RAS - Server
Werbung
RAS - Server Christiane Bär 02INF2 09971 Inhalt RAS RAS (Service) RAS (Server) Verbindungsmedien Protokolle Sicherheitsprotokolle DHCP Sicherheitsziele Anwendungsbeispiele RAS - Server Christiane Bär 11.1.2006 2 Inhalt VPN Grundlagen Tunneling Tunnel – Protokolle Anwendungen RADIUS Grundlagen Praxis RAS - Server Christiane Bär 11.1.2006 3 RAS – Remote Access Service Begriffe Remote – Entfernung Access – Zugang Service – Dienst Beschreibung Anwendungsdienst Verbindung lokaler mit entfernten Computern „transparente“ Nutzung von Netzwerken RAS - Server Christiane Bär 11.1.2006 4 RAS – Remote Access Server Begriffe Remote – Entfernung Access – Zugang Server – Dienstanbieter Beschreibung Zugangssteuerung für Remote – User Zugang zum Unternehmensnetz / Ressourcen / -Diensten Verbindungsaufbau über Wählnetze Authentifizierung des Anrufenden RAS - Server Christiane Bär 11.1.2006 5 RAS – Remote Access Server RAS - Server Verringert Abhängigkeit zu den Leistungsschwankungen des Internets Eingehende Verbindungen über DFÜ – Netzwerk oder andere PPP – DFÜ – Software Gleichzeitig mehrere Wählverbindungen Modem-, ISDN- oder X.25 Verbindungen kostenintensiv Christiane Bär 11.1.2006 6 RAS - Verbindungsmedien Server: Wählleitungen für die Erreichbarkeit Clients: Einwählverbindungen Nachteil: geringe Übertragungsrate 56 kBit/s (Modem) 64 kBit/s (ISDN, ein B – Kanal) 128 kBit/s (ISDN, zwei B – Kanäle) DFÜ – Netzwerk Bietet Verbindungen mit niedriger Übertragungsrate zum Internet RAS - Server Christiane Bär 11.1.2006 7 RAS – Verbindungsmedien Modem Modulator / Demodulator Übertragungsrate max. 56 kBit/s (7 kByte/s) gleichen Modemtyp verwenden X.25 In paketvermittelnden Netzen Vermittlungs- und Leitungswege ständig angepasst Direkte Verbindung (von Windows unterstützt) oder asynchrone Verbindung RAS - Server Christiane Bär 11.1.2006 8 RAS – Verbindungsmedien ISDN Integrated Services Digital Network Schnellere Übertragung als bei analogen Verbindungen Wird Modem bevorzugt Zwei B – Kanäle Je 64 kBit/s Übertragungsrate Getrennt oder zusammen genutzt Nutzung der Kanalbündelung abhängig von den ausgeführten Arbeiten RAS - Server Christiane Bär 11.1.2006 9 RAS - Protokolle Verwendung des PPP – Protokolls Transportprotokolle unter PPP: TCP / IP Novell NetWare IPX / SPX Microsoft NetBEUI AppleTalk SLIP RAS - Server Christiane Bär 11.1.2006 10 RAS – Protokolle – PPP Point – to – Point – Protokoll Gewährleistet Interoperabilität Flexibilität in der Auswahl von Hard- und Software Unterstützt Kennwort – Verschlüsselung, automatische Fehlerbehandlung und Komprimierungsfunktionen Für die Verkapselung von Datagrammen über serielle Leitungen verwendet RAS - Server Christiane Bär 11.1.2006 11 RAS – Protokolle – PPP Verbindungssequenz Datenblockregeln werden erstellt und ermöglichen eine kontinuierliche Kommunikation Authentifizierung des Remote – Users durch Authentifizierungsprotokolle Bei aktivierten Rückruf – beenden der Verbindung und Rückruf durch den Server Datenübertragung bei erfolgreicher Verbindung RAS - Server Christiane Bär 11.1.2006 12 RAS – Protokolle – PPP LCP – Link Control Protocol Überprüft die Qualität der Verbindung Bei Bedarf Authentifizierung der Gegenstellen NCP – Network Control Protocol Kontrollprotokoll Konfiguration des zu übertragenden Protokolls IPCP – IP Control Protocol Art von DHCP Wird IP über PPP getunnelt => NCP RAS - Server Christiane Bär 11.1.2006 13 RAS – Protokolle – TCP / IP Unterstützt Kommunikation zwischen unterschiedlichen Hardware – Architekturen und Betriebssystemen IP (Internet Protocol)– Adressierung Sorgt dafür, dass das Ziel erreicht wird TCP (Transmission Control Protocol) – Datenübertragung Stellt Datenstrom zur Anwendung Im LAN und WAN anwendbar RAS - Server Christiane Bär 11.1.2006 14 RAS – Protokolle – IPX / SPX Protokollfamilie für lokale Novell - Netzwerke IPX: internetworking packet exchange Verbindungsloses Übertragungsprotokoll Adressierung SPX: sequence packet exchange Verbindungsorientiertes Transportprotokoll Sicheres Ankommen durch Prüfsumme In Windows durch NWLink implementiert Heute auch bei Novell von TCP / IP abgelöst RAS - Server Christiane Bär 11.1.2006 15 RAS – Protokoll - SLIP Serial line internet protocol Gewährleistet Interoperabilität Keine eindeutige Paketlänge 2 Steuerzeichen: ESC und END ESC – IP – Daten – END Hauptsächlich in UNIX – RAS – Servern eingesetzt Wird noch von RAS – Clients unter Windows unterstützt, nicht aber von RAS - Servern RAS - Server Christiane Bär 11.1.2006 16 RAS – Protokolle – NetBEUI Ursprünglich: Network Basic Extended User Interface von IBM Später: NetBIOS Extended User Interface von Microsoft und anderen Umgebung für Kommunikationsdienste: NetBIOS als Schnittstelle für Anwendungen NetBEUI als Transportprotokoll NDIS als Schnittstelle zum Netzwerkadapter Heute kaum noch verwendet RAS - Server Christiane Bär 11.1.2006 17 RAS – Protokolle – AppleTalk Implementiert den Zugriff auf Netzwerke mit Apple – Macintosh – Computer ATCP (AppleTalk Control Protocol) unterstützt Remotezugriff unter AppleTalk RAS - Server Christiane Bär 11.1.2006 18 RAS - Sicherheitsprotokolle Authentifizierung und Datenverschlüsselung Authentifizierungsverfahren MS – CHAP (v2) CHAP EAP – TLS SPAP PAP Verschlüsselungsverfahren MPPE RAS - Server Christiane Bär 11.1.2006 19 RAS – Sicherheitsprotokolle MS – CHAP (v2) Microsoft Challenge Handshake Authentification Protocol Erhöhung der Sicherheit bei der Übertragung von Sicherheitsinformationen dem Erstellen von Schlüsseln für die Datenverschlüsselung v2 für VPN – Verbindungen entwickelt RAS - Server Christiane Bär 11.1.2006 20 RAS – Sicherheitsprotokolle CHAP Challenge Handshake Authentification Protocol Server sendet challenge mit Sitzungskennung und einer zufälligen Buchstabenfolge Client antwortet mit Benutzernamen (Klartext) und einer Passwortkombination aus Sitzungskennung, challenge string und Passwort RAS - Server Christiane Bär 11.1.2006 21 RAS – Sicherheitsprotokolle PAP Password Authentification Protocol Server verlangt Passwort und Benutzername Übermittlung im Klartext Unsicher Dritte können Daten abhören RAS - Server Christiane Bär 11.1.2006 22 RAS – Sicherheitsprotokolle EAP - TLS Extensible Authentification – Protocol – Transport – Layer Security TLS als Weiterentwicklung des SSL Unterstützt viele Authentifizierungsmechanismen Aushandlung des konkret eingesetzten Mechanismus erfolgt erst während der Authentifizierungsphase RAS - Server Christiane Bär 11.1.2006 23 RAS - Datenverschlüsselung MPPE Microsoft Point – to – Point Encryption Chiffrierschlüssel 40 – Bit (Basisverschlüsselung) 56 – Bit (starke Verschlüsselung 128 – Bit (stärkste Verschlüsselung) Benötigt als Authentifizierungsprotokoll MS – CHAP oder EAP - TLS RAS - Server Christiane Bär 11.1.2006 24 RAS – DHCP Dynamic Host Configuration Protocol Dynamische Zuweisung von IP – Adressen Grundprinzip Server verteilt automatisch IP – Adressen Client muss automatischen Bezug akzeptieren Nach Trennung: Freigabe und Neuverteilung Vorteil: Keine Umkonfigurieren an allen Computern Vermeiden fehlerhafter Konfiguration RAS - Server Christiane Bär 11.1.2006 25 RAS – DHCP IP – Adressen Verteilung Automatische Zuordnung Manuelle Zuordnung Dynamische Zuordnung Zusätzliche Informationen für die Verteilung, Angabe über: Adresspool Subnetzmaske DNS – Domäne Gateway RAS - Server Christiane Bär 11.1.2006 26 RAS – DHCP Kommunikation Client schickt „DHCP – discover“ Server antwortet mit „DHCP – offer“ Client entscheidet und schickt „DHCP – request“ Server übersendet IP – Konfigurationsdaten mit „DHCP – acknowledge“ RAS - Server Christiane Bär 11.1.2006 27 RAS - Sicherheitsziele Zugangssicherheit Eindeutige Identifikation des Benutzers Zugriffskontrolle Berechtigungen und Einschränkungen Verfügbarkeit Ob und wie ein RAS – Server erreichbar ist Kommunikationssicherheit Authentizität und Vertraulichkeit RAS - Server Christiane Bär 11.1.2006 28 RAS - Anwendungsbeispiele Anbindung einzelner Arbeitsstationen HomeOffice Anbindung mobiler Rechner Mobile Office Anbindung ganzer LANs Filialen und Außenstellen Management – Zugriff Fernwartung RAS - Server Christiane Bär 11.1.2006 29 VPN – Virtual Private Network Begriffe Virtual – nicht wirklich existent Private – nicht für die Öffentlichkeit bestimmt Network – Netzwerk Beschreibung Ähnlich dem RAS – Server Verbindung über das Internet Tunnelverbindung für sichere Datenübertragung RAS - Server Christiane Bär 11.1.2006 30 VPN - Tunneling Verschlüsselte Datenverbindung zwischen zwei Kommunikationspartnern Layer – 3 – Tunneling Layer – 2 – Tunneling RAS - Server Christiane Bär 11.1.2006 31 VPN - Layer - 3 - Tunneling Zur Adressierung des Datenpaketes wird IP (Internet Protocol) genutzt Realisierung mit IPsec sichere Verbindung zu einem privaten Netzwerk Teilnehmer authentifizieren sich gegenseitig und verschlüsseln die über VPN übertragenen Daten IPsec legt eigene Sicherheitsverfahren und - mechanismen fest RAS - Server Christiane Bär 11.1.2006 32 VPN – Layer – 2 – Tunneling Datenpaket der Schicht 3 verschlüsselt und mit einer physikalischen Adresse versehen. Tunnelprotokolle PPTP oder L2TP verwendet unterstützen sowohl verschlüsselte als auch unverschlüsselte Authentifizierung Stellen Zugriffskontrollmechanismen bereit, die eine Sicherung des Datenverkehrs in einem VPN ermöglichen machen von den Sicherheitsmechanismen des PPP - Protokolls gebrauch RAS - Server Christiane Bär 11.1.2006 33 VPN - Tunneling Obligatorische Tunnel Initiierung der Tunnelverbindung und Unterstützung des Tunnelprotokolls durch den Server Client muss keine Extraunterstützung für das Tunneling besitzen Freiwilliger Tunnel Client übernimmt Initiierung der Tunnelverbindung und Unterstützung der Tunnelprotokolle RAS - Server Christiane Bär 11.1.2006 34 VPN – Tunnel - Protokolle Verwaltet Verbindung und übertragt verschlüsselte Daten Nutzen kryptografische Verfahren für eine gesicherte Verbindung Auch mehrere Tunnel möglich RAS - Server Christiane Bär 11.1.2006 35 VPN – Tunnel - Protokolle Aufgaben von Tunnel – Protokollen Aufbau, Aufrechterhaltung und Abbau des bzw. der Tunnel kryptographisches Verfahren zur Realisierung des Tunnels ausgehandeln Schlüsselaustausch-, Verschlüsselungs- und Signaturverfahren Ver- und Entpacken der Datenpakete der durch den Tunnel übertragbaren Protokolle Ver- und Entschlüsselung der Datenpakete RAS - Server Christiane Bär 11.1.2006 36 VPN – Tunnel – Protokolle - PPTP Point – to – Point – Tunneling Protocol Erlaubt gegenseitige Authentifizierung Erweiterung von PPP, verbessert jedoch: Authentifizierungsmechanismen Komprimierungsmechanismen Verschlüsselungsmechanismen RAS - Server Christiane Bär 11.1.2006 37 VPN – Tunnel – Protokolle - PPTP Einkapselung PPTP – Frame aus PPP – Frame mit verschlüsseltem Inhalt entstanden Zusätzlich noch mit einem GRE- und einem IP – Header versehen (GRE – Generic Routing Encapsulation – enthält Angaben über das Tunnelprotokoll und die Authentifizierungsmechanismen) RAS - Server Christiane Bär 11.1.2006 38 VPN – Tunnel – Protokolle - L2TP Layer – 2 – Tunneling Protocol Weiterentwicklung des PPTP und L2F unterstützt verschiedene Protokolle und mehrere parallele Tunnel Wird hauptsächlich mit IPsec verwendet VPN – Authentifizierung basiert auf einem Austausch von Zertifikaten, der den unberechtigten Zugriff auf Ressourcen und Daten verhindert Bieten Weg Schlüssel zur Datenverschlüsselung auszutauschen RAS - Server Christiane Bär 11.1.2006 39 VPN – Tunnel – Protokolle - L2TP Einkapselung L2TP: PPP – Frame wird mit L2TP- und UDP- Header versehen IPsec: Es wird zusätzlich noch ESP- und IP- Header. Und ein Authentifizierungs – Trailer für IPsec angehangen RAS - Server Christiane Bär 11.1.2006 40 VPN – Tunnel – Protokolle - IPsec Allgemein IP Security Protocol Layer – 3 – Tunneling Nur in IP – Netzwerken Herstellerübergreifender sicherer Datenaustausch 2 Betriebsmodi Transportmodus Tunnelmodus RAS - Server Christiane Bär 11.1.2006 41 VPN – Tunnel – Protokolle - IPsec Innerhalb sicherer interner Netzwerke Datenteil des IP – Paketes wird verschlüsselt IP – Kopf bleibt erhalten Zusätzlicher IPsec – Kopf Verschlüsselung: AH oder ESP RAS - Server Christiane Bär 11.1.2006 42 VPN – Tunnel – Protokolle - IPsec Verbindungen über öffentliches Netz Gesamte IP – Paket wird verschlüsselt Zusätzlich neuer IP- und IPsec – Kopf Verschlüsselung: ESP RAS - Server Christiane Bär 11.1.2006 43 VPN – AH Authentification Header Auch IPsec – Header Enthält alle Informationen, die für eine Authentifikation notwendig sind Deckt Sicherheitsanforderungen ab Empfangene Paket vom richtigen Sender Datenintegrität sicherstellen Schutz gegen Replay - Angriffe RAS - Server Christiane Bär 11.1.2006 44 VPN - ESP Encapsulating Security Payload IPsec - Header Wie AH, nur kommt noch eine Verschlüsselungskomponente hinzu, z.B.: DESC CBC – Data Encryption Standard Cypher Block Chaining 3DES – Triple Data Encryption Standard Zusätzliche Sicherheitsanforderung abgedeckt: Vertraulichkeit der gesendeten Daten RAS - Server Christiane Bär 11.1.2006 45 VPN - Anwendungen End – to – Site VPN (Remote Access VPN) Verbindung eines Einzelnen mit einem Netzwerk Z.B. Außendienstmitarbeiter RAS - Server Christiane Bär 11.1.2006 46 VPN - Anwendungen Site – to – Site VPN Verbindung eines Netzwerkes mit einem anderen Benutzer nehmen den firmeneigenen Gateway, um Daten zu übertragen Extranet und Intranet - VPNs RAS - Server Christiane Bär 11.1.2006 47 VPN - Anwendungen End – to – End Direkte Verbindung zwischen Arbeitsrechnern Tunnel deckt Verbindung zwischen den Hosts vollständig ab Z.B. für Bankkunden auf einem Buchungsrechner RAS - Server Christiane Bär 11.1.2006 48 RADIUS Remote Authentification Dial – In User Service Stellt gesicherte Benutzerauthentifizierung, Autorisierungs- und Kontoführungsdienste zur Verfügung Accounting- und Authentifizierungsprotokoll Zentrale Administration von Benutzerdaten, wie Benutzerkennung, Passwörter, Rufnummer, Zugriffsrechte RAS - Server Christiane Bär 11.1.2006 49 Praxis Ethereal - Mitschnitte Windows 2003 Server (RAS) Windows XP Professional (VPN) RAS – Server HS – Merseburg RAS - Server Christiane Bär 11.1.2006 50
