Virtual Private Network / IPSec



Ähnliche Dokumente
Handout. Holger Christian. Thema: VPN

VIRTUAL PRIVATE NETWORKS

Virtual Private Network. David Greber und Michael Wäger

VPN / Tunneling. 1. Erläuterung

VPN Virtual Private Network

VPN Gateway (Cisco Router)

Workshop: IPSec. 20. Chaos Communication Congress

Prinzipiell wird bei IP-basierenden VPNs zwischen zwei unterschiedlichen Ansätzen unterschieden:

ISA Server 2004 Erstellen eines neuen Netzwerkes - Von Marc Grote

VPN: Virtual-Private-Networks

Virtual Private Network

Beispielkonfiguration eines IPSec VPN Servers mit dem NCP Client

Virtual Private Network

VPN unterstützt 3 verschiedene Szenarien: Host to Host: Dies kennzeichnet eine sichere 1:1 Verbindung zweier Computer, z.b. über das Internet.

Dynamisches VPN mit FW V3.64

Dynamisches VPN mit FW V3.64

Virtuelle Private Netzwerke

Aufgabe 12.1b: Mobilfunknetzwerke

Rechnernetzwerke. Rechnernetze sind Verbünde von einzelnen Computern, die Daten auf elektronischem Weg miteinander austauschen können.

ANYWHERE Zugriff von externen Arbeitsplätzen

How-to: Webserver NAT. Securepoint Security System Version 2007nx

Virtuelle Netze. Virtuelle Netze von Simon Knierim und Benjamin Skirlo 1 Von Simon Knierim & Benjamin Skirlo.

IEEE 802.1x Authentifizierung. IEEE 802.1x Authentifizierung IACBOX.COM. Version Deutsch

Klicken Sie mit einem Doppelklick auf das Symbol Arbeitsplatz auf Ihrem Desktop. Es öffnet sich das folgende Fenster.

Collax VPN. Howto. Vorraussetzungen Collax Security Gateway Collax Business Server Collax Platform Server inkl. Collax Modul Gatekeeper

Multicast Security Group Key Management Architecture (MSEC GKMArch)

Konfigurationsbeispiel USG

Übersicht. Was ist FTP? Übertragungsmodi. Sicherheit. Öffentliche FTP-Server. FTP-Software

START - SYSTEMSTEUERUNG - SYSTEM - REMOTE

Eine Open Source SSL VPN Lösung. Patrick Oettinger Deutsche Telekom AG 2. Ausbildungsjahr

Collax PPTP-VPN. Howto

Root-Server für anspruchsvolle Lösungen

NAS 323 NAS als VPN-Server verwenden

FTP-Leitfaden RZ. Benutzerleitfaden

VPN IPSec Tunnel zwischen zwei DI-804HV / DI-824VUP+

1. IPSec Verbindung zwischen 2 Gateways mit dynamischen IP Adressen

Proxy. Krishna Tateneni Übersetzer: Stefan Winter

VPN. Virtuelles privates Netzwerk. Vortrag von Igor Prochnau Seminar Internet- Technologie

How-to: VPN mit IPSec und Gateway to Gateway. Securepoint Security System Version 2007nx

Fragen und Antworten zu Secure

Nutzung von GiS BasePac 8 im Netzwerk

Multimedia und Datenkommunikation

iphone 4 - Einrichtung des VPN Clients (Cisco VPN Client) / Verbinden des iphones mit einem Exchange

msm net ingenieurbüro meissner kompetent - kreativ - innovativ

Um mit der FEC Utility Software zu konfigurieren, Müssen Sie in folgendem Untermenü die Software starten:

VPN/WLAN an der Universität Freiburg

HostProfis ISP ADSL-Installation Windows XP 1

4. Network Interfaces Welches verwenden? 5. Anwendung : Laden einer einfachen Internetseite 6. Kapselung von Paketen

NAT & VPN. Adressübersetzung und Tunnelbildung. Bastian Görstner

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

WLAN und VPN im b.i.b. mit Windows (Vista Home Premium SP1) oder Windows 7

Konfiguration von Exchange 2000 zum versenden und empfangen von Mails & Lösung des SEND after POP Problems

ADSL-Verbindungen über PPtP (Mac OS X 10.1)

Einrichtung des Cisco VPN Clients (IPSEC) in Windows7

HTBVIEWER INBETRIEBNAHME

D-Link VPN-IPSEC Test Aufbau

Virtuelle Private Netze (VPN) Copyright und Motivation und sowas

Stefan Dahler. 1. Remote ISDN Einwahl. 1.1 Einleitung

Datenempfang von crossinx

Einführung in die Netzwerktechnik

Security + Firewall. 4.0 PPTP Client Einwahl. 4.1 Szenario

IRF2000 Application Note Lösung von IP-Adresskonflikten bei zwei identischen Netzwerken

Einrichtung einer VPN-Verbindung (PPTP) unter Windows XP

Einrichtung von VPN für Mac Clients bei Nortel VPN Router

Möglichkeiten der verschlüsselten -Kommunikation mit der AUDI AG Stand: 11/2015

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

Konfiguration Firewall (Zyxel Zywall 10) (von Gruppe Schraubenmeier)

MSXFORUM - Exchange Server 2003 > SMTP Konfiguration von Exchange 2003

Konfiguration von Igel ThinClients fu r den Zugriff via Netscaler Gateway auf eine Storefront/ XenDesktop 7 Umgebung

WLAN Konfiguration. Michael Bukreus Seite 1

2 Die Terminaldienste Prüfungsanforderungen von Microsoft: Lernziele:

Einrichtung von VPN-Verbindungen unter Windows NT

Shellfire PPTP Setup Windows 7

Freifunk Halle. Förderverein Freifunk Halle e.v. IT Sicherheitskonzept. Registernummer bei der Bundesnetzagentur: 14/234

How-to: VPN mit L2TP und dem Windows VPN-Client. Securepoint Security System Version 2007nx

Um IPSec zu konfigurieren, müssen Sie im Folgenden Menü Einstellungen vornehmen:

How to install freesshd

NAS 322 NAS mit einem VPN verbinden

Software zur Anbindung Ihrer Maschinen über Wireless- (GPRS/EDGE) und Breitbandanbindungen (DSL, LAN)

Konfigurationsanleitung Network Address Translation (NAT) Funkwerk. Seite Copyright Stefan Dahler Oktober 2008 Version 1.

How-to: VPN mit PPTP und dem Windows VPN-Client. Securepoint Security System Version 2007nx

Abgesetzte Nebenstelle TECHNIK-TIPPS VON per VPN

Shellfire L2TP-IPSec Setup Windows 7

Shellfire L2TP-IPSec Setup Windows XP

Installationsanleitung adsl Einwahl unter Windows 8

Prof. Dr. Martin Leischner Netzwerksysteme und TK. Hochschule Bonn-Rhein-Sieg. Modul 5: IPSEC

Security Associations Schlüsseltausch IKE Internet Key Exchange Automatischer Schlüsseltausch und Identitätsnachweis

SharePoint Demonstration

VPN (Virtual Private Network)

Authentication Policy. Konfigurationsbeispiel ZyXEL ZyWALL USG-Serie. Juni 2010 / HAL

Sicherheit in Netzwerken. Leonard Claus, WS 2012 / 2013

Öffnen Sie den Internet-Browser Ihrer Wahl. Unabhängig von der eingestellten Startseite erscheint die folgende Seite in Ihrem Browserfenster:

1 von :04

8. Bintec Router Redundancy Protocol (BRRP) 8.1 Einleitung

Security + Firewall. 3.0 IPsec Client Einwahl. 3.1 Szenario

Konfigurationsanleitung Access Control Lists (ACL) Funkwerk. Copyright Stefan Dahler Oktober 2008 Version 1.0.

Anleitung Thunderbird Verschlu sselung

Transkript:

1. Einführung 1.1 Was ist ein Virtual Private Network? Mit einem Virtual Private Network (virtuelles privates Netzwerk, VPN) können zwei Netzwerke über ein öffentliches Netzwerk (Internet) miteinander verbunden werden. Die beiden Netze werden virtuell zu einem privaten Netzwerk und haben dieselben Sicherheits- und Leistungsmerkmale wie diese. Es müssen nicht zwangsläufig zwei Netze sein, auch zwei einzel PC s oder ein PC mit einem Netzwerk können verbunden werden. Mithilfe von VPNs können Unternehmen ihre Außenstellen an das Unternehmensnetzwerk anbinden und einen sicheren Datenaustausch ermöglichen. Auch Heimarbeiter oder Außendienstmitarbeiter können so auf zentrale Ressourcen zugreifen. Aus der Sicht des Benutzers ist das VPN eine Punkt-zu-Punkt- Verbindung zwischen dem Computer des Benutzers und dem Netzwerk des Unternehmens. Das zwischengeschaltete Netzwerk ist für den Benutzer irrelevant. Aus seiner Sicht werden die Daten wie über eine Standleitung übertragen. 1.2 VPN-Vorläufer Die früheren Lösungen für die Kommunikation zwischen dem Unternehmen und seinen Zweigstellen und Geschäftspartnern sind Standleitungen oder eigene Kommunikationsnetze. Diese Lösungen sind allerdings teuer und nicht Flexibel. Außerdem ist es nicht möglich neue Benutzer oder Standorte hinzuzufügen ohne neue Geräte oder Zugangsleitungen zu kaufen. 1.3 Die Ziele: Vertraulichkeit: Wie schützt man seine Daten gegen Abhörversuche? Die Vertraulichkeit der Daten im zweiten Kanal wird mit der bewährten DESoder Triple-DESChiffrierung (synchrone Verschlüsselung) gesichert. Es ist kein Fall eines geknackten DESSchlüsslels (56bit) bekannt, trotzdem wurde das Verfahren weiter entwickelt. Triple-DES hat einen 168-bit-Schlüssel und wird bei der ETH VPN-Verbindung verwendet. Integrität: Wie verhindert VPN, dass Daten manipuliert werden? It01c Seite: 1 von 9

Dazu werden die Datenpakete mit einer Art Checksumme geprüft. Dieses Verfahren wird mit so genannten "Hash-Algoritmen" MD5 oder SHA-1 durchgeführt. Authentizität: Ist der Kommunikationspartner wirklich derjenige, den man annimmt? Zur Identitätsprüfung wird ein gemeinsames Schlüsselwort festgelegt ein so genannter "Pre-Shared-Key". Die IKE-Funktion (Internet-Key-Exchange) verschlüsselt diesen Key automatisch. Stimmt der Code zwischen Absender und Empfänger überein, wird ein zweiter verschlüsselter Kanal aufgebaut, wo darüber die eigentliche Datenkommunikation stattfindet. Zusätzlich wird die Verbindung gesichtet durch Chap (Challenge Handshake Authentication Protocol). Der Server erstellt eine zufällige Byte-Folge die dann an den Client gesendet wird. Der sie dann wieder mit dem gemeinsamen Passwort zurücksendet. Der Vorgang kann auch von Seiten des Clients gestartet werden. Um das Einschalten eines Unbefugten auf die Leitung nach der Authentifizierung zu verhindern, kann dieser Vorgang mehrfach wiederholt werden. Veraltet: PAP: (Password Authentication Protokoll) Dieses Protokoll macht einen Abgleich der Identifikation und des Passwortes beim ISP. Es findet Anwendung bei der Anwahl über ISDN. Ist veraltet und wurde abgelöst von Chap 2. VPN-Topologien 2.1 Internes-VPN Interne VPNs werden genutzt um Abteilungen oder Rechner im internen Netzwerk abzutrennen und sie somit zu schützen. Es werden auf dem privaten Netzwerk verschiedene logische Netzwerke abgebildet. Interne VPNs werden zur Trennung von WLANs und dem restlichen Netzwerk benutzt. 2.2 Externes-VPN Bei externen VPNs wird eine Verbindung über ein öffentliches Netz (z.b. Internet) hergestellt. Dies wird verwendet um z.b. Außendienstmitarbeitern zugriff auf das interne Netzwerk und somit auch die Daten zu ermöglichen. Es können auch mehrere Standorte eines Unternehmens kostengünstig miteinander verbunden werden. 2.3 End-to-End-VPNs (Host-to-Host) End-to-End-VPNs verbinden zwei Rechner direkt miteinander. Diese Art von VPN wird oft dazu benutzt um privat Rechner über das Internet zu verbinden und so Daten auszutauschen. It01c Seite: 2 von 9

Internet Tunnelverbindung 2.4 End-to-Site-VPNs (Host-to-Network) End-to-Site-VPNs werden Hauptsächlich genutzt um Außendienstmitarbeiter an ein internes Firmennetzwerk anzubinden. Der Remote-Mitarbeiter braucht nur eine Verbindung ins Internet und einen VPN Software Client auf der Arbeitsstation. Die Software baut einen Tunnel zum Firmennetzwerk auf. Die Remoteseite braucht also keine teure Hardware. VPN-Gateway Intranet Internet Tunnelverbindung 2.5 Site-to-Site-VPNs (Network-to-Network) Bei Site-to-Site-VPNs werden zwei Netzwerke verbunden. Dazu wird spezielle Hardware benötigt. VPN-Gateway VPN-Gateway Intranet Internet Intranet Tunnelverbindung It01c Seite: 3 von 9

3. Technische Grundlagen von VPNs 3.1 Tunneling Das Tunneling oder Kapselung ist eine Technik, die es erlaubt, beliebige Datenpakete aus einem LAN über ein anderes Netzwerk zu verschicken. Alle Pakete werden hierfür in Pakete des Netzwerkprotokolls gekapselt über das die Daten verschickt werden sollen. Dabei ist das ursprüngliche Protokoll nicht von Bedeutung also können auch IPX-Pakete durch ein IP-Netzwerk transportiert werden. Außerdem kann man durch das Tunneling private, nicht registrierte Netzwerk- und Hostadressen durch IP-in-IP-Tunneling verstecken. Damit können Netzwerke über das Internet verbunden werden, da die privaten IP-Pakete in Pakete mit registrierten IP-Adressen gekapselt werden. Im Generic Routing Encapsulation (GRE) Standart ist festgelegt wie die Tunnel-Pakete aufgebaut sein sollen. It01c Seite: 4 von 9

Es werden 3 Abschnitte unterschieden. Der Tunnel-Kopf enthält das Tunnelziel, der GRE-Kopf enthält Informationen über das Tunnel-Protokoll und die Verschlüsselungsalgorithmen und die Nutzlast, also das zu transportierende Paket. Mit GRE lassen sich alle Netzwerkprotokolle tunneln. 3.1.1 Tunneling-Modelle In Abhängigkeit wo die Tunnel beginnen und enden kann man drei verschiedene Modelle unterscheiden. Intra-Provider-Modell Der Tunnel beginnt und endet beim Service Provider. Der Vorteil an diesem Modell ist das man keine spezielle Soft- oder Hardware braucht, da man nicht in das Tunneling involviert ist. Provider-Enterprise-Modell Bei diesem Modell beginnt der Tunnel beim POP (Point of Presence) des Providers und endet im Gateway des Kunden. Ende-zu-Ende-Modell Die Tunnel werden ausschließlich vom Kunden aufgebaut. Der Provider ist nicht involviert sondern transportiert nur die IP-Pakete. It01c Seite: 5 von 9

3.2 Protokolle 3.2.1 Übersicht Eigenschaft PPTP L2F L2TP IPSec Protokoll-Ebene Layer 2 Layer 2 Layer 2 Layer 3 Standart Nein Nein Ja Ja Paket-Authentifizierung Nein Nein Nein Ja Benutzer-Authentifizierung Ja Ja Ja Ja Datenverschlüsselung Ja Nein Nein Ja Schlüsselmanagement Nein n/a (keine n/a (keine Ja Verschlüsselung) Verschlüsselung) QoS Nein Nein Nein Ja Andere Protokolle (neben IP) tunnelbar Ja Ja Ja Nein End-to-End-Security Ja Nein Nein Ja 3.2.2 IPSec Bei IPSec handelt es sich um ein Paket von Protokollen, die für Authentifizierung, Datenintegrität, Zugriffskontrolle und Vertraulichkeitsbelange innerhalb des VPN zuständig sind. IPSec besitzt zwei verschiedene Betriebsmodi: den Transportmodus und den Tunnelmodus. Transportmodus Im Transport-modus verschlüsselt IPSec nur den Datenteil des zu transportierenden IP-Paketes. Der Original-IP-Kopf bleibt dabei erhalten und es wird ein zusätzlicher IPSec-Kopf hinzugefügt. Der Vorteil dieser Betriebsart ist, dass jedem Paket nur wenige Bytes hinzugefügt werden. Dem gegenüber steht, dass jede Station im VPN IPSec beherrschen muss, was eine Neukonfiguration von bestehenden Netzen nötig macht. Ausserdem ist es für Angreifer möglich, den Datenverkehr im VPN zu analysieren, da die Köpfe nicht modifiziert werden. Die Daten selbst sind aber verschlüsselt, so dass man nur feststellen kann, welche Stationen wieviele Daten austauschen, aber nicht welche Daten. Tunnelmodus Im Tunnelmodus wird das komplette IP-Paket verschlüsselt und mit einem neuen IP-Kopf und IPSec-Kopf versehen. Dadurch ist das IPSec-Paket grösser als im Transportmodus. Der Vorteil besteht hier darin, dass in den LANs, die zu einem VPN verbunden werden sollen, je ein Gateway so konfiguriert werden kann, dass es IP- Pakete annimmt, sie in IPSec- Pakete umwandelt und dann über das Internet dem Gateway im Zielnetzwerk zusendet, das das ursprüngliche Paket wiederherstellt und weiterleitet. Dadurch wird eine Neukonfiguration der LANs umgangen, da nur in den It01c Seite: 6 von 9

Gateways IPSec implementiert sein muss. Ausserdem können Angreifer so nur den Anfangs- und Endpunkt des IPSec-Tunnels feststellen. Authentisierung (AH) Das AH-Protokoll sorgt für die Authentisierung der zu übertragenen Daten und Protokollinformationen. AH wird zum Schutz der Paketintegrität und der Paketauthentizität eingesetzt. Die Erfolgt über ein Hashing-Verfahren. Da der äußere IP-Header in die Hashprüfung mit einbezogen wird, ist auf AH-Pakete keine Art von NAT anwendbar. Im AH-Paket befindet sich, neben verschiedenen anderen Feldern, der Security Profile Index (SPI) und eine Sequenznummer. Diese Sequenznummer kann zum Schutz vor Replay-Attacks verwendet werden. AH nutzt die IP-Protokoll-Nummer 51. Das AH-Protokoll kann sowohl im Transport-, als auch im Tunnelmodus eingesetzt werden. Transportmodus IP-Header AH-Header TCP-Header Daten authentifiziert Tunnelmodus Neuer IP-Header AH-Header Alter IP-Header TCP-Header Daten authentifiziert Verschlüsselung (ESP) Das ESP-Protokoll dient der Verschlüsselung eines Datenpaketes und über Hashing-Verfahren auch zur Integritätssicherung. Zur Verschlüsselung können beliebige Encryption-Verfahren eingesetzt werden. Im ESP-Header befindet sich - vergleichbar mit dem AH-Paket - der Security Profile Index (SPI) und eine Sequenznummer! ESP nutzt die IP-Protokoll-Nummer 50. It01c Seite: 7 von 9

Transportmodus IP-Header ESP-Header TCP-Header Daten ESP-Trailer ESP Authentication- Data authentifiziert verschlüsselt Tunnelmodus Neuer IP- Header ESP- Header Alter IP- Header TCP- Header Daten ESP-Trailer ESP Auth.- Data authentifiziert verschlüsselt Schlüsselverwaltung (Key Management) Zur Schlüsselverwaltung gibt es zwei Wege, um die Verwaltung und Verteilung der Schlüssel durchzuführen. Neben der reinen - heute nicht mehr sehr gebräuchlichen - manuellen Schlüsselverwaltung, kann auch das Internet Key Exchange Protocol (IKE) eingesetzt werden. Um eine gesicherte Verbindung zwischen zwei Stationen aufbauen zu können, müssen auf beiden Seiten viele Parameter ausgetauscht werden: Art der gesicherten Übertragung (Authentisierung oder Verschlüsselung), Verschlüsselungsalgorithmus, "Schlüssel", Dauer der Gültigkeit der Schlüssel etc. Alle diese Parameter werden in der Security Association (SA) beschrieben. Jede gesicherte Verbindung bedarf einer solcher SA für jedes genutzte IPsec-Protokoll an jedem Ende einer logischen Verbindung. Die IKE Mainmethode unterstützt keine dynamischen IP-Adressen und keine Art von NAT! Für solche Fälle muss die IKE Aggressive Methode eingesetzt werden, bei der ein Angreifer den Initiator einer Verbindung feststellen kann. 3.2.2 PPTP, L2TP PPTP und L2TP versehen die Daten mittels PPP mit einem ersten "Umschlag und fügen dann weitere Header für den Transport über das It01c Seite: 8 von 9

Netzwerk hinzu. Beide Protokolle ähneln sich stark, weisen aber auch die folgenden Unterschiede auf: PPTP erfordert, dass als Netzwerk ein IP-Netzwerk verwendet wird. L2TP erfordert nur, dass die Tunnelmedien paketorientierte Punkt-zu- Punkt-Verbindungen bieten. PPTP unterstützt nur einen einzigen Tunnel zwischen Endpunkten. L2TP lässt die Verwendung mehrerer Tunnel zwischen Endpunkten zu. Mit L2TP können verschiedene Tunnel für Dienste unterschiedlicher Qualität erstellt werden. L2TP bietet Headerkomprimierung. Bei aktivierter Headerkomprimierung arbeitet L2TP mit einem Overhead von 4 Byte, bei PPTP fallen dagegen 6 Byte an. 3. Quellenverzeichnis http://www.iam.unibe.ch/~rvs/publications/sevbulletin.pdf http://www.uni-muenster.de/ziv/inforum/2001-2/a15.html http://www.kossakowski.de/sivs98.htm http://www.zdnet.de/itmanager/tech/0,39023442,2128716,00.htm http://www.heise.de/ct/03/10/106/ http://www.tecchannel.de/netzwerk/networkworld/technologyupdate/253/ http://vpnwww.uni-jena.de/vpnvortrag.html It01c Seite: 9 von 9

2026 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback