Internet-Praktikum II Lab 3: Virtual Private Networks (VPN)

Ähnliche Dokumente
Modul 4: IPsec Teil 1

IPsec. Chair for Communication Technology (ComTec), Faculty of Electrical Engineering / Computer Science

8.2 Vermittlungsschicht

3.2 Vermittlungsschicht

IPSec und IKE. Richard Wonka 23. Mai 2003

Modul 3: IPSEC Teil 2 IKEv2

Prof. Dr. Martin Leischner Netzwerksysteme und TK. Hochschule Bonn-Rhein-Sieg. Modul 5: IPSEC

- Gliederung - 1. Motivation. 2. Grundlagen der IP-Sicherheit. 3. Die Funktionalität von IPSec. 4. Selektoren, SPI, SPD

VIRTUAL PRIVATE NETWORKS

IPsec Hintergrund 1 Überblick

IPSec. Markus Weiten Lehrstuhl für Informatik 4 Verteilte Systeme und Betriebssysteme Universität Erlangen-Nürnberg

VPN Virtual Private Network

IPSec. Motivation Architektur Paketsicherheit Sicherheitsrichtlinien Schlüsselaustausch

IT-Sicherheit Kapitel 10 IPSec

IT-Sicherheit - Sicherheit vernetzter Systeme -

IKEv1 vs. v2. Wie verändert die Version 2 von IKE das Verhalten? Netzwerksicherheit - Monika Roßmanith CNB, Simon Rich CN

Modul 3: IPSEC Teil 2 IKEv2

Security Associations Schlüsseltausch IKE Internet Key Exchange Automatischer Schlüsseltausch und Identitätsnachweis

IPSEC Gruppenarbeit im Fach Kryptografie HTA Horw

VPN (Virtual Private Network)

Rechnernetze II SS Betriebssysteme / verteilte Systeme rolanda.dwismuellera@duni-siegena.de Tel.: 0271/ , Büro: H-B 8404

Sicherheit in der Netzwerkebene

VPN: wired and wireless

Gestaltung von virtuellen privaten Netzwerken (VPN) - Tunneling und Encryption

Exkurs: IPSec. Brandenburg an der Havel, den 5. Juni 2005

Netze und Protokolle für das Internet

Workshop: IPSec. 20. Chaos Communication Congress

Site2Site VPN S T E F A N K U S I E K B F W L E I P Z I G

Inhaltsverzeichnis. I Grundlagen der Datensicherheitstechnik 1

Sichere Netzwerke mit IPSec. Christian Bockermann

VPN - Virtuelle Private Netzwerke

TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL

Sicherheit in Netzen und verteilten Systemen

Virtual Private Networks Hohe Sicherheit wird bezahlbar

Systeme II 4. Die Vermittlungsschicht

Sicherheit in Netzen Modul 5: TLS Transport Layer Security Teil 1

VPN unterstützt 3 verschiedene Szenarien: Host to Host: Dies kennzeichnet eine sichere 1:1 Verbindung zweier Computer, z.b. über das Internet.

IPsec. Vortrag im Rahmen des Seminars Neue Internet Technologien

VPN: wired and wireless

IT-Sicherheit - Sicherheit vernetzter Systeme -

IT-Sicherheit - Sicherheit vernetzter Systeme -

Vorlesung VPN: Drahtgebunden und drahtlos Fachbereich Informatik (FB 20) Lehrstuhl Prof. J. Buchmann

Ethernet-Security am Beispiel SOME/IP

VPN über IPSec. Internet. AK Nord EDV- Vertriebsges. mbh Stormstr Itzehoe. Tel.: +49 (0) Fax:: +49 (0)

Systemsicherheit 12: IPSec

Systeme II. Christian Schindelhauer Sommersemester Vorlesung

Sicherheitsdienste in IPv6

Thema: Internet Protokoll Version 6 IPv6 (IPng)

Modul 2: IPSEC. Ergänzung IKEv2. Prof. Dr. Martin Leischner Netzwerksysteme und TK. Hochschule Bonn-Rhein-Sieg

NCP Secure Entry macos Client Release Notes

6-2. Sicherheit in Netzen u. verteilten Systemen Kapitel 6: Anwendungen u. Protokolle. Vertraulichkeit im WWW. IBR, TU Braunschweig

Prinzipiell wird bei IP-basierenden VPNs zwischen zwei unterschiedlichen Ansätzen unterschieden:

Die Rolle von VPNs für eine sichere externe Unternehmenskommunikation

NCP Exclusive Remote Access Client (ios) Release Notes

WLAN-Technologien an der HU

VPN: Virtual-Private-Networks

HowTo: Einrichtung von L2TP over IPSec VPN

Warum noch IPsec benutzen?

Kryptographie und IT-Sicherheit

P107: VPN Überblick und Auswahlkriterien

VPN: wired and wireless

Virtual Private Networks

IPSec. Michael Gschwandtner, Alois Hofstätter, Roland Likar, Horst Stadler. Jänner 2003

Virtuelle Private Netze (VPN) Copyright und Motivation und sowas

NCP Secure Enterprise Client (ios) Release Notes

NCP Exclusive Remote Access Client (ios) Release Notes

NCP Secure Enterprise Client (ios) Release Notes

VPN mit mobilen Clients. Handwerkskammer für Oberfranken Kerschensteinerstraße Bayreuth

Virtuelle Private Netzwerke in der Anwendung

FAQ zur Kommunikation

SSL VPNs 2G06. VPNs eine Übersicht. IT-Symposium Andreas Aurand Network Consultant NWCC, HP.

IT-Sicherheit Kapitel 7 Schlüsseletablierung

VPN: wired and wireless

VPN Gateway (Cisco Router)

Sichere Kommunikation mit IPsec

Werner Anrath. Inhalt

Dirk Becker. OpenVPN. Das Praxisbuch. Galileo Press

NCP Secure Enterprise Client (ios) Release Notes

Bibliografische Informationen digitalisiert durch

Layer 2 Forwarding Protokoll. Chair for Communication Technology (ComTec), Faculty of Electrical Engineering / Computer Science

HOBLink VPN 2.1 Gateway

Inhaltsübersicht. Teil I Grundlagen 27. Teil II Praktische Umsetzung 121. Vorwort zur 2. Auflage 23. Einleitung 29

IKEv1 vs. v2 Wie verändert die Version 2 von IKE das Verhalten?

1. IKEv2 zwischen bintec IPSec Client und Gateway mit Zertifikaten

NCP Secure Enterprise Client (ios) Release Notes

Einführung in die Netzwerktechnik

Anatol Badach Erwin Hoffmann. Technik der IP-Netze. TCP/IP incl. IPv6 HANSER

Systeme II. Christian Schindelhauer Sommersemester Vorlesung

2017 achelos. Benjamin Eikel

Virtual Private Network

8 Sichere Kommunikationsdienste ITS-8.1 1

Transportschicht TCP, UDP. Netzzugangsschicht

Grundlagen Funktionalität Integration. Silvia Hagen. Sunny Edition. Sunny Edition CH-8124Maur

Remote Access. Virtual Private Networks. 2000, Cisco Systems, Inc.

LuXeria. VPN für die LuXeria. Emanuel Duss Emanuel Duss LuXeria / 21

Anytun - Secure Anycast Tunneling

Transkript:

Kommunikationsnetze Internet-Praktikum II Lab 3: Virtual Private Networks (VPN) Andreas Stockmayer, Mark Schmidt Wintersemester 2016/17 http://kn.inf.uni-tuebingen.de

Virtuelle private Netze (VPN) Ziel: Gewährleistung eines gesicherten Datenaustauschs zwischen entfernten Kommunikationspartnern/Standorten über (ungesicherte) Transit-Netze (z.b. das Internet) durch Authentifizierung und Verschlüsselung

VPN Beispiele Layer 2 Point-to-Point Tunneling Protocol (PPTP) Layer-2-Tunneling Protocol (L2TP) Layer 3 IPsec Layer > 3 OpenVPN tinc Cisco AnyConnect

Internet Protocol Security (IPSec) Sicherheitsprotokoll, das für die Kommunikation über IP-Netze die Schutzziele Vertraulichkeit, Authentizität und Integrität gewährleistet IPsec auf Layer 3 RFC 2401 und RFC 4301 (neu) beschreiben die Architektur von IPsec.

Security Association und Security Policy Security Association (SA) Security Parameter Index (SPI) Protokoll, Schlüssel, Algorithmus SA beinhaltet Identifikation (entweder per PSK oder Zertifikat) Zu verwendender Schlüsselalgorithmus Quell- / Ziel-IP Gültigkeitsdauer Wird gespeichert in Security Association Database (SAD) Security Policy (SP) Regelsatz: Welches Sicherheitsmechanismen für welche Pakete Wird gespeichert in Security Policy Database (SPD)

Authentication Header (AH) Authentifizierung AH authentisiert alle unveränderlichen Felder des äußeren IP- Headers Protocol / Next Header Feld: 51 Paketformat

Encapsulating Security Payload (ESP) Verschlüsselung Der ESP-Header folgt direkt dem IP-Header oder einem AH-Header Protocol / Next Header Feld: 50 Das Next Header Feld im ESP-Header bezieht sich auf die geschützten Daten Paketformat

IPsec Tunnel- / Transportmode IPsec verbindet entweder 2 Endpunkte (transport mode) oder 2 Subnetze (tunnel mode) Transportmode Tunnelmode IPsec-Header zwischen dem IP- Header und den Nutzdaten Einkapseln des ursprünglichen Pakets Der IP-Header bleibt unverändert Dieser dient weiterhin zum Routing des Pakets v.a. für Host-zu-Host- oder Hostzu-Router-Verbindungen Die Sicherheitsdienste von IPsec auf das gesamte Paket angewandt. Tunnelendpunkte werden über äußeren IP-Header adressiert Innerer IP-Header beinhaltet eigentl. Kommunikationspartner v.a. für Gateway-zu-Gateway- oder Peer-zu-Gateway-Verbindungen

IPsec Tunnel- / Transportmode Beispiel AH ESP

IPsec Tunnel- / Transportmode Beispiel AH + ESP

IPsec Schlüsselaustausch (1) Manual Keying SA wird auf beiden Seiten mit Schlüssel statisch konfiguriert Einfach, aber schlechte Skalierbarkeit Sicherheitsprobleme (keine wechselnden Sitzungsschlüssel) Internet Key Exchange (IKEv1) 2 Phasen Aushandlung einer SA (Security Association) Aggressive Mode oder Main Mode Erzeugung einer SA für IPsec mittels Quick Mode Kompliziert (und im Aggressive Mode unsicher) Nachfolger: IKEv2

IPsec Schlüsselaustausch (2) Internet Key Exchange Version 2 (IKEv2) IKE_SA_INIT Autausch von SA-Vorschlägen, Nonces und DH-Parametern [Optional: Certificate Request] Diffie-Hellman-Schlüsselvereinbarung erzeugt Master-Key Schlüssel für IKE SA werden vom Master-Key abgeleitet IKE_SA_AUTH Bereits verschlüsselt mit ausgehandeltem Key Nachträgliche Authentifizierung der IKE_SA_AUTH Nachrichten MAC (bei PSK) oder Signatur (bei Zertifikaten) Erzeugung der ersten CHILD_SA CREATE_CHILD_SA Neue CHILD_SA erzeugen Rekeying für IKE_SA oder bestehende CHILD_SA Inkompatibel zu IKEv1

www.schneierfacts.com IPsec Kritik IPsec was a great disappointment to us. Given the quality of the people that worked on it and the time that was spent on it, we expected a much better result. (Bruce Schneier) Redundanzen im Konzept ESP+AH Hohe Komplexität Fehleranfällig auf Implementierungsseite! Im TCP/IP-Stack integriert Kernel-Mode Viel Platformspezifischer Code Viele inkompatible Implementierungen

OpenVPN VPN-Implementierung im Userspace Normales Anwendungsprogramm Weniger plattformspezifischer Code Benötigt vom Kernel lediglich virtuelle Netzwerkinterfaces TAP (Layer 2) oder TUN (Layer 3) Basiert auf SSL bzw. DTLS UDP und TCP als Transportprotokoll möglich Authentifizierung Static Key Symmetrischer PSK von dem weitere Schlüssel abgeleitet werden Zertifikate Ähnlich wie SSL-Handshake

OpenVPN Modi Bridging-Mode TAP-Interface Netz auf Layer 2 verbunden Gleiches IP-Subnetz Routing-Mode TUN-Interface Netz auf Layer 3 verbunden Verschiedene IP-Subnetze Routen in beide Richtungen nötig Gleiches IP-Subnetz erfordert Hacks wie Proxy-ARP

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback