Virtual Private Network Seminar Internet-Technologie Maxim Sharnopolsky.

Virtual Private NetworkVirtual Private Network

Seminar Internet-Technologie

Maxim Sharnopolsky

InhaltInhalt

• Einleitung in die VPN Technologie

• Tunneling Technologie und die Protokolle

– PPTP (Point-to-Point Tunneling Protocol)

– L2F (Layer 2 Forwarding)

– L2TP (Layer 2 Tunneling Protocol)

– SSL, IPSec

• VPN Arten

• Funktionsweise von VPN

• Zusammenfassung

Was ist VPN?Was ist VPN?

• VPN steht für Virtual Private Network

• Technologie um Geräte über ein fremdes Netzwerk in das eigene Netzwerk virtuell einzubinden als ob man lokal da wäre. Network

• Logisch wird man ein Teil eines weit entfernten Netzwerkes , physisch nicht Virtuell

• Dabei achtet man auf hohe Sicherheitsmaßnamen der Kommunikation, abhör- und manipulationssicher Private

Was ist VPN?Was ist VPN?

• VPN Technologie ist reine Softwarelösung

• Es werden mindestens benötigt : Client, Server und ein fremdes Netzwerk über das man kommunizieren möchte z.B. Internet

• VPN bieten eine große Flexibilität

• Die Kommunikation wird ermöglicht durch Tunneling Technologie und deren Protokolle

• Die verschiedenen VPN arten können miteinander kombiniert werden

Wozu VPN?Wozu VPN?

• Geld sparen =_= (bis zu 80% Standleitung,DFÜ)

• VPN funktioniert ohne dass dafür ein zusätzliches Kabel verlegt oder sonst irgendetwas an Hardware hinzugefügt werden muss

• Wir erhalten vollständigen Zugriff auf alle Ressourcen der zusammen geschlossenen Netzwerke z.B. Intranet Dienste die man eigentlich nur lokal im Netzwerk nutzen konnte

Beispiele für VPN AnwendungBeispiele für VPN Anwendung

• verteilte Unternehmensnetze können verbunden werden Hauptzentralle und Filiale

• Außendienstmitarbeiter können auf Ressourcen und Daten in dem Unternehmensnetz zuzugreifen , auf die sie eigentlich nur lokalen Zugriff hätten z.B. Außendienstmitarbeiter mit Notebook und UMTS Usb-stick

Tunneling TechnologieTunneling Technologie

• Gebrauch des Kommunikationsprotokolls eines Netzwerkdienstes als Transportmittel für Daten, die nicht zu diesem Dienst gehören. z.B. Internet mit TCP/IP als Transportmittel für unsere eigentlichen Datenpakette die für das Zielnetzwerk bestimmt sind

• Das verwendete Kommunikationsprotokoll wird wie eine Hülle genutzt, die dabei hilft, den tatsächlichen Inhalt zu transportieren

• ist die Basis moderner VPNs


• Pakete eines Netzwerkprotokolls werden in Pakete eines anderen Netzwerkprotokolls gekapselt und über dieses Netzwerk übertragen

• Datenpakete werden als Nutzdaten in ein IP-Paket verpackt, über das Internet übertragen und beim Empfänger wieder ausgepackt

• Es gilt Authentizität, Integrität und Vertraulichkeit, die in unsicheren Trägermedien nicht gewährleistet werden können, sicherzustellen

Tunneling ProtokolleTunneling Protokolle

PPTP (Point-to-Point Tunneling Protocol)• wurde ursprünglich von Microsoft und Ascend entwickelt und war

aufgrund seiner Integration in Windows weit verbreitet

• Übertragung von IP-Paketen, IPX- und NetBUI

• Je Kommunikationspaar kann nur ein Tunnel aufgebaut werden.

• keine Key-Management-Protokolle implementiert

• Die Datenverschlüsselung erfolgt nach dem RC4-Verfahren mit Schlüssellängen von 40, 56 oder 128 Bit

• Eine Paket- Integritätsrüfung ist nicht implementiert

• Zur Authentisierung dient PAP/ CHAP; eine Authentisierung der Tunnelenden ist jedoch nicht vorgesehen


L2F (Layer 2 Forwarding)• wurde von Cisco, Nortel und Shiva entwickelt (1999)

• Im Gegensatz zu PPTP sind mehrere Tunnel möglich

• Erlaubt mittels Client-ID mehrere parallele Verbindung innerhalb des Tunnels

• Die Authentisierung erfolgt über ein Challenge-Handshake-Verfahren

• Es erfolgt keine Verschlüsselung der Daten!


• Kein Key-Management

• Ist veraltet und wird nicht mehr verwendet, Status historical


L2TP (Layer 2 Tunneling Protocol)• L2TP vereint die Vorteile von PPTP und L2F

• IETF Standard für IP- und Non-IP-Traffic

• erlaubt den Betrieb mehrerer Tunnels

• L2TP erlaubt eine Authentisierung auf der Basis von CHAP/ PAP

• Es ist keine Verschlüsselung definiert.


• Kein Key-Management


SSL in Verbindung mit VPN• SSL wurde ursprünglich von Netscape entwickelt um eine

sichere, vertrauenswürdige Verbindung zwischen Client und Server zu gewährleisten

• Datenverschlüsselung: RSA, DES (SHA-1), Triple-DES (SHA-1), RC-4 (MD5)

• Authentisierung durch Zertifikate und nutzt Public Key Verschlüsselung um ein "Shared Secret"/ Session Key zu generieren

• Meistens über Webbrowser mit Active – X oder Java – Applikationen


SSL• Der Vorteil dieser Lösung bestehen darin, dass der Zugriff über

das VPN ins Firmennetz ohne eigenen VPN-Client vorgenommen werden kann z.B. einfach per Webbrowser aus dem Internet Café

• Nachteil: SSL ist eigentlich kein Tunnelprotokoll und muss auf der Application Ebene emuliert werden, was sich sehr negativ auf die Performance auswirkt

• Diese neue Tunneltechnik mittels SSL ist zwar nicht schlecht, kann aber IPsec nicht (ganz) das Wasser reichen


IPSec• steht für IP Security Protocol, Layer-3-Tunneling-Protokoll

• IPsec war ursprünglich für IP Version 6 geplant, ist heute jedoch (auch) vollständig für IPv4 standardisiert

• Zukunftssicherheit – kann leicht in bestehende Netze integriert werden

• keine Festlegung auf bestimmte Verschlüsselungsverfahren erfolgen muss

• für die Authentisierung und die Verschlüsselung können unterschiedliche Protokolle zum Einsatz kommen, die unabhängig voneinander oder zusammen eingesetzt werden können


IPSec• IPSec kann ohne Probleme um weitere Protokolle ergänzt werden

• Es erfüllt alle Anforderungen an die Sicherheit die man heute braucht

• der Tunnel ist - nach dem heutigen Stand der Kryptologie - als absolut sicher zu betrachten und bittet ein Höchstmaß an Sicherheit

• hat bereits die o.g. Layer-2-Protokolle langfristig als VPN-Standard-Protokoll abgelöst

• IPSec definiert zwei weitere Protokollköpfe (Header) für IP-Pakete, um eine Authentifizierung und eine Verschlüsselung zu erreichen, AH und ESP


IPSec – Paket Sicherheit mit AH• Paket- Integritätsrüfung bzw. Paket-Authentifizierung mittels des

Authentication Headers, AH schützt die Pakete vor Verfälschung mit Hash-Funktionen wie MD-5(Message Digest) und SHA-1(Secure Hashing Algorithmus)

• Wobei MD-5 vor kurzem geknackt worden ist GPU’s(CUDA)

• Zu SHA-1 gab es berichte über mögliche Security-Schwächen

• Hashing der Absender schickt eine Prüfsumme mit, an den Empfänger , errechnet der Empfänger dann die selbe, so ist sichergestellt dass das Packet unterwegs nicht manipuliert worden ist und nur vom Absender stammen kann

• {authentication_algorithm hmac_sha1, hmac_md5 ;} im Configfile ca. so


IPSec – Verschlüsselung der Daten mit ESP• Encapsulating Security Payload – ESP

• erfolgt mit einem beliebigen Schlüssel

(z.B. DES, Triple-DES, AES)

• unterstützt prinzipiell alle verfügbaren Verschlüsselungsalgorithmen Blowfish, IDEA usw.

• Es gibt 2 Mod‘s: Transport und Tunnelmodus

• { encryption_algorithm 3des, aes; } im Configfile ca. so


IPSec – Key-Managment IKE• Internet Key Exchange Protocol (IKE)

• Damit alles funktioniert müssen auf beiden Seiten viele Parameter ausgetauscht werden

– Art der gesicherten Übertragung (Authentisierung und/oder Verschlüsselung)

– Verschlüsselungsalgorithmus

– "Schlüssel„

– Dauer der Gültigkeit der Schlüssel, usw.

• 1 Möglichkeit wäre alles manuell einrichten keine Flexibilität

• 2 Möglichkeit, IKE benutzen der das alles automatisch abgleicht und konfiguriert und dabei eine SA (Security Association) erstellt


• IPSec – Security Association (SA)• ist ein temporäre, nur für den Zeitraum der Kommunikation

gültiger Vertrag zwischen den beiden Kommunikationspartnern

• beinhaltet alle zum Aufbau einer gesicherten Kommunikationsverbindung wichtigen Elemente und legt den Arbeitsmodus fest

• Im Vertrag stehen dann die Verfahren die bei der Verbindung benutzt werden Identifikation (entweder per PSK oder Zertifikat), Verschlüsselungart, Gültigkeit des Keys usw.

• für eine Kommunikation müssen immer zwei IPSec-SAs existieren, eine für den ausgehenden Verkehr und eine weitere für den ankommenden Verkehr

VPN-Arten:::Side-to-EndVPN-Arten:::Side-to-End

VPN-Arten:::Side-to-SideVPN-Arten:::Side-to-Side

VPN-Arten:::End-to-EndVPN-Arten:::End-to-End

Funktionsweise von VPNFunktionsweise von VPN

• Phase 1 des IKE: Der Client sendet einen Vorschlag mit Authentisierungs- und Verschlüsselungsalgorithmen.

• Der Server wählt aus den angebotenen und den von ihm unterstützten Algorithmen den sichersten aus und sendet das Auswahlergebnis an den Client.

• Der Client sendet seinen öffentlichen Teil vom Diffie-Hellman-Schlüsselaustausch und einen zufälligen Wert, Server tut das selbe


• beide kennen nun die öffentlichen Teile für den Diffie-Hellman-Schlüsselaustausch, jetzt wird der geheime Schlüssel berechnet.

• Der berechnete (Diffie-Hellman-)Schlüssel wird für die Erzeugung eines weiteren Schlüssels genutzt, der für die Authentifikation verwendet wird

• Jetzt kommt die Authentisierung. Dabei müssen sich beide Beteiligten als zugriffsberechtigt ausweisen


• 2 Möglichkeiten: mittels Pre-Shared-Keys(PSK) oder zertifikatsbasiert

• die zertifikatsbasierte Authentisierung verwendet X.509-Zertifikate und ist im Wesentlichen eine Public-Key-Infrastruktur

• PSK – fester Key in einer Datei, z.B unserem VPN client Nachteil: kommt der Key in die falschen Hände, müssen alle user ihre Keys austauschen, ein Zertifikat kann man dagegen einzeln sperren


• Es wird ein Hashwert über das mit dem Diffie-Hellman-Schlüsselaustausch erzeugte Geheimnis, die Identität, die ausgehandelten Kryptoverfahren sowie die bisher versandten Nachrichten gebildet, verschlüsselt und versendet

• Der Schlüssel, der hier für die Verschlüsselung genutzt wird, ist jedoch nicht der aus dem Diffie-Hellman-Schlüsselaustausch, sondern ein Hashwert über diesen sowie die versandten Nachrichten


• Phase 2 des IKE: Die gesamte Kommunikation in dieser Phase erfolgt verschlüsselt

• Wie in der ersten Phase wird zunächst ein Vorschlag gemacht und zusammen mit einem Hashwert und dem zufälligen Wert übertragen

• die Schlüssel werden neuberechnet

• Dies wird erreicht, indem ein zusätzlicher Diffie-Hellman-Austausch stattfindet

• Die Geheimnisse zur Schlüsselbildung werden verworfen, sobald der Austausch fertig ist


• Tunnel wird aufgebaut und User-PC bekommt virtuelle IP Adresse zugewiesen

• Jetzt kann endlich die Kommunikation stattfinden, unsere eigentlichen Komunikationsdatenpakete werden in IP-Pakete gekapselt und über das Internet zum Server gesendet

• Dort werden diese geprüft, entpackt und entschlüsselt und schließlich an den Ziel Rechner im Netzwerk weitergeleitet

ZusammenfassungZusammenfassung

• Bei aller Technikbegeisterung: Ein VPN dient dem Geldsparen!

• VPN ist ein Netzwerk bestehend aus virtuellen Verbindungen (z.B. durch das Internet), über die nicht öffentliche bzw. firmeninterne Daten sicher übertragen werden. Die VPN-Technologie ermöglicht kostengünstige und sichere Anbindungen von Außenstellen bzw. Niederlassungen und Aussendienstmitarbeitern

QuellenQuellen

• http://de.wikipedia.org/wiki/Virtual_Private_Network

• http://www.tcp-ip-info.de/tcp_ip_und_internet/tunneling_protokolle.htm

• http://www.tcp-ip-info.de/tcp_ip_und_internet/vpn.htm

• http://www.tcp-ip-info.de/tcp_ip_und_internet/tunneling_protokolle_uebersicht.htm

• http://www.tcp-ip-info.de/tcp_ip_und_internet/tunneling_protokolle.htm

• http://de.wikipedia.org/wiki/Tunneling

• http://fara.cs.uni-potsdam.de/~enke/vpn.htm

• http://www.tcp-ip-info.de/tcp_ip_und_internet/ipsec.htm

• http://www.abipur.de/hausaufgaben/neu/detail/stat/253835092.html

• http://www.grueneberg.de/andre/diplom/docs/vpn-ipsec.pdf

• http://www.inf.fu-berlin.de/lehre/SS05/ITsich/vortaege/ipsec-final.ppt

• http://www.lrz-muenchen.de/services/netz/mobil/vpn-technik/

• http://www.mobile.unibas.ch/vpn/vpn-what.html

• http://wiki.hackerboard.de/index.php/VPN_(Virtual_Privat_Network)

http://de.wikipedia.org/wiki/Virtual_Private_Network

http://www.tcp-ip-info.de/tcp_ip_und_internet/tunneling_protokolle.htm

http://www.tcp-ip-info.de/tcp_ip_und_internet/vpn.htm

http://www.tcp-ip-info.de/tcp_ip_und_internet/tunneling_protokolle_uebersicht.htm

http://www.tcp-ip-info.de/tcp_ip_und_internet/tunneling_protokolle.htm

http://de.wikipedia.org/wiki/Tunneling

Virtual Private Network Seminar Internet-Technologie Maxim Sharnopolsky.

Documents

Transcript of Virtual Private Network Seminar Internet-Technologie Maxim Sharnopolsky.