VPN - All
Werbung
Virtual Private Network (VPN) Seminar Internet-Technologie – Henrik Bartholmai SS 08 Inhalte • • • Was ist ein VPN? Funktionsweise Tunnelingprotokolle o o o • Sicherheitsmechanismen o o • IPSec TSL/SSL VPN Arten o o o • • PPTP L2F L2TP Site-to-Site Site-to-End End-to-End Software Fazit 2 Was ist ein VPN? Virtual Private Network Reines Softwareprodukt Verschlüsselt und abgeschottet Eigenständiges Netzwerk 3 Was ist ein VPN? • • • • • VPN verbindet lokal getrennte Netzwerke Basiert meistens auf einem global übergreifenden Network Bietet vollständigen Zugriff auf alle Ressourcen der zusammen geschlossenen Netzwerke Durch Verschlüsselung wird der Datenverkehr über öffentliche Netze gesichert. Günstige Alternative zu klassischen Dial-In- / Remote AccessLösungen 4 Was ist ein VPN? Anforderungen an VPN • Benutzerauthentifizierung o o • Adressenverwaltung o • Daten die über öffentliche Leitungen (Internet) verschickt werden, sollten für dritte nicht lesbar sein Schlüsselmanagement o • Zuordnung der Adressen in den Netzwerken Datenverschlüsselung o • Benötigt Lösungen zur Authentifizierung des Benutzers Protokollieren der Nutzerzugriffe im Netzwerk Techniken zur Verschlüsselung müssen für Client/Server sichergestellt sein Multiprotokollunterstützung o Versand muss über gängige Protokolle zur Datenübertragung möglich sein 5 Was ist ein VPN? © 2008 Anhalt-Computer 6 Funktionsweise VPN-Verbindungen bestehen aus drei Phasen: Authentifizierung • Client baut Verbindung zum VPN-Server auf • User meldet sich mit seinem Passwort an • User wird authentifiziert 7 Funktionsweise VPN-Verbindungen bestehen aus 3 Phasen: Authentifizierung • Client baut Verbindung zum VPN-Server auf • User meldet sich mit seinem Passwort an • User wird authentifiziert Tunnelaufbau • Tunnel wird aufgebaut und User-PC bekommt IP Adresse zugewiesen • User-PC ist ab diesem Zeitpunkt nicht mehr aus dem Internet erreichbar 8 Funktionsweise VPN-Verbindungen bestehen aus 3 Phasen: Authentifizierung • Client baut Verbindung zum VPN-Server auf • User meldet sich mit seinem Passwort an • User wird authentifiziert Tunnelaufbau • Tunnel wird aufgebaut und User-PC bekommt IP Adresse zugewiesen • User-PC ist ab diesem Zeitpunkt nicht mehr aus dem Internet erreichbar. Übertragung • Datenpakete werden umgewandelt in IP-Pakete und zum Server gesendet • Dort werden diese an den jeweiligen Rechner im Netzwerk weitergeleitet 9 Funktionsweise Grundprinzip der Tunnelprotokolle: • • VPN Pakete lassen sich separat adressieren Vorteil – Paket lässt sich über jegliche Netzwerkart transportieren Wikipedia.de 10 Funktionsweise Tunnelarten Freiwilliger Tunnel: • User erstellt nach Internetverbindung via VPN Client-Software eine Verbindung zum Zielnetzwerk Erzwungener Tunnel: • Internet-Gateway mit VPN Unterstützung leitet alle Pakete der Clients im Netzwerk per Tunnel an das Zielnetzwerk 11 Tunnelingprotokolle PPTP (Point-to-Point Tunneling Protocol) • • • • • • • Von Microsoft und Ascend entwickelt Entwickelt 1996, RFC 2637 (Juli 1999) In Windows enthalten und damit am weitesten verbreitet Unterstützt nur einen Tunnel pro Client Weiterentwicklung von PPP (neben IP-Paketen können zusätzlich IPX- und NetBUI-Pakete übertragen werden) In PPTP sind keine Key-Management-Protokolle implementiert. Datenverschlüsselung durch RC4-Verfahren auch Microsoft Point-toPoint-Encryption (MPPE) genannt 12 Tunnelingprotokolle PPTP (Point-to-Point Tunneling Protocol) • PAC (PPTP Access Concentrator) o • Verwaltet Verbindung, leitet zum PNS weiter PNS (PPTP Network Server) o Routing und Kontrolle elektronik-kompendium.de 13 Tunnelingprotokolle L2F (Layer 2 Forwarding) • • • • • Wurde von Cisco, Nortel und Shiva entwickelt Im Gegensatz zu PPTP sind mehrere Tunnel möglich Erlaubt mittels Client-ID mehrere parallele Verbindung innerhalb des Tunnels Authentifizierung über Challenge-Handshake-Verfahren Wird mittlerweile nicht mehr verwendet 14 Tunnelingprotokolle L2TP (Layer 2 Tunneling Protocol) • • • • • • • • RFC 2661 (August 1999) Vereinigung der Vorteile von PPTP und L2F Mehrere Tunnel möglich Kann jedes beliebige Netzwerkprotokoll übertragen Mehrere Sessions möglich durch Multiplex-Modus Tunnel besteht aus zwei Kanälen. Kontroll- und Datenkanal Hat keine integrierte Verschlüsselung, aber Authentifizierungsverfahren Lässt sich allerdings durch eine Kombination mit IPSec verschlüsseln (RFC 3193 – "Securing L2TP using IPSec“) 15 Tunnelingprotokolle L2TP (Layer 2 Tunneling Protocol) • L2TP Access Concentrator (LAC) o • Verwaltet Verbindung, leitet zum LNS weiter L2TP Network Server (LNS) o Routing und Kontrolle elektronik-kompendium.de 16 Sicherheitsmechanismen IPSec (IP Security Protocol) • • • • • • RFC 2401 (November 1998) Entwickelt von Internet Engineering Task Force(IETF) Entwickelt für IPv6, allerdings auch Kompatibel zu IPv4 Arbeitet auf der Vermittlungsschicht (Schicht 3) Verschlüsselt IP-Pakete Bietet Transport- und Tunnelmodus 17 Sicherheitsmechanismen IPSec (IP Security Protocol) IPsec beinhaltet vier wichtige Sicherheitsfunktionen: • Verschlüsselung - als Schutz gegen unbefugtes Mitlesen (ESP) • Authentisierung der Nachricht - zum Beweis der Unverfälschtheit einer Nachricht (Paketintegrität) (AH) • Authentisierung des Absenders - zur unzweifelhaften Zuordnung eines Senders/ Empfängers (Paketauthentizität) (AH) • Verwaltung von Schlüsseln (IKE) 18 Sicherheitsmechanismen IPSec (IP Security Protocol) – Verbindungsaufbau 1. Initiator schickt Vorschläge an Authentisierungs- und Verschlüsselungsalgorithmen 2. Responder wählt den sichersten Algorithmus aus der unterstützt wird und sendet diesen zurück 3. Initiator sendet (bei IKE) seinen Diffie-Hellman-Schlüssel + zufälligen Wert 4. Gleiches Verfahren vom Responder 5. Authentifizierung (Zertifikat oder PSK) Anschließend wird im Quickmode (verschlüsselt) ein erneuter Vorschlag gemacht, eine neue SA (Security Association) angelegt und die Alte verworfen. 19 Sicherheitsmechanismen IPSec (IP Security Protocol) – Verbindungsaufbau Eine Security Association (SA) ist eine Vereinbarung zwischen den beiden kommunizierenden Seiten und besteht aus den Punkten: 1. Identifikation (entweder per PSK oder Zertifikat) 2. Festlegung des zu verwendenden Schlüsselalgorithmus für die IPsec-Verbindung 3. von welchem (IP-) Netz die IPsec-Verbindung erfolgt 4. zu welchem (IP-) Netz die Verbindung bestehen soll 5. Zeiträume, in denen eine erneute Authentisierung erforderlich ist 6. Zeitraum, nach dem der IPsec-Schlüssel erneuert werden muss 20 Sicherheitsmechanismen IPSec (IP Security Protocol) - Übertragung Authentication Header (AH) • • • Erstellt Prüfsumme über das gesamte Paket Wird zwischen IP und TCP Header gespeichert Prüfsumme stellt Identität, Vollständigkeit und Korrektheit des Paketes dar 21 Sicherheitsmechanismen IPSec (IP Security Protocol) - Übertragung Authentication Header (AH) • • • Erstellt Prüfsumme über das gesamte Paket Wird zwischen IP und TCP Header gespeichert Prüfsumme stellt Identität, Vollständigkeit und Korrektheit des Paketes dar Encapsulating Security Payload (ESP) • • Bietet Tunnel- und Transportmodus Komplettes Datenpaket wird verschlüsselt und neuem Header versehen 22 Sicherheitsmechanismen IPSec (IP Security Protocol) – Arten IPSec Paket im Tunnelmodus nach VPN mit AH oder ESP 23 Sicherheitsmechanismen TSL/SSL (Transport Layer Security/Secure Sockel Layer) • • TSL ist die Weiterentwicklung von SSL (TSL 1.0 = SSL 3.1) Stellt Protokollen ohne Sicherheitsmechanismen gesicherte Verbindungen zur Verfügung Dabei leistet SSL folgende Möglichkeiten: • • • • SSL authentisiert den Server gegenüber dem Client SSL authentisiert den Client gegenüber dem Server (optional) SSL baut zwischen Client und Server eine verschlüsselte Verbindung auf SSL nutzt Public Key Verschlüsselung um ein "Shared Secret"/ Session Key zu generieren 24 Sicherheitsmechanismen TSL/SSL in Verbindung mit VPN • • • Mittlerweile von IPSec verdrängt Dennoch für Mobile User interessant Nutzung durch HTTPS auch ohne extra Client-Software möglich. SSL VPN Verbindungen werden meistens benutzt, wenn das Userinterface über eine Website realisiert wird. • Active – X oder Java – Applikationen OpenVPN arbeitet mit SSL VPN. 25 VPN Arten Site – to – Side Zwei unterschiedliche Netzwerke werden miteinander über das Internet verbunden. www.chicagotech.net 26 VPN Arten Site – to – End Client (z. B. Heimarbeitsplatz) wählt sich über VPN in das Firmennetzwerk ein. www.chicagotech.net 27 VPN Arten End – to – End Einzelverbindung zwischen zwei Rechnern, um zum Beispiel sensible Daten über das Internet auszutauschen. www.chicagotech.net 28 Software OpenVPN • • Software zur Erstellung von VPN Netzwerk Verwendet zur Verschlüsselung SSL Unterstützt zwei verschiedene Modi: Routing: • • Leitet Pakete zwischen zwei Netzwerken in einem sicheren Tunnel weiter Keine direkte Verbindung zwischen Rechnern der „getrennten“ Netzwerke. Alle Pakete werden vom Client den Rechnern im Netz zugewiesen. Bridging: • • Erlaubt den Einsatz von alternativen Protokollen wie z. Bsp. IPX. Virtuelle Netzwerkkarte (tap-Device) verbindet sich über Netzwerkbrücke mit dem lokalen Netzwerk 29 Software OpenVPN – Authentifizierung Pre-shared Key: • Passwort zum ver- und entschlüsseln wird festgelegt. • Geht der Schlüssel verloren, muss ein neuer angelegt werden. Username/Password: • Zugriff auf Netzwerk wird per Username und Passwort geschützt. Zertifikatsbasiert • Server und Client besitzen jeweils eigene einmalige Zertifikate • Server kommuniziert nur mit Clients, die zertifiziert wurden. 30 Software Hamachi • • • • • Einfach zu konfigurierender VPN-Client Mit integriertem Instant Messenger Verbindung der Clients über zentralen Server Nutzdaten fliesen P2P und nicht über Server Ideal zum spielen für Games, die normalerweise nur im LAN funktionieren. 31 Fazit • • • • Billige und einfache Lösung zum verbinden lokal getrennter Netzwerke Mit IPSec/SSL eine relativ sichere Art und Weise, um Daten über öffentliche Netz zu übertragen Für Clients meist leichte Handhabung durch integrierte VPN-Clients (Windows) Verbindung meist über Internet – Bei lokalem Ausfall des Internets, auch keinen Kontakt zwischen VPN Netzwerken. 32 Ende Vielen Dank für Eure Aufmerksamkeit. Fragen? 33 Quellen VPN und Windows Server 2003 http://www.microsoft.com/germany/technet/datenbank/articles/600283.mspx VPN: http://www.tcp-ip-info.de/tcp_ip_und_internet/vpn.htm Wikipedia: http://de.wikipedia.org/wiki/Virtual_Private_Network http://de.wikipedia.org/wiki/OpenVPN http://de.wikipedia.org/wiki/SSL_VPN Elektronik Kompendium: http://www.elektronik-kompendium.de 34