Remote Access. Virtual Private Networks. 2000, Cisco Systems, Inc.



Ähnliche Dokumente
Security Associations Schlüsseltausch IKE Internet Key Exchange Automatischer Schlüsseltausch und Identitätsnachweis

Workshop: IPSec. 20. Chaos Communication Congress

Werner Anrath. Inhalt

Security + Firewall. 3.0 IPsec Client Einwahl. 3.1 Szenario

VPN: Virtual-Private-Networks

NAT & VPN. Adressübersetzung und Tunnelbildung. Bastian Görstner

IPsec. Vortrag im Rahmen des Seminars Neue Internet Technologien

Virtual Private Networks Hohe Sicherheit wird bezahlbar

VIRTUAL PRIVATE NETWORKS

Virtual Private Networks. Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH

Prof. Dr. Martin Leischner Netzwerksysteme und TK. Hochschule Bonn-Rhein-Sieg. Modul 5: IPSEC

Bernd Blümel. Verschlüsselung. Prof. Dr. Blümel

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Exkurs Kryptographie

Gestaltung von virtuellen privaten Netzwerken (VPN) - Tunneling und Encryption

Autor: St. Dahler. Für Phase 2, der eigentlichen Verschlüsselung der Daten stellen Sie das ESP Protokoll ein mit der Verschlüsselung DES3 und SHA1.

Konfiguration eines Lan-to-Lan VPN Tunnels

HowTo: Einrichtung einer IPSec Verbindung mit einem IPSEC VPN Client zum DWC-1000 am Beispiel der Shrewsoft VPN Clientsoftware

Systemvoraussetzungen Hosting

Dynamisches VPN mit FW V3.64

Prinzipiell wird bei IP-basierenden VPNs zwischen zwei unterschiedlichen Ansätzen unterschieden:

Firewall oder Router mit statischer IP

VPN Virtual Private Network

Einrichtung von VPN für Mac Clients bei Nortel VPN Router

1. IPSec Verbindung zwischen 2 Gateways mit dynamischen IP Adressen

VPN-Technologien Alternativen und Bausteine einer erfolgreichen Lösung von Dipl.-Inform. Andreas Meder

Exkurs: IPSec. Brandenburg an der Havel, den 5. Juni 2005

GRE-over-IPSEC. -Vortrag 3E02- Werner Anrath. Forschungszentrum Jülich Zentralinstitut für Angewandte Mathematik (Stand:

Konfigurationsbeispiel

Asymmetrische. Verschlüsselungsverfahren. erarbeitet von: Emilia Winkler Christian-Weise-Gymnasium Zittau

Secure Sockets Layer (SSL) Prof. Dr. P. Trommler

Werner Anrath. Inhalt

VPN IPSec Tunnel zwischen zwei DI-804HV / DI-824VUP+

Eine Praxis-orientierte Einführung in die Kryptographie

BinTec X-Generation Router IPSec Security Pack 6.3.4

Virtual Private Network. David Greber und Michael Wäger

Aurorean Virtual Network

HowTo: Einrichtung von L2TP over IPSec VPN

Inhalt. Erreichbarkeit von VPN-Gateways hinter einem Genexis FTTH-Abschlussrouter

HOBLink VPN. HOBLink VPN & Produktionsumgebung- / Steuerung

Modul 4: IPsec Teil 1

IT-Sicherheit Kapitel 10 IPSec

im DFN Berlin Renate Schroeder, DFN-Verein

Site2Site VPN S T E F A N K U S I E K B F W L E I P Z I G

Virtuelle Netze. Virtuelle Netze von Simon Knierim und Benjamin Skirlo 1 Von Simon Knierim & Benjamin Skirlo.

Beispielkonfiguration eines IPSec VPN Servers mit dem NCP Client

Erste Vorlesung Kryptographie

Kryptographie II. Introduction to Modern Cryptography. Jonathan Katz & Yehuda Lindell

Multicast Security Group Key Management Architecture (MSEC GKMArch)

Um IPSec zu konfigurieren, müssen Sie im Folgenden Menü Einstellungen vornehmen:

IP Telefonie Sicherheit mit Cisco Unified Communications Manager

IPSec und IKE. Richard Wonka 23. Mai 2003

ProSafe VPN Client Software. FVL328 (FWAG114, FWG114P, FVS328) mit dynamischer WAN-IP-Adresse. 16. Beispielkonfiguration Übersicht.

VPN / IPSec Verbindung mit dem DI 804 HV und dem SSH Sentinel

12 Kryptologie. ... immer wichtiger. Militär (Geheimhaltung) Telebanking, Elektronisches Geld E-Commerce

HOBLink VPN 2.1 Gateway

VPN unterstützt 3 verschiedene Szenarien: Host to Host: Dies kennzeichnet eine sichere 1:1 Verbindung zweier Computer, z.b. über das Internet.

- Gliederung - 1. Motivation. 2. Grundlagen der IP-Sicherheit. 3. Die Funktionalität von IPSec. 4. Selektoren, SPI, SPD

Dynamisches VPN mit FW V3.64

Informatik für Ökonomen II HS 09

Grundkurs Routing im Internet mit Übungen

Anleitung zur Einrichtung eines Lan-to-Lan Tunnels zwischen einen DI-804HV und einer DSR (Für DI-804HV ab Firmware 1.44b06 und DSR-250N/500N/1000N)

Seite IPsec Client / Gateway mit Zertifikaten (CA / DynDNS) 12.1 Einleitung

IKEv1 vs. v2. Wie verändert die Version 2 von IKE das Verhalten? Netzwerksicherheit - Monika Roßmanith CNB, Simon Rich CN

Rechneranmeldung mit Smartcard oder USB-Token

IPsec Hintergrund 1 Überblick

Kryptographie oder Verschlüsselungstechniken

VPN: wired and wireless

P107: VPN Überblick und Auswahlkriterien

IT-Sicherheit Kapitel 11 SSL/TLS

IPSec. Markus Weiten Lehrstuhl für Informatik 4 Verteilte Systeme und Betriebssysteme Universität Erlangen-Nürnberg

VPN- Beispielkonfigurationen

Diffie-Hellman, ElGamal und DSS. Vortrag von David Gümbel am

IPSec. Michael Gschwandtner, Alois Hofstätter, Roland Likar, Horst Stadler. Jänner 2003

Infinigate (Schweiz) AG. Secure Guest Access. - Handout -

Wortmann AG. Terra Black Dwraf

Modul 2: Zusammenspiel der Verfahren: Authentisierung, Verschlüsselung und Schlüsselmanagement

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Seite Wireless Distribution System (Routing / Bridging) 3.1 Einleitung

Secure Authentication for System & Network Administration

Cisco SA 500 Series Security Appliance

Modul 6 Virtuelle Private Netze (VPNs) und Tunneling

OPC UA: Ein kritischer Vergleich der IT-Sicherheitsoptionen

Sichere Anwendung und Administration von Verschlüsselung in Oracle Datenbanken. Trennung von Schlüssel- und Datenbankadministration

Mit einem PDA über VPN in s Internet der Uni Stuttgart

VPN. Virtuelles privates Netzwerk. Vortrag von Igor Prochnau Seminar Internet- Technologie

PCs fernsteuern mit Teamviewer

Eine Open Source SSL VPN Lösung. Patrick Oettinger Deutsche Telekom AG 2. Ausbildungsjahr

Vorlesung VPN: Drahtgebunden und drahtlos Fachbereich Informatik (FB 20) Lehrstuhl Prof. J. Buchmann

Einrichten von VoIP Clients für SIP-Accounts

PKI (public key infrastructure)

Sicherheitsdienste in IPv6

Collax PPTP-VPN. Howto

Denn es geht um ihr Geld:

Transkript:

Remote Access Virtual Private Networks 2000, Cisco Systems, Inc. 1

Remote Access Telefon/Fax WWW Banking E-mail Analog (?) ISDN xdsl... 2

VPNs... Strong encryption, authentication Router, Firewalls, Endsysteme 3

Begriffe Kryptographie Die Wissenschaft der Sicherung oder Verbergung von Informationen. Plaintext Die ursprüngliche Information. Encryption Der Vorgang der Verschlüsselung einer Information. Ciphertext Die verschlüsselte Information. Decryption Der Vorgang der Entschlüsselung einer Information. 4

Begriffe Cipher oder kryptographischer Algorithmus Die mathematische Funktion, die zur Ver- und Entschlüsselung benutzt wird. One way hash function Eine mathematische Funktion, die aus einer Information variabler Länge (Plaintext) ein Ergebnis definierter Länge erzeugt, den Hash. Der Hash kann auch als eine hochwertige Prüfsumme verstanden werden. Wichtig! Die ursprüngliche Information kann nicht aus dem Ergebnis wiederhergestellt werden. 5

Verschlüsselungsverfahren Symmetrisches oder Secret Key Verfahren Schlüssel für Encryption und Decryption sind gleich. Konventionelle Kryptographie - wird seit den frühen Anfängen der Kryptographie benutzt. Wird weiterhin gebraucht. Wird weiterentwickelt, um leistungsfähiger zu werden. Asymmetrisches oder Public Key Verfahren Schlüssel für Encryption und Decryption sind verschieden, aber mathematisch miteinander verknüpft. Erst seit 1976 verfügbar. Wird meist in Verbindung mit symmetrischen Verfahren eingesetzt. 6

Verschlüsselungsalgorithmen Symmetrische Algorithmen DES (56 bit) Triple-DES (3x56 bit = 168 bit) CAST (128 bit) IDEA (128 bit) Asymmetrische Algorithmen RSA Diffie-Hellmann (DH) Eine Verschlüsselung mit einer Schlüssellänge ab 128 bit (symmetrisch) wird allgemein als strong encryption bezeichnet. 7

IPSec: Der Standard für VPN- Verschlüsselung Internet Encrypted IP Internal Network Standards compliance IPSec AH/ESP Encapsulated Tunnels IKE Management interoperable Cisco IOS, Firewalls, and other IPSec-compliant systems Client support Windows 95/ 98 and Windows NT 4.x (Cisco provided software) Windows 2000 (Microsoft/Cisco partnership) 8

IPSEC Protokollarchitektur IPSEC ist eine Kombination von drei wesentlichen Protokollen (Services) Authentifikation: Authentication Header (AH) und Encapsulating Security Payload (ESP) Integrität / Vertaulichkeit: Encapsulating Security Payload (ESP) Rahmen: Internet Key Exchange (IKE) 9

IPSec Modes Tunnel Mode IP HDR Data New IP HDR IPsec HDR IP HDR Data May Be Encrypted IP HDR Data Transport Mode IP HDR IPsec HDR Data May Be Encrypted 10

Authentication Header IP HDR Data Transport Mode IP HDR AH Data Authenticated except for mutable fields Tunnel Mode New IP HDR AH IP HDR Data Authenticated except for mutable fields in New IP Header 11

ESP Encapsulating Security Payload Verschlüsselung der Nutzdaten Transport der Nutzdaten über IP Authentifikation der Datenquelle 12

Encapsulating Security Payload IP HDR Data Transport Mode IP HDR ESP HDR Data ESP Trailer ESP Auth Encrypted Authenticated Tunnel Mode New IP HDR ESP HDR IP HDR Data Encrypted Authenticated ESP Trailer ESP Auth 13

IKE Internet Key Exchange Protokoll Aushandlung von Protokollparametern Austausch von Public Keys Authentifikation beider Partner Schlüsselmanagement während der gesamten Sitzung 14

IKE / IPSEC Funktionsabläufe Relevante Daten empfangen Main Mode IKE Negotiation Quick Mode Negotiation Aufbau des IPSec Tunnels IKE IPSec Data 15

Security Association (SA) Router Vereinbarung zw. zwei IPSec- Endsystemen über eine Security Policy: Verschlüsselungsalgorithmus Authentifikationsalgorithmus Gemeinsame Session Keys SA lifetime Unidirektional! Duplex-Kommunikation erfordert zwei SA s Firewall 16

IKE and IPSec 6. Use IPSec SA: Encrypt/Authenticate as Specified Sender s Router IPSec 7. Use Return IPSec Security Association IPSec Rcvr s Router 1. Negotiate Policy for IKE SA IKE 2. Exchange Diffie-Hellman Numbers (Main Mode) 3. Exchange Certificates and Check CRL 4. Device Authentication: Signed Random Numbers IKE IKE Tunnel 5. Negotiate IPSec Parameters (Transform- Sets and Crypto ACLs) and Generate Secret Key Material for Both Sessions (Quick Mode) 17

Secure IPSEC Tunnel between two routers using pre-shared secret Configuration on Router c1750-1 1. Define the domain name ip domain-name cisco.com 2. Define the hostname hostname c1750-1 3. Define the name server ip name-server 172.16.2.132 4. Configure ISAKMP Policy crypto isakmp policy 9 auth pre-share exit 18

Secure IPSEC Tunnel between two routers using pre-shared secret 5. Configure Pre-Shared Key and associate with the peer crypto isakmp key cisco address 30.0.0.2 6. Configure IPSEC supported Transforms crypto ipsec transform-set basic-des esp-des esp-md5-hmac 7. Create an Access list access-list 102 permit ip 10.0.0.0 0.0.0.255 172.1.1.0 0.0.0.255 19

Secure IPSEC Tunnel between two routers using pre-shared secret 8. Define a Crypto Map crypto map c1750-2 20 ipsec-isakmp set peer 30.0.0.2 set transform-set basic-des match address 102 exit 9. Apply the crypto map to the interface interface ethernet0/0 ip address 10.0.0.2 255.255.255.0 crypto map c1750-2 20

Secure IPSEC Tunnel between two routers using pre-shared secret Configuration on Router c1750-2 1. Define the domain name ip domain-name cisco.com 2. Define the hostname hostname c1750-2 3. Define the name server ip name-server 172.16.2.132 4. Configure ISAKMP Policy crypto isakmp policy 5 auth pre-share exit 21

Secure IPSEC Tunnel between two routers using pre-shared secret 5. Configure Pre-Shared Key and associate with the peer crypto isakmp key cisco address 30.0.0.1 6. Configure IPSEC supported Transforms crypto ipsec transform-set branch esp-des esp-md5-hmac 7. Create an Access list access-list 102 permit ip 172.1.1.0 0.0.0.255 10.0.0.0 0.0.0.255 22

Secure IPSEC Tunnel between two routers using pre-shared secret 8. Define a Crypto Map crypto map c1750-1 20 ipsec-isakmp set peer 30.0.0.1 set transform-set branch match address 102 exit 9. Apply the crypto map to the interface interface ethernet0/0 ip address 172.1.1.1 255.255.255.0 crypto map c1750-1 23

Cisco IOS-VPN & Firewall-VPN Cisco IOS mit VPN-Erweiterung Cisco 800/1600/1700/ 2500/2600/3600/7200 Cisco Firewallsysteme Cisco Secure PIX-Firewall 24

Cisco VPN 3000 Concentrator Hardware Broadband performance Scalable encryption Redundant, hot swap SEPs mit stateful SEP failover Chassis failover Redundant power supplies Scalable Encryption Processor (SEP) 25

Cisco VPN 3000 Concentrator Hardware 3005 3015 3030 3060 Simultaneous Tunnels 100 100 1500 5000 Encrypted Throughput 4Mbps 4Mbps 50Mbps 100Mbps Encryption Method Software Software Hardware Hardware Expansion Slots 0 4 3 2 SEP (Enc.) Modules 0 0 1 2 Redundant SEP N/A N/A Option Option System Memory 32 Mb 64 Mb 128 Mb 256 Mb Hardware Specs 1U, Fixed 2U, Scalable 2U, Scalable 2U, Scalable Redundant Power No Option Option Option Client License Unlimited Unlimited Unlimited Unlimited 26

HTML Based Management 27

VPN 3000 Client 28

Fragen??? 29

1998 Cisco Systems, Inc. www.cisco.com 30

2026 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback