500 likes | 702 Views
RAS - Server. Christiane Bär 02INF2 09971. Inhalt. RAS RAS (Service) RAS (Server) Verbindungsmedien Protokolle Sicherheitsprotokolle DHCP Sicherheitsziele Anwendungsbeispiele. Inhalt. VPN Grundlagen Tunneling Tunnel – Protokolle Anwendungen RADIUS Grundlagen Praxis.
E N D
RAS - Server Christiane Bär 02INF2 09971
Inhalt • RAS • RAS (Service) • RAS (Server) • Verbindungsmedien • Protokolle • Sicherheitsprotokolle • DHCP • Sicherheitsziele • Anwendungsbeispiele RAS - Server Christiane Bär 11.1.2006
Inhalt • VPN • Grundlagen • Tunneling • Tunnel – Protokolle • Anwendungen • RADIUS • Grundlagen • Praxis RAS - Server Christiane Bär 11.1.2006
RAS – Remote Access Service • Begriffe • Remote – Entfernung • Access – Zugang • Service – Dienst • Beschreibung • Anwendungsdienst • Verbindung lokaler mit entfernten Computern • „transparente“ Nutzung von Netzwerken RAS - Server Christiane Bär 11.1.2006
RAS – Remote Access Server • Begriffe • Remote – Entfernung • Access – Zugang • Server – Dienstanbieter • Beschreibung • Zugangssteuerung für Remote – User • Zugang zum Unternehmensnetz / -Ressourcen / -Diensten • Verbindungsaufbau über Wählnetze • Authentifizierung des Anrufenden RAS - Server Christiane Bär 11.1.2006
RAS – Remote Access Server • Verringert Abhängigkeit zu den Leistungsschwankungen des Internets • Eingehende Verbindungen über DFÜ – Netzwerk oder andere PPP – DFÜ – Software • Gleichzeitig mehrere Wählverbindungen • Modem-, ISDN- oder X.25 Verbindungen • kostenintensiv RAS - Server Christiane Bär 11.1.2006
RAS - Verbindungsmedien • Server: Wählleitungen für die Erreichbarkeit • Clients: Einwählverbindungen • Nachteil: geringe Übertragungsrate • 56 kBit/s (Modem) • 64 kBit/s (ISDN, ein B – Kanal) • 128 kBit/s (ISDN, zwei B – Kanäle) • DFÜ – Netzwerk • Bietet Verbindungen mit niedriger Übertragungsrate zum Internet RAS - Server Christiane Bär 11.1.2006
RAS – Verbindungsmedien • Modem • Modulator / Demodulator • Übertragungsrate max. 56 kBit/s (7 kByte/s) • gleichen Modemtyp verwenden • X.25 • In paketvermittelnden Netzen • Vermittlungs- und Leitungswege ständig angepasst • Direkte Verbindung (von Windows unterstützt) oder asynchrone Verbindung RAS - Server Christiane Bär 11.1.2006
RAS – Verbindungsmedien • ISDN • Integrated Services Digital Network • Schnellere Übertragung als bei analogen Verbindungen • Wird Modem bevorzugt • Zwei B – Kanäle • Je 64 kBit/s Übertragungsrate • Getrennt oder zusammen genutzt • Nutzung der Kanalbündelung abhängig von den ausgeführten Arbeiten RAS - Server Christiane Bär 11.1.2006
RAS - Protokolle • Verwendung des PPP – Protokolls • Transportprotokolle unter PPP: • TCP / IP • Novell NetWare IPX / SPX • Microsoft NetBEUI • AppleTalk • SLIP RAS - Server Christiane Bär 11.1.2006
RAS – Protokolle – PPP • Point – to – Point – Protokoll • Gewährleistet Interoperabilität • Flexibilität in der Auswahl von Hard- und Software • Unterstützt Kennwort – Verschlüsselung, automatische Fehlerbehandlung und Komprimierungsfunktionen • Für die Verkapselung von Datagrammen über serielle Leitungen verwendet RAS - Server Christiane Bär 11.1.2006
RAS – Protokolle – PPP • Verbindungssequenz • Datenblockregeln werden erstellt und ermöglichen eine kontinuierliche Kommunikation • Authentifizierung des Remote – Users durch Authentifizierungsprotokolle • Bei aktivierten Rückruf – beenden der Verbindung und Rückruf durch den Server • Datenübertragung bei erfolgreicher Verbindung RAS - Server Christiane Bär 11.1.2006
RAS – Protokolle – PPP • LCP – Link Control Protocol • Überprüft die Qualität der Verbindung • Bei Bedarf Authentifizierung der Gegenstellen • NCP – Network Control Protocol • Kontrollprotokoll • Konfiguration des zu übertragenden Protokolls • IPCP – IP Control Protocol • Art von DHCP • Wird IP über PPP getunnelt => NCP RAS - Server Christiane Bär 11.1.2006
RAS – Protokolle – TCP / IP • Unterstützt Kommunikation zwischen unterschiedlichen Hardware – Architekturen und Betriebssystemen • IP (Internet Protocol)– Adressierung • Sorgt dafür, dass das Ziel erreicht wird • TCP (Transmission Control Protocol) – Datenübertragung • Stellt Datenstrom zur Anwendung • Im LAN und WAN anwendbar RAS - Server Christiane Bär 11.1.2006
RAS – Protokolle – IPX / SPX • Protokollfamilie für lokale Novell - Netzwerke • IPX: internetworking packet exchange • Verbindungsloses Übertragungsprotokoll • Adressierung • SPX: sequence packet exchange • Verbindungsorientiertes Transportprotokoll • Sicheres Ankommen durch Prüfsumme • In Windows durch NWLink implementiert • Heute auch bei Novell von TCP / IP abgelöst RAS - Server Christiane Bär 11.1.2006
RAS – Protokoll - SLIP • Serial line internet protocol • Gewährleistet Interoperabilität • Keine eindeutige Paketlänge • 2 Steuerzeichen: ESC und END • ESC – IP – Daten – END • Hauptsächlich in UNIX – RAS – Servern eingesetzt • Wird noch von RAS – Clients unter Windows unterstützt, nicht aber von RAS - Servern RAS - Server Christiane Bär 11.1.2006
RAS – Protokolle – NetBEUI • Ursprünglich: Network Basic Extended User Interface von IBM • Später: NetBIOS Extended User Interface von Microsoft und anderen • Umgebung für Kommunikationsdienste: • NetBIOS als Schnittstelle für Anwendungen • NetBEUI als Transportprotokoll • NDIS als Schnittstelle zum Netzwerkadapter • Heute kaum noch verwendet RAS - Server Christiane Bär 11.1.2006
RAS – Protokolle – AppleTalk • Implementiert den Zugriff auf Netzwerke mit Apple – Macintosh – Computer • ATCP (AppleTalk Control Protocol) unterstützt Remotezugriff unter AppleTalk RAS - Server Christiane Bär 11.1.2006
RAS - Sicherheitsprotokolle • Authentifizierung und Datenverschlüsselung • Authentifizierungsverfahren • MS – CHAP (v2) • CHAP • EAP – TLS • SPAP • PAP • Verschlüsselungsverfahren • MPPE RAS - Server Christiane Bär 11.1.2006
RAS – Sicherheitsprotokolle • MS – CHAP (v2) • Microsoft Challenge Handshake Authentification Protocol • Erhöhung der Sicherheit bei • der Übertragung von Sicherheitsinformationen • dem Erstellen von Schlüsseln für die Datenverschlüsselung • v2 für VPN – Verbindungen entwickelt RAS - Server Christiane Bär 11.1.2006
RAS – Sicherheitsprotokolle • CHAP • Challenge Handshake Authentification Protocol • Server sendet challenge mit Sitzungskennung und einer zufälligen Buchstabenfolge • Client antwortet mit Benutzernamen (Klartext) und einer Passwortkombination aus Sitzungskennung, challenge string und Passwort RAS - Server Christiane Bär 11.1.2006
RAS – Sicherheitsprotokolle • PAP • Password Authentification Protocol • Server verlangt Passwort und Benutzername • Übermittlung im Klartext • Unsicher • Dritte können Daten abhören RAS - Server Christiane Bär 11.1.2006
RAS – Sicherheitsprotokolle • EAP - TLS • Extensible Authentification – Protocol – Transport – Layer Security • TLS als Weiterentwicklung des SSL • Unterstützt viele Authentifizierungsmechanismen • Aushandlung des konkret eingesetzten Mechanismus erfolgt erst während der Authentifizierungsphase RAS - Server Christiane Bär 11.1.2006
RAS - Datenverschlüsselung • MPPE • Microsoft Point – to – Point Encryption • Chiffrierschlüssel • 40 – Bit (Basisverschlüsselung) • 56 – Bit (starke Verschlüsselung • 128 – Bit (stärkste Verschlüsselung) • Benötigt als Authentifizierungsprotokoll MS – CHAP oder EAP - TLS RAS - Server Christiane Bär 11.1.2006
RAS – DHCP • Dynamic Host Configuration Protocol • Dynamische Zuweisung von IP – Adressen • Grundprinzip • Server verteilt automatisch IP – Adressen • Client muss automatischen Bezug akzeptieren • Nach Trennung: Freigabe und Neuverteilung • Vorteil: • Keine Umkonfigurieren an allen Computern • Vermeiden fehlerhafter Konfiguration RAS - Server Christiane Bär 11.1.2006
RAS – DHCP • IP – Adressen Verteilung • Automatische Zuordnung • Manuelle Zuordnung • Dynamische Zuordnung • Zusätzliche Informationen für die Verteilung, Angabe über: • Adresspool • Subnetzmaske • DNS – Domäne • Gateway RAS - Server Christiane Bär 11.1.2006
RAS – DHCP • Kommunikation • Client schickt „DHCP – discover“ • Server antwortet mit „DHCP – offer“ • Client entscheidet und schickt „DHCP – request“ • Server übersendet IP – Konfigurationsdaten mit „DHCP – acknowledge“ RAS - Server Christiane Bär 11.1.2006
RAS - Sicherheitsziele • Zugangssicherheit • Eindeutige Identifikation des Benutzers • Zugriffskontrolle • Berechtigungen und Einschränkungen • Verfügbarkeit • Ob und wie ein RAS – Server erreichbar ist • Kommunikationssicherheit • Authentizität und Vertraulichkeit RAS - Server Christiane Bär 11.1.2006
RAS - Anwendungsbeispiele • Anbindung einzelner Arbeitsstationen • HomeOffice • Anbindung mobiler Rechner • Mobile Office • Anbindung ganzer LANs • Filialen und Außenstellen • Management – Zugriff • Fernwartung RAS - Server Christiane Bär 11.1.2006
VPN – Virtual Private Network • Begriffe • Virtual – nicht wirklich existent • Private – nicht für die Öffentlichkeit bestimmt • Network – Netzwerk • Beschreibung • Ähnlich dem RAS – Server • Verbindung über das Internet • Tunnelverbindung für sichere Datenübertragung RAS - Server Christiane Bär 11.1.2006
VPN - Tunneling • Verschlüsselte Datenverbindung zwischen zwei Kommunikationspartnern • Layer – 3 – Tunneling • Layer – 2 – Tunneling RAS - Server Christiane Bär 11.1.2006
VPN - Layer - 3 - Tunneling • Zur Adressierung des Datenpaketes wird IP (Internet Protocol) genutzt • Realisierung mit IPsec • sichere Verbindung zu einem privaten Netzwerk • Teilnehmer authentifizieren sich gegenseitig und verschlüsseln die über VPN übertragenen Daten • IPsec legt eigene Sicherheitsverfahren und -mechanismen fest RAS - Server Christiane Bär 11.1.2006
VPN – Layer – 2 – Tunneling • Datenpaket der Schicht 3 verschlüsselt und mit einer physikalischen Adresse versehen. • Tunnelprotokolle PPTP oder L2TP verwendet • unterstützen sowohl verschlüsselte als auch unverschlüsselte Authentifizierung • Stellen Zugriffskontrollmechanismen bereit, die eine Sicherung des Datenverkehrs in einem VPN ermöglichen • machen von den Sicherheitsmechanismen des PPP - Protokolls gebrauch RAS - Server Christiane Bär 11.1.2006
VPN - Tunneling • Obligatorische Tunnel • Initiierung der Tunnelverbindung und Unterstützung des Tunnelprotokolls durch den Server • Client muss keine Extraunterstützung für das Tunneling besitzen • Freiwilliger Tunnel • Client übernimmt Initiierung der Tunnelverbindung und Unterstützung der Tunnelprotokolle RAS - Server Christiane Bär 11.1.2006
VPN – Tunnel - Protokolle • Verwaltet Verbindung und übertragt verschlüsselte Daten • Nutzen kryptografische Verfahren für eine gesicherte Verbindung • Auch mehrere Tunnel möglich RAS - Server Christiane Bär 11.1.2006
VPN – Tunnel - Protokolle • Aufgaben von Tunnel – Protokollen • Aufbau, Aufrechterhaltung und Abbau des bzw. der Tunnel • kryptographisches Verfahren zur Realisierung des Tunnels ausgehandeln • Schlüsselaustausch-, Verschlüsselungs- und Signaturverfahren • Ver- und Entpacken der Datenpakete der durch den Tunnel übertragbaren Protokolle • Ver- und Entschlüsselung der Datenpakete RAS - Server Christiane Bär 11.1.2006
VPN – Tunnel – Protokolle - PPTP • Point – to – Point – Tunneling Protocol • Erlaubt gegenseitige Authentifizierung • Erweiterung von PPP, verbessert jedoch: • Authentifizierungsmechanismen • Komprimierungsmechanismen • Verschlüsselungsmechanismen RAS - Server Christiane Bär 11.1.2006
VPN – Tunnel – Protokolle - PPTP • Einkapselung • PPTP – Frame aus PPP – Frame mit verschlüsseltem Inhalt entstanden • Zusätzlich noch mit einem GRE- und einem IP – Header versehen • (GRE – Generic Routing Encapsulation – enthält Angaben über das Tunnelprotokoll und die Authentifizierungsmechanismen) RAS - Server Christiane Bär 11.1.2006
VPN – Tunnel – Protokolle - L2TP • Layer – 2 – Tunneling Protocol • Weiterentwicklung des PPTP und L2F • unterstützt verschiedene Protokolle und mehrere parallele Tunnel • Wird hauptsächlich mit IPsec verwendet • VPN – Authentifizierung basiert auf einem Austausch von Zertifikaten, der den unberechtigten Zugriff auf Ressourcen und Daten verhindert • Bieten Weg Schlüssel zur Datenverschlüsselung auszutauschen RAS - Server Christiane Bär 11.1.2006
VPN – Tunnel – Protokolle - L2TP • Einkapselung • L2TP: PPP – Frame wird mit L2TP- und UDP- Header versehen • IPsec: Es wird zusätzlich noch ESP- und IP- Header. Und ein Authentifizierungs – Trailer für IPsec angehangen RAS - Server Christiane Bär 11.1.2006
VPN – Tunnel – Protokolle - IPsec • Allgemein • IP Security Protocol • Layer – 3 – Tunneling • Nur in IP – Netzwerken • Herstellerübergreifender sicherer Datenaustausch • 2 Betriebsmodi • Transportmodus • Tunnelmodus RAS - Server Christiane Bär 11.1.2006
VPN – Tunnel – Protokolle - IPsec • Innerhalb sicherer interner Netzwerke • Datenteil des IP – Paketes wird verschlüsselt • IP – Kopf bleibt erhalten • Zusätzlicher IPsec – Kopf • Verschlüsselung: AH oder ESP RAS - Server Christiane Bär 11.1.2006
VPN – Tunnel – Protokolle - IPsec • Verbindungen über öffentliches Netz • Gesamte IP – Paket wird verschlüsselt • Zusätzlich neuer IP- und IPsec – Kopf • Verschlüsselung: ESP RAS - Server Christiane Bär 11.1.2006
VPN – AH • Authentification Header • Auch IPsec – Header • Enthält alle Informationen, die für eine Authentifikation notwendig sind • Deckt Sicherheitsanforderungen ab • Empfangene Paket vom richtigen Sender • Datenintegrität sicherstellen • Schutz gegen Replay - Angriffe RAS - Server Christiane Bär 11.1.2006
VPN - ESP • Encapsulating Security Payload • IPsec - Header • Wie AH, nur kommt noch eine Verschlüsselungskomponente hinzu, z.B.: • DESC CBC – Data Encryption Standard Cypher Block Chaining • 3DES – Triple Data Encryption Standard • Zusätzliche Sicherheitsanforderung abgedeckt: • Vertraulichkeit der gesendeten Daten RAS - Server Christiane Bär 11.1.2006
VPN - Anwendungen • End – to – Site VPN (Remote Access VPN) • Verbindung eines Einzelnen mit einem Netzwerk • Z.B. Außendienstmitarbeiter RAS - Server Christiane Bär 11.1.2006
VPN - Anwendungen • Site – to – Site VPN • Verbindung eines Netzwerkes mit einem anderen • Benutzer nehmen den firmeneigenen Gateway, um Daten zu übertragen • Extranet und Intranet - VPNs RAS - Server Christiane Bär 11.1.2006
VPN - Anwendungen • End – to – End • Direkte Verbindung zwischen Arbeitsrechnern • Tunnel deckt Verbindung zwischen den Hosts vollständig ab • Z.B. für Bankkunden auf einem Buchungsrechner RAS - Server Christiane Bär 11.1.2006
RADIUS • Remote Authentification Dial – In User Service • Stellt gesicherte Benutzerauthentifizierung, Autorisierungs- und Kontoführungsdienste zur Verfügung • Accounting- und Authentifizierungsprotokoll • Zentrale Administration von Benutzerdaten, wie Benutzerkennung, Passwörter, Rufnummer, Zugriffsrechte RAS - Server Christiane Bär 11.1.2006
Praxis • Ethereal - Mitschnitte • Windows 2003 Server (RAS) • Windows XP Professional (VPN) • RAS – Server HS – Merseburg RAS - Server Christiane Bär 11.1.2006