Werner Anrath. Inhalt



Ähnliche Dokumente
Werner Anrath. Inhalt

IPSEC VPNs Theorie und Praxis

VIRTUAL PRIVATE NETWORKS

VPN Virtual Private Network

Remote Access. Virtual Private Networks. 2000, Cisco Systems, Inc.

GRE-over-IPSEC. -Vortrag 3E02- Werner Anrath. Forschungszentrum Jülich Zentralinstitut für Angewandte Mathematik (Stand:

CISCO VPNs im Einsatz

Workshop: IPSec. 20. Chaos Communication Congress

Security Associations Schlüsseltausch IKE Internet Key Exchange Automatischer Schlüsseltausch und Identitätsnachweis

VPN: Virtual-Private-Networks

Konfigurationsbeispiel

Virtual Private Networks. Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH

VPN Gateway (Cisco Router)

Inhalt. Erreichbarkeit von VPN-Gateways hinter einem Genexis FTTH-Abschlussrouter

Konfigurationsbeispiel USG

Dynamisches VPN mit FW V3.64

Beispielkonfiguration eines IPSec VPN Servers mit dem NCP Client

VPN: wired and wireless

Prof. Dr. Martin Leischner Netzwerksysteme und TK. Hochschule Bonn-Rhein-Sieg. Modul 5: IPSEC

NAT & VPN. Adressübersetzung und Tunnelbildung. Bastian Görstner

Firewall oder Router mit statischer IP

L2TP over IPSEC. Built-in VPN für Windows 10 / 8 / 7 und MacOS X

Virtuelle Private Netze (VPN) Copyright und Motivation und sowas

Aurorean Virtual Network

Virtual Private Networks Hohe Sicherheit wird bezahlbar

P107: VPN Überblick und Auswahlkriterien

VPN-Technologien Alternativen und Bausteine einer erfolgreichen Lösung von Dipl.-Inform. Andreas Meder

VPN IPSec Tunnel zwischen zwei DI-804HV / DI-824VUP+

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Konfiguration eines Lan-to-Lan VPN Tunnels

VPN (Virtual Private Network)

HOBLink VPN 2.1 Gateway

Security + Firewall. 3.0 IPsec Client Einwahl. 3.1 Szenario

How to: VPN mit L2TP und dem Windows VPN-Client Version 2007nx Release 3

IPsec. Vortrag im Rahmen des Seminars Neue Internet Technologien

Konfigurationsbeispiel USG & ZyWALL

Application Note MiniRouter: IPsec-Konfiguration und -Zugriff

VPN unterstützt 3 verschiedene Szenarien: Host to Host: Dies kennzeichnet eine sichere 1:1 Verbindung zweier Computer, z.b. über das Internet.

VPN: wired and wireless

Stefan Dahler. 2. Wireless LAN Client zum Access Point mit WPA-TKIP. 2.1 Einleitung

NAS 322 NAS mit einem VPN verbinden

VPN-Verbindung zwischen LANCOM und integrierten VPN-Client im MacOS X 10.6 Snow Leopard

VirtualPrivate Network(VPN)

VPN / Tunneling. 1. Erläuterung

1. IPSec Verbindung zwischen 2 Gateways mit dynamischen IP Adressen

Virtual Private Network

Seite Wireless Distribution System (Routing / Bridging) 3.1 Einleitung

3C02: VPN Überblick. Christoph Bronold. Agenda. VPN Überblick VPN Technologien für IP VPN Netzwerk Design VPN Auswahlkriterien

HowTo: Einrichtung einer IPSec Verbindung mit einem IPSEC VPN Client zum DWC-1000 am Beispiel der Shrewsoft VPN Clientsoftware

Zertifikate Radius 50

Virtuelle Private Netzwerke

VPN: SSL vs. IPSec. erfrakon - Erlewein, Frank, Konold & Partner Martin Konold Dr. Achim Frank. Präsentation auf dem

Handout. Holger Christian. Thema: VPN

Stefan Dahler. 1. Remote ISDN Einwahl. 1.1 Einleitung

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: - Grundkonfiguration des Routers. - Ein Bootimage ab Version 7.4.x.

WLAN an der Ruhr-Universität Bochum

Site2Site VPN S T E F A N K U S I E K B F W L E I P Z I G

Modul 6 Virtuelle Private Netze (VPNs) und Tunneling

Radius Server. Bericht im Studiengang Computerengineering an der HS-Furtwangen. Student: Alphonse Nana Hoessi Martikelnr.:227106

How-to: VPN mit L2TP und dem Windows VPN-Client. Securepoint Security System Version 2007nx

HostProfis ISP ADSL-Installation Windows XP 1

Systemvoraussetzungen Hosting

Um IPSec zu konfigurieren, müssen Sie im Folgenden Menü Einstellungen vornehmen:

NAS 323 NAS als VPN-Server verwenden

HowTo: Einrichtung von L2TP over IPSec VPN

1E05: VPN Verbindungen zwischen Data Center und Branch Office

Installationsanleitung xdsl Privat unter Windows XP PPTP Version

Bernd Blümel. Verschlüsselung. Prof. Dr. Blümel

Prinzipiell wird bei IP-basierenden VPNs zwischen zwei unterschiedlichen Ansätzen unterschieden:

Um mit der FEC Utility Software zu konfigurieren, Müssen Sie in folgendem Untermenü die Software starten:

4 Netzwerkzugriff. 4.1 Einführung. Netzwerkzugriff

PHSt VPN Verbindung für ZIDA Mitarbeiter/innen

Wireless LAN. Konfiguration von FAU-VPN unter Windows 7 mit Cisco AnyConnect

Dynamisches VPN mit FW V3.64

P793H PPP/ACT LAN 4 PRESTIGE P793H

Wireless LAN. Konfiguration von FAU-VPN unter Windows Vista mit Cisco AnyConnect

ISA Server 2004 Erstellen eines neuen Netzwerkes - Von Marc Grote

Netze und Protokolle für das Internet

Virtual Private Network. David Greber und Michael Wäger

VPN Virtual Private Networks

Anleitung zur Einrichtung eines Lan-to-Lan Tunnels zwischen einen DI-804HV und einer DSR (Für DI-804HV ab Firmware 1.44b06 und DSR-250N/500N/1000N)

VPN/WLAN an der Universität Freiburg

D r e ISP S P i m K l K as a s s e s n e r n au a m H.Funk, BBS II Leer

WLAN an der Ruhr-Universität Bochum

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Internet-Praktikum II Lab 3: Virtual Private Networks (VPN)

CONVEMA DFÜ-Einrichtung unter Windows XP

Security + Firewall. 4.0 PPTP Client Einwahl. 4.1 Szenario

SSL VPNs 2G06. VPNs eine Übersicht. IT-Symposium Andreas Aurand Network Consultant NWCC, HP.

How-to: VPN mit PPTP und dem Windows VPN-Client. Securepoint Security System Version 2007nx

2G04: VPN Überblick und Auswahlkriterien

Gestaltung von virtuellen privaten Netzwerken (VPN) - Tunneling und Encryption

VPN help&faqs. Probleme, Ursachen, Lösungen: Keine VPN-Client-SW? ZIM/CZ PHKA, Bau III, Tutoren in Raum 216

Installationsanleitung adsl Einwahl unter Windows 8

Vorlesung VPN: Drahtgebunden und drahtlos Fachbereich Informatik (FB 20) Lehrstuhl Prof. J. Buchmann

mmone Internet Installation Windows XP

NCP Exclusive Remote Access Client (ios) Release Notes

VPN / IPSec Verbindung mit dem DI 804 HV und dem SSH Sentinel

Windows 7 mittels Shrew Soft VPN Client per VPN mit FRITZ!Box 7390 (FRITZ!OS 6) verbinden

Transkript:

Vortrag 2G01 L2TP over IPSEC Remote Access VPN Werner Anrath Forschungszentrum Jülich Zentralinstitut für Angewandte Mathematik IT Symposium 2004 in Bonn 21.04.2004 Inhalt Definition VPN und Überblick Virtual Private Networks im Forschungszentrum Jülich L2TP over IPSEC Bausteine L2TP over IPSEC Vorstellung IPSEC Transport Mode PPP L2TP over IPSEC Funktion Plattformen Positionierung und Fazit Werner Anrath - Zentralinstitut für Angewandte Mathematik 2 www.decus.de 1

Definition Virtual Private Networks Virtual Private Networks beheben Sicherheitsprobleme bei der Übertragung von Daten zum Firmennetz / Intranet über das öffentliche Internet U N I V E R S I T Y Vertraulichkeit Authentifizierung Autorisierung Integrität VPN = Virtual Private Network Remote Access VPN Tunnel: PCs Security Gateway Site-to-Site VPN Router - Router Internet / GWiN FZJ JuNet 134.94 http://www.fz-juelich.de/internes Werner Anrath - Zentralinstitut für Angewandte Mathematik 3 Überblick - VPN Protokolle OSI-Layer: Protokolle: Plattformen: Geräte: Application Presentation ssh (scp, sftp), https, s/mime UNIX,Windows Session Transport Network Data Link Secure socket layer (TCP) PPTP, L2PT, IPSEC MPPE, WEP UNIX, Windows UNIX, Windows 2000/XP LINUX-, Windows-PPP Physical WEP = Wired Equivalent Privacy MPPE = Microsoft Point-to-Point Encryption PPTP = Point to Point Tunneling Prototocol L2TP = Layer 2 Tunneling Protocol (over IPSEC) IPSEC = Internet Protocol Security Werner Anrath - Zentralinstitut für Angewandte Mathematik 4 www.decus.de 2

VPN-Betrieb im Forschungszentrum CISCO VPN Client im Produktionsbetrieb seit Oktober 2001 IPSEC-Lösung mit proprietären Erweiterungen: xauth, mode-config, keepalive... primäre VPN-Technik im Forschungszentrum Windows, LINUX und MacOS Einschränkungen: Installation der Cisco-Client Software nötig Erweiterung VPN-Angebot im Frühjahr 2003 L2TP over IPSEC RFC-Standard favorisierte Protokoll-Suite von Microsoft komfortable Unterstützung in Windows XP Hardware-Unterstützung /Tunnelendpunkte CISCO PIX CISCO VPN 3030 Concentrator April 2004: > insgesamt 450 VPN-Anwender Werner Anrath - Zentralinstitut für Angewandte Mathematik 5 L2TP over IPSEC Bausteine - L2TP Vorstellung - L2PT = Layer 2 Tunneling Protocol Weiterentwicklung von PPTP und L2F (Layer 2 Forwarding, CISCO) PPP Frames werden in IP/UDP-Rahmen übertragen RFC 2661 (L2TP) und RFC 3193 (L2TP over IPSEC) Kontroll-Pakete und Daten-Pakete verwenden UDP Port 1701 IPSEC wird zum Verschlüsseln der Payload Information verwendet Connect /Disconnect! Keepalive? Sequence Numbers! Werner Anrath - Zentralinstitut für Angewandte Mathematik 6 www.decus.de 3

L2TP over IPSEC Bausteine - IPSEC Technik - IPSEC = Internet Protocol Security RFC 2401-2412, RFC 2451 unterstützt in IPv6 (required) und IPv4 (optional) Linux, Windows 2000 /XP CISCO VPN Lösungen Cisco VPN Client Cisco IOS, PIX-Firewall, VPN 3000 Concentrator Serie IPSEC-Protokolle Datentransfer, Transport- oder Tunnel-Modus AH = Authentication Header (Protocol Number 51), RFC 2402 ESP = Encapsulating Security Payload (Protocol Number 50), RFC 2406 IKE = Internet Key Exchange (UDP PORT 500), RFC 2409 Kontrollverbindung SA = Security Association, diese ist eine unidirektionale Verbindung zwischen zwei IPSEC Systemen Verschlüsselungsalgorithmen, Lebensdauer, Transport- oder Tunnel-Modus IKE SA + Receive SA + Send SA Werner Anrath - Zentralinstitut für Angewandte Mathematik 7 L2TP over IPSEC Bausteine - IPSEC ESP Header - Encrypted Der Empfänger wählt durch diesen Wert die Security Association aus. Authenticated Werner Anrath - Zentralinstitut für Angewandte Mathematik 8 www.decus.de 4

L2TP over IPSEC Bausteine - IPSEC und IKE - Main Mode SA Request - Preshared Key - Initiert wegen Crypto ACL Initiator ISAKMP Phase 1 Oakley Main Mode * = Verschlüsselt! Isakmp Hdr, SA Proposals (DES, SHA,...) Isakmp Hdr, selected SA Proposal Isakmp Hdr, public DH-Information, Nonce-i Isakmp Hdr, public DH-Information, Nonce-r Isakmp Hdr*, ID-i, Hash-i Isakmp Hdr*, ID-r, Hash-r Responder MAIN MODE IKE SA INBOUND/OUTBOUND verfügbar IKE SA INBOUND/OUTBOUND verfügbar Quick Mode SA Request Initiert wegen Crypto ACL Isakmp Hdr*, Hash, SA Proposals, Nonce-i, [,KE] [,IDci, IDcr] Isakmp Hdr*, Hash QUICK MODE Isakmp Hdr*, Hash, selected SA, Nonce-r, [,KE] [,IDci, IDcr] IPSEC SA IPSEC SA INBOUND/OUTBOUND verfügbar INBOUND/OUTBOUND verfügbar Werner Anrath - Zentralinstitut für Angewandte Mathematik 9 L2TP over IPSEC Bausteine - PPP - Point-to-Point Protocol Multiprotocol Data Encapsulation (IP, IPX,...) PPP Link Control Protocol (LCP) PPP Network Layer Negotiation (NCP Network Control Protocol) LCP Callback Option Multilink Option Authentication Protocol (PAP, CHAP, MS-CHAP...) Compression NCP IPCP (Internet Protocol Control Protocol) IP Address DNS / WINS IP Compression Protocol Vorteil: diese Mechanismen können je nach Bedarf im Remote Access VPN eingesetzt werden Werner Anrath - Zentralinstitut für Angewandte Mathematik 10 www.decus.de 5

L2TP over IPSEC Bausteine - Funktion - Authentifizierung? Komprimierung? IP-Adresse / DNS L2TP Port UDP 1701 IPSEC - Transportmodus L2TP Port UDP 1701 Internet Datalink IP Header Header IPSec ESP Header UDP Header L2TP Header PPP Header PPP Payload (IP Datagramm, IPSec IPX Datagramm, NetBEUI ESP Frame) Trailer IPSec ESP Auth Trailer Datalink Trailer Werner Anrath - Zentralinstitut für Angewandte Mathematik 11 PIX-Firewall und L2TP over IPSEC crypto ipsec transform-set vpn-set-1 esp-3des esp-md5-hmac crypto ipsec transform-set vpn-set-2 esp-3des esp-sha-hmac..... crypto ipsec transform-set l2tp-set1 esp-3des esp-md5-hmac crypto ipsec transform-set l2tp-set1 mode transport crypto ipsec transform-set l2tp-set2 esp-3des esp-sha-hmac crypto ipsec transform-set l2tp-set2 mode transport crypto dynamic-map vpn3000-clients 20 set transform-set vpn-set-1 vpn-set-2 vpn-set-3 vpn-set-4 crypto dynamic-map l2tp-clients 3 set transform-set l2tp-set1 l2tp-set2....... crypto map partner-map 20 ipsec-isakmp dynamic vpn3000-clients crypto map partner-map 21 ipsec-isakmp dynamic l2tp-clients crypto map partner-map client authentication fzjauth crypto map partner-map interface outside crypto map partner-map interface inside crypto map partner-map interface ras crypto map partner-map interface wlan isakmp enable outside isakmp enable inside isakmp enable ras isakmp enable wlan...... vpdn enable ras isakmp key ********** address 0.0.0.0 netmask 0.0.0.0 no-xauth no-config-mode vpdn group l2tp accept dialin l2tp vpdn group l2tp ppp authentication chap vpdn group l2tp client configuration address local vpnpool vpdn group l2tp client configuration dns 134.94.80.2... vpdn group l2tp client configuration wins 134.94.80.84 vpdn group l2tp client authentication aaa fzjauth vpdn group l2tp l2tp tunnel hello 30 vpdn enable outside vpdn enable wlan Werner Anrath - Zentralinstitut für Angewandte Mathematik 12 www.decus.de 6

Windows XP und L2TP over IPSEC Start-Button -> Systemsteuerung -> Netzwerkverbindungen Assistent für neue Verbindungen öffnen Auswahl,Verbindung mit dem Netzwerk am Arbeitsplatz herstellen' markieren Auswahl,VPN-Verbindung' markieren Name für die Verbindung eingeben, z.b. L2TP-IPSEC-FZJ Auswahl,keine Verbindung automatisch wählen' VPN-Server eintragen: wingate.zam.kfa-juelich.de Das neue Verbindungs-ICON kann jetzt geöffnet werden, danach,eigenschaften' öffnen Registerkarte,Sicherheit' auswählen,ipsec-einstellungen' bearbeiten und den,vorinstallierten Schlüssel' (pre-shared key) eintragen die Registerkarte,Sicherheit' öffnen und,datenverschlüsselung ist erforderlich' deaktivieren (Hinweis: die L2TP RC4 Verschlüsselung wird dadurch deaktiviert) Werner Anrath - Zentralinstitut für Angewandte Mathematik 13 Windows XP und L2TP over IPSEC Werner Anrath - Zentralinstitut für Angewandte Mathematik 14 www.decus.de 7

Fazit: Gute Ergänzung zur Cisco VPN-Lösung ohne Deployment Overhead! Geräteauthentifizierung Cisco VPN Client IPSEC MS L2TP over IPSEC IPSEC Benutzerauthentifizierung Kompression einheitliches Look and Feel Windows Plattform NDIS / NDIS-WAN LINUX / MacOS IKE-xauth optional ja (9x / Me / 2000 / XP) ja / ja (9x / Me / 2000 / XP) ja / ja CHAP optional nein ja / ja (2000 /XP) nein /nein integrierte Betriebssystem- Software einfache Konfiguration nein ja (9x / Me / 2000 / XP) 2000 / XP Werner Anrath - Zentralinstitut für Angewandte Mathematik 15 XP Vielen Dank für Ihre Aufmerksamkeit! Werner Anrath - Zentralinstitut für Angewandte Mathematik 16 www.decus.de 8

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback