Post on 05-Apr-2015
Virtual Private NetworkVirtual Private Network
Seminar Internet-Technologie
Maxim Sharnopolsky
InhaltInhalt
• Einleitung in die VPN Technologie
• Tunneling Technologie und die Protokolle
– PPTP (Point-to-Point Tunneling Protocol)
– L2F (Layer 2 Forwarding)
– L2TP (Layer 2 Tunneling Protocol)
– SSL, IPSec
• VPN Arten
• Funktionsweise von VPN
• Zusammenfassung
Was ist VPN?Was ist VPN?
• VPN steht für Virtual Private Network
• Technologie um Geräte über ein fremdes Netzwerk in das eigene Netzwerk virtuell einzubinden als ob man lokal da wäre. Network
• Logisch wird man ein Teil eines weit entfernten Netzwerkes , physisch nicht Virtuell
• Dabei achtet man auf hohe Sicherheitsmaßnamen der Kommunikation, abhör- und manipulationssicher Private
Was ist VPN?Was ist VPN?
• VPN Technologie ist reine Softwarelösung
• Es werden mindestens benötigt : Client, Server und ein fremdes Netzwerk über das man kommunizieren möchte z.B. Internet
• VPN bieten eine große Flexibilität
• Die Kommunikation wird ermöglicht durch Tunneling Technologie und deren Protokolle
• Die verschiedenen VPN arten können miteinander kombiniert werden
Wozu VPN?Wozu VPN?
• Geld sparen =_= (bis zu 80% Standleitung,DFÜ)
• VPN funktioniert ohne dass dafür ein zusätzliches Kabel verlegt oder sonst irgendetwas an Hardware hinzugefügt werden muss
• Wir erhalten vollständigen Zugriff auf alle Ressourcen der zusammen geschlossenen Netzwerke z.B. Intranet Dienste die man eigentlich nur lokal im Netzwerk nutzen konnte
Beispiele für VPN AnwendungBeispiele für VPN Anwendung
• verteilte Unternehmensnetze können verbunden werden Hauptzentralle und Filiale
• Außendienstmitarbeiter können auf Ressourcen und Daten in dem Unternehmensnetz zuzugreifen , auf die sie eigentlich nur lokalen Zugriff hätten z.B. Außendienstmitarbeiter mit Notebook und UMTS Usb-stick
Tunneling TechnologieTunneling Technologie
• Gebrauch des Kommunikationsprotokolls eines Netzwerkdienstes als Transportmittel für Daten, die nicht zu diesem Dienst gehören. z.B. Internet mit TCP/IP als Transportmittel für unsere eigentlichen Datenpakette die für das Zielnetzwerk bestimmt sind
• Das verwendete Kommunikationsprotokoll wird wie eine Hülle genutzt, die dabei hilft, den tatsächlichen Inhalt zu transportieren
• ist die Basis moderner VPNs
Tunneling TechnologieTunneling Technologie
• Pakete eines Netzwerkprotokolls werden in Pakete eines anderen Netzwerkprotokolls gekapselt und über dieses Netzwerk übertragen
• Datenpakete werden als Nutzdaten in ein IP-Paket verpackt, über das Internet übertragen und beim Empfänger wieder ausgepackt
• Es gilt Authentizität, Integrität und Vertraulichkeit, die in unsicheren Trägermedien nicht gewährleistet werden können, sicherzustellen
Tunneling TechnologieTunneling Technologie
Tunneling ProtokolleTunneling Protokolle
PPTP (Point-to-Point Tunneling Protocol)• wurde ursprünglich von Microsoft und Ascend entwickelt und war
aufgrund seiner Integration in Windows weit verbreitet
• Übertragung von IP-Paketen, IPX- und NetBUI
• Je Kommunikationspaar kann nur ein Tunnel aufgebaut werden.
• keine Key-Management-Protokolle implementiert
• Die Datenverschlüsselung erfolgt nach dem RC4-Verfahren mit Schlüssellängen von 40, 56 oder 128 Bit
• Eine Paket- Integritätsrüfung ist nicht implementiert
• Zur Authentisierung dient PAP/ CHAP; eine Authentisierung der Tunnelenden ist jedoch nicht vorgesehen
Tunneling ProtokolleTunneling Protokolle
L2F (Layer 2 Forwarding)• wurde von Cisco, Nortel und Shiva entwickelt (1999)
• Im Gegensatz zu PPTP sind mehrere Tunnel möglich
• Erlaubt mittels Client-ID mehrere parallele Verbindung innerhalb des Tunnels
• Die Authentisierung erfolgt über ein Challenge-Handshake-Verfahren
• Es erfolgt keine Verschlüsselung der Daten!
• Eine Paket- Integritätsrüfung ist nicht implementiert
• Kein Key-Management
• Ist veraltet und wird nicht mehr verwendet, Status historical
Tunneling ProtokolleTunneling Protokolle
L2TP (Layer 2 Tunneling Protocol)• L2TP vereint die Vorteile von PPTP und L2F
• IETF Standard für IP- und Non-IP-Traffic
• erlaubt den Betrieb mehrerer Tunnels
• L2TP erlaubt eine Authentisierung auf der Basis von CHAP/ PAP
• Es ist keine Verschlüsselung definiert.
• Eine Paket- Integritätsrüfung ist nicht implementiert
• Kein Key-Management
Tunneling ProtokolleTunneling Protokolle
SSL in Verbindung mit VPN• SSL wurde ursprünglich von Netscape entwickelt um eine
sichere, vertrauenswürdige Verbindung zwischen Client und Server zu gewährleisten
• Datenverschlüsselung: RSA, DES (SHA-1), Triple-DES (SHA-1), RC-4 (MD5)
• Authentisierung durch Zertifikate und nutzt Public Key Verschlüsselung um ein "Shared Secret"/ Session Key zu generieren
• Meistens über Webbrowser mit Active – X oder Java – Applikationen
Tunneling ProtokolleTunneling Protokolle
SSL• Der Vorteil dieser Lösung bestehen darin, dass der Zugriff über
das VPN ins Firmennetz ohne eigenen VPN-Client vorgenommen werden kann z.B. einfach per Webbrowser aus dem Internet Café
• Nachteil: SSL ist eigentlich kein Tunnelprotokoll und muss auf der Application Ebene emuliert werden, was sich sehr negativ auf die Performance auswirkt
• Diese neue Tunneltechnik mittels SSL ist zwar nicht schlecht, kann aber IPsec nicht (ganz) das Wasser reichen
Tunneling ProtokolleTunneling Protokolle
IPSec• steht für IP Security Protocol, Layer-3-Tunneling-Protokoll
• IPsec war ursprünglich für IP Version 6 geplant, ist heute jedoch (auch) vollständig für IPv4 standardisiert
• Zukunftssicherheit – kann leicht in bestehende Netze integriert werden
• keine Festlegung auf bestimmte Verschlüsselungsverfahren erfolgen muss
• für die Authentisierung und die Verschlüsselung können unterschiedliche Protokolle zum Einsatz kommen, die unabhängig voneinander oder zusammen eingesetzt werden können
Tunneling ProtokolleTunneling Protokolle
IPSec• IPSec kann ohne Probleme um weitere Protokolle ergänzt werden
• Es erfüllt alle Anforderungen an die Sicherheit die man heute braucht
• der Tunnel ist - nach dem heutigen Stand der Kryptologie - als absolut sicher zu betrachten und bittet ein Höchstmaß an Sicherheit
• hat bereits die o.g. Layer-2-Protokolle langfristig als VPN-Standard-Protokoll abgelöst
• IPSec definiert zwei weitere Protokollköpfe (Header) für IP-Pakete, um eine Authentifizierung und eine Verschlüsselung zu erreichen, AH und ESP
Tunneling ProtokolleTunneling Protokolle
IPSec – Paket Sicherheit mit AH• Paket- Integritätsrüfung bzw. Paket-Authentifizierung mittels des
Authentication Headers, AH schützt die Pakete vor Verfälschung mit Hash-Funktionen wie MD-5(Message Digest) und SHA-1(Secure Hashing Algorithmus)
• Wobei MD-5 vor kurzem geknackt worden ist GPU’s(CUDA)
• Zu SHA-1 gab es berichte über mögliche Security-Schwächen
• Hashing der Absender schickt eine Prüfsumme mit, an den Empfänger , errechnet der Empfänger dann die selbe, so ist sichergestellt dass das Packet unterwegs nicht manipuliert worden ist und nur vom Absender stammen kann
• {authentication_algorithm hmac_sha1, hmac_md5 ;} im Configfile ca. so
Tunneling ProtokolleTunneling Protokolle
IPSec – Verschlüsselung der Daten mit ESP• Encapsulating Security Payload – ESP
• erfolgt mit einem beliebigen Schlüssel
(z.B. DES, Triple-DES, AES)
• unterstützt prinzipiell alle verfügbaren Verschlüsselungsalgorithmen Blowfish, IDEA usw.
• Es gibt 2 Mod‘s: Transport und Tunnelmodus
• { encryption_algorithm 3des, aes; } im Configfile ca. so
Tunneling ProtokolleTunneling Protokolle
Tunneling ProtokolleTunneling Protokolle
IPSec – Key-Managment IKE• Internet Key Exchange Protocol (IKE)
• Damit alles funktioniert müssen auf beiden Seiten viele Parameter ausgetauscht werden
– Art der gesicherten Übertragung (Authentisierung und/oder Verschlüsselung)
– Verschlüsselungsalgorithmus
– "Schlüssel„
– Dauer der Gültigkeit der Schlüssel, usw.
• 1 Möglichkeit wäre alles manuell einrichten keine Flexibilität
• 2 Möglichkeit, IKE benutzen der das alles automatisch abgleicht und konfiguriert und dabei eine SA (Security Association) erstellt
Tunneling ProtokolleTunneling Protokolle
• IPSec – Security Association (SA)• ist ein temporäre, nur für den Zeitraum der Kommunikation
gültiger Vertrag zwischen den beiden Kommunikationspartnern
• beinhaltet alle zum Aufbau einer gesicherten Kommunikationsverbindung wichtigen Elemente und legt den Arbeitsmodus fest
• Im Vertrag stehen dann die Verfahren die bei der Verbindung benutzt werden Identifikation (entweder per PSK oder Zertifikat), Verschlüsselungart, Gültigkeit des Keys usw.
• für eine Kommunikation müssen immer zwei IPSec-SAs existieren, eine für den ausgehenden Verkehr und eine weitere für den ankommenden Verkehr
VPN-Arten:::Side-to-EndVPN-Arten:::Side-to-End
VPN-Arten:::Side-to-SideVPN-Arten:::Side-to-Side
VPN-Arten:::End-to-EndVPN-Arten:::End-to-End
Funktionsweise von VPNFunktionsweise von VPN
• Phase 1 des IKE: Der Client sendet einen Vorschlag mit Authentisierungs- und Verschlüsselungsalgorithmen.
• Der Server wählt aus den angebotenen und den von ihm unterstützten Algorithmen den sichersten aus und sendet das Auswahlergebnis an den Client.
• Der Client sendet seinen öffentlichen Teil vom Diffie-Hellman-Schlüsselaustausch und einen zufälligen Wert, Server tut das selbe
Funktionsweise von VPNFunktionsweise von VPN
• beide kennen nun die öffentlichen Teile für den Diffie-Hellman-Schlüsselaustausch, jetzt wird der geheime Schlüssel berechnet.
• Der berechnete (Diffie-Hellman-)Schlüssel wird für die Erzeugung eines weiteren Schlüssels genutzt, der für die Authentifikation verwendet wird
• Jetzt kommt die Authentisierung. Dabei müssen sich beide Beteiligten als zugriffsberechtigt ausweisen
Funktionsweise von VPNFunktionsweise von VPN
• 2 Möglichkeiten: mittels Pre-Shared-Keys(PSK) oder zertifikatsbasiert
• die zertifikatsbasierte Authentisierung verwendet X.509-Zertifikate und ist im Wesentlichen eine Public-Key-Infrastruktur
• PSK – fester Key in einer Datei, z.B unserem VPN client Nachteil: kommt der Key in die falschen Hände, müssen alle user ihre Keys austauschen, ein Zertifikat kann man dagegen einzeln sperren
Funktionsweise von VPNFunktionsweise von VPN
• Es wird ein Hashwert über das mit dem Diffie-Hellman-Schlüsselaustausch erzeugte Geheimnis, die Identität, die ausgehandelten Kryptoverfahren sowie die bisher versandten Nachrichten gebildet, verschlüsselt und versendet
• Der Schlüssel, der hier für die Verschlüsselung genutzt wird, ist jedoch nicht der aus dem Diffie-Hellman-Schlüsselaustausch, sondern ein Hashwert über diesen sowie die versandten Nachrichten
Funktionsweise von VPNFunktionsweise von VPN
• Phase 2 des IKE: Die gesamte Kommunikation in dieser Phase erfolgt verschlüsselt
• Wie in der ersten Phase wird zunächst ein Vorschlag gemacht und zusammen mit einem Hashwert und dem zufälligen Wert übertragen
• die Schlüssel werden neuberechnet
• Dies wird erreicht, indem ein zusätzlicher Diffie-Hellman-Austausch stattfindet
• Die Geheimnisse zur Schlüsselbildung werden verworfen, sobald der Austausch fertig ist
Funktionsweise von VPNFunktionsweise von VPN
• Tunnel wird aufgebaut und User-PC bekommt virtuelle IP Adresse zugewiesen
• Jetzt kann endlich die Kommunikation stattfinden, unsere eigentlichen Komunikationsdatenpakete werden in IP-Pakete gekapselt und über das Internet zum Server gesendet
• Dort werden diese geprüft, entpackt und entschlüsselt und schließlich an den Ziel Rechner im Netzwerk weitergeleitet
ZusammenfassungZusammenfassung
• Bei aller Technikbegeisterung: Ein VPN dient dem Geldsparen!
• VPN ist ein Netzwerk bestehend aus virtuellen Verbindungen (z.B. durch das Internet), über die nicht öffentliche bzw. firmeninterne Daten sicher übertragen werden. Die VPN-Technologie ermöglicht kostengünstige und sichere Anbindungen von Außenstellen bzw. Niederlassungen und Aussendienstmitarbeitern
QuellenQuellen
• http://de.wikipedia.org/wiki/Virtual_Private_Network
• http://www.tcp-ip-info.de/tcp_ip_und_internet/tunneling_protokolle.htm
• http://www.tcp-ip-info.de/tcp_ip_und_internet/vpn.htm
• http://www.tcp-ip-info.de/tcp_ip_und_internet/tunneling_protokolle_uebersicht.htm
• http://www.tcp-ip-info.de/tcp_ip_und_internet/tunneling_protokolle.htm
• http://de.wikipedia.org/wiki/Tunneling
• http://fara.cs.uni-potsdam.de/~enke/vpn.htm
• http://www.tcp-ip-info.de/tcp_ip_und_internet/ipsec.htm
• http://www.abipur.de/hausaufgaben/neu/detail/stat/253835092.html
• http://www.grueneberg.de/andre/diplom/docs/vpn-ipsec.pdf
• http://www.inf.fu-berlin.de/lehre/SS05/ITsich/vortaege/ipsec-final.ppt
• http://www.lrz-muenchen.de/services/netz/mobil/vpn-technik/
• http://www.mobile.unibas.ch/vpn/vpn-what.html
• http://wiki.hackerboard.de/index.php/VPN_(Virtual_Privat_Network)