Vorlesung VPN: Drahtgebunden und drahtlos Fachbereich Informatik (FB 20) Lehrstuhl Prof. J. Buchmann



Ähnliche Dokumente
VPN: wired and wireless

VPN: wired and wireless

Prof. Dr. Martin Leischner Netzwerksysteme und TK. Hochschule Bonn-Rhein-Sieg. Modul 5: IPSEC

VPN: wired and wireless

Vorlesung VPN: Drahtgebunden und drahtlos Fachbereich Informatik (FB 20) Lehrstuhl Prof. J. Buchmann

IT-Sicherheit Kapitel 10 IPSec

Workshop: IPSec. 20. Chaos Communication Congress

Rechnernetze II SS Betriebssysteme / verteilte Systeme rolanda.dwismuellera@duni-siegena.de Tel.: 0271/ , Büro: H-B 8404

Security Associations Schlüsseltausch IKE Internet Key Exchange Automatischer Schlüsseltausch und Identitätsnachweis

VPN unterstützt 3 verschiedene Szenarien: Host to Host: Dies kennzeichnet eine sichere 1:1 Verbindung zweier Computer, z.b. über das Internet.

Virtual Private Networks. Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH

Vorlesung VPN: Drahtgebunden und drahtlos Fachbereich Informatik (FB 20) Lehrstuhl Prof. J. Buchmann

VPN Virtual Private Networks

Exkurs: IPSec. Brandenburg an der Havel, den 5. Juni 2005

VIRTUAL PRIVATE NETWORKS

IPSec. Michael Gschwandtner, Alois Hofstätter, Roland Likar, Horst Stadler. Jänner 2003

IT-Sicherheit Kapitel 11 SSL/TLS

VPN: Virtual-Private-Networks

VPN Virtual Private Network

IPsec. Vortrag im Rahmen des Seminars Neue Internet Technologien

VPN: wired and wireless

Modul 4: IPsec Teil 1

IPSec. Markus Weiten Lehrstuhl für Informatik 4 Verteilte Systeme und Betriebssysteme Universität Erlangen-Nürnberg

HOBLink VPN. HOBLink VPN & Produktionsumgebung- / Steuerung

VPN. Virtuelles privates Netzwerk. Vortrag von Igor Prochnau Seminar Internet- Technologie

Vertrauliche Videokonferenzen im Internet

im DFN Berlin Renate Schroeder, DFN-Verein

IKEv1 vs. v2. Wie verändert die Version 2 von IKE das Verhalten? Netzwerksicherheit - Monika Roßmanith CNB, Simon Rich CN

Konfigurationsbeispiel

Virtual Private Networks Hohe Sicherheit wird bezahlbar

TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL

Security + Firewall. 3.0 IPsec Client Einwahl. 3.1 Szenario

IPSec und IKE. Richard Wonka 23. Mai 2003

Sichere Kommunikation mit IPsec

VPN - Virtual Private Networks

Reale Nutzung kryptographischer Verfahren in TLS/SSL

Virtual Private Network

Eine Open Source SSL VPN Lösung. Patrick Oettinger Deutsche Telekom AG 2. Ausbildungsjahr

Sichere Netzwerke mit IPSec. Christian Bockermann

8.2 Vermittlungsschicht

IP Telefonie Sicherheit mit Cisco Unified Communications Manager

Prinzipiell wird bei IP-basierenden VPNs zwischen zwei unterschiedlichen Ansätzen unterschieden:

3.2 Vermittlungsschicht

Virtual Private Network. David Greber und Michael Wäger

Konfiguration eines Lan-to-Lan VPN Tunnels

IEEE 802.1x Authentifizierung. IEEE 802.1x Authentifizierung IACBOX.COM. Version Deutsch

CARL HANSER VERLAG. Wolfgang Böhmer. VPN - Virtual Private Networks Die reale Welt der virtuellen Netze

Internet-Praktikum II Lab 3: Virtual Private Networks (VPN)

NAT & VPN. Adressübersetzung und Tunnelbildung. Bastian Görstner

- Gliederung - 1. Motivation. 2. Grundlagen der IP-Sicherheit. 3. Die Funktionalität von IPSec. 4. Selektoren, SPI, SPD

How-to: VPN mit IPSec und Gateway to Gateway. Securepoint Security System Version 2007nx

Dynamisches VPN mit FW V3.64

Um IPSec zu konfigurieren, müssen Sie im Folgenden Menü Einstellungen vornehmen:

Seite Wireless Distribution System (Routing / Bridging) 3.1 Einleitung

Ipsec unter Linux 2.6

Seite IPsec Client / Gateway mit Zertifikaten (CA / DynDNS) 12.1 Einleitung

Sicherer Netzzugang im Wlan

Die Rolle von VPNs für eine sichere externe Unternehmenskommunikation

1. IPSec Verbindung zwischen 2 Gateways mit dynamischen IP Adressen

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

IPSec. Motivation Architektur Paketsicherheit Sicherheitsrichtlinien Schlüsselaustausch

HOBLink VPN 2.1 Gateway

Collax VPN. Howto. Vorraussetzungen Collax Security Gateway Collax Business Server Collax Platform Server inkl. Collax Modul Gatekeeper

Vorlesung SS 2001: Sicherheit in offenen Netzen

VPN (Virtual Private Network)

VPN Gateway (Cisco Router)

VPN IPSec Tunnel zwischen zwei DI-804HV / DI-824VUP+

Systemvoraussetzungen Hosting

Sicherheitsdienste in IPv6

Konfigurationsanleitung Access Control Lists (ACL) Funkwerk. Copyright Stefan Dahler Oktober 2008 Version 1.0.

Bernd Blümel. Verschlüsselung. Prof. Dr. Blümel

How-to: Webserver NAT. Securepoint Security System Version 2007nx

Informatik für Ökonomen II HS 09

VPN: wired and wireless

Einrichtung von VPN für Mac Clients bei Nortel VPN Router

Schritt 1: Auswahl Schritt 3 Extras > Konten Schritt 2: Konto erstellen Konto hinzufügen klicken

Sicherheit in Netzwerken. Leonard Claus, WS 2012 / 2013

Firewalls illustriert

Sicherheit in der Netzwerkebene

Multicast Security Group Key Management Architecture (MSEC GKMArch)

VPN: wired and wireless

Analyse und Darstellung der Protokollabläufe in IPv6-basierten Rechnernetzen

How-to: HTTP Proxy mit Radius Authentifizierung an einem Windows 2003 Server. Securepoint Security System Version 2007nx

Dynamisches VPN mit FW V3.64

Netzwerksicherheit Übung 5 Transport Layer Security

Dirk Becker. OpenVPN. Das Praxisbuch. Galileo Press

Anleitung zur Einrichtung eines Lan-to-Lan Tunnels zwischen einen DI-804HV und einer DSR (Für DI-804HV ab Firmware 1.44b06 und DSR-250N/500N/1000N)

Anytun - Secure Anycast Tunneling

D-Link VPN-IPSEC Test Aufbau

Virtual Private Network / IPSec

How-to: Mailrelay und Spam Filter. Securepoint Security System Version 2007nx

P107: VPN Überblick und Auswahlkriterien

IT-Sicherheit - Sicherheit vernetzter Systeme -

VPN/WLAN an der Universität Freiburg

Autor: St. Dahler. Für Phase 2, der eigentlichen Verschlüsselung der Daten stellen Sie das ESP Protokoll ein mit der Verschlüsselung DES3 und SHA1.

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Konfigurationsbeispiel USG

Transkript:

Vorlesung VPN: Drahtgebunden und drahtlos Fachbereich Informatik (FB 20) Lehrstuhl Prof. J. Buchmann WS-05 / V2-20.205.1 In Zusammenarbeit mit dem CAST-Forum Dr. Wolfgang Böhmer Skript: http://www.cdc.informatik.tudarmstadt.de/~wboehmer/ Email: wboehmer@cdc.informatik.tu-darmstadt.de

Vorlesungsinhalte 6. Layer-3-Techniken und der Sicherheitsstandard für das Internet (IPSec) 1. Das Ziel von IPSec 2. IPSec-Sicherheitsvereinbarungen (SA) / Initiierung und Kombination 3. IPSec-AH-Header 4. IPSec-ESP-Header 5. IPSec und Remote Access (siehe Exkurs WLAN) 6. Internet-Key-Exchange-Management (IKE) (Phase-1 /Phase-2) 7. ISAKMP/Oakley und Skip 8. Layer-2- und Layer-3-Vergleich 7. Layer-4-Techniken 1. Secure Socket Layer (SSL) und Transport Layer Sicherheit (TLS) 2. Vergleich IPSec und SSL/TLS 8. Layer-5-Techniken 1. Socks V.5 Folie 2 / 14

Sicherheitsstandard für das Internet (IPSec) IETF (IP Security Working Group) gebildet RFC-1825 bis RFC-1829 (1995) RFC-2405 bis RFC-2412 und RFC-2451 (1998) und weitere siehe Lit.Liste Zwei neue Protokolle zur Erhöhung der Verkehrssicherheit Authentication Header (AH) Daten-Authentifizierung, verbindungslose Integrität Schutz von Wiedereinspielen (Replay-attack) Encapsulation Security Payload (ESP) Daten-Vertraulichkeit begrenzte Vertraulichkeit des Verkehrsflusses verbindungslose Integrität Daten-Authentifizierung Schutz von Wiedereinspielen (Replay-attack) Folie 3 / 14

IPSec: Kurzübersicht IPSec kennt zwei Betriebsmodi jeweils für AH und ESP Transport Modus Tunnelmodus Schlüsselmanagement IKE ausgewählte Kryptographische Algorithmen für AH und ESP auszuhandeln Erzeugung der notwendigen Schlüssel IPSec verwendet Protokolle die Algorithmus unabhängig sind Wahl der Algorithmen obliegt in der Security Policy Database, SPD hängt von der konkreten IPSec-Implementierung ab Standard Satz zur Gewährleistung von Interoperabilität IPSec gestattet Nutzer/Admin eines Systems Sicherheits-Dienste zu kontrollieren und Tiefe festzulegen. IPSec verwendet Security Assosiations, SA Folie 4 / 14

IPSec: Sicherheitsvereinbarung Konzept der SA ist fundamental für IPSec AH und ESP arbeiten mit der Security Association, SA SA ist eine Vereinbarung zwischen Kommunikationspartnern IPSec-Protokoll Betriebsmodus (Tunnel / Transport) kryptographischer Algorithmen Lebensdauer und Gültigkeit der Schlüssel Lebensdauer der SA Security Policy Database (SPD) Menge an grundsätzlichen Service Security Association Database (SAD) konkrete Parameter für ein unidirektionale SA SA = {Security Parameter Index, IP Destination Address, Security Protocol} Folie 5 / 14

IPSec: AH-Header (Authentifizierung) AH-Header = 5 Felder Next Header (TCP,UDP,ICMP) Länge des AH-Header SPI und Seq-Num Authentifizierung mittels HMAC-MD5-96 HMAC-SHA-1 Optional DES-MAC IP-Datagramm wird nicht verschlüsselt 24 Byte Vergrößerung des IP-Paket 0 7 15 31 Next Header IP-Header Length Reserved Security Parameter Index (SPI) Sequence Number Authentication Data (variable Size) AH-Header Folie 6 / 14

IPSec: ESP (Vertraulichkeit) ESP = 6 Felder liegen zwischen ESP- Header und ESP-Trailer eingebettet SPI und Seq-Num IP-Header ESP-Header ESP- Trailer ESP- Auth. ESP-Authentication data 0 7 15 31 Verschlüsselung 1. DES-CBC 2. Null (RFC-2410)! 3. Optional CAST, RC5, IDEA, AES Blowfish, 3DES Authentifizierung Verschlüsselt IV Security Parameter Index (SPI) Sequence Number (variable) Padding (0-255 Byte) Pad Length Next Header ESP-Header ESP-Trailer HASH-Algorithmen Authentification Data (variable) ESP-Auth. 1. HMAC-MD5 2. HMAC-SHA-1 3. Optional DES-MAC Folie 7 / 14

IPSec: Transport Modus Nur die Nutzlast des IP-Paket wird verschlüsselt Original IP-Kopf bleibt erhalten IETF-Empfehlung zur Absicherung zweier Host ohne Gateway Nur Verwendung des Transport Modus in der Kombination AH/ESP- Transport Probleme beim Einsatz von AH im Transport Modus bei NAT-Gateways Lösung: Das Gateway müsste die Authentifizierung durchführen Probleme beim Einsatz von AH im Transport Modus bei Proxys Einschränkungen gelten für IPv4 und IPv6 Einschränkungen gelten nicht für ESP im Transport Modus Es können ohne Probleme NAT-Gateways und Proxys eingesetzt werden Außer ESP-Header kann jedes IP-Header-Feld verändert werden, falls die Header- Prüfsumme neu berechnet wird und die SA nur die ESP-Authentifizierung nutzt Authentifizierung des ESP-Transport Modus bietet weniger Schutz als AH- Transport Modus Folie 8 / 14

IPSec-Verbindung im Transport Modus zwischen Host-H1 und Host-H2 IP-Hdr Src: H1 /Dest: H2 TCP AH/ESP-Transport Host-1 (H1) IP-Hdr Src: H1 /Dest: H2 AH-Hdr Authenticated (AH) ESP-Hdr TCP Authenticated (ESP) Encrypted (ESP) ESP- Trailer ESP- Auth. Host-2 (H2) IP-Netz IP AH/ESP-Transport IP IP-Hdr Src: H1 /Dest: H2 TCP ESP-Transport IP-Hdr Src: H1 /Dest: H2 ESP-Hdr TCP ESP- Trailer ESP- Auth. Encrypted (ESP) Authenticated (ESP) IP-Hdr Src: H1 /Dest: H2 TCP AH-Transport IP-Hdr Src: H1 /Dest: H2 AH-Hdr TCP Authenticated (AH) Folie 9 / 14

IPSec-VPN Fallstudie (1) Konfiguration des PKI-Servers (NetTools PKI Xcert-PKI-Appl. Fa. NAI) 1. Eingeben genereller Konfigurationsinformationen 2. Erstellen der ROOT Certiificate Authority (CA)-Zertifikate 3. Generieren der Administrativen CA-Zertifikate 4. Erzeugung der Beitritts- und Administrations-Web-Server-Zertifikate 5. Erstellen eines administrativen Client-Zertifikates Konfiguration des VPN-Gateways (Gauntlet Firewall) 1. Erstellen der PKI-Komponenten 2. Download der CA-Zertifikate 3. Erstellung eines Requests für ein Firewall-Zertifikat 4. Wiederlangung des Firewall-Zertifikates vom PKI-Server während der Verarbeitung und der Aktivierung 5. Konfiguration des VPN-Links 6. Konfigurieren der Link-Einstellungen Konfiguration des VPN-Clients (PGP-VPN-Client) Folie 10 / 14

IPSec-VPN Fallstudie (2) Konfiguration des VPN-Clients (PGP-VPN-Client) 1. Erhalt eines digitalen Zertifikates sowie hinzufügen zum Key-Ring 2. Auswahl des Zertifikates, das für die Authentifizierung am VPN-Gateway eingesetzt werden soll. 3. Hinzufügen des VPN-Links 4. Konfiguration der Security Policy Database (SPD) Folie 11 / 14

Verfügbare Implementierungen KAME-Projekt for FreeBSD, OpenBSD http://www.kame.net/ Free/SWAN in der Version 2.04 released am 13/11/2003 unterstützt den Linux Kernel 2.6 http://www.freeswan.org/ Folie 12 / 14

Übungen Frage: Für welches Anwendungsszenario ist der Transport Modus bei IPSec ideal geeignet? Frage: Für welches Anwendungsszenario ist der Tunnel Modus bei IPSec ideal geeignet? Frage: Worauf sind die Interoperabilitätsprobleme bei IPSec zum großen Teil zurück zuführen? Folie 13 / 14

Literatur http://www.tu-darmstadt.de/vv/20.205.1. Huston G.: Internet Performance Survival Guide, QoS Strategies for Multiservice Networks, ISBN 0-471-37808-9 Comer, 1995: Internetworking with TCP/IP Vol. I., ISBN 0-13-216987-8 Davis, C.R.: IPSec-Tunneling im Internet, mitp-verlag, 1. Auflage 2002, ISBN 3-8266- 0809-7. Aurand, A.: Sicherheit in Cisco- und Windows-2000-Netzwerken, Installation und Troubleshooting von IPSec in der Praxis, Addison-Wesley Verlag 2001, ISBN 3-8273- 1930-7. (Teil 2- IPSec-Architektur) Schneier, B.: IPSec an critical description Liste der RFC die für IPSec geschrieben wurden (Stand 2003): 1191, 1321, 1421, 1422, 1423, 1424, 1701, 1827, 1728, 2093, 2094, 2104, 2246, 2311, 2312, 2315, 2394, 2395, 2401, 2403, 2404, 2405, 2408, 2409, 2410, 2411, 2412, 2437, 2451, 2507, 2510, 2511, 2522, 2523, 2535, 2549, 2559, 2560, 2585, 2627, 2631, 2633, 2660, 2661, 2828, 2845, 2857, 2888, 2898, 2931, 2944, 2945, 2985, 2986, 3007, 3008, 3039, 3051, 3526,3554, 3566, 3602. Folie 14 / 14

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback