Layer 2 Tunneling Protocol

Ähnliche Dokumente
Layer 2 Forwarding Protokoll. Chair for Communication Technology (ComTec), Faculty of Electrical Engineering / Computer Science

Internet-Zugangsprotokolle Das Point-to-Point-Protocol (PPP) Prof. B. Plattner

VIRTUAL PRIVATE NETWORKS

VPN Gateway (Cisco Router)

D r e ISP S P i m K l K as a s s e s n e r n au a m H.Funk, BBS II Leer

Internet-Praktikum II Lab 3: Virtual Private Networks (VPN)

8 Sichere Kommunikationsdienste ITS-8.1 1

Layer 2 Forwarding Protokoll

Vorlesung SS 2001: Sicherheit in offenen Netzen

IPSec. Markus Weiten Lehrstuhl für Informatik 4 Verteilte Systeme und Betriebssysteme Universität Erlangen-Nürnberg

Collax Windows-L2TP/IPsec VPN Howto

VPN - Virtuelle Private Netzwerke

Quick Reference Guide

Virtuelle Private Netzwerke

Einführung in die Netzwerktechnik

Rechnernetze Übung 11. Frank Weinhold Professur VSR Fakultät für Informatik TU Chemnitz Juni 2012

Prinzipiell wird bei IP-basierenden VPNs zwischen zwei unterschiedlichen Ansätzen unterschieden:

RADIUS (Remote Authentication Dial In User Service)

HAMNET und Packetradio-Zugang via Internet über PPTP- VPN-Tunnel

UDP User Datagramm Protokoll

HowTo SoftEther Site-2-Site (Client-Bridge)

Systemsicherheit 13: Layer 2-Sicherheit

Rechnernetze Übung 11

Radius Server. Bericht im Studiengang Computerengineering an der HS-Furtwangen. Student: Alphonse Nana Hoessi Martikelnr.:227106

VPN Techniken im Vergleich

VPN Virtual Private Network

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: - Grundkonfiguration des Routers. - Ein Bootimage ab Version 7.4.x.

Konfigurationsbeispiel USG

ESTOS XMPP Proxy

ESTOS XMPP Proxy

Fernwartung mit IPX/S Geräten Konfiguration mit Fritz!Box 7270

2 Typische Angriffe. 3 Sichere Kommunikationsdienste. 4 Einbruchssicherung. 5 Sicherung von Anwendungsdiensten

IP Internet Protokoll

Virtual Private Network

NAT & VPN. Adressübersetzung und Tunnelbildung. Bastian Görstner

Das ISO / OSI -7 Schichten Modell

Einführung in die Netzwerktechnik

Site-To-Site VPN Anleitung IAAS Smart <-> IAAS Premium. Version: 1.0

Netzsicherheit 4: Layer 2-Sicherheit Das Point-to-Point- Protokoll und seine Erweiterungen

Virtual Private Network. David Greber und Michael Wäger

Browser mit SSL und Java, welcher auf praktisch jedem Rechner ebenso wie auf vielen mobilen Geräten bereits vorhanden ist

Praktische Anleitung zu Konfiguration von PPTP Verbindungen

HowTo SoftEther VPN Server (global)

Netzwerk-Programmierung. Netzwerke. Alexander Sczyrba Michael Beckstette.

HowTo: VPN mit PPTP und dem Windows VPN-Client Version 2007nx Release 3

Firewalls und Virtuelle Private Netze

VirtualPrivate Network(VPN)

Das Internet-Protocol. Aufteilung von Octets. IP-Adressformat. Class-A Netzwerke. Konventionen für Hostadressen

TCP/IP-Protokollfamilie

Übung 3 - Ethernet Frames

2G04: VPN Überblick und Auswahlkriterien

Collax PPTP-VPN. Howto

P107: VPN Überblick und Auswahlkriterien

Netzwerkprotokolle. Physikalische Verbindungsebene Datenübertragungsebene

Grundlagen der Rechnernetze. Internetworking

Collax ios-vpn Howto. Inhalt

Security + Firewall. 4.0 PPTP Client Einwahl. 4.1 Szenario

IPSec-VPN site-to-site. Zyxel USG Firewall-Serie ab Firmware-Version Knowledge Base KB-3514 September Zyxel Communication Corp.

Werner Anrath. Inhalt

4 Netzwerkzugriff. 4.1 Einführung. Netzwerkzugriff

Optionales Feature des M2M Service Portal 2.0

HowTo: Einrichtung von L2TP over IPSec VPN

Konfiguration Agenda Anywhere

VPN (Virtual Private Network)

Einwahl eines iphone über einen IPSec-VPN Tunnel. auf eine Digitalisierungsbox Standard / Premium

Root-Server für anspruchsvolle Lösungen

Netzwerk-Programmierung. Netzwerke.

MERCUR Messaging Konfigurationsbeispiele

LAN & Internet. Grundlagen Netzwerke LAN-2. Saarpfalz-Gymnasium. Router. Router LAN-3. Router. Kommunikation in Rechnernetzen

Technische Richtlinie Sicheres WLAN (TR-S-WLAN)

Virtuelle Private Netze (VPN) Copyright und Motivation und sowas

Bibliografische Informationen digitalisiert durch

GWDG ISDN-Zugang unter Windows NT als Server

PROJEKTIEREN DER HW UND DER VERBINDUNGEN...

VPN / Tunneling. 1. Erläuterung

ISA Server 2004 Site to Site VPN mit L2TP/IPSEC - Von Marc Grote

PPP-Dialup-Zugang mit ISDN unter WINDOWS 95

VPN Virtual Private Network

VPN. Virtuelles privates Netzwerk. Vortrag von Igor Prochnau Seminar Internet- Technologie

Verteilte Systeme - Java Networking (Sockets) -

VPN: Virtual Private Network. Präsentiert von Abouchdak und Ben Guirat

ARP, ICMP, ping. Jörn Stuphorn Bielefeld, den 4. Mai Mai Universität Bielefeld Technische Fakultät

Vorlesung VPN: Drahtgebunden und drahtlos Fachbereich Informatik (FB 20) Lehrstuhl Prof. J. Buchmann

VPN unterstützt 3 verschiedene Szenarien: Host to Host: Dies kennzeichnet eine sichere 1:1 Verbindung zweier Computer, z.b. über das Internet.

Mobilkommunikationsnetze - TCP/IP (und andere)-

Adressierung eines Kommunikationspartners in der TCP/IP-Familie

Virtual Private Networks. Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH

Handbuch der Routing-Protokolle

Modul 4 Virtuelle Private Netze (VPNs)

Proxy-Server Christoph Taborsky

NCP Secure Enterprise VPN Server (Win) Release Notes

Transkript:

Layer 2 Tunneling Protocol Thomas Edlich und Michael Meyer 9. Mai 2005

Inhaltsverzeichnis 1 Überblick 4 1.1 Virtuelles Privates Netzwerk (VPN)..................... 4 1.2 Layer 2 Tunneling Protocol (L2TP)..................... 5 2 Point-to-Point-Protocol (PPP) 7 2.1 PPP Schichten................................. 8 2.2 PPP-Steuerungsprotokolle und -Dienste................... 8 2.3 PPP-Verbindungsaufbau............................ 10 3 L2TP 11 3.1 Begriffe beim L2TP Tunneling........................ 13 3.2 Verteilung von PPP-Verbindungen...................... 13 3.3 Aufgaben von LAC und LNS......................... 14 3.4 L2TP Tunneling Modelle........................... 14 3.5 L2TP-Datenformat............................... 15 3.5.1 Datenpakete.............................. 15 3.5.2 Steuerungspakete............................ 16 3.6 Verbindungsauf- und abbau.......................... 17 3.6.1 L2TP-Benutzer-Authentifizierung................... 18 3.7 Sicherheitsaspekte............................... 18 2

Abbildungsverzeichnis 1.1 VPN als Alternative zur Direktverbindung.................. 4 1.2 L2TP Architektur mit LAC und LNS (aus [7])............... 5 2.1 PPP bei Wählverbindung zu Remote Access (aus [1])........... 7 2.2 PPP-Verbingsaufbau (aus [1])......................... 10 3.1 PPP-Tunneling mit L2TP (aus [1])...................... 11 3.2 PPP-Kapselung mit L2TP (aus [8])...................... 12 3.3 L2TP-Header (aus [1])............................. 15 3.4 L2TP-Steuerungspaket (aus [1])........................ 16 3.5 Verbindungsauf- und abbau in L2TP (aus [1])................ 17 3

1 Überblick 1.1 Virtuelles Privates Netzwerk (VPN) Ein virtuelles privates Netzwerk (VPN) dient der Übertragung privater Daten in öffentlichen Netzwerken [1]. Die Anwendung geeigneter Protokolle zum Datentransport eröffnet damit die Möglichkeit, öffentliche Netzwerke als Verbindungsstrecke zwischen privaten Netzen zu nutzen. Als Beispiel sei hier die Anbindung von (privaten) Teilnetzen an ein zentrales Firmennetzwerk genannt. Die Verbindung der beiden Netze kann über das öffentliche Telekommunikationsnetz durch anmieten von Standleitungen erfolgen. Neben des finanziellen Aufwands für die Anmietung ist die Effizienz dieser Lösung, gegeben durch die stark schwankende Bandbreitennutzung, nicht sehr hoch. Abbildung 1.1: VPN als Alternative zur Direktverbindung Eine andere Möglichkeit besteht darin, die Verknüpfung der beiden Teilnetze über das Internet zu realisieren, da die meisten Netze bereits über einen Zugang zum Internet verfügen. Nachteilig ist, dass die Infrastruktur nicht bekannt ist und Daten, die über das Internet übertragen werden, jederzeit abgefangen, abgehört oder verändert werden können. Ein VPN ermöglicht durch Tunneling-Protokolle und eine Verschlüsselung der Daten, kostensparend einen gesicherten Datentransport über ein ungesichertes Netzwerk aufzubauen. Abb. 1.1 zeigt die beschriebenen Verbindungsmöglichkeiten schematisch. Neben der Verbindung zweier Teilnetze ist auch die Anbindung einzelner PCs an ein privates Netzwerk durch das Internet durch Verwendung eines VPN möglich. So können beispielsweise Außendienstmitarbeiter über das Internet Zugang zum Intranet ihrer Firma erlangen. 4

1 Überblick Tunneling Methoden können dabei auf verschiedenen Schichten des OSI-Modells [2] ansetzen. Im wesentlichen werden für VPN aber die Schichten 2 (Datalink Layer) und 3 (Network Layer) genutzt. IPSec wird auf Schicht 3 angewendet, man spricht vom sogenannten IP-in-IP-Tunneling[1], da Datenpakete mit Hilfe des Internet Protokols (IP) adressiert werden. Das im folgenden diskutierte Layer 2 Tunneling Protocol (L2TP) setzt dabei auf der Verbindungsschicht (Schicht 2) an, um die Verbindung zweier Netze durch das Internet zu tunneln. 1.2 Layer 2 Tunneling Protocol (L2TP) Das L2TP stellt einen Tunnel durch das Internet zur Verfügung, der auf das Prinzip des Point-to-Point-Protocols (PPP) aufbaut. Es entstand aus der Weiterentwicklung der beiden Protokolle PPTP (Point-to-Point-Tunneling-Protocol) und L2F (Layer 2 Forwarding). Während PPTP lediglich IP, IPX und NetBEUI unterstützt, bietet L2TP den Vorteil, jedes beliebige Netzwerkprotokoll im PPP-Rahmen transportieren zu können. L2TP bietet selbst keine Authentifizierungs- und Verschlüsselungsmechanismen werden von L2TP nicht angeboten, weshalb in vielen VPN-Lösungen meist eine Kombination mit IPSec den Schutz der getunnelten Daten übernimmt. Abbildung 1.2: L2TP Architektur mit LAC und LNS (aus [7]) Abb. 1.2 zeigt die Aufteilung der Architektur von L2TP in einen L2TP Access Concentrator (LAC) und einen L2TP Network Server (LNS), die die Kommunikation über das Internet durchführen. Der LAC kann dabei als eigenständiges Gerät, beispielsweise als Einwahlknoten eines Internet-Service-Providers (ISP) vorhanden sein und so mehreren 5

1 Überblick Clients eine VPN Verbindung anbieten, oder der LAC is im Client integriert. In beiden Fällen wird über das öffentliche Netzwerk eine virtuelle PPP-Verbindung hergestellt, um den Client mit dem privaten Netzwerk zu verbinden. Das L2TP kapselt PPP-Pakete, die zur Kommunikation zwischen LAC und LNS dienen. Das PPP wird im folgenden Abschnitt kurz in seinen Grundlagen vorgestellt. 6

2 Point-to-Point-Protocol (PPP) Das PPP arbeitet auf der Verbindungsschicht (Layer 2) und dient zur Übertragung verschiedener Netzwerkprotokolle, wie z.b. IP, IPX, Appletalk usw. über eine Punktzu-Punkt-Verbindung. Diese Verbindungsart tritt bei leitungsvermittelten Netzen oder Festverbindungen auf (z.b. Telefonnetz). Das PPP hat die Aufgabe, die Verbindung zu initialisieren, aufrecht zu halten und sie zu beenden. Es gibt keine dedizierte Client-/ Server-Rollenverteilung, beide Seiten sind gleichberechtigt. Vorteile bei der Verwendung von PPP ist dessen Unabhängigkeit, wodurch Geräte verschiedener Hersteller problemlos miteinander verbunden werden können, und das Aushandeln verschiedener Kommunikationsparameter während der Initialisierungsphase. Hierbei führt eine Inkompatibilität zwischen zwei Geräten nur dann zum Verbindungsabbruch, wenn der von einer Seite zwingend gefordete Dienst von der anderen nicht unterstützt wird. Abbildung 2.1: PPP bei Wählverbindung zu Remote Access (aus [1]) Abb. 2.1 zeigt als Beispiel der Nutzung des PPP eine Wählverbindung eines Clients über das Telefonnetz zu einem Remote Access Concentrator, der dem Client Zugang zu einem Intranet gewährt. 7

2 Point-to-Point-Protocol (PPP) 2.1 PPP Schichten Das Point-to-Point Protocol benutzt die Rahmenstruktur des High-Level Data Link Control (HDLC) Protokols. Es kann in folgenden auch Sublayer genannte Schichten unterteilt werden: Multiplexschicht: Steuerprotokolle konfigurieren hier den Transport von Paketen der verschiedenen Netzwerkprotokolle. Multiplexen und Demultiplexen der Netzwerkpakete in dieser Schicht wird durch Kapselung und Kennzeichnung ausgehender Pakete sowie sortierung ankommender Pakete erreicht. Dienste-Schicht: Hier geschieht eine Verarbeitung der zu übertragenen Daten, wie z.b. Datenkompression. Wichtiges Werkzeug ist dabei das CCP 1, welches durch Komprimierung hilft Bandbreite einzusparen. Außerdem befinden sich in dieser Schicht die Authentifizierungsprotokolle PAP 2 und CHAP 3. Medienabhängige Schicht: Die Konstruktion der PPP Frames, die Berechnung von Prüfsummen und die Konfiguration des Verhaltens der Gegenstellen werden in dieser Schicht erledigt. Letzeres führt das LCP 4 aus. 2.2 PPP-Steuerungsprotokolle und -Dienste Die PPP-Steuerungsprotokolle und -Dienste handeln die gewünschten und verfügbaren Dienste zweier Gegenstellen aus. Einige wichtige Dienste sollen im Folgenenden näher erläutert werden: Link control Protocol (LCP): Das LCP wird in der Startphase jeder Verbindung ausgeführt und handelt die im Weiteren zu verwendenden Dienste aus. Darunter fallen Authentifizierungsverfahren, Datenkompression und Netzwerksteuerprotokolle. Anfragen und Antworten können auch asynchron übertragen werden, d.h. die Gegenstellen wartet mit der nächsten Frage nicht auf die Beantwortung der vorherigen. Password Authentication Protocol (PAP): Ein in dem Standard RFC1334 festgelegtes relativ einfaches Authentifizierungsprotokoll stellt das PAP dar. Es entscheidet über den vollständigen Aufbau der Verbindung oder deren sofortiger Beendigung. Zur Authentifizierung wird ein Benutzername und ein dazugehöriges Passwort im Klartext übertragen. Aus dieser nicht sehr sicheren Methode entstand das Challenge Handshake Authentication Protocol. 1 Compression Control Protocol, siehe 2.2 2 Password Authentication Protocol, siehe 2.2 3 Challenge Handshake Authentication Protocol, siehe 2.2 4 Link Control Protocol, siehe 2.2 8

2 Point-to-Point-Protocol (PPP) Challenge Handshake Authentication Protocol (CHAP): Hier erfolgt die Authentifizierung in drei Phasen, ohne ein Passwort zu übertragen. Im Wesentlichen wird dabei eine Zufallszahl erzeugt, übertragen und in beiden Gegenstellen zusammen mit dem Passwort eine MD5 Berechnung durchgeführt. Das Ergebnis wird dann übertragen. CHAP kann während einer laufenden PPP-Session in unregelmäßigen Abständen wiederholt werden. Dadurch können auch Angreifer abgewehrt werden, die versuchen, eine Verbindung zu stehlen. Compression Control Protocol (CCP): Das CCP handelt den Algorithmus zur Datenkompression aus. Die meist genutzten sind dabei Stack LZS von Stack Electronics und Microsoft Point-to-Point Compression (MPPC). IP Control Protocol (IPCP): Die Konfiguration des Internet Protocols (IP) innerhalb der PPP-Verbindung wird vom IPCP übernommen. Mit der Zuweisung von IP- Adressen und Netzwerkmasken (optional auch DNS 5 oder WINS 6 führt damit den wichtigsten Steuerdienst aus. Diese Einstellungen sind Voraussetzung für die Übertragung von IP-Paketen in der Datenphase. 5 Domain Name Service 6 Windows Internet Name Service 9

2.3 PPP-Verbindungsaufbau 2 Point-to-Point-Protocol (PPP) Die einzelnen Steuerungsprotokolle, die nötig zum Aufbau einer PPP-Verbindung sind, wurden in vorangegangenen Abschnitten besprochen. Im Folgenden wird der schematische Ablauf eines Verbindungsaufbaus anhand der Abb. 2.2 verdeutlicht. Abbildung 2.2: PPP-Verbingsaufbau (aus [1]) Zu Anfang wird mit Hilfe des LCP festgestellt, welche Dienste die Gegenseite bereitstellt und daraufhin die nötigen Konfigurationsparameter ausgetauscht. Nachdem also beide Seiten die unterstützten Dienste ausgehandelt haben, findet die Authentifizierung statt durch Anwendung des CHAP. Ist die Authentifizierung erfolgreich, kann mit dem CCP eine mögliches Kompressionsverfahren eingestellt werden. Erst danach werden die beiden Gegenstellen für die Übertragung von IP-Paketen konfiguriert. Sind diese Steuerungsprotokolle erfolgreich übertragen worden, kann in der Datenphase mit der Übertragung von IP-Paketen begonnen werden. 10

3 L2TP Remote-Access-Verbindungen über das Telefonnetz (analog/digital) sind eine Möglichkeit, Zugang zu einem Intranet zu erhalten. Das Point-to-Point Protocol führt dabei die Verbindungskontrolle auf Schicht 2 des OSI-Modells [2] durch. Mit dieser Lösung tauchen allerdings Kosten- und Performance-Probleme auf, wie hier kurz erläutert werden soll. Es muss bei Einrichtung eines Remote-Access-Concentrators (RAC) (siehe Abb. 2.1) die Anzahl der maximal möglichen gleichtzeitigen Verbindungen zum RAC bekannt sein, um dessen Kapazitäten richtig auszulegen. Sind alle Verbindungsleitungen belegt, wird ein neuer Client vom RAC abgewiesen, unabhängig von der von den anderen Clients genutzten Bandbreite zu diesem Zeitpunkt. Die Anbindung des Intranets über Wählverbindungen ist auch mit hohen Kosten verbunden. Zum einen muss eine bestimmte Anzahl von Verbindungsleitungen unabhängig von deren Nutzung an den RAC angekoppelt sein, zum anderen entstehen dem Client durch Telefongebühren relativ hohe Verbindungskosten, bei unzureichender Übertragungsgeschwindigkeit, die das Telefonnetz heute bietet. Da praktisch jedes Netz aber über einen Zugang Internet verfügt, wäre eine Lösung, die Verbindungen zu den Clients über dieses abzuwickeln. Abbildung 3.1: PPP-Tunneling mit L2TP (aus [1]) Eine solche Lösung bietet das PPP-Tunneling mit Layer 2 Tunneling Protocol (L2TP). Ausgehend von Abb. 2.1 wird der RAC in zwei Teile geteilt: den L2TP Access Concentrator (LAC) und den L2TP Network Server (LNS). Abb. 3.1 verdeutlicht dieses Prinzip. Der LAC und LNS stellen dabei keine expliziten eigenständigen Geräte dar, sondern 11

3 L2TP Dienste, die in anderen Geräten unterstützt werden. So kann der LAC bereits im Einwahlknoten eines ISPs oder in der VPN-Software auf dem Rechner des Clients implementiert sein. Der LNS kann beispielsweise auch Bestandteil eines Routers sein, wobei hier allerdings auf die Performance geachtet werden muss. Abbildung 3.2: PPP-Kapselung mit L2TP (aus [8]) In einem L2TP-Tunnel können mehrere PPP-Sessions übertragen werden. Wird die letzte PPP-Verbindung beendet, wird auch der PPP-Tunnel abgebaut. Abb. 3.2 verdeutlicht die Arbeitsweise von L2TP im OSI-Schichten-Modell am Beispiel der Kapselung eines PPP-Frames. 12

3 L2TP 3.1 Begriffe beim L2TP Tunneling Im Folgenden werden drei Grundbegrife erklärt, die bei der Beschreibung von L2TP- Verbindungen Verwendung finden. Call: Da der Begriff Verbindung meist für physikalische Verbindungen, z.b. Wählverbindungen in einem Telefonnetz, steht, ist für eine PPP-Verbindungen innerhalb des L2TP-Tunnels der Name Call vergeben worden. Es können mehrere Calls aktiv sein. Control Connection: Im Gegensatz zu den Calls existiert in einem L2TP-Tunnel immer nur eine Control Connection zwischen LAC und LNS. Sie dient der Steuerung des Auf- und Abbaus sowie der Überwachung der Calls und des Tunnels. Tunnel: Ein Tunnel existiert genau dann zwischen LAC und LNS, wenn eine Control Connection besteht. 3.2 Verteilung von PPP-Verbindungen Beim Betrieb eines LAC als Zusatzdienst eines ISPs am Einwahlknoten läuft eine Vielzahl von PPP-Verbindungsanfragen zu unterschiedlichen LNS auf. Um diese verteilen zu können und die einzelnen Calls bündeln zu können, ist es notwendig, die Calls eindeutig identifizieren zu können. Dabei gibt es zwei Ansätze, die zur Verteilung eingesetzt werden können. Verteilung durch...... Benutzernamen: Durch hinzufügen einer Domainkennung als Präfix oder Suffix zum Benutzernamen wird bestimmt, zu welchem LNS eine Verbindung hergestelt werden muss. Der LAC muss in seiner Datenbank diese Informationen gespeichert haben. Da hier erst eine PPP-Session zum LAC aufgebaut wird, muss dieser auch über Angaben zur Authentifizierung verfügen.... gewählte Rufnummer: Der Telefonanschluß des LAC ist über mehrere Telefonnummern erreichbar. Anhand der gewählten Nummer, die im DNIS 1 übertragen wird, sucht der LAC in seiner Datenbank die Verbindung zum LNS her. Die Authentifizierung findet erst zwischen Client und LNS statt. 1 Dialed Number Information Service 13

3 L2TP 3.3 Aufgaben von LAC und LNS Zusammenfassend werden hier die zum Teil schon erwähnten Aufgaben des L2TP Access Concentrators (LAC) und des L2TP Network Servers (LNS) beschrieben. L2TP Access Concentrator (LAC) Der LAC entscheidet, ob ein Tunnel zu einem LNS aufgebaut wird oder die PPP- Verbindung lokal terminiert wird. Er muss den jeweils geforderten LNS mit den einzelnen Clients verbinden. Je nach Verteilungsart (siehe 3.2) muss er die Authentifizierung durchführen. Die nach der Authentifizierung stattfindende PPP-Verarbeitung findet hauptsächlich im LNS statt, wodurch im LAC meist keine Performance-Probleme entstehen. L2TP Network Server Auf dem LNS werden die getunnelten PPP-Verbindungen der Remote-Access-Clients terminiert. Das Ver- und Entpacken der Netzwerkprotokolle, die Datenkomprimierung, die Authentifizierung und die Verbindugnskontrolle werden hier über die entsprechenden Dienste abgewickelt. 3.4 L2TP Tunneling Modelle Es gibt zwei verschiedene Arten zum Aufbau eines L2TP-Tunnels: ˆ Compulsory-Tunneling-Model ˆ Voluntary-Tunneling-Model Beim Compulsory-Tunneling-Model wird der L2TP-Tunnel allein vom LAC aufgebaut, d.h. der LAC steuert den Tunnel und entscheidet, zu welchem LNS getunnelt wird. Der Client hat somit keinerlei Einfluß auf das Tunneling. Das Volutary-Tunneling-Model beschreibt die Initiierung des L2TP-Tunnels vom Client aus. Das bedeutet, der Remote-Access-Concentrator des ISPs wird nicht in das Tunneln eingebunden. Die Funktion des LAC wird also auf dem Client abgebildet, ein sog. virtueller LAC [1] entsteht. 14

3 L2TP 3.5 L2TP-Datenformat 3.5.1 Datenpakete Für L2TP gibt es zwei verschiedene Paketformate. Dies sind die Datenpakete, die die Aufgabe haben, PPP-Frames zu kapseln und zu transportieren. Die Steuerungspakete werden zwischen LAC und LNS verschickt, und enthalten Befehle sowie Optionen von Sender und Empfänger. Abbildung 3.3: L2TP-Header (aus [1]) Im Folgenden werden die einzelnen Felder des Header kurz erläutert: T-Bit: Zeigt an, ob es sich um ein Daten- oder ein Steuerungspaket handelt L-Bit: Zeigt an, ob das Längenfeld vorhanden ist F-Bit: Zeigt an, ob das Ns-Feld und das Nr-Feld enthalten ist S-Bit: Zeigt an, ob das Offset-Size-Feld vorhanden ist Version: Versionsnummer von L2TP Length: 16-Bit-Wert zur Angabe der Länge des L2TP-Pakets in Byte Tunnel ID: Bezeichner eines bestimmten L2TP-Tunnels Call Id: Bezeichner eines Calls innerhalb eines Tunnels Ns: Sequenznummer eines Pakets zur Steuerung der Paketreihenfolge 15

3 L2TP Nr: Sequenznummer des Steuerungspakets, das der Sender als nächstes empfangen möchte Offset-Size: (nur in Datenpaketen) Abstand zwischen L2TP-Header und PPP-Frame in Byte Offset-Pad: In den Zwischenraum von L2TP-Header und PPP-Frame wird die Anzahl der Füllzeichen geschrieben, falls Offset-Size größer Null ist 3.5.2 Steuerungspakete Der Header der Steuerungspakete ist dem der Datenpakete sehr ähnlich. Er enthält die bereits beschriebenen Flags, das Length-Feld, Tunnel-ID, Call-ID, sowie Ns und Nr. Hier schließen sich nun allerdings die sogenannten AVPs (Attribute Value Pairs) an, die Befehle und Optionen enthalten, die zwischen dem LAC und dem LNS ausgetauscht werden. Abbildung 3.4: L2TP-Steuerungspaket (aus [1]) Das M-Bit (Mandatory-Bit) zeigt an, ob die AVP zwingend ist. Kann der Empfänger nichts mit der AVP anfangen, so muss der Tunnel beendet werden. Das H-Bit wird gesetzt, wenn der Wert des Steuerungspakets versteckt werden soll. Dies kann beispielsweise bei einer Authentifizierung der Fall sein. In dem Feld Overall-Length steht die gesamte Länge des AVP in Byte. Falls die AVP von der IETF 2 spezifiziert wurde, steht im Vendor-ID-Feld eine Null. Andernfalls wird herstellerspezifischen AVPs eine Nummer von der IANA 3 zugewiesen. Zuletzt folgt das Feld für den Bezeichner des Attributs, gefolgt vom Wert des Attributs selbst im sogenannten Value-Feld. 2 IETF: Internet Engineering Task Force, Gremium zur Verabschiedung von Internet-Standards 3 IANA: Internet Assigned Numbers Authority 16

3.6 Verbindungsauf- und abbau 3 L2TP Für die Beschreibung des Auf- und Abbaus eines Tunnels und eines Calls soll davon ausgegangen werden, daß noch kein Tunnel oder Call besteht. Der Client wählt sich zunächst bei einem LAC ein. Dieser schickt einen Authentification-Request zum sogenannten Tunneling-Mangagement-System (TMS). Das TMS findet zu dieser Rufnummer alle weiteren notwendigen Parameter wie Art des aufzubauenden Tunnels und die Adresse des LNS. Abbildung 3.5: Verbindungsauf- und abbau in L2TP (aus [1]) Nun wird der Steuerkanal zwischen LAC und LNS aufgebaut. Über das Link Control Protocol wird anschließend die Authentifizierung durchgeführt, sowie die Übertragungsparameter ausgehandelt. Nachdem auch der Benutzer authentifiziert wurde, werden die notwendigen Steuerungsprotokolle gestartet. Ab diesem Zeitpunkt können L2TP- Datenpakete übertragen werden. Abgebaut wird der Tunnel wieder über den Client. Dies geschieht wie bei Aufbau über entsprechende Steuerungspakete. 17

3 L2TP 3.6.1 L2TP-Benutzer-Authentifizierung Insgesamt gibt es drei verschiedene Stufen zur Benutzerauthentifizierung. Der Unterschied liegt darin, wie weit der LAC in diesen Vorgang miteinbezogen wird. Für den Fall der Call-Verteilung aufgrund der Rufnummer weiß der LAC, daß eine L2TP-Verbindung zu einem LNS hergestellt werden soll. Die Authentifizierung erfolgt dann direkt zwischen dem LNS und dem Client. Die Aushandlungen der Optionen und der Protokolle gehen vom LNS aus. Dies funktioniert allerdings nur in DNIS-basierten Tunnelverteilungen. Die beiden anderen Verfahren beruhen darauf, daß in der User-ID eine Kennung enthalten ist, anhand derer der LAC entscheidet, wohin der Tunnel aufgebaut werden muss. Um an diese Kennung zu gelangen, führt der LAC in diesem Fall die ersten Schritte in der Benutzerauthentifizierung aus. Dies wird auch als Proxy-Authentification bezeichnet[1]. 3.7 Sicherheitsaspekte L2TP besitzt nur minimale Sicherheitsmechanismen für die Control Connection und die Authentifizierung. Für Datenvertraulichkeit und -integrität (oder auch Paketauthentifizierung) empfiehlt das L2TP-Standardisierungsgremium Sicherheitsdienste wie IPSec einzusetzen. Dadurch werden die Steuerungs- und Datenkanäle zwischen LNS und LAC vollständig geschützt. Die Authentifizierung zwischen LNS und LAC geschieht mit einem CHAP-ähnlichen dreiphasigen Handshake-Verfahren. Dabei wird der Schlüssel nie zwischen den beiden Gegenstellen übertragen (siehe 2.2), allerdings in den meisten Implementierungen als Klartext im Gerät gespeichert. Dies birgt die Gefahr von Wörterbuch-Angriffen 4, Brute- Force-Attacken 5 oder eines Angriffs auf den LNS oder LAC selbst um an den Schlüssel zu gelangen. Aus Gründen der Zuverlässigkeit werden die Pakete des Steuerungskanals mit TCP verschickt. Datenpakete werden mittels UDP transportiert, da die notwendigen Kontrollmechanismen bereits in L2TP implementiert sind. Dies hat zudem den Vorteil, dass die Übertragung nicht anfällig gegenüber TCP-spezifischen Angriffen (beispielsweise Denial-of-Service 6 ) ist. 4 nach [10]: Als einen Wörterbuchangriff (englisch dictionary attack) bezeichtet man die Methode der Kryptoanalyse, ein unbekanntes Passwort (oder Benutzernamen) mit Hilfe einer Passwortliste zu knacken. 5 nach [9]: Brute Force bzw. Methode der rohen Gewalt ist der Fachbegriff für eine Lösungsmethode schwerer Probleme aus dem Bereich der Informatik und der Spieltheorie, die auf dem Ausprobieren aller (oder zumindest eines erheblichen Teils der in Frage kommenden) Varianten beruht. 6 Überlastung eines Dienstes mit dem Ziel, diesen arbeitsunfähig zu machen (siehe [11]) 18

Literaturverzeichnis [1] Lipp, M.: VPN Virtuelle Private Netzwerke, Addison-Wesley, 2001 [2] OSI-Modell Wikipedia, http://de.wikipedia.org/wiki/osi, 27.05.2005 [3] Cisco Layer 2 Tunnel Protocol, http://www.cisco.com/warp/public/cc/pd/iosw/tech/l2pro tc.htm, 29.05.2005 [4] L2TP, Level 2 Tunneling Protocol, http://www.networksorcery.com/enp/protocol/l2tp.htm, 29.05.2005 [5] VPN Virtual Private Network, http://www.elektronik-kompendium.de/sites/net/0512041.htm, 26.05.2005 [6] PPP Point-to-Point Protocol, http://www.elektronik-kompendium.de/sites/net/0906111.htm, 26.05.2005 [7] L2TP Layer-2-Tunneling-Protocol, http://www.elektronik-kompendium.de/sites/net/0906131.htm, 26.05.2005 [8] Natz, M.: Remote Access & virtuell private Netze, http://www.ifi.unizh.ch/ikm/vorlesungen/sem Sich01/Natz.pdf, 02.05.2005 [9] Brute-Force-Methode Wikipedia, http://de.wikipedia.org/wiki/brute force, 09.05.2005 [10] Wörterbuchangriff Wikipedia, http://de.wikipedia.org/wiki/w%c3%b6rterbuchangriff, 09.05.2005 [11] Denial of Service Wikipedia, http://de.wikipedia.org/wiki/denial of Service, 09.05.2005 19

2026 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback