1 / 32

Virtual Private Network

Virtual Private Network. Seminar Internet-Technologie Maxim Sharnopolsky. Inhalt. Einleitung in die VPN Technologie Tunneling Technologie und die Protokolle PPTP (Point-to-Point Tunneling Protocol) L2F (Layer 2 Forwarding) L2TP (Layer 2 Tunneling Protocol) SSL, IPSec VPN Arten

brendan-simpson
Download Presentation

Virtual Private Network

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Virtual Private Network Seminar Internet-Technologie Maxim Sharnopolsky

  2. Inhalt • Einleitung in die VPN Technologie • Tunneling Technologie und die Protokolle • PPTP (Point-to-Point Tunneling Protocol) • L2F (Layer 2 Forwarding) • L2TP (Layer 2 Tunneling Protocol) • SSL, IPSec • VPN Arten • Funktionsweise von VPN • Zusammenfassung

  3. Was ist VPN? • VPN steht für Virtual Private Network • Technologie um Geräte über ein fremdes Netzwerk in das eigene Netzwerk virtuell einzubinden als ob man lokal da wäre.  Network • Logisch wird man ein Teil eines weit entfernten Netzwerkes , physisch nicht  Virtuell • Dabei achtet man auf hohe Sicherheitsmaßnamen der Kommunikation, abhör- und manipulationssicher  Private

  4. Was ist VPN? • VPN Technologie ist reine Softwarelösung • Es werden mindestens benötigt : Client, Server und ein fremdes Netzwerk über das man kommunizieren möchte  z.B. Internet • VPN bieten eine große Flexibilität • Die Kommunikation wird ermöglicht durch Tunneling Technologie und deren Protokolle • Die verschiedenen VPN arten können miteinander kombiniert werden

  5. Wozu VPN? • Geld sparen =_= (bis zu 80% Standleitung,DFÜ) • VPN funktioniert ohne dass dafür ein zusätzliches Kabel verlegt oder sonst irgendetwas an Hardware hinzugefügt werden muss • Wir erhalten vollständigen Zugriff auf alle Ressourcen der zusammen geschlossenen Netzwerke  z.B. Intranet Dienste die man eigentlich nur lokal im Netzwerk nutzen konnte

  6. Beispiele für VPN Anwendung • verteilte Unternehmensnetze können verbunden werden  Hauptzentralle und Filiale • Außendienstmitarbeiter können auf Ressourcen und Daten in dem Unternehmensnetz zuzugreifen , auf die sie eigentlich nur lokalen Zugriff hätten  z.B. Außendienstmitarbeiter mit Notebook und UMTS Usb-stick

  7. Tunneling Technologie • Gebrauch des Kommunikationsprotokolls eines Netzwerkdienstes als Transportmittel für Daten, die nicht zu diesem Dienst gehören.  z.B. Internet mit TCP/IP als Transportmittel für unsere eigentlichen Datenpakette die für das Zielnetzwerk bestimmt sind • Das verwendete Kommunikationsprotokoll wird wie eine Hülle genutzt, die dabei hilft, den tatsächlichen Inhalt zu transportieren • ist die Basis moderner VPNs

  8. Tunneling Technologie • Pakete eines Netzwerkprotokolls werden in Pakete eines anderen Netzwerkprotokolls gekapselt und über dieses Netzwerk übertragen • Datenpakete werden als Nutzdaten in ein IP-Paket verpackt, über das Internet übertragen und beim Empfänger wieder ausgepackt • Es gilt Authentizität, Integrität und Vertraulichkeit, die in unsicheren Trägermedien nicht gewährleistet werden können, sicherzustellen

  9. Tunneling Technologie

  10. Tunneling Protokolle PPTP (Point-to-Point Tunneling Protocol) • wurde ursprünglich von Microsoft und Ascend entwickelt und war aufgrund seiner Integration in Windows weit verbreitet • Übertragung von IP-Paketen, IPX- und NetBUI • Je Kommunikationspaar kann nur ein Tunnel aufgebaut werden. • keine Key-Management-Protokolle implementiert • Die Datenverschlüsselung erfolgt nach dem RC4-Verfahren mit Schlüssellängen von 40, 56 oder 128 Bit • Eine Paket- Integritätsrüfung ist nicht implementiert • Zur Authentisierung dient PAP/ CHAP; eine Authentisierung der Tunnelenden ist jedoch nicht vorgesehen

  11. Tunneling Protokolle L2F (Layer 2 Forwarding) • wurde von Cisco, Nortel und Shiva entwickelt (1999) • Im Gegensatz zu PPTP sind mehrere Tunnel möglich • Erlaubt mittels Client-ID mehrere parallele Verbindung innerhalb des Tunnels • Die Authentisierung erfolgt über ein Challenge-Handshake-Verfahren • Es erfolgt keine Verschlüsselung der Daten! • Eine Paket- Integritätsrüfung ist nicht implementiert • Kein Key-Management • Ist veraltet und wird nicht mehr verwendet, Status  historical

  12. Tunneling Protokolle L2TP (Layer 2 Tunneling Protocol) • L2TP vereint die Vorteile von PPTP und L2F • IETF Standard für IP- und Non-IP-Traffic • erlaubt den Betrieb mehrerer Tunnels • L2TP erlaubt eine Authentisierung auf der Basis von CHAP/ PAP • Es ist keineVerschlüsselung definiert. • Eine Paket- Integritätsrüfung ist nicht implementiert • Kein Key-Management

  13. Tunneling Protokolle SSL in Verbindung mit VPN • SSL wurde ursprünglich von Netscape entwickelt um eine sichere, vertrauenswürdige Verbindung zwischen Client und Server zu gewährleisten • Datenverschlüsselung: RSA, DES (SHA-1), Triple-DES (SHA-1), RC-4 (MD5) • Authentisierung durch Zertifikate und nutzt Public Key Verschlüsselung um ein "Shared Secret"/ Session Key zu generieren • Meistens über Webbrowser mit Active – X oder Java – Applikationen

  14. Tunneling Protokolle SSL • Der Vorteil dieser Lösung bestehen darin, dass der Zugriff über das VPN ins Firmennetz ohne eigenen VPN-Client vorgenommen werden kann z.B. einfach per Webbrowser aus dem Internet Café • Nachteil: SSL ist eigentlich kein Tunnelprotokoll und muss auf der Application Ebene emuliert werden, was sich sehr negativ auf die Performance auswirkt • Diese neue Tunneltechnik mittels SSL ist zwar nicht schlecht, kann aber IPsec nicht (ganz) das Wasser reichen

  15. Tunneling Protokolle IPSec • steht für IP Security Protocol, Layer-3-Tunneling-Protokoll • IPsec war ursprünglich für IP Version 6 geplant, ist heute jedoch (auch) vollständig für IPv4 standardisiert • Zukunftssicherheit – kann leicht in bestehende Netze integriert werden • keine Festlegung auf bestimmte Verschlüsselungsverfahren erfolgen muss • für die Authentisierung und die Verschlüsselung können unterschiedliche Protokolle zum Einsatz kommen, die unabhängig voneinander oder zusammen eingesetzt werden können

  16. Tunneling Protokolle IPSec • IPSec kann ohne Probleme um weitere Protokolle ergänzt werden • Es erfüllt alle Anforderungen an die Sicherheit die man heute braucht • der Tunnel ist - nach dem heutigen Stand der Kryptologie - als absolut sicher zu betrachten und bittet ein Höchstmaß an Sicherheit • hat bereits die o.g. Layer-2-Protokolle langfristig als VPN-Standard-Protokoll abgelöst • IPSec definiert zwei weitere Protokollköpfe (Header) für IP-Pakete, um eine Authentifizierung und eine Verschlüsselung zu erreichen, AH und ESP

  17. Tunneling Protokolle IPSec – Paket Sicherheit mit AH • Paket- Integritätsrüfung bzw. Paket-Authentifizierung mittels des Authentication Headers, AH schützt die Pakete vor Verfälschung mit Hash-Funktionen wie MD-5(Message Digest) und SHA-1(Secure Hashing Algorithmus) • Wobei MD-5 vor kurzem geknackt worden ist  GPU’s(CUDA) • Zu SHA-1 gab es berichte über mögliche Security-Schwächen • Hashing  der Absender schickt eine Prüfsumme mit, an den Empfänger , errechnet der Empfänger dann die selbe, so ist sichergestellt dass das Packet unterwegs nicht manipuliert worden ist und nur vom Absender stammen kann • {authentication_algorithm hmac_sha1, hmac_md5 ;} im Configfile ca. so

  18. Tunneling Protokolle IPSec – Verschlüsselung der Daten mit ESP • Encapsulating Security Payload – ESP • erfolgt mit einem beliebigen Schlüssel (z.B. DES, Triple-DES, AES) • unterstützt prinzipiell alle verfügbaren Verschlüsselungsalgorithmen  Blowfish, IDEA usw. • Es gibt 2 Mod‘s: Transport und Tunnelmodus • { encryption_algorithm 3des, aes; } im Configfile ca. so

  19. Tunneling Protokolle

  20. Tunneling Protokolle IPSec – Key-Managment IKE • Internet Key Exchange Protocol (IKE) • Damit alles funktioniert müssen auf beiden Seiten viele Parameter ausgetauscht werden • Art der gesicherten Übertragung (Authentisierung und/oder Verschlüsselung) • Verschlüsselungsalgorithmus • "Schlüssel„ • Dauer der Gültigkeit der Schlüssel, usw. • 1 Möglichkeit wäre alles manuell einrichten  keine Flexibilität • 2 Möglichkeit, IKE benutzen der das alles automatisch abgleicht und konfiguriert und dabei eine SA (Security Association) erstellt

  21. Tunneling Protokolle • IPSec – Security Association (SA) • ist ein temporäre, nur für den Zeitraum der Kommunikation gültiger Vertrag zwischen den beiden Kommunikationspartnern • beinhaltet alle zum Aufbau einer gesicherten Kommunikationsverbindung wichtigen Elemente und legt den Arbeitsmodus fest • Im Vertrag stehen dann die Verfahren die bei der Verbindung benutzt werden  Identifikation (entweder per PSK oder Zertifikat), Verschlüsselungart, Gültigkeit des Keys usw. • für eine Kommunikation müssen immer zwei IPSec-SAs existieren, eine für den ausgehenden Verkehr und eine weitere für den ankommenden Verkehr

  22. VPN-Arten:::Side-to-End

  23. VPN-Arten:::Side-to-Side

  24. VPN-Arten:::End-to-End

  25. Funktionsweise von VPN • Phase 1 des IKE: Der Client sendet einen Vorschlag mit Authentisierungs- und Verschlüsselungsalgorithmen. • Der Server wählt aus den angebotenen und den von ihm unterstützten Algorithmen den sichersten aus und sendet das Auswahlergebnis an den Client. • Der Client sendet seinen öffentlichen Teil vom Diffie-Hellman-Schlüsselaustausch und einen zufälligen Wert, Server tut das selbe

  26. Funktionsweise von VPN • beide kennen nun die öffentlichen Teile für den Diffie-Hellman-Schlüsselaustausch, jetzt wird der geheime Schlüssel berechnet. • Der berechnete (Diffie-Hellman-)Schlüssel wird für die Erzeugung eines weiteren Schlüssels genutzt, der für die Authentifikation verwendet wird • Jetzt kommt die Authentisierung. Dabei müssen sich beide Beteiligten als zugriffsberechtigt ausweisen

  27. Funktionsweise von VPN • 2 Möglichkeiten: mittels Pre-Shared-Keys(PSK) oder zertifikatsbasiert • die zertifikatsbasierte Authentisierung verwendet X.509-Zertifikate und ist im Wesentlichen eine Public-Key-Infrastruktur • PSK – fester Key in einer Datei, z.B unserem VPN client  Nachteil: kommt der Key in die falschen Hände, müssen alle user ihre Keys austauschen, ein Zertifikat kann man dagegen einzeln sperren

  28. Funktionsweise von VPN • Es wird ein Hashwert über das mit dem Diffie-Hellman-Schlüsselaustausch erzeugte Geheimnis, die Identität, die ausgehandelten Kryptoverfahren sowie die bisher versandten Nachrichten gebildet, verschlüsselt und versendet • Der Schlüssel, der hier für die Verschlüsselung genutzt wird, ist jedoch nicht der aus dem Diffie-Hellman-Schlüsselaustausch, sondern ein Hashwert über diesen sowie die versandten Nachrichten

  29. Funktionsweise von VPN • Phase 2 des IKE: Die gesamte Kommunikation in dieser Phase erfolgt verschlüsselt • Wie in der ersten Phase wird zunächst ein Vorschlag gemacht und zusammen mit einem Hashwert und dem zufälligen Wert übertragen • die Schlüssel werden neuberechnet • Dies wird erreicht, indem ein zusätzlicher Diffie-Hellman-Austausch stattfindet • Die Geheimnisse zur Schlüsselbildung werden verworfen, sobald der Austausch fertig ist

  30. Funktionsweise von VPN • Tunnel wird aufgebaut und User-PC bekommt virtuelle IP Adresse zugewiesen • Jetzt kann endlich die Kommunikation stattfinden, unsere eigentlichen Komunikationsdatenpakete werden in IP-Pakete gekapselt und über das Internet zum Server gesendet • Dort werden diese geprüft, entpackt und entschlüsselt und schließlich an den Ziel Rechner im Netzwerk weitergeleitet

  31. Zusammenfassung • Bei aller Technikbegeisterung: Ein VPN dient dem Geldsparen! • VPN ist ein Netzwerk bestehend aus virtuellen Verbindungen (z.B. durch das Internet), über die nicht öffentliche bzw. firmeninterne Daten sicher übertragen werden. Die VPN-Technologie ermöglicht kostengünstige und sichere Anbindungen von Außenstellen bzw. Niederlassungen und Aussendienstmitarbeitern

  32. Quellen • http://de.wikipedia.org/wiki/Virtual_Private_Network • http://www.tcp-ip-info.de/tcp_ip_und_internet/tunneling_protokolle.htm • http://www.tcp-ip-info.de/tcp_ip_und_internet/vpn.htm • http://www.tcp-ip-info.de/tcp_ip_und_internet/tunneling_protokolle_uebersicht.htm • http://www.tcp-ip-info.de/tcp_ip_und_internet/tunneling_protokolle.htm • http://de.wikipedia.org/wiki/Tunneling • http://fara.cs.uni-potsdam.de/~enke/vpn.htm • http://www.tcp-ip-info.de/tcp_ip_und_internet/ipsec.htm • http://www.abipur.de/hausaufgaben/neu/detail/stat/253835092.html • http://www.grueneberg.de/andre/diplom/docs/vpn-ipsec.pdf • http://www.inf.fu-berlin.de/lehre/SS05/ITsich/vortaege/ipsec-final.ppt • http://www.lrz-muenchen.de/services/netz/mobil/vpn-technik/ • http://www.mobile.unibas.ch/vpn/vpn-what.html • http://wiki.hackerboard.de/index.php/VPN_(Virtual_Privat_Network)

More Related