SS 08 Virtual Private Network (VPN) Seminar Internet-Technologie – Henrik Bartholmai.

SS 08

Virtual Private Network (VPN)Seminar Internet-Technologie – Henrik Bartholmai

2

Inhalte

• Was ist ein VPN?

• Funktionsweise

• Tunnelingprotokolleo PPTPo L2Fo L2TP

• Sicherheitsmechanismeno IPSeco TSL/SSL

• VPN Arteno Site-to-Siteo Site-to-Endo End-to-End

• Software

• Fazit

3

Was ist ein VPN?

Virtual Private Network

Reines Softwareprodukt

Verschlüsselt und abgeschottet

Eigenständiges Netzwerk

Was ist ein VPN?

• VPN verbindet lokal getrennte Netzwerke

• Basiert meistens auf einem global übergreifenden Network

• Bietet vollständigen Zugriff auf alle Ressourcen der zusammen geschlossenen Netzwerke

• Durch Verschlüsselung wird der Datenverkehr über öffentliche Netze gesichert.

• Günstige Alternative zu klassischen Dial-In- / Remote Access-Lösungen

4

Was ist ein VPN?

Anforderungen an VPN

• Benutzerauthentifizierungo Benötigt Lösungen zur Authentifizierung des Benutzerso Protokollieren der Nutzerzugriffe im Netzwerk

• Adressenverwaltungo Zuordnung der Adressen in den Netzwerken

• Datenverschlüsselungo Daten die über öffentliche Leitungen (Internet) verschickt werden, sollten für dritte

nicht lesbar sein

• Schlüsselmanagemento Techniken zur Verschlüsselung müssen für Client/Server sichergestellt sein

• Multiprotokollunterstützungo Versand muss über gängige Protokolle zur Datenübertragung möglich sein

5

Was ist ein VPN?

6

© 2008 Anhalt-Computer

Funktionsweise

VPN-Verbindungen bestehen aus drei Phasen:

7

Authentifizierung • Client baut Verbindung zum VPN-Server auf• User meldet sich mit seinem Passwort an• User wird authentifiziert

Funktionsweise

VPN-Verbindungen bestehen aus 3 Phasen:

8


Tunnelaufbau • Tunnel wird aufgebaut und User-PC bekommt IP Adresse zugewiesen• User-PC ist ab diesem Zeitpunkt nicht mehr aus dem Internet erreichbar

Funktionsweise

VPN-Verbindungen bestehen aus 3 Phasen:

9


Tunnelaufbau • Tunnel wird aufgebaut und User-PC bekommt IP Adresse zugewiesen• User-PC ist ab diesem Zeitpunkt nicht mehr aus dem Internet erreichbar.

Übertragung • Datenpakete werden umgewandelt in IP-Pakete und zum Server gesendet• Dort werden diese an den jeweiligen Rechner im Netzwerk weitergeleitet

Funktionsweise

Grundprinzip der Tunnelprotokolle:

• VPN Pakete lassen sich separat adressieren• Vorteil – Paket lässt sich über jegliche Netzwerkart transportieren

10

Wikipedia.de

Funktionsweise

Tunnelarten

Freiwilliger Tunnel:

• User erstellt nach Internetverbindung via VPN Client-Software eine Verbindung zum Zielnetzwerk

Erzwungener Tunnel:

• Internet-Gateway mit VPN Unterstützung leitet alle Pakete der Clients im Netzwerk per Tunnel an das Zielnetzwerk

11

Tunnelingprotokolle

PPTP (Point-to-Point Tunneling Protocol)

• Von Microsoft und Ascend entwickelt

• Entwickelt 1996, RFC 2637 (Juli 1999)

• In Windows enthalten und damit am weitesten verbreitet

• Unterstützt nur einen Tunnel pro Client

• Weiterentwicklung von PPP (neben IP-Paketen können zusätzlich IPX- und NetBUI-Pakete übertragen werden)

• In PPTP sind keine Key-Management-Protokolle implementiert.

• Datenverschlüsselung durch RC4-Verfahren auch Microsoft Point-to-Point-Encryption (MPPE) genannt

12

Tunnelingprotokolle

PPTP (Point-to-Point Tunneling Protocol)

• PAC (PPTP Access Concentrator) o Verwaltet Verbindung, leitet zum PNS weiter

• PNS (PPTP Network Server)o Routing und Kontrolle

13

elektronik-kompendium.de

Tunnelingprotokolle

L2F (Layer 2 Forwarding)

• Wurde von Cisco, Nortel und Shiva entwickelt

• Im Gegensatz zu PPTP sind mehrere Tunnel möglich

• Erlaubt mittels Client-ID mehrere parallele Verbindung innerhalb des Tunnels

• Authentifizierung über Challenge-Handshake-Verfahren

• Wird mittlerweile nicht mehr verwendet

14

Tunnelingprotokolle

L2TP (Layer 2 Tunneling Protocol)

• RFC 2661 (August 1999)• Vereinigung der Vorteile von PPTP und L2F• Mehrere Tunnel möglich• Kann jedes beliebige Netzwerkprotokoll übertragen• Mehrere Sessions möglich durch Multiplex-Modus• Tunnel besteht aus zwei Kanälen. Kontroll- und Datenkanal• Hat keine integrierte Verschlüsselung, aber Authentifizierungsverfahren• Lässt sich allerdings durch eine Kombination mit IPSec verschlüsseln (RFC 3193 –

"Securing L2TP using IPSec“)

15

Tunnelingprotokolle

L2TP (Layer 2 Tunneling Protocol)

• L2TP Access Concentrator (LAC) o Verwaltet Verbindung, leitet zum LNS weiter

• L2TP Network Server (LNS)o Routing und Kontrolle

16

elektronik-kompendium.de

Sicherheitsmechanismen

IPSec (IP Security Protocol)

• RFC 2401 (November 1998)• Entwickelt von Internet Engineering Task Force(IETF)• Entwickelt für IPv6, allerdings auch Kompatibel zu IPv4• Arbeitet auf der Vermittlungsschicht (Schicht 3)• Verschlüsselt IP-Pakete• Bietet Transport- und Tunnelmodus

17


IPSec (IP Security Protocol)

IPsec beinhaltet vier wichtige Sicherheitsfunktionen:

• Verschlüsselung - als Schutz gegen unbefugtes Mitlesen (ESP)

• Authentisierung der Nachricht - zum Beweis der Unverfälschtheit einer Nachricht (Paketintegrität) (AH)

• Authentisierung des Absenders - zur unzweifelhaften Zuordnung eines Senders/ Empfängers (Paketauthentizität) (AH)

• Verwaltung von Schlüsseln (IKE)

18


IPSec (IP Security Protocol) – Verbindungsaufbau

1. Initiator schickt Vorschläge an Authentisierungs- und Verschlüsselungsalgorithmen

2. Responder wählt den sichersten Algorithmus aus der unterstützt wird und sendet diesen zurück

3. Initiator sendet (bei IKE) seinen Diffie-Hellman-Schlüssel + zufälligen Wert

4. Gleiches Verfahren vom Responder

5. Authentifizierung (Zertifikat oder PSK)

Anschließend wird im Quickmode (verschlüsselt) ein erneuter

Vorschlag gemacht, eine neue SA (Security Association) angelegt und

die Alte verworfen.

19


IPSec (IP Security Protocol) – Verbindungsaufbau

Eine Security Association (SA) ist eine Vereinbarung zwischen den

beiden kommunizierenden Seiten und besteht aus den Punkten:

1. Identifikation (entweder per PSK oder Zertifikat)

2. Festlegung des zu verwendenden Schlüsselalgorithmus für die IPsec-Verbindung

3. von welchem (IP-) Netz die IPsec-Verbindung erfolgt

4. zu welchem (IP-) Netz die Verbindung bestehen soll

5. Zeiträume, in denen eine erneute Authentisierung erforderlich ist

6. Zeitraum, nach dem der IPsec-Schlüssel erneuert werden muss

20


IPSec (IP Security Protocol) - Übertragung

Authentication Header (AH)

• Erstellt Prüfsumme über das gesamte Paket• Wird zwischen IP und TCP Header gespeichert• Prüfsumme stellt Identität, Vollständigkeit und Korrektheit des Paketes dar

21


IPSec (IP Security Protocol) - Übertragung

Authentication Header (AH)

• Erstellt Prüfsumme über das gesamte Paket• Wird zwischen IP und TCP Header gespeichert• Prüfsumme stellt Identität, Vollständigkeit und Korrektheit des Paketes dar

22

Encapsulating Security Payload (ESP)

•Bietet Tunnel- und Transportmodus

•Komplettes Datenpaket wird verschlüsselt und neuem Header versehen


IPSec (IP Security Protocol) – Arten

IPSec Paket im Tunnelmodus nach VPN mit AH oder ESP

23


TSL/SSL (Transport Layer Security/Secure Sockel Layer)

• TSL ist die Weiterentwicklung von SSL (TSL 1.0 = SSL 3.1)• Stellt Protokollen ohne Sicherheitsmechanismen gesicherte Verbindungen zur Verfügung

Dabei leistet SSL folgende Möglichkeiten:

• SSL authentisiert den Server gegenüber dem Client• SSL authentisiert den Client gegenüber dem Server (optional)• SSL baut zwischen Client und Server eine verschlüsselte Verbindung auf• SSL nutzt Public Key Verschlüsselung um ein "Shared Secret"/ Session Key zu

generieren

24


TSL/SSL in Verbindung mit VPN

• Mittlerweile von IPSec verdrängt

• Dennoch für Mobile User interessant

• Nutzung durch HTTPS auch ohne extra Client-Software möglich.

SSL VPN Verbindungen werden meistens benutzt, wenn das

Userinterface über eine Website realisiert wird.

• Active – X oder Java – Applikationen

OpenVPN arbeitet mit SSL VPN.

25

VPN Arten

Site – to – Side

26

Zwei unterschiedliche Netzwerke werden miteinander über das Internetverbunden.

www.chicagotech.net

VPN Arten

Site – to – End

27

Client (z. B. Heimarbeitsplatz) wählt sich über VPN in das Firmennetzwerkein.

www.chicagotech.net

VPN Arten

End – to – End

28

Einzelverbindung zwischen zwei Rechnern, um zum Beispiel sensible Datenüber das Internet auszutauschen.

www.chicagotech.net

Software

OpenVPN

• Software zur Erstellung von VPN Netzwerk• Verwendet zur Verschlüsselung SSL

29

Unterstützt zwei verschiedene Modi:

Routing:• Leitet Pakete zwischen zwei Netzwerken in einem sicheren Tunnel

weiter• Keine direkte Verbindung zwischen Rechnern der „getrennten“

Netzwerke. Alle Pakete werden vom Client den Rechnern im Netz zugewiesen.

Bridging:• Erlaubt den Einsatz von alternativen Protokollen wie z. Bsp. IPX.• Virtuelle Netzwerkkarte (tap-Device) verbindet sich über

Netzwerkbrücke mit dem lokalen Netzwerk

Software

30

OpenVPN – Authentifizierung

Pre-shared Key:

• Passwort zum ver- und entschlüsseln wird festgelegt.• Geht der Schlüssel verloren, muss ein neuer angelegt werden.

Username/Password:

• Zugriff auf Netzwerk wird per Username und Passwort geschützt.

Zertifikatsbasiert

• Server und Client besitzen jeweils eigene einmalige Zertifikate• Server kommuniziert nur mit Clients, die zertifiziert wurden.

Software

31

Hamachi

•Einfach zu konfigurierender VPN-Client

•Mit integriertem Instant Messenger

•Verbindung der Clients über zentralen Server

•Nutzdaten fliesen P2P und nicht über Server

•Ideal zum spielen für Games, die normalerweise nur im LAN funktionieren.

Fazit

• Billige und einfache Lösung zum verbinden lokal getrennter Netzwerke• Mit IPSec/SSL eine relativ sichere Art und Weise, um Daten über

öffentliche Netz zu übertragen• Für Clients meist leichte Handhabung durch integrierte VPN-Clients

(Windows)• Verbindung meist über Internet – Bei lokalem Ausfall des Internets,

auch keinen Kontakt zwischen VPN Netzwerken.

32

Ende

Vielen Dank für Eure Aufmerksamkeit.

Fragen?

33

Quellen

VPN und Windows Server 2003http://www.microsoft.com/germany/technet/datenbank/articles/600283.mspx

VPN:http://www.tcp-ip-info.de/tcp_ip_und_internet/vpn.htm

Wikipedia:http://de.wikipedia.org/wiki/Virtual_Private_Network

http://de.wikipedia.org/wiki/OpenVPN

http://de.wikipedia.org/wiki/SSL_VPN

Elektronik Kompendium:http://www.elektronik-kompendium.de

34

SS 08 Virtual Private Network (VPN) Seminar Internet-Technologie – Henrik Bartholmai.

Documents

Transcript of SS 08 Virtual Private Network (VPN) Seminar Internet-Technologie – Henrik Bartholmai.