CARL HANSER VERLAG Wolfgang Böhmer VPN - Virtual Private Networks Die reale Welt der virtuellen Netze 3-446-21532-8 www.hanser.de
Inhaltsverzeichnis Teil I VPN-Grundlagen und Techniken 1 1 Einleitung 3 1.1 WasisteinVPN?... 7 1.2 WelcheVPN-Variantengibtes?... 8 1.3 WassolleinVPNleisten?... 11 2 Netzgrundlagen der VPN-Technologie 17 2.1 Verfahren der Kommunikationstechnik füreinvpn... 18 2.2 OffeneKommunikationinDatennetzen... 20 2.2.1 DieArchitekturdesOSI-Referenzmodell... 21 2.2.2 DiesiebenOSI-Funktionen... 22 2.2.3 DieOSI-Dienste... 24 2.2.4 DieOSI-Protokolle... 25 2.3 DasInternet-ProtokollinderVersionIPv4undIPv6... 28 2.3.1 BOOTP/DHCPundMobile-IP... 32 2.3.2 Ende-zu-Ende-FlusskontrollemittelsTCP... 38 2.3.3 Dienstgüte(CoS)und(QoS)inIP-Netzen... 42 2.3.4 IntegrierteunddifferenzierteDienste... 47 2.3.5 Multi-ProtocolLabelSwitching(MPLS)... 56 2.4 Weitverkehrsnetze(WAN)... 70 2.4.1 Fast-Packet-Switching(FPS)... 71 2.4.2 Frame-Relay... 72 2.4.3 MPLS überframe-relay... 77 2.4.4 AsynchronerTransferModus(ATM)... 77 2.4.5 ATM-Referenzmodell... 86 2.4.6 MPLS überatm-verbindungen... 90 2.4.7 IP/MPLS und Multiprotokoll Lambda Switching (ÅÈ Ë)... 91
VIII Inhaltsverzeichnis Teil II Realisierung der Privatsphäre in VPN 95 3 Informations- und Kommunikationssicherheit 97 3.1 DefinitionIuK-Sicherheit... 98 3.2 VerfahrenzurErlangungderIuK-Sicherheit...103 3.2.1 Risikoanalysen...105 3.2.2 ITSECundCommonCriteria(CC)...110 3.2.3 VergleichzwischenCCundITSEC...111 3.2.4 KurzüberblickCommonCriteria...112 3.2.5 SicherheitsarchitekturoffenerSysteme...114 3.2.6 SicherheitsphilosophieundSicherheitspyramide...119 3.2.7 EvaluierungderGesamtunternehmenssicherheit...121 4 Verschlüsselung 123 4.1 Verschlüsselungstechniken...124 4.1.1 Substitutionstechniken...124 4.1.2 Transpositionstechniken...130 4.2 SymmetrischeKryptosysteme...133 4.2.1 BlockchiffreundStromchiffre...133 4.2.2 DES,TripleDES,IDEAundAES...143 4.2.3 TripleDES...148 4.2.4 IDEA...149 4.2.5 AES...150 4.2.6 RIJNDAEL...150 4.3 AsymmetrischeKryptosysteme...153 4.4 Schlüsselaustauschverfahren...153 4.4.1 Diffie-Hellman,RSA,ELGamal,DSA...154 4.5 KryptograpischeHashfunktionen...162 4.6 Digitale Signatur...163 4.6.1 Mechanismen einer digitalen Signatur......... 164 4.6.2 Bedeutung der digitalen und der elektronischen Signatur... 165 4.7 PKIundTrustCenter...167 4.7.1 x.500 und x.509v.3.....169 4.7.2 ZertifizierungundValidierung...172 4.7.3 PKI-Unterscheidungsmerkmale...173 4.7.4 Einsatz von Digitalen Zertifikaten....174
Inhaltsverzeichnis IX 5 Verfahren zur Authentifizierung 177 5.1 EinfacheAuthentifizierungsverfahren...179 5.2 StarkeAuthentifizierungsverfahren...183 5.2.1 Ein-Wege-Authentifizierung...184 5.2.2 Zwei-Wege-Authentifizierung...185 5.2.3 Drei-Wege-Authentifizierung...186 5.3 Zwei-Faktoren-AuthentifizierunginderPraxis...187 5.3.1 ZeitsynchroneAuthentifizierungmittelsToken-Cards...187 5.3.2 SpeicherkartenundSmart-Cards...190 5.4 AuthentifizierungsverfahreninderAnwendung...193 5.4.1 Die PPP-Verbindung als Voraussetzung für PAP und CHAP.. 193 5.4.2 PasswordAuthenticationProtocol(PAP)...195 5.4.3 Challenge-Handshake Authentication Protocol (CHAP).... 196 5.4.4 Die AAA-Sicherheitsarchitektur.....197 5.4.5 RemoteAuthenticationDial-InUserService(RADIUS)...199 5.4.6 Terminal Access Controller Access Control System (TACACS). 201 5.4.7 VergleichzwischenRADIUSundTACACS+...201 5.4.8 Kerberos...202 Teil III Die reale Welt der VPN 209 6 Varianz der VPN-Typen 211 6.1 VPN Einsatzmöglichkeiten....212 6.1.1 Intranet-VPN(Site-to-Site)...217 6.1.2 Extranet-VPN(End-to-End)...218 6.1.3 Remote-Access-VPN(End-to-Site)...219 6.2 Eckpunkte fürdeneinsatzeinesvpn...221 6.2.1 VPN-Sicherheitspolitik...221 6.2.2 VPNundFirewall...222 6.2.3 VPNundRouter...227 6.2.4 Quality-of-ServiceinVPN...227 6.2.5 DiffservinVPN...227
X Inhaltsverzeichnis 7 VPN-Basistechnologien 229 7.1 Tunneling...230 7.2 Layer-2-Techniken...232 7.2.1 L2F...234 7.2.2 PPTP...235 7.2.3 L2TP...240 7.2.4 L2Sec...249 7.3 Layer-3-Techniken...250 7.4 Sicherheitsstandard fürdasinternet(ipsec)...250 7.4.1 DasZielvonIPSec...252 7.4.2 Die IPSec-Sicherheitsvereinbarungen (SA)...254 7.4.3 IPSec-AuthentifizierungmittelsAH-Header...257 7.4.4 IPSec-VertraulichkeitmittelsESP-Header...259 7.4.5 Transport-undTunnel-Modus...261 7.4.6 KombinationenvonSecurityAssociations...264 7.4.7 InitiierungeinerSecurityAssociation...265 7.4.8 IPSecundRemoteAccess...267 7.4.9 DasInternet-Key-Exchange-Management(IKE)...270 7.4.10 IKE-Phase-1...272 7.4.11 IKE-Phase-2 Quick Mode...276 7.4.12 Das Internet Security Association and Key Management Protocol(ISAKMP)...277 7.4.13 Das Oakley-Schlüssel-Protokoll(Oakley)...281 7.4.14 Das Simple Key Management for Internet Protocols (SKIP).. 282 7.4.15 Layer-2-undLayer-3-Vergleich...283 7.5 Layer-4-Techniken...283 7.5.1 Secure Socket Layer (SSL) und Transport Layer Sicherheit (TLS) 283 7.5.2 VergleichzwischenIPSecundSSL/TLS...292 7.6 Layer-5-Techniken...294 7.6.1 SOCKSV.5...294
Inhaltsverzeichnis XI 8 Provider-Netze sichere Kommunikation u ber fremde Netze 297 8.1 Provider Netze und Netzstrukturen.................... 298 8.1.1 IP-VPN über Wählverbindungen.................. 304 8.1.2 VPN über fremde Netze....................... 305 8.1.3 Referenzmodell für ein verwaltetes CE-basierendes VPN... 308 8.1.4 Referenzmodell für ein Netzwerk-basierendes VPN...... 310 8.2 Netzwerk-Performance und Management................ 311 8.2.1 Sicherheitsaspekte.......................... 314 8.2.2 Service-Vereinbarungen (SLA)................... 315 8.3 VPN-Klassifizierungen........................... 316 8.3.1 Vergleichsverfahren und Anforderungen............. 322 9 Einsatz von Virtuellen Privaten Netzen 323 9.1 VPN-Marktbetrachtungen.......................... 323 9.2 IPSec und MPLS für VPN der zweiten Generation............ 331 9.2.1 IPSec und Performance Aspekte.................. 335 9.3 Planungsaspekte............................... 336 9.4 Phasenplan zur Durchführung eines VPN-Projektes........... 337 9.4.1 Analyse................................ 339 9.4.2 Konzeption.............................. 353 9.4.3 Realisierung.............................. 355 9.4.4 Betrieb................................. 355 9.5 Schlussbemerkung.............................. 356 Literaturverzeichnis 358 Stichwortverzeichnis 365