Verschlüsselung Neben den von IPSEC geforderten (aber unsicheren) Algorithmen null encryption transform und DES implementiert FreeS/WAN TripleDES.



Ähnliche Dokumente
Prof. Dr. Martin Leischner Netzwerksysteme und TK. Hochschule Bonn-Rhein-Sieg. Modul 5: IPSEC

Security Associations Schlüsseltausch IKE Internet Key Exchange Automatischer Schlüsseltausch und Identitätsnachweis

VPN unterstützt 3 verschiedene Szenarien: Host to Host: Dies kennzeichnet eine sichere 1:1 Verbindung zweier Computer, z.b. über das Internet.

Workshop: IPSec. 20. Chaos Communication Congress

Virtual Private Network

Exkurs: IPSec. Brandenburg an der Havel, den 5. Juni 2005

VIRTUAL PRIVATE NETWORKS

VPN: Virtual-Private-Networks

FTP-Leitfaden RZ. Benutzerleitfaden

Multicast Security Group Key Management Architecture (MSEC GKMArch)

Einrichtung von VPN für Mac Clients bei Nortel VPN Router

How-to: Webserver NAT. Securepoint Security System Version 2007nx

VPN IPSec Tunnel zwischen zwei DI-804HV / DI-824VUP+

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Virtual Private Network. David Greber und Michael Wäger

Beispielkonfiguration eines IPSec VPN Servers mit dem NCP Client

FTP-Leitfaden Inhouse. Benutzerleitfaden

How-to: VPN mit IPSec und Gateway to Gateway. Securepoint Security System Version 2007nx

Um IPSec zu konfigurieren, müssen Sie im Folgenden Menü Einstellungen vornehmen:

IEEE 802.1x Authentifizierung. IEEE 802.1x Authentifizierung IACBOX.COM. Version Deutsch

Konfigurationsanleitung Access Control Lists (ACL) Funkwerk. Copyright Stefan Dahler Oktober 2008 Version 1.0.

Inhalt. Erreichbarkeit von VPN-Gateways hinter einem Genexis FTTH-Abschlussrouter

Collax PPTP-VPN. Howto

Einrichtung des Cisco VPN Clients (IPSEC) in Windows7

KNX BAOS Gadget. Installations- und Bedienanleitung. WEINZIERL ENGINEERING GmbH. DE Burgkirchen Web:

VPN: wired and wireless

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: - Ein Bootimage ab Version Optional einen DHCP Server.

Seite Wireless Distribution System (Routing / Bridging) 3.1 Einleitung

Root-Server für anspruchsvolle Lösungen

How-to: VPN mit L2TP und dem Windows VPN-Client. Securepoint Security System Version 2007nx

Security + Firewall. 3.0 IPsec Client Einwahl. 3.1 Szenario

Dynamisches VPN mit FW V3.64

Datenempfang von crossinx

Prinzipiell wird bei IP-basierenden VPNs zwischen zwei unterschiedlichen Ansätzen unterschieden:

Kurzanleitung zum Einrichten des fmail Outlook Addin

Modul 4: IPsec Teil 1

Bernd Blümel. Verschlüsselung. Prof. Dr. Blümel

ADSL-Verbindungen über PPtP (Mac OS X 10.1)

Pädagogische Hochschule Thurgau. Lehre Weiterbildung Forschung

1. IPSec Verbindung zwischen 2 Gateways mit dynamischen IP Adressen

Verwendung des IDS Backup Systems unter Windows 2000

Comtarsia SignOn Familie

Sicherer Netzzugang im Wlan

msm net ingenieurbüro meissner kompetent - kreativ - innovativ

Virtual Private Networks. Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH

MSDE 2000 mit Service Pack 3a

Powermanager Server- Client- Installation

8. Bintec Router Redundancy Protocol (BRRP) 8.1 Einleitung

Konfiguration eines Lan-to-Lan VPN Tunnels

ICS-Addin. Benutzerhandbuch. Version: 1.0

Anleitung zur Nutzung des SharePort Utility

2. Kommunikation und Synchronisation von Prozessen 2.2 Kommunikation zwischen Prozessen

VPN/WLAN an der Universität Freiburg

ANYWHERE Zugriff von externen Arbeitsplätzen

Leitfaden Installation des Cisco VPN Clients

P793H PPP/ACT LAN 4 PRESTIGE P793H

MSXFORUM - Exchange Server 2003 > SMTP Konfiguration von Exchange 2003

VPN-Verbindung zwischen LANCOM und integrierten VPN-Client im MacOS X 10.6 Snow Leopard

Dynamisches VPN mit FW V3.64

Verteilte Systeme Unsicherheit in Verteilten Systemen

Eine Open Source SSL VPN Lösung. Patrick Oettinger Deutsche Telekom AG 2. Ausbildungsjahr

NAS 323 NAS als VPN-Server verwenden

Lizenzen auschecken. Was ist zu tun?

Konfiguration VLAN's. Konfiguration VLAN's IACBOX.COM. Version Deutsch

Steganos Secure Schritt für Schritt-Anleitung für den Gastzugang SCHRITT 1: AKTIVIERUNG IHRES GASTZUGANGS

Nutzung von GiS BasePac 8 im Netzwerk

Systemvoraussetzungen Hosting

How-to: Mailrelay und Spam Filter. Securepoint Security System Version 2007nx

Anleitung zum Extranet-Portal des BBZ Solothurn-Grenchen

Folgende Einstellungen sind notwendig, damit die Kommunikation zwischen Server und Client funktioniert:

Anbinden der Visualisierung GILLES TOUCH (VNC)

Übung 6. Tutorübung zu Grundlagen: Rechnernetze und Verteilte Systeme (Gruppen MI-T7 / DO-T5 SS 2015) Michael Schwarz

Information über das Virtual Private Networks (VPNs)

iphone 4 - Einrichtung des VPN Clients (Cisco VPN Client) / Verbinden des iphones mit einem Exchange

MSXFORUM - Exchange Server 2003 > Konfiguration NNTP unter Exchange 2003

IPsec. Vortrag im Rahmen des Seminars Neue Internet Technologien

Kurzanleitung. MEYTON Aufbau einer Internetverbindung. 1 Von 11

2 Die Terminaldienste Prüfungsanforderungen von Microsoft: Lernziele:

Verteilte Systeme. Übung 10. Jens Müller-Iden

Anytun - Secure Anycast Tunneling

Konfigurationsbeispiel USG

12. Kieler OpenSource und Linux Tage. Wie funktioniert eigentlich Mail? , Frank Agerholm, Linux User Group Flensburg e.v.

Anbindung des eibport an das Internet

LOG-FT BAG Filetransfer zum Austausch mit dem Bundesamt für Güterverkehr (BAG) Kurzanleitung

How to: VPN mit L2TP und dem Windows VPN-Client Version 2007nx Release 3

Collax VPN. Howto. Vorraussetzungen Collax Security Gateway Collax Business Server Collax Platform Server inkl. Collax Modul Gatekeeper

Konfigurationsanleitung Tobit David Fax Server mit Remote CAPI Graphical User Interface (GUI) Seite - 1 -

Nationale Initiative für Internet- und Informations-Sicherheit

FrogSure Installation und Konfiguration

Auto-Provisionierung tiptel 30x0 mit Yeastar MyPBX

Informatik für Ökonomen II HS 09

D-Link VPN-IPSEC Test Aufbau

How-to: HTTP Proxy mit Radius Authentifizierung an einem Windows 2003 Server. Securepoint Security System Version 2007nx

PC-Kaufmann Supportinformation - Proxy Konfiguration für Elster

Installation der SAS Foundation Software auf Windows

Mit einem PDA über VPN in s Internet der Uni Stuttgart

Rechnernetze II SS Betriebssysteme / verteilte Systeme rolanda.dwismuellera@duni-siegena.de Tel.: 0271/ , Büro: H-B 8404

Klicken Sie mit einem Doppelklick auf das Symbol Arbeitsplatz auf Ihrem Desktop. Es öffnet sich das folgende Fenster.

WLAN Konfiguration. Michael Bukreus Seite 1

Transkript:

FreeS/WAN für Linux Markus Mazanec Was ist FreeS/WAN? FreeS/WAN ist eine Softwarelösung, welche die Installation von Virtual Private Networks mit Hilfe von Linux-Rechnern als Gateways erlaubt. Wie der Großteil der für Linux geschriebenen Software, unterliegt FreeS/WAN der GNU Public License und kann somit kostenlos verwendet werden. Die Sourcen können über das Internet bezogen werden (tar.gz-datei). FreeS/WAN ist eine (noch unvollständige 1 ) IPSEC-Implementierung, wobei die krypthographischen Teile der Software außerhalb der USA programmiert wurden und damit nicht den US-Exportrestriktionen unterliegen. Schlüsselverwaltung Zurzeit werden die manuelle Schlüsselverwaltung (dabei werden die Schlüssel direkt in der Konfigurationsdatei gespeichert) und der automatische Schlüsselaustausch über Pluto, einer Implementierung des Internet Key Exchange (IKE)-Protokolls, unterstützt. Nicht unterstützt werden die in IPSEC vorgesehen Methoden Public Key Infrastructure (PKI) oder secure DNS. Verschlüsselung Neben den von IPSEC geforderten (aber unsicheren) Algorithmen null encryption transform und DES implementiert FreeS/WAN TripleDES. Authentifizierung Die Authentifizierung erfolgt mit den Message Digest Algorithmen Message Digest 5 (MD5) oder Secure Hashing Algorithmus (SHA). Installation/Integration Teile des Programms sind Ergänzungen des Kernels, von dem eine eigene Version für FreeS/WAN kompiliert werden muss. Leider arbeitet FreeS/WAN nicht mit den 2.2.x-Versionen des Linux-Kernels zusammen, unabhängig davon, ob die (experimentelle) IPv6-Unterstützung aktiviert wird oder nicht. Man ist gezwungen. auf die Version 2.0.36 zurückzugreifen. Diese Einschränkung lässt sich allerdings verschmerzen, da es sich dabei um eine ausgesprochen stabile und sichere Kernelversion handelt. FreeS/WAN wird entpackt und installiert. Nach dem Starten der Kernelkonfiguration findet man folgende Merkmale ausgewählt vor: IP: forwarding/gatewaying IP: tunneling Kernel/User network link driver 1 Alle Daten und Fakten beziehen sich auf die FreeS/WAN Version 1.0, April 1999. FreeS/WAN für Linux 1

Zusätzlich kann man noch IP: optimize as router not host aktivieren, falls der Rechner hauptsächlich als Router eingesetzt werden soll. Als neuer Punkt (verglichen mit einer 2.0.36 Standardauswahl) in der Auswahl erscheint IP Security Protocol (IPSEC), das natürlich aktiviert wird. Daraufhin wird die Konfiguration gespeichert und ein neuer Kernel übersetzt. Nach einem Neustart stehen die hinzugefügten Merkmale zur Verfügung. Bevor eine sichere Übertragung erfolgen kann, müssen allerdings noch in der Datei /etc/ipsec.conf die Einstellungen für den zu errichtenden Tunnel konfiguriert werden. Die für die Authentifizierung beim Schlüsselaustausch maßgeblichen Informationen ( shared secrets ) werden in der Datei /etc/ipsec.secrets abgelegt. ipsec.conf Ein typischer Eintrag der Konfigurationsdatei sieht wie folgt aus: conn demo type=tunnel left=10.0.0.1 leftnexthop=10.44.55.66 leftsubnet=172.16.0.0/24 right=10.12.12.1 rightnexthop=10.88.77.66 rightsubnet=192.168.0.0/24 spibase=0x200 esp=3des-md5-96 espenckey=[192 bits] espauthkey=[128 bits] keyexchange=ike keylife=8h Mit conn kann der konfigurierten Verbindung ein Name zugewiesen werden. Die meisten Verbindungsparameter sind paarweise (für jedes Ende des Tunnels) anzugeben. left gibt das Interface des Gateways an, über das die Verbindung mit dem anderen Gateway hergestellt wird. leftnexthop gibt an, über welchen Router right erreicht werden kann. Bei einer direkten Verbindung von left mit right entfällt dieser Parameter. leftsubnet spezifiziert die IP-Adressen, die von left geschützt werden. leftfirewall=yes aktiviert die Maskierungsfunktionen des Gateways, für den Fall, dass ein Subnet mit nicht routbaren IP-Adressen angeschlossen ist). right... analog zu left... spibase definiert die Basis für die Nummerierung des Security Parameter Index, ohne den mehrere Verbindungen zwischen left und right nicht unterschieden werden könnten. esp gibt an, welcher Verschlüsselungsalgorithmus verwendet werden soll. FreeS/WAN für Linux 2

espenckey bestimmt die Länge des Schlüssels zur Verschlüsselung. espauthkey bestimmt die Länge des Schlüssels zur Authentifizierung. Über keyexchange kann der Algorithmus ausgewählt werden, der für den Schlüsselaustausch herangezogen wird. keylife ist die Lebensdauer eines Schlüssels. Anstelle der IP-Adressen können auch Namen verwendet werden. Das verringert allerdings die Sicherheit, da ein Angriff über eine feindliche DNS-Auflösung möglich wird. ipsec.secrets In dieser Datei werden die shared secrets für die Authentifizierung beim Diffie- Hellman Schlüsselaustausch des IKE Protokolls abgelegt. Jede Zeile enthält dabei eine Gateway-IP-Adresse und das zugehörige secret. FreeS/WAN enthält ein Tool, mit dessen Hilfe secrets erstellt werden können. Diffie-Hellman Schlüsselaustausch: A B: X=g x B A: Y=g y A: K=Y x =g xy B: K=X y =g xy A, B... Kommunikationspartner g... shared secret der Kommunikationspartner x, y... große Zufallszahl K... synchronisierter Schlüssel Beide Dateien, ipsec.conf und ipsec.secrets, müssen auf den betroffenen Gateways abgelegt werden (zumindest die Abschnitte der für das jeweilige Gateway relevanten Verbindungen). Es ist darauf zu achten, dass der Transfer dieser Dateien gesichert erfolgt (outband oder verschlüsselt). Kompatibilität Linux-FreeS/WAN-Gateways kooperieren nicht nur mit anderen Linux- FreeS/WAN-Gateways, sondern wurden auch mit folgenden Systemen erfolgreich getestet: OpenBSD, Cisco Router, Raptor Firewall/WinNT, Xedia Access Point/QVPN, PGP 6.5 Mac/Windows IPSEC Client Literatur [1] Gilmore, J., et al., FreeS/WAN, http://www.xs4all.nl/~freeswan [2] Murhammer, M., T. Bourne, T. Gaidosch, Ch. Kunzinger, L. Rademacher, A. Weinfurter, A Comprehensive Guide to, Volume I: IBM Firewall, Server and Client Solutions, http://www.redbooks.ibm.com/ FreeS/WAN für Linux 3

IPSEC Markus Mazanec Leistungen IPSEC stellt Sicherheitsfunktionen auf dem Internet Protocol (IP)-Niveau zur Verfügung. Es übernimmt die Authentifizierung und/oder Verschlüsselung übertragener Pakete. In IPv6 ist IPSEC fester Bestandteil, zu IPv4 kann es optional ergänzt werden. Struktur Trusted Network Security-Gateways verbinden Trusted Networks über einen Secure Tunnel durch Untrusted Networks Host Secure Tunnel Security -Gateway Security -Gateway Trusted Network Untrusted Backbone Host Die Security-Gateways agieren als Kommunikationsgateways, die vertrauenswürdige Netze über unsichere Strecken verbinden und den Rechnern in diesen Netzen die sichere Datenübertragung ermöglichen. Da IPSEC auf IP- Niveau arbeitet, geschieht diese Sicherung völlig transparent für die beteiligten Arbeitsstationen und Server. Alle Security-Gateways besitzen für die Security- Gateways mit denen sie in Verbindung stehen so genannte Security Associations, welche die Parameter für die gesicherte Verbindung enthalten. Security Associations Security Associations bilden das fundamentale Konzept von IPSEC. Sie definieren, wie ein Security-Gateway eine Verbindung zu einem anderen Gateway aufbauen und halten soll. Eine Kombination aus der Zieladresse und dem Security Paramter Index (SPI) identifizieren eine Security Association (SA). Über die Zieladresse ermittelt das sendende Security Gateway die passende Zieladresse und den zugehörigen SPI. Das empfangende Gateway ermittelt ebenfalls über diese Daten die zugehörige SA. Es ist zu beachten, dass SAs für eine Richtung definiert werden, d.h. für eine bidirektionale Verbindung zwei SAs erforderlich sind (für jede Richtung ein eigener SPI). IPSEC 4

Jede SA enthält folgende Daten: Algorithmus, der für die Authentifizierung verwendet wird Schlüssel für die Authentifizierung Verschlüsselungsalgorithmus Schlüssel für die Verschlüsselung Daten für die kryptographische Synchronisation Sensibilität der übertragenen Daten (ermöglicht die Verwendung unterschiedlicher Sicherheitsstufen) Authentifizierung Die Authentifizierung über den (AH) stellt die Integrität und den Ursprung der Daten sicher und schützt vor Replay-Attacken. Bei der Authentifizierung werden zwei Modi unterschieden: der Transport Mode und der Tunnel Mode. Im Transport Mode entspricht der physische Empfänger dem inhaltlichen Adressaten, im Tunnel Mode wird das Paket vom physischen Empfänger (Gateway) an den inhaltlichen Adressaten weitergeleitet. Transport Mode: TCP Data Tunnel Mode: New TCP Data In beiden Varianten werden alle Felder authentifiziert. Am häufigsten kommt Message Digest 5 (MD5) als Algorithmus zum Einsatz. Aufbau des s: Next Typinformation zum in den Nutzdaten Payload Length Länge der übertragenen Nutzdaten Reserved SPI identifiziert die zu verwendende SA Sequence Number verhindert Replay-Attacken Data enthält den Integrity Check Value (ICV) Verschlüsselung Encapsulating Security Payload () stellt die Vertrauenswürdigkeit, Integrität und den Ursprung der übertragenen Daten sicher. Zusätzlich schützt es vor Replay-Attacken und verhindert im Tunnel Mode die Verkehrsanalyse. Mittels Padding lässt sich die tatsächliche Menge übertragenen Nutzinformationen verschleiern. IPSEC 5

Auch bei der Verschlüsselung wird zwischen einem Transport und Tunnel Mode unterschieden. Transport Mode: TCP Data Trailer Tunnel Mode: New TCP Data Trailer Verschlüsselung Aufbau des s: SPI Sequence Number Initialization Vector identifiziert die zu verwendende SA verhindert Replay-Attacken wird für DES im CBC Mode benötigt Digital Encryption Standard (DES) im Cipher Block Chaining (CBC) Mode: Ci=Ek(Ci-1 Pi) C1=Ek(IV P1) Ci... i-ter Block des Kryptotexts Ek... Verschlüsselung mit Schlüssel k Pi... i-ter Block des Klartexts IV... Initialisierungsvektor Aufbau des Trailers: Padding Padding Length Next Verschleierung der tatsächlichen Nachrichtenlänge Typinformation zum in den Nutzdaten Aufbau des Teils: Data enthält den Integrity Check Value (ICV) Über die Kombination von AH mit kann eine verschlüsselte Übertragung bei gleichzeitiger Authentifizierung jedes gesamten Pakets erreicht werden. IPSEC 6

Literatur [1] Atkinson, R., Security Architecture for the Internet Protocol, RFC 1825, http://info.internet.isi.edu:80/in-notes/rfc/files/rfc1825.txt [2] Atkinson, R., IP, RFC 1826, http://info.internet.isi.edu:80/in-notes/rfc/files/rfc1826.txt [3] Atkinson, R., IP Encapsulating Security Payload, RFC 1827, http://info.internet.isi.edu:80/in-notes/rfc/files/rfc1827.txt [4] Schneier, B., Applied Cryptography, Wiley, 1996 [5] Gruska, J., Foundations of Computing, International Thomson Computer Press, 1997 [6] Salomaa, A., Public-key cryptography, Springer-Verlag, 1991 IPSEC 7

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback