Vorlesung VPN - CDC

Vorlesung
VPN: Drahtgebunden und drahtlos
Fachbereich Informatik (FB 20)
Lehrstuhl Prof. J. Buchmann
WS-05 / V2 - 20.205.1
In Zusammenarbeit mit dem CAST-Forum
Dr. Wolfgang Böhmer
Skript: http://www.cdc.informatik.tudarmstadt.de/~wboehmer/
Email: [email protected]
Vorlesungsinhalte (6/9)
6 Varianz der VPN-Typen
1 VPN Einsatzmöglichkeiten
1. Intranet-VPN (Site-toSite)
2. Extranet-VPN (End-to-End)
3. Remote-Access-VPN (End-to-Site)
2 Eckpunkte für den Einsatz eines VPN
1.
2.
3.
4.
VPN-Sicherheitspolitik
VPN und Firewall
VPN und Router
Quality-of-Service in VPN / DiffServ in VPN
7 VPN-Basistechnologien
1
2
3
4
5
Tunneling
GRE-Verfahren als Vorbild für weitere Verfahren
Layer-2-Techniken (L2F, PPTP, L2TP, L2Sec)
Technologie-Vergleich
Absicherung der Layer-2 Techniken (IPSec, EAP-TLS)
20.12.2005
VPN-Virtual Private Networks / Vorlesung 20.205.1 / WS-05 / TU-Darmstadt /TI
Folie 2 / 16
VPN-Strukturen
•
Speziell für VPN der unteren OSI-Layer sind im Verlauf der Zeit mehrere
ähnliche Tunnelprotokolle entworfen worden.
– Point-to-Point Tunneling Protokoll (PPTP) von Microsoft, das im Grund eine
Erweiterung PPP-Verbindung darstellt. Unterstützt werden die Protokolle IP, IPX,
Netbios und Netbui.
– Internet Protocol Security (IPSec), das gemäß der IETF durch mehrere RCFs
spezifiziert wurde.
– Layer-2-Tunneling Protocol (L2TP), das aus zwei unterschiedlichen
Entwicklungszweigen hervorgegangen ist und ebenfalls durch mehrere RFCs
spezifiziert wurde.
Service
20.12.2005
Architektur
Technologien
Access VPN
Vom Endgerät aufgebaut
vom Netzzugang (NAS)
initiiert
L2F/L2TP,IPSec,
PSTN, xDSL, MobileIP,Kabel, Luftschnittstelle
Intranet und
Extranet VPN
IP-Tunnel
Virtual Circuit
MPLS, MPλS
GRE, IPSec
Frame-Relay, ATM
IP oder IP over ATM
VPN-Virtual Private Networks / Vorlesung 20.205.1 / WS-05 / TU-Darmstadt /TI
Folie 3 / 16
Tunneling – eine allgemeine Betrachtung
•
•
•
Tunneling: Der Versuch
zwei Netze zur
Zusammen-arbeit zu
bringen.
Sonderfall: Quell- und
Zielhost hängen am
gleichen Netztyp,
dazwischen liegt ein
anderer Netztyp.
Beispiel: Eine internationale Bank mit einem
TCP/IP basierten Ethernet
in Paris und London ist
über einem dazwischenliegenden PTT-WAN
verbunden.
20.12.2005
verhält sich wie eine serielle Verbindung
Ethernet in
Paris
WAN
Mehrfachprotokoll
Router
Mehrfachprotokoll
Router
Ethernet in
London
Tunnel
1
2
IP
IP
IP
Ethernet-Rahmen
IP-Paket im
Nutzdaten-feld des
WAN-Paketes
Ethernet-Rahmen
Auto
Auto
Ärmelkanal
Paris
VPN-Virtual Private Networks / Vorlesung 20.205.1 / WS-05 / TU-Darmstadt /TI
London
Folie 4 / 16
Lapto
p
Tunneling – In IP-Netzen
Sicherheitsgatway
-1-
Computer-A
Standort-X
A B Payload
•
•
•
Tunneling ist ein Konzept, mit
dem beliebige Datenpakete
über ein (unsicheres)
Transitnetz im
Huckepackverfahren
weitergeleitet werden können.
Tunnelanfang wird durch den
zusätzlichen IP-Header bestimmt
Tunnelendpunkt wird durch
den Wegfall den zusätzlichen
Header (1,2) definiert.
Ziel
Quelle
Daten
1
2
Internet
A
B
verschlüsselt
P
a
y
l
o
a
d
Sicherheitsgateway
-2-
Serve
r
ComputerB
A B Payload
Standort-Y
Ziel
Quelle
Daten
ComputerC
20.12.2005
VPN-Virtual Private Networks / Vorlesung 20.205.1 / WS-05 / TU-Darmstadt /TI
Folie 5 / 16
General Routing Encapsulation (GRE) Tunnel
•
•
Erster Tunnel-Standard seit 1994, (RFC-1701,1702)
Prinzip des Tunnels
–
–
–
–
0
GRE-Header (Protokoll-Kopf)
Eigentliche (ursprüngliche) Protokoll-Kopf (delivery-header)
Nutzlast (Payload)
Falls Seq.Nr. = 1 und Ack.Nr. = 1 erfolgt eine Datenflusskontrolle gemäß dem Sliding
Window-Prinzip
7
15
Ver=1
0 0 1S0 0 0 0 A 0 0 0 0
Protocol Type = x880B (PPP)
Payload Length
Call ID
Sequence Number (optional)
Acknowledge Number (optional)
IP-Header
20.12.2005
GRE-Header
PPP-Header
31
L3-Daten
VPN-Virtual Private Networks / Vorlesung 20.205.1 / WS-05 / TU-Darmstadt /TI
Folie 6 / 16
L2F (Layer-2-Forwarding)
•
•
•
•
•
Entstand zur gleichen Zeit wie das L2TP-Verfahren (CISCO, Northern
Telekom und SHIVA)
Bedeutung geht heute zugunsten des PPTP-Verfahren zurück
Standard gemäß RFC-2341
L2F ist nicht an das IP-Protokoll gebunden
L2F unterstützt mehrere logische Kanäle
Internet
Heimarbeitsplatz
POP
PPP
PPP
20.12.2005
ISP-Netzwerk
ISP-Netzwerk
Intranet
L2F Tunnel
L2F Tunnel
Host
Lokales-Netzwerk
Lokales-Netzwerk
VPN-Virtual Private Networks / Vorlesung 20.205.1 / WS-05 / TU-Darmstadt /TI
Folie 7 / 16
PPTP (Point-to-Point-Tunneling-Protokoll)
•
•
•
•
•
Entstand in der Zusammenarbeit
von Microsoft, 3COM, ECI
Telematics, Ascend
Communications und US Robotics
Erweiterung des PPP Protokoll
PPTP-Tunnel verhält sich wie eine
out-band-Lösung
Authentifizierungsverfahren PAP,
CHAP, MS-CHAP
Absicherung mittels MPPEVerfahren (RC4)
DFÜ-Verbindung
PPTP Access
Concentrator (PAC)
PC-Endgerät
PPP-Frame
Kontrollverbindung
(Out-Band)
PPP-Header
(Multiprotokollfähig)
PPPFrame
ohne
Flags
und
FCS
Internet
bzw. IP-Netz
Transit
IP-Paket
GRE-Header
Payload Length
Call-ID
Sequence Number
Tunnel-IP-Header
IP-Adresse (PAC)
IP-Adresse (PNS)
PPTP
Network
Server
(PNS)
Host
File-Server
20.12.2005
VPN-Virtual Private Networks / Vorlesung 20.205.1 / WS-05 / TU-Darmstadt /TI
Folie 8 / 16
Austausch von
Kontrollnachrichten
beim PPTP Verfahren
Server
im Intranet
PCEndgerät
PPTP-Access
Concentrator
(PAC)
PPTP-Network
Server (PNS)
IP-Netz
(Transitnetz)
DFÜ
•
•
•
Die Kontrollnachrichten
(gestrichelt) werden im
Out-Band-Verfahren
ausgetauscht.
Eine TCP-Verbindung wird
als Basis für die
Kontrollverbindung
zwischen PAC und PNS
aufgebaut.
Der eigentliche
Datenaustausch erfolgt in
einem gesicherten Tunnel.
Zeit
Aufbau TCP-Sitzung
LAN
Port 1723
Start-CC-Request
Start-CC-Reply
KontrollVerbindungsaufbau
Kontrollverbindung afgebaut
Echo-Request
Echo-Reply
Verbindun
gsanfrage (IC
)
IC-Request
IC-Reply
ahme (IC+)
Verbindungsann
aktive Verbindung
Prüfung der
Verbindungsbereitschaft
(keep-alive)
Sessionaufbau
IC-Connect
Datenaustausch
CC-Request
CD-Notify
Sessionabbau
Verbindungstrennung
Stop-CC-Request
Stop-CC-Reply
KontrollVerbindungsabbau
Kontrollverbindung abgebaut
Abbau TCP-Sitzung
20.12.2005
VPN-Virtual Private Networks / Vorlesung 20.205.1 / WS-05 / TU-Darmstadt /TI
Folie 9 / 16
L2TP-Tunnel
über eine PPP-Verbindung
DFÜ-Verbindung
L2TP Access
Concentrator (LAC)
PC-Endgerät
0
7
15
T L x x S x O P x Ver=2
Tunnel ID
Ns (optional)
Offset Size (optional)
PPP-Header
(Multiprotokollfähig)
31
Length (optional)
Session ID
Nr (optional)
Offset Padding (optional)
PPP-Frame
PPPFrame
ohne
Flags
und
FCS
Internet
bzw. IP-Netz
Transit
IP-Paket
L2TP-Header
Tunnel-ID
Session-ID
L2TP-Header
0
MT
7
M H
rsvd
AVP1
AVPi
15
Length
31
Vendor ID
Attribute Value
Attribute Type
UDP-Header
Absender-Port
Empfänger-Port:
1701
Tunnel-IP-Header
IP-Adresse (LAC)
IP-Adresse (LNS).
etc.
L2TP
Network
Server
(LNS)
Attribute Value
(Fortsetzung)
Host
File-Server
20.12.2005
VPN-Virtual Private Networks / Vorlesung 20.205.1 / WS-05 / TU-Darmstadt /TI
Folie 10 / 16
Auf- und Abbau einer
L2TP Kontroll- und
Tunnelverbindung
•
•
•
•
•
Der (IC) löst die eigentliche
Verbindung aus.
Durch Flagsetzung im T-Feld (1,0)
wird eine Kontrollnachricht von
einer Datennachricht unterschieden.
Es können mehrere logische PPPVerbindungen gleichzeitig
unterhalten werden.
Ein Verbindungsabbruch heißt nur
bei der letzten logischen PPPVerbindung auch gleich
Tunnelabbruch. (ZLB-Message)
Beim Dial-Out geschieht der gesamte
Vorgang in entgegengesetzte
Richtung.
Server
im Intranet
PCEndgerät
L2TP-Access
Concentrator
(LAC)
DFÜ
L2TP-Network
Server (LNS)
IP-Netz
(Transitnetz)
LAN
SCCRQ
SCCRP
SCCCN
ZLB ACK
KontrollVerbindungsaufbau
(Tunnel)
Tunnel
Hello
Verbindung
sa
nfrage (IC)
ZLB ACK
ICRQ
ahme (IC+)
Verbindungsann
Prüfung der
Verbindungsbereitschaft
(keep-alive)
ICRP
Sessionaufbau
ICCN
aktive Verbindung
PPP(IP)
IP[UDP[L2TP[PPP(IP)]]]
IP
Verbindung
sabbau (CCL
)
CDN
au (CCL-)
Verbindungsabb
ZLB ACK
Sessionabbau
Verbindungstrennung
Tunnel
Hello
ZLB ACK
Prüfung der
Verbindungsbereitschaft
(keep-alive)
StopCCN
ZLB ACK
20.12.2005
Tunnel abgebaut
KontrollVerbindungsabbau
VPN-Virtual Private Networks / Vorlesung 20.205.1 / WS-05 / TU-Darmstadt /TI
Folie 11 / 16
Vergleich Layer-2-Techniken
Eigenschaften
PPTP
L2F
L2TP
Standard / Status
RFC-2637
(informell)
RFC-2341
(informell)
RFC-2661
(Standard)
Medium
IP/GRE
IP/UDP,FR,ATM
IP/UDP,FR,ATM
Private Adresszuweisung
Ja
Ja
ja
Multiprotokoll Unterstützung
Ja
Ja
ja
Kanäle
Eingang und Ausgang
Eingang
Eingang und Ausgang
Protokoll
Kontrolle über TCP Port 1723
Kontrolle über UDP Port 1701
Kontrolle über UDP Port 1701
Verschlüsselung
Microsoft PPP
(Encryption MPPE)
PPP Encryption (MPPE) ;
IPSec optional
PPP Encryption (MPPE/ECP) ;
IPSec optional
Authentifizierung
PPP (Authentifizierung User)
PPP Authentifizierung
(user);IPSec optional (Paket)
PPP Authentifizierung (user);
IPSec optinal (Paket)
Tunnel-Modus
Typischerweise voluntary
Tunnel-Modus
Compulsory Tunnel-Modus
Voluntary & compulsory
Tunnel-Modus
Mehrere Kanäle pro Tunnel
Nein
ja
ja
PPP multilink Unterstützung
Nein
Ja
Ja
20.12.2005
VPN-Virtual Private Networks / Vorlesung 20.205.1 / WS-05 / TU-Darmstadt /TI
Folie 12 / 16
L2Sec gemäß dem Vorschlag von RFC-2716
•
•
•
•
L2Sec bildet im Kern eine gesicherte PPP-Verbindung in Form einer Dial-InLösung ab.
Es wird der bei PPP vorhandene Verbindungskontrollmechanismus (Link
Control Protocol, LCP) durch einen Authentifizierungsprozess (Extensible
Authentication Protocol, EAP (RFC-2284), ergänzt
Zusätzlich wird eine Verschlüsselung TLS/SSL eingesetzt, so dass ein L2TPEAP-TLS-Protocol entstand.
Ähnliche Konstrukte sind bei der Cisco-WLAN Lösung (AP 1200) zu finden.
20.12.2005
VPN-Virtual Private Networks / Vorlesung 20.205.1 / WS-05 / TU-Darmstadt /TI
Folie 13 / 16
Vertraulichkeit bei L2TP mittels IPSec
•
Ein L2TP-Tunnel wird
in ein UDP-Paket
gekapselt transportiert.
a oben) Eine Absicherung
reicht nur bis zum
Sicherheitsgateway
(LNS).
b oben) Um eine vollständige Ende-zu-Ende
Absicherung zu erlangen müssen beide
Endgeräte IPSec-fähig
sein.
a unten) IPSec-Absicherung nur zwischen
LAC und LNS
L2TP-Network
Server (LNS)
DFÜ
IP
PPP
IP-Netz
(Transitnetz)
LAN
PPP
L2TP
IP
IP-Sec
a
b
IP-Sec
Server
im Intranet
PC-Endgerät
PPP-Client
L2TP-Access
Concentrator
(LAC)
DFÜ
IP
PPP
L2TP-Network
Server (LNS)
IP-Netz
(Transitnetz)
L2TP
a
b
c
20.12.2005
Server
im Intranet
PC-Endgerät
L2TP fähig
LAN
IP
IP-Sec
IP-Sec
IP-Sec
VPN-Virtual Private Networks / Vorlesung 20.205.1 / WS-05 / TU-Darmstadt /TI
Folie 14 / 16
Übungen
1.
2.
3.
4.
Wie arbeitet das Sliding Window Prinzip?
Wie ist beim Layer-2 Tunneling der Aspekt der Vertraulichkeit geregelt?
Wie ist beim Layer-2 Tunneling der Aspekt der Integrität geregelt?
Welche weitere Möglichkeiten kennen Sie, um in einem Layer-2 Tunneling
die Vertraulichkeit zu garantieren?
20.12.2005
VPN-Virtual Private Networks / Vorlesung 20.205.1 / WS-05 / TU-Darmstadt /TI
Folie 15 / 16
Literatur
•
http://www.tu-darmstadt.de/vvws/comments/20.205.tud
•
Tanenbaum, Andrew. S.: Computernetzwerke, 3.revidierte Auflage, Prentice Hall,
Pearson Studium; München 2000; ISBN 3-8273-7011-6.
Comer, D, E.: Computernetzwerke und Internets, Neuauflage, Pearson Education,
München 2000; ISBN 3-8273-7012-4.
Detken, Kai-Oliver; Eren, Evren.: Extranet, VPN-Technik zum Aufbau sicherer
Unternehmensnetze; Addison-Wesley, ein Imprint der Pearson Education
Deutschland GmbH, München 2001; ISBN 3-8273-1674-X.
•
•
20.12.2005
VPN-Virtual Private Networks / Vorlesung 20.205.1 / WS-05 / TU-Darmstadt /TI
Folie 16 / 16