VPN: wired and wireless - Security Engineering Group | TU Darmstadt

VPN: wired and wireless
Fachbereich Informatik (FB 20)
Fachgruppe: Security Engineering
Modul: 2000096VI LV-8
er
Skriptum und Literatur:
http://www2.seceng.informatik.tu-darmstadt.de/vpn10/
Wolfgang BÖHMER, TU-Darmstadt,
Hochschulstr. 10, D-64289 Darmstadt,
Dep. of Computer Science, Security Engineering Group
Email: [email protected]
VPN-Virtual Private Networks | Vorlesung 2000096VI | WS10-11 | TU-Darmstadt |
Vorlesungsinhalt LV-8
  Überblick in die Varianz der unterschiedlichen VPN-Typen
  VPN-Einsatzmöglichkeiten
  Intranet-VPN (Site-to-Site)
  Extranet-VPN (End-to-End)
  Remote-Access-VPN (End-to-Site)
  Sicherheitsaspekte im VPN Einsatz
 
 
 
 
VPN-Sicherheitspolitik / VPN-Policies
VPN und Firewall
VPN und Router
QoS in VPNs (DiffServ in VPNs)
  Basistechnologien für VPNs
 
 
 
 
 
Tunneling Verfahren (eine anschauliche Perspektive)
GRE-Verfahren als Vorbild
Layer-2-Techniken (L2F, PPTP, L2TP, L2Sec)
Vergleich der verschiedenen Technologien
Absicherung der Layer-2 Techniken mittels (IPSec, EAP-TLS)
  Übungen
  Literatur
VPN-Virtual Private Networks | Vorlesung 2000096VI | WS10-11 | TU-Darmstadt |
Folie 2
VPN-Strukturen
Service, Architektur, Technologien
  Speziell für VPN der unteren OSI-Layer sind im Verlauf der Zeit
mehrere ähnliche Tunnelprotokolle entworfen worden.
  Point-to-Point Tunneling Protokoll (PPTP) von Microsoft, das im Grund
eine Erweiterung PPP-Verbindung darstellt. Unterstützt werden die
Protokolle IP, IPX, Netbios und Netbui.
  Internet Protocol Security (IPSec), das gemäß der IETF durch mehrere
RCFs spezifiziert wurde.
  Layer-2-Tunneling Protocol (L2TP), das aus zwei unterschiedlichen
Entwicklungszweigen hervorgegangen ist und ebenfalls durch mehrere
RFCs spezifiziert wurde.
Service
Architektur
Technologien
Access VPN
Vom Endgerät aufgebaut
vom Netzzugang (NAS)
initiiert
L2F/L2TP,IPSec,
PSTN, xDSL, MobileIP,Kabel, Luftschnittstelle
Intranet und
Extranet VPN
IP-Tunnel
Virtual Circuit
MPLS, MPλS
GRE, IPSec
Frame-Relay, ATM
IP oder IP over ATM
VPN-Virtual Private Networks | Vorlesung 2000096VI | WS10-11 | TU-Darmstadt |
Folie 3
Tunneling – eine Illustration
Das Huckepack-Verfahren im Ärmelkanal
  Tunneling: Der Versuch
zwei Netze zur
Zusammenarbeit zu
bringen.
  Sonderfall: Quell- und
Zielhost hängen am
gleichen Netztyp,
dazwischen liegt ein
anderer Netztyp.
  Beispiel: Eine internationale Bank mit
einem TCP/IP basierten
Ethernet in Paris und
London ist über einem
dazwischen liegenden
PTT-WAN verbunden.
VPN-Virtual Private Networks | Vorlesung 2000096VI | WS10-11 | TU-Darmstadt |
Folie 4
Tunneling – In IP-Netzen
Das Huckepack-Verfahren in der Kommunikation
  Tunneling ist ein Konzept, mit dem
beliebige Datenpakete über ein
(unsicheres) Transitnetz im
Huckepackverfahren weitergeleitet
werden können.
  Tunnelanfang wird durch den
zusätzlichen IP-Header bestimmt
  Tunnelendpunkt wird durch den
Wegfall den zusätzlichen Header (1,2)
definiert.
VPN-Virtual Private Networks | Vorlesung 2000096VI | WS10-11 | TU-Darmstadt |
Folie 5
General Routing Encapsulation (GRE) Tunnel
IP-Tunneling ohne Verschlüsselung
  Erster Tunnel-Standard
seit 1994,
(RFC-1701,1702)
  Prinzip des Tunnels
  GRE-Header (Protokoll-Kopf)
  Eigentliche (ursprüngliche)
Protokoll-Kopf (delivery-header)
  Nutzlast (Payload)
  Falls Seq.Nr. = 1 und Ack.Nr. = 1
erfolgt eine Datenflusskontrolle
gemäß dem Sliding WindowPrinzip
VPN-Virtual Private Networks | Vorlesung 2000096VI | WS10-11 | TU-Darmstadt |
Folie 6
L2F (Layer-2-Forwarding)
  Entstand zur gleichen Zeit wie das L2TP-Verfahren
(CISCO, Northern Telekom und SHIVA)
  Bedeutung geht heute zugunsten des PPTP-Verfahren
zurück
  Standard gemäß RFC-2341
  L2F ist nicht an das IP-Protokoll gebunden
  L2F unterstützt mehrere logische Kanäle
VPN-Virtual Private Networks | Vorlesung 2000096VI | WS10-11 | TU-Darmstadt |
Folie 7
PPTP (Point-to-Point-TunnelingProtokoll)
  Entstand in der
Zusammenarbeit von
Microsoft, 3COM, ECI
Telematics, Ascend
Communications und US
Robotics
  Erweiterung des PPP
Protokoll
  PPTP-Tunnel verhält sich
wie eine out-band-Lösung
  Authentifizierungsverfahre
n PAP, CHAP, MS-CHAP
  Absicherung mittels MPPEVerfahren (RC4)
VPN-Virtual Private Networks | Vorlesung 2000096VI | WS10-11 | TU-Darmstadt |
Folie 8
  Die
Kontrollnachrichten
(gestrichelt) werden
im Out-BandVerfahren
ausgetauscht.
  Eine TCP-Verbindung
wird als Basis für die
Kontrollverbindung
zwischen PAC und
PNS aufgebaut.
  Der eigentliche
Datenaustausch
erfolgt in einem
gesicherten Tunnel.
Zeit
Austausch von
Kontrollnachrichten
beim PPTP Verfahren
VPN-Virtual Private Networks | Vorlesung 2000096VI | WS10-11 | TU-Darmstadt |
Folie 9
L2TP-Tunnel
über eine PPP-Verbindung
VPN-Virtual Private Networks | Vorlesung 2000096VI | WS10-11 | TU-Darmstadt |
Folie 10
Auf- und Abbau einer L2TP
Kontroll- und Tunnelverbindung
  Der (IC) löst die eigentliche
Verbindung aus.
  Durch Flagsetzung im T-Feld (1,0)
wird eine Kontrollnachricht von
einer Datennachricht
unterschieden.
  Es können mehrere logische PPPVerbindungen gleichzeitig
unterhalten werden.
  Ein Verbindungsabbruch heißt nur
bei der letzten logischen PPPVerbindung auch gleich
Tunnelabbruch. (ZLB-Message)
  Beim Dial-Out geschieht der
gesamte Vorgang in entgegen
gesetzter Richtung.
VPN-Virtual Private Networks | Vorlesung 2000096VI | WS10-11 | TU-Darmstadt |
Folie 11
Vergleich Layer-2-Techniken
PPTP – L2F – L2TP
Eigenschaften
PPTP
L2F
L2TP
Standard / Status
RFC-2637
(informell)
RFC-2341
(informell)
RFC-2661
(Standard)
Medium
IP/GRE
IP/UDP,FR,ATM
IP/UDP,FR,ATM
Private Adresszuweisung
Ja
Ja
ja
Multiprotokoll Unterstützung
Ja
Ja
ja
Kanäle
Eingang und Ausgang
Eingang
Eingang und Ausgang
Protokoll
Kontrolle über TCP Port
1723
Kontrolle über UDP Port
1701
Kontrolle über UDP Port
1701
Verschlüsselung
Microsoft PPP
(Encryption MPPE)
PPP Encryption (MPPE) ;
IPSec optional
Authentifizierung
PPP (Authentifizierung
User)
Tunnel-Modus
Typischerweise voluntary
Tunnel-Modus
PPP Authentifizierung
(user);IPSec optional
(Paket)
Compulsory Tunnel-Modus
PPP Encryption (MPPE/
ECP) ;
IPSec optional
PPP Authentifizierung
(user); IPSec optinal (Paket)
Mehrere Kanäle pro Tunnel
Nein
ja
ja
PPP multilink Unterstützung
Nein
Ja
Ja
VPN-Virtual Private Networks | Vorlesung 2000096VI | WS10-11 | TU-Darmstadt |
Voluntary & compulsory
Tunnel-Modus
Folie 12
L2Sec gemäß dem Vorschlag von RFC-2716
Das L2TP-EAP-TLS Protokoll
  L2Sec bildet im Kern eine gesicherte PPP-Verbindung in Form
einer Dial-In-Lösung ab.
  Es wird der bei PPP vorhandene
Verbindungskontrollmechanismus (Link Control Protocol, LCP)
durch einen Authentifizierungsprozess (Extensible
Authentication Protocol, EAP (RFC-2284), ergänzt
  Zusätzlich wird eine Verschlüsselung TLS/SSL eingesetzt, so
dass ein L2TP-EAP-TLS-Protocol entstand.
  Ähnliche Konstrukte sind bei der Cisco-WLAN Lösung (AP 1200)
zu finden.
VPN-Virtual Private Networks | Vorlesung 2000096VI | WS10-11 | TU-Darmstadt |
Folie 13
Vertraulichkeit bei L2TP mittels IPSec
  Ein L2TP-Tunnel
wird in ein UDPPaket gekapselt
transportiert.
a oben) Eine
Absicherung reicht
nur bis zum
Sicherheitsgateway
(LNS).
b oben) Um eine vollständige Ende-zuEnde Absicherung zu
er-langen müssen
beide Endgeräte
IPSec-fähig sein.
a unten) IPSec-Absicherung nur
zwischen LAC und
LNS
VPN-Virtual Private Networks | Vorlesung 2000096VI | WS10-11 | TU-Darmstadt |
Folie 14
Grenzen der VPN-Technologie bei
Anforderungen der Anonymität
  http://www.torproject.org
  Tor is a network of virtual tunnels that allows people and groups to improve
their privacy and security on the Internet.
  It also enables software developers to create new communication tools with
built-in privacy features.
  Tor provides the foundation for a range of applications that allow
organizations and individuals to share information over public networks
without compromising their privacy.
  Individuals use Tor to keep websites from tracking them.
  Journalists use Tor to communicate more safely with whistleblowers and dissidents.
  Non-governmental organizations (NGOs) use Tor to allow their workers to connect to their
home website while they're in a foreign country, without notifying everybody nearby that
they're working with that organization.
  Groups such as Indymedia recommend Tor for safeguarding their members' online
privacy and security.
  A branch of the U.S. Navy uses Tor for open source intelligence gathering, and one of its
teams used Tor while deployed in the Middle East recently.
VPN-Virtual Private Networks | Vorlesung 2000096VI | WS10-11 | TU-Darmstadt |
Folie 15
Arbeitsweise von TOR (1)
Ziel: Anonymität einer vertraulichen Verbindung
  Welche Art von
Tunneling wird
benötigt?
  Wie könnte eine
anonyme
Kommunikation
zwischen Alice und
BoB oder auch Jane
mittels VPN
aussehen?
  Welche
Mechanismen
müssten bei einem
herkömmlichen VPN
verändert werden.
  Mit welchen
Konzepten wird
dies Ziel erreicht?
Electronic Frontier Foundation (EFF)
VPN-Virtual Private Networks | Vorlesung 2000096VI | WS10-11 | TU-Darmstadt |
Folie 16
Arbeitsweise von TOR (2)
only one hop, ten minutes a new circuit
  Once a circuit has been established, many kinds of data can be
exchanged and several different sorts of software applications
can be deployed over the Tor network. Because each relay sees
no more than one hop in the circuit, neither an eavesdropper
nor a compromised relay can use traffic analysis to link the
connection's source and destination. Tor only works for TCP
streams and can be used by any application with SOCKS
support.
VPN-Virtual Private Networks | Vorlesung 2000096VI | WS10-11 | TU-Darmstadt |
Folie 17
Arbeitsweise von TOR (3)
zeitlich veränderbare Pfade
  For efficiency,
the Tor
software uses
the same circuit
for connections
that happen
within the same
ten minutes or
so. Later
requests are
given a new
circuit, to keep
people from
linking your
earlier actions
to the new
ones.
VPN-Virtual Private Networks | Vorlesung 2000096VI | WS10-11 | TU-Darmstadt |
Übungen zur Vorlesung VPN – Virtual Private Networks
ÜBUNGEN – LV08
VPN-Virtual Private Networks | Vorlesung 2000096VI | WS10-11 | TU-Darmstadt |
Folie 19
Übungen-Ü01
1. Wie arbeitet das Sliding Window Prinzip?
  Wie könnte das Sliding Window Prinzip mittels formalen Methoden beschrieben werden?
2. Wie ist beim Layer-2 Tunneling der Aspekt der Vertraulichkeit geregelt?
3. Wie ist beim Layer-2 Tunneling der Aspekt der Integrität geregelt?
4. Welche weitere Möglichkeiten kennen Sie, um in einem Layer-2 Tunneling die
Vertraulichkeit zu garantieren.
5. Welche Nachteile hat ein herkömmliches VPN, wenn neben der Vertraulichkeit
auch die Anonymität gefordert ist.
  Beschreiben Sie hierzu zwei notwendige Modifikationen eines herkömmlichen VPNs
Falls Sie eine Übung einreichen möchten, dann bitte in der folgenden
Nomenklatur für die Datei
LV08-Ü01-Name.pdf
VPN-Virtual Private Networks | Vorlesung 2000096VI | WS10-11 | TU-Darmstadt |
Folie 20
Literatur
  Huston G.: Internet Performance Survival Guide, QoS Strategies for
Multiservice Networks, ISBN 0-471-37808-9
  Comer, 1995: Internetworking with TCP/IP Vol. I., ISBN 0-13-216987-8
  ITU-T Recommendation Series X: Data Networks and Open System
Communications, Directory X.509 (03/2000)
  ITU-T Recommendation Series X: Data Networks and Open System
Communications, Directory X.500 (02/2001)
  Aurand, A.: Sicherheit in CISCO- und Windows-2000-Netzwerken, AddisonWesley-Verlag, ISBN 3-8273-1930-7, 2001
  CISCO IOS 12.0 Network Security, CISCO Dokumentation, Verlag
Markt&Technik, 2000, ISBN 3-8272-5677-1
  Stempfle, C.:RADIUS und Diameter, Seminar Mobilkommunikation SS2005
VPN-Virtual Private Networks | Vorlesung 2000096VI | WS10-11 | TU-Darmstadt |
Folie 21