VPN: wired and wireless

Ähnliche Dokumente
VPN: wired and wireless

Vorlesung VPN: Drahtgebunden und drahtlos Fachbereich Informatik (FB 20) Lehrstuhl Prof. J. Buchmann

Prof. Dr. Martin Leischner Netzwerksysteme und TK. Hochschule Bonn-Rhein-Sieg. Modul 5: IPSEC

IT-Sicherheit Kapitel 10 IPSec

Workshop: IPSec. 20. Chaos Communication Congress

VPN: wired and wireless

VPN unterstützt 3 verschiedene Szenarien: Host to Host: Dies kennzeichnet eine sichere 1:1 Verbindung zweier Computer, z.b. über das Internet.

Rechnernetze II SS Betriebssysteme / verteilte Systeme rolanda.dwismuellera@duni-siegena.de Tel.: 0271/ , Büro: H-B 8404

Security Associations Schlüsseltausch IKE Internet Key Exchange Automatischer Schlüsseltausch und Identitätsnachweis

Modul 4: IPsec Teil 1

Virtual Private Networks. Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH

VIRTUAL PRIVATE NETWORKS

Exkurs: IPSec. Brandenburg an der Havel, den 5. Juni 2005

IPsec. Vortrag im Rahmen des Seminars Neue Internet Technologien

VPN Virtual Private Network

VPN Virtual Private Networks

IPSec und IKE. Richard Wonka 23. Mai 2003

IPSec. Markus Weiten Lehrstuhl für Informatik 4 Verteilte Systeme und Betriebssysteme Universität Erlangen-Nürnberg

IPSec. Michael Gschwandtner, Alois Hofstätter, Roland Likar, Horst Stadler. Jänner 2003

IT-Sicherheit Kapitel 11 SSL/TLS

VPN: Virtual-Private-Networks

VPN. Virtuelles privates Netzwerk. Vortrag von Igor Prochnau Seminar Internet- Technologie

VPN: wired and wireless

IKEv1 vs. v2. Wie verändert die Version 2 von IKE das Verhalten? Netzwerksicherheit - Monika Roßmanith CNB, Simon Rich CN

Vertrauliche Videokonferenzen im Internet

Prinzipiell wird bei IP-basierenden VPNs zwischen zwei unterschiedlichen Ansätzen unterschieden:

Security + Firewall. 3.0 IPsec Client Einwahl. 3.1 Szenario

Virtual Private Networks Hohe Sicherheit wird bezahlbar

Sichere Kommunikation mit IPsec

Dynamisches VPN mit FW V3.64

Sichere Netzwerke mit IPSec. Christian Bockermann

8.2 Vermittlungsschicht

VPN - Virtual Private Networks

Sicherheitsdienste in IPv6

Konfigurationsbeispiel

HOBLink VPN. HOBLink VPN & Produktionsumgebung- / Steuerung

3.2 Vermittlungsschicht

Sicherheit in der Netzwerkebene

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Virtual Private Network

Seite Wireless Distribution System (Routing / Bridging) 3.1 Einleitung

TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL

im DFN Berlin Renate Schroeder, DFN-Verein

Virtual Private Network. David Greber und Michael Wäger

Collax VPN. Howto. Vorraussetzungen Collax Security Gateway Collax Business Server Collax Platform Server inkl. Collax Modul Gatekeeper

Konfiguration eines Lan-to-Lan VPN Tunnels

IEEE 802.1x Authentifizierung. IEEE 802.1x Authentifizierung IACBOX.COM. Version Deutsch

Seite IPsec Client / Gateway mit Zertifikaten (CA / DynDNS) 12.1 Einleitung

Reale Nutzung kryptographischer Verfahren in TLS/SSL

VPN: wired and wireless

Informatik für Ökonomen II HS 09

Die Rolle von VPNs für eine sichere externe Unternehmenskommunikation

- Gliederung - 1. Motivation. 2. Grundlagen der IP-Sicherheit. 3. Die Funktionalität von IPSec. 4. Selektoren, SPI, SPD

1. IPSec Verbindung zwischen 2 Gateways mit dynamischen IP Adressen

Inhalt. Erreichbarkeit von VPN-Gateways hinter einem Genexis FTTH-Abschlussrouter

Um IPSec zu konfigurieren, müssen Sie im Folgenden Menü Einstellungen vornehmen:

How-to: VPN mit IPSec und Gateway to Gateway. Securepoint Security System Version 2007nx

Vorlesung SS 2001: Sicherheit in offenen Netzen

VPN IPSec Tunnel zwischen zwei DI-804HV / DI-824VUP+

Konfigurationsanleitung Access Control Lists (ACL) Funkwerk. Copyright Stefan Dahler Oktober 2008 Version 1.0.

Multicast Security Group Key Management Architecture (MSEC GKMArch)

VPN (Virtual Private Network)

VPN Gateway (Cisco Router)

Einrichtung von VPN für Mac Clients bei Nortel VPN Router

Internet-Praktikum II Lab 3: Virtual Private Networks (VPN)

Vorlesung VPN: Drahtgebunden und drahtlos Fachbereich Informatik (FB 20) Lehrstuhl Prof. J. Buchmann

Fachbereich Medienproduktion

IPSec. Motivation Architektur Paketsicherheit Sicherheitsrichtlinien Schlüsselaustausch

HOBLink VPN 2.1 Gateway

Dynamisches VPN mit FW V3.64

Ipsec unter Linux 2.6

Anleitung zur Einrichtung eines Lan-to-Lan Tunnels zwischen einen DI-804HV und einer DSR (Für DI-804HV ab Firmware 1.44b06 und DSR-250N/500N/1000N)

VPN/WLAN an der Universität Freiburg

Sicherheit in Netzwerken. Leonard Claus, WS 2012 / 2013

NAT & VPN. Adressübersetzung und Tunnelbildung. Bastian Görstner

HostAP WPA Workshop. 27. Dezember 2004 Jan Fiegert,

Internet und WWW Übungen

Virtual Private Network

How-to: Webserver NAT. Securepoint Security System Version 2007nx

Eine Open Source SSL VPN Lösung. Patrick Oettinger Deutsche Telekom AG 2. Ausbildungsjahr

IT-Sicherheit - Sicherheit vernetzter Systeme -

IPsec. Chair for Communication Technology (ComTec), Faculty of Electrical Engineering / Computer Science

Bernd Blümel. Verschlüsselung. Prof. Dr. Blümel

IPSec-VPN mit IKEv2 und Windows. ZyXEL USG Firewall-Serie ab Firmware Version Knowledge Base KB-3520 August 2014.

Systemvoraussetzungen Hosting

D-Link VPN-IPSEC Test Aufbau

Netzwerksicherheit Übung 5 Transport Layer Security

How-to: Mailrelay und Spam Filter. Securepoint Security System Version 2007nx

Sicherer Netzzugang im Wlan

msm net ingenieurbüro meissner kompetent - kreativ - innovativ

HowTo: Einrichtung einer IPSec Verbindung mit einem IPSEC VPN Client zum DWC-1000 am Beispiel der Shrewsoft VPN Clientsoftware

How to: VPN mit L2TP und dem Windows VPN-Client Version 2007nx Release 3

Virtual Private Network / IPSec

Wireless & Management

How-to: VPN mit L2TP und dem Windows VPN-Client. Securepoint Security System Version 2007nx

Thema IPv6. Geschichte von IPv6

Anytun - Secure Anycast Tunneling

Transkript:

VPN: wired and wireless Fachbereich Informatik (FB 20) Fachgruppe: Security Engineering Modul: 2000096VI LV-08 er Skriptum und Literatur: http://www.seceng.informatik.tu-darmstadt.de/teaching/ws11-12/vpn11 Wolfgang BÖHMER, TU-Darmstadt, Hochschulstr. 10, D-64289 Darmstadt, Dep. of Computer Science, Security Engineering Group Email: wboehmer@cdc.informatik.tu-darmstadt.de

Vorlesungsinhalt LV-08 Layer 3 Techniken und die Absicherung des IP-Protokolls Kurzüberblick IPSec SA Sicherheitsvereinbarung / Initiierung und Kombination IPSec Header (AH, ESP) IPSec und Remote Access (Siehe Exkurs WLAN) IKE Schlüsselaustauschprotokoll (Phase 1 / Phase 2) Alternatives Austauschprotokoll (ISAKMP / Oakley und SKIP) Vergleich der Layer 2 und Layer 3 Absicherung Layer 4 Techniken SSL/TLS Secure Socket Layer und Transportabsicherung Vergleich IPSec und TLS Layer 5 Techniken Socks Version 5 Übungen Literatur Folie 2

Der Sicherheitsstandard für das IP- Protokoll (IPSec) IETF (IP Security Working Group) gebildet RFC-1825 bis RFC-1829 (1995) RFC-2405 bis RFC-2412 und RFC-2451 (1998) und weitere siehe Lit.Liste Zwei neue Protokolle zur Erhöhung der Authentication Header (AH) Daten-Authentifizierung, verbindungslose Integrität Schutz von Wiedereinspielen (Replay-attack) Encapsulation Security Payload (ESP) Daten-Vertraulichkeit begrenzte Vertraulichkeit des Verkehrsflusses verbindungslose Integrität Daten-Authentifizierun Schutz von Wiedereinspielen (Replay-attack) Folie 3

IPSec: Kurzübersicht IPSec kennt zwei Betriebsmodi jeweils für AH und ESP Transport Modus Tunnelmodus Schlüsselmanagement IKE ausgewählte Kryptographische Algorithmen für AH und ESP auszuhandeln Erzeugung der notwendigen Schlüssel IPSec verwendet Protokolle die Algorithmus unabhängig sind Wahl der Algorithmen obliegt in der Security Policy Database, SPD hängt von der konkreten IPSec-Implementierung ab Standard Satz zur Gewährleistung von Interoperabilität IPSec gestattet Nutzer/Admin eines Systems Sicherheits-Dienste zu kontrollieren und Tiefe festzulegen. IPSec verwendet Security Assosiations, SA Folie 4

IPSec: Sicherheitsvereinbarung Konzept der SA ist fundamental für IPSec AH und ESP arbeiten mit der Security Association, SA SA ist eine Vereinbarung zwischen Kommunikationspartnern IPSec-Protokoll Betriebsmodus (Tunnel / Transport) kryptographischer Algorithmen Lebensdauer und Gültigkeit der Schlüssel Lebensdauer der SA Security Policy Database (SPD) Menge an grundsätzlichen Service Security Association Database (SAD) konkrete Parameter für ein unidirektionale SA SA = {Security Parameter Index, IP Destination Address, Security Protocol} Folie 5

IPSec: AH-Header (Authentifizierung) AH-Header = 5 Felder Next Header (TCP,UDP,ICMP) Länge des AH-Header SPI und Seq-Num Authentifizierung mittels HMAC-MD5-96 HMAC-SHA-1 Optional DES-MAC IP-Datagramm wird nicht verschlüsselt 24 Byte Vergrößerung des IP- Paket 0 7 15 31 Next Header Length Reserved Security Parameter Index (SPI) Sequence Number Authentication Data (variable Size) IP-Header AH-Header Folie 6

IPSec: ESP (Vertraulichkeit) Authentifizierung IP-Header Verschlüsselt IV ESP-Header 0 7 15 31 Security Parameter Index (SPI) Sequence Number (variable) Padding (0-255 Byte) Pad Length Authentification Data (variable) ESP = 6 Felder liegen zwischen ESP-Header und ESP- Trailer eingebettet SPI und Seq-Num ESP-Authentication data Verschlüsselung 1. DES-CBC 2. Null (RFC-2410)! 3. Optional CAST, RC5, IDEA, AES Blowfish, 3DES HASH-Algorithmen 1. HMAC-MD5 2. HMAC-SHA-1 3. Optional DES-MAC ESP- Trailer ESP- Auth. Next Header ESP-Header ESP-Trailer ESP-Auth. Folie 7

IPSec: Transport Modus Nur die Nutzlast des IP-Paket wird verschlüsselt Original IP-Kopf bleibt erhalten IETF-Empfehlung zur Absicherung zweier Host ohne Gateway Nur Verwendung des Transport Modus in der Kombination AH/ESP- Transport Probleme beim Einsatz von AH im Transport Modus bei NAT-Gateways Lösung: Das Gateway müsste die Authentifizierung durchführen Probleme beim Einsatz von AH im Transport Modus bei Proxys Einschränkungen gelten für IPv4 und IPv6 Einschränkungen gelten nicht für ESP im Transport Modus Es können ohne Probleme NAT-Gateways und Proxys eingesetzt werden Außer ESP-Header kann jedes IP-Header-Feld verändert werden, falls die Header-Prüfsumme neu berechnet wird und die SA nur die ESP- Authentifizierung nutzt Authentifizierung des ESP-Transport Modus bietet weniger Schutz als AH-Transport Modus Folie 8

IPSec-Verbindung im Transport Modus zwischen Host-H1 und Host-H2 IP-Hdr Src: H1 /Dest: H2 TCP AH/ESP-Transport Host-1 (H1) IP-Hdr Src: H1 /Dest: H2 AH-Hdr Authenticated (AH) ESP-Hdr TCP Authenticated (ESP) Encrypted (ESP) ESP- Trailer ESP- Auth. Host-2 (H2) IP-Netz IP AH/ESP-Transport IP IP-Hdr Src: H1 /Dest: H2 TCP ESP-Transport IP-Hdr Src: H1 /Dest: H2 ESP-Hdr TCP ESP- Trailer ESP- Auth. Encrypted (ESP) Authenticated (ESP) IP-Hdr Src: H1 /Dest: H2 TCP AH-Transport IP-Hdr Src: H1 /Dest: H2 AH-Hdr TCP Authenticated (AH) Folie 9

IPSec-VPN Fallstudie (1) Konfiguration des PKI-Servers (NetTools PKI Xcert-PKI- Appl. Fa. NAI) 1. Eingeben genereller Konfigurationsinformationen 2. Erstellen der ROOT Certiificate Authority (CA)-Zertifikate 3. Generieren der Administrativen CA-Zertifikate 4. Erzeugung der Beitritts- und Administrations-Web-Server-Zertifikate 5. Erstellen eines administrativen Client-Zertifikates Konfiguration des VPN-Gateways (Gauntlet Firewall) 1. Erstellen der PKI-Komponenten 2. Download der CA-Zertifikate 3. Erstellung eines Requests für ein Firewall-Zertifikat 4. Wiederlangung des Firewall-Zertifikates vom PKI-Server während der Verarbeitung und der Aktivierung 5. Konfiguration des VPN-Links 6. Konfigurieren der Link-Einstellungen Konfiguration des VPN-Clients (PGP-VPN-Client) Folie 10

IPSec-VPN Fallstudie (2) Konfiguration des VPN-Clients (PGP-VPN-Client) 1. Erhalt eines digitalen Zertifikates sowie hinzufügen zum Key-Ring 2. Auswahl des Zertifikates, das für die Authentifizierung am VPN-Gateway eingesetzt werden soll. 3. Hinzufügen des VPN-Links 4. Konfiguration der Security Policy Database (SPD) Folie 11

Verfügbare Implementierungen KAME-Projekt for FreeBSD, OpenBSD http://www.kame.net/ Free/SWAN in der Version 2.04 released am 13/11/2003 unterstützt den Linux Kernel 2.6 http://www.freeswan.org/ Folie 12

Übungen zur Vorlesung VPN Virtual Private Networks ÜBUNGEN LV-08 Folie 13

Übungen LV-08 Frage: Für welches Anwendungsszenario ist der Transport Modus bei IPSec ideal geeignet? Frage: Für welches Anwendungsszenario ist der Tunnel Modus bei IPSec ideal geeignet? Frage: Worauf sind die Interoperabilitätsprobleme bei IPSec zum großen Teil zurück zuführen? Falls Sie eine Übung einreichen möchten, dann bitte in der folgenden Nomenklatur für die Datei LV08-Ü01-Name.pdf Folie 14

Literatur Schneier, B.: IPSec an critical description Liste der RFC die für IPSec geschrieben wurden (Stand 2003): 1191, 1321, 1421, 1422, 1423, 1424, 1701, 1827, 1728, 2093, 2094, 2104, 2246, 2311, 2312, 2315, 2394, 2395, 2401, 2403, 2404, 2405, 2408, 2409, 2410, 2411, 2412, 2437, 2451, 2507, 2510, 2511, 2522, 2523, 2535, 2549, 2559, 2560, 2585, 2627, 2631, 2633, 2660, 2661, 2828, 2845, 2857, 2888, 2898, 2931, 2944, 2945, 2985, 2986, 3007, 3008, 3039, 3051, 3526,3554, 3566, 3602. Folie 15

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback