mit Firewall- Systemen, mit Zugriffslisten in den Routern oder mit Richtlinien basierende Kontrollen realisiert Quelle (2) 22.06.2007 Seminar Internet- Technologie 5
Intranet- VPN wird benutzt um z.b. eine Filiale an die Firmenzentrale anzubinden am Aufbau sind zwei VPN- Gateways- Systeme beteiligt die Verschlüsselung der Daten erfolgt nur auf dem Weg zwischen den beiden VPN- Gateways eine Möglichkeit, ein Intranet- VPN einzurichten, besteht darin, lediglich ein Internet- Anschluss bei einem ISP zu mieten und auf beiden Seiten Firewall- Systeme bzw. Router mit integrierter Firewall- Technologie oder spezielle IPSec- Gateways an der Schnittstelle zum Internet- Anschluss einzurichten Quelle (2) 22.06.2007 Seminar Internet- Technologie 6
Anforderungen an VPN Datenvertraulichkeit Schlüsselmanagement Paket- Authentifizierung Datenintegrität Benutzer- Authentifizierung Schutz vor Sabotage Schutz vor unerlaubtem Eindringen Verfügbarkeit Performance Skalierbarkeit und Migrationsfähigkeit Integration in existierende Netze Koexistenz zu traditionellen WAN- Strukturen Interoperabilität 22.06.2007 Seminar Internet- Technologie 7
Sicherheitstechnologie geschützt werden müssen im Wesentlichen die Systemhardware und Software sowie die Daten selbst es gibt mehrere Ansätze zur verschlüsselten Übertragung von Daten, die sich im Wesentlichen darin unterscheiden, auf welcher Ebene des OSI- Schichtenmodells sie eingesetzt werden ausgehend von den sieben Schichten, können verschiedene Sicherungsmaßnahmen auf den verschiedenen Ebenen zur Absicherung unterschiedlicher VPN- Type installiert werden 22.06.2007 Seminar Internet- Technologie 8
Sicherheitstechnologie aus einem VPN- Blickwinkel lassen sich die sieben Schichten auf drei VPN- Ebenen reduzieren Quelle (2) 22.06.2007 Seminar Internet- Technologie 9
Sicherheitstechnologie Quelle (2) 22.06.2007 Seminar Internet- Technologie 10
Sicherheitstechnologie für ein Internet- VPN ist das Sinnvollste und Sicherste eine Verschlüsselung auf der Vermittlungsschicht (Ebene des IP- Protokolls) die Sicherheitstechnologie werden in das IP- Protokoll integriert alle Datenpakete dieses Protokolls werden von den eingesetzten Sicherheitsverfahren bearbeitet 22.06.2007 Seminar Internet- Technologie 11
Tunneling- Technologien ist die Basis moderner VPNs Pakete eines Netzwerkprotokolls werden in Pakete eines anderen Netzwerkprotokolls gekapselt und über dieses Netzwerk übertragen Quelle (1) 22.06.2007 Seminar Internet- Technologie 12
Tunneling- Modelle in Abhängigkeit davon, wo die Tunnel beginnen und enden, kann man drei verschiedene, so genannte Tunneling- Modelle unterscheiden: - Ende- zu- Ende- Model - Provider- Enterprise- Modell - Intra- Provider- Modell Quelle (1) 22.06.2007 Seminar Internet- Technologie 13
VPN und Firewall die Firewall kann eingehende verschlüsselte Pakete, die für das VPN- Gateway bestimmt sind, nicht vernünftig analysieren und filtern. Die Firewall kann nicht erkennen, an welche Rechner oder Ports die verschlüsselten Pakete gerichtet sind Quelle (2) 22.06.2007 Seminar Internet- Technologie 14
VPN und Firewall wesentlich weniger problembehaftet ist die Konstellation, bei der ein VPN-Gateway direkt in die Firewall integriert ist Quelle (2) 22.06.2007 Seminar Internet- Technologie 15
VPN und Firewall die Firewall wird mit einer zusätzlichen Netzwerkkarte ausgerüstet und an diese das VPN- Gateway angeschlossen die Firewall benötigt zusätzlich noch spezielle Regelerweitrungen, mit denen der Netzwerkverkehr über das Interface zum VPN- Gateway geleitet wird Quelle (2) 22.06.2007 Seminar Internet- Technologie 16
VPN und Firewall ein Router mit Paketfilterregeln, die den ein- und ausgehenden Verkehr überwachen, wird vorgeschaltet hinter diesen Router findet gleichzeitig das VPN- Gateway Schutz die bereits von VPN- Gateway entschlüsselten IP- Pakete müssen noch die Firewall passieren, um ins Firmen- Netz zu gelangen Quelle (2) 22.06.2007 Seminar Internet- Technologie 17
IP Security in IP- Sec sind verschiedene Verschlüsselungs- und Authentifizierungsverfahren sowie Schlüsseltausch- und Schlüsselverwaltungsprotokolle festgelegt große Flexibilität bei der Erreichung der Schutzziele beeinflusst weder die Kommunikationsprotokolle noch die Anwendungsprogramme das Hauptentwicklungsziel besteht darin, den IP- Paket- Austausch in Kommunikationsnetzen abzusichern die unterschiedlichen VPN- Architekturen lassen sich auf Basis von IPSec effektiv schützen 22.06.2007 Seminar Internet- Technologie 18
IP Security IP Security bietet einen weit reichenden Schutz von IP- Datagrammen - Paketintegrität - Paketauthentifizierung - Paketvertraulichkeit - Verkehrsflussvertraulichkeit - Schutz vor Angriffen 22.06.2007 Seminar Internet- Technologie 19
IP Security Paketvertraulichkeit - die Vertraulichkeit der Daten wird durch deren Verschlüsselung erreicht - die eingesetzten Algorithmen sind symmetrische Verfahren - die beteiligten Gegenstellen müssen sich immer auf ein Verfahren einigen können Paketintegrität - wird sichergestellt, indem in das IPSec- Paket ein so genannter Hash-based Message Authentication Code (HMAC) eingefügt wird - es handelt sich um einen kryptographisch durch einen symmetrischen Schlüssel abgesicherten Hashwert, der über das zu versendende IP- Paket gebildet wird Schutz vor Angriffen - es wurden auch Verfahren und Protokolle zum Schutz vor einer ganzen Reihe von Angriffen implementiert 22.06.2007 Seminar Internet- Technologie 20
IP Security Verkehrsflussvertraulichkeit Transport- Modus - es wird nur die Nutzlast des IP- Paketes verschlüsselt - es wird ein zusätzlicher IPSec- Kopf hinzugefügt Tunnel- Modus - hat die zusätzliche Aufgabe, die Quell- und Ziel- Adresse auf dem Transportweg zu schützen - kapselt ein privates IP- Paket in den Datenbereich eines neu erzeugten IP- Pakets ein Quelle (1) 22.06.2007 Seminar Internet- Technologie 21
IP Security Paketauthentifizierung IPSec definiert zwei weitere Protokollköpfe (Header) für IP- Pakete, um eine Authentifizierung und eine Verschlüsselung zu erreichen - Authentication Header (AH) - Encapsulation Security Payload (ESP) 22.06.2007 Seminar Internet- Technologie 22
AH- Header ist für die Authentifizierung im IPSec- Protokoll zuständig wird zwischen den ursprünglichen IP- Header und anderen Layer-3- Elementen eingebettet die Nutzdaten bleiben jedoch unberührt Quelle (1) 22.06.2007 Seminar Internet- Technologie 23
ESP- Header garantiert die Vertraulichkeit der übertragenden Nutzlast, die mit einem kryptographischen Verfahren behandelt wird ist in der Lage, sowohl eine Verschlüsselung als auch eine Authentifizierung zu leisten Quelle (1) 22.06.2007 Seminar Internet- Technologie 24
IPSec- Sicherheitsassoziation ist ein temporäre, nur für den Zeitraum der Kommunikation gültiger Vertrag (Security Association) beinhaltet alle zum Aufbau einer gesicherten Kommunikationsverbindung wichtigen Elemente und legt den Arbeitsmodus fest die verschiedenen SAs werden in der Security Association Database (SAD) gespeichert für eine Kommunikation müssen immer zwei IPSec- SAs existieren, eine für den ausgehenden Verkehr und eine weitere für den ankommenden Verkehr 22.06.2007 Seminar Internet- Technologie 25
IPSec- Security- Policy legt fest, welche Dienste auf ein- oder ausgehende Pakete anzuwenden sind die Regeln, aus denen sich die Strategie zusammensetzt, sind in der Security- Policy- Datenbank (SPD) gespeichert die Strategie wählt eine von drei Arten aus, wie die Pakete behandelt werden, sie werden entweder verworfen, unverändert durchgelassen oder durch IPSec umgeformt und dann weiterverarbeitet 22.06.2007 Seminar Internet- Technologie 26
Zusammenfassung es gibt drei VPN-Typen, die auch kombiniert werden können verteilte Unternehmensnetze können verbunden werden mobile Mitarbeiter können auf Ressourcen und Daten in dem Unternehmensnetz zuzugreifen es können verschiedene Sicherungsmaßnahmen auf den verschiedenen Ebenen zur Absicherung unterschiedlicher VPN- Type angewendet werden es gibt drei verschiedene Tunneling- Modelle: das Endezu- Ende- Model, das Provider- Enterprise- Modell und das Intra- Provider- Modell es gibt mehrere Möglichkeiten, wie die Firewall mit VPN eingesetzt wird IP- Security- Protokoll ist der Standard für die Sicherheit auf IP- Ebene 22.06.2007 Seminar Internet- Technologie 27
Quellen (1) VPN- Virtuelle Private Netzwerke, Aufbau und Sicherheit von Manfred Lipp, ISBN 3-8273- 1749-5 (2) VPN- Virtuelle Private Netzwerke, Die reale Welt der virtuelle Netze von Wolfgang Böhmer, ISBN 3-446-21532-8 (3) VPN mit Linux, Ralf Spenneberg, ISBN 3-8273- 2114-X (4) Virtual Private Netzworks, Markus a Campo und Norbert Pohlmann, ISBN 3-8266-4060-8 (5) www.wikipedia.de 22.06.2007 Seminar Internet- Technologie 28