Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Virtual Private Network

Veröffentlicht von:Romey Wolfmeyer Geändert vor über 10 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "Virtual Private Network"—  Präsentation transkript:

1 Virtual Private Network
Projektarbeit Im Tunnel durch das Internet Virtual Private Network + Firewallkonzept Reinhard Baldauf Timo Chrusciel Eno Vaso

2 - VPN  "Virtual Private Network"
Was ist ein VPN ? - VPN  "Virtual Private Network" - verbindet lokale Netze (Intranets) über unsichere öffentliche Netze - Rechner sind „virtuell“ wie in einem LAN verbunden Sicherheit durch VPN: - Authentifizierung des Kommunikationspartners - Integrität der Information (Daten sind nicht verändert worden) - Abhörsicherheit durch Verschlüsselung - Identitätsverbergung der Kommunikationspartner  2002 VPN+Firewall

3 Der Datentransfer zwischen den einzelnen Computern wird verschlüsselt.
End To End Architektur Der Datentransfer zwischen den einzelnen Computern wird verschlüsselt. Einsatzgebiet:  Hochsensible Intranet Umgebungen  Für Wartungsarbeiten an Firewalls od. Internetservern  2002 VPN+Firewall

4 Site To Site Architektur
VPN-Gateway I VPN-Gateway II Beide VPN-Gateway´s befinden sich permanent im Internet (z.B. Standleitung) Einsatzgebiet:  Filialvernetzung  Standortvernetzung  2002 VPN+Firewall

5 End To Site Architektur
VPN-Gateway Der VPN-Gateway befindet sich permanent im Internet, oder verbindet sich per Request zu gewissen Zeiten ins Internet. Einsatzgebiet:  Teleworker  Aussendienstmitarbeiter  2002 VPN+Firewall

6 Was sind die Vor- und Nachteile eines VPN ?
Kostenersparniss große Verfügbarkeit und Reichweite hohe Flexibilität und Skalierbarkeit einfache (zentrale) Administrierbarkeit bereits redundant ausgelegte Infrastruktur VoIP ( sichere Telefonie ) keine schriftlich garantierte Bandbreite Aufwand zur permanenten Aufrechterhaltung der Sicherheit  2002 VPN+Firewall

7 VPN-Verbindung in Site-to-Site-Architektur
Der Versuchsaufbau Bedingungen: VPN-Verbindung in Site-to-Site-Architektur Nutzung verschiedener VPN-Gateway-Betriebssysteme Verwendung des IPSec-Protokolls Es sollte ausschließlich eine Kommunikation zwischen den zwei lokalen Netzen über den VPN-Tunnel möglich sein  2002 VPN+Firewall

8 Der Versuchsaufbau Suse LINUX 7.3 mit FreeS/WAN und IPTables
Windows 2000 Professional Windows 2000 Server Windows 2000 Professional  2002 VPN+Firewall

9 Das Internet Security Protokoll (IPSec)
Keine speziellen Verschlüsselungsalgorithmen oder Schlüsselaustauschverfahren - Liefert nur den Rahmen für eine modulare Sicherheitsstruktur Grundlegende Idee: Jedes einzelne Datenpaket vor Verfälschung zu schützen und/oder zu verschlüsseln  2002 VPN+Firewall

10 Das Internet Security Protokoll (IPSec)
Problem Authentifizierung: Wie kann ich erkennen, ob der Partner auf der anderen Seite auch wirklich derjenige ist, mit dem ich kommunizieren will? (Ausweis zeigen lassen oder was?) Lösung: Gemeinsamer geheimer Schlüssel (Pre-Shared-Key) Public-Key-Verfahren (pro Teilnehmer ein öffentlicher Schlüssel, ein geheimer Schlüssel) Zertifikate (digitaler Ausweis)  2002 VPN+Firewall

11 Ablauf eines Verbindungsaufbaus
1. Verhandlungsphase, Tunneletablierung - Authentifizierung der Partner Verhandlung, welche Verfahren zur Verschlüsselung und/oder Datenintigrität benutzt werden sollen Protokoll: IKE (Internet Key Exchange) /ISAKMP 2. Datenaustausch über die definierte Verbindung AH (Authentication Header) oder ESP (Encapsulating Security Payload)  2002 VPN+Firewall

12 Schematische Darstellung des Datenflusses
1. Informationen verschlüsseln 2. Einpacken 3. Paket schließen und versiegeln 1. Versiegelung prüfen, unbeschädigt? 2. Paket auspacken 3. Informationen entschlüsseln  2002 VPN+Firewall

13 Darstellung unverschlüsselter/verschlüsselter Pakete
 2002 VPN+Firewall

14 protokollieren  zwischen Internet und Intranet (gängig)
Firewall Aufgaben Kommunikation protokollieren  zwischen Internet und Intranet (gängig) kontrollieren  d.h. nur unter bestimmten Bedingungen zulassen überwachen  d.h. Inhalt on-the-fly scannen (selten) Policy Vor Installation eines Firewalls! accept- bzw. deny-policy  Entscheidung über eine Policy-Strategie Kontrollmechanismen  Beschreibung, was durchgelassen wird  2002 VPN+Firewall

15 Host sichtbar  von Internet auf Intranets
Risiken ohne Firewall Host sichtbar  von Internet auf Intranets Port-Konzept  Ein Host, viele Eingangstüren Sniffing  ein schwacher Host gefährdet gesamtes Intranet Spoofing  Vertrauen innerhalb Intranet (IP-Adresse) in Internet unzureichend  2002 VPN+Firewall

16 in Firewall  Host Security im Intranet vernachlässigt
Risiken mit Firewall Zu strikte Policy  Benutzer unzufrieden, gehen eventuell eigene Wege (Modems) Zu großes Vertrauen in Firewall  Host Security im Intranet vernachlässigt Intranet-interne Risiken  durch Firewall nicht gelöst. Host-Security! Black-Box Mentalität  Firewall muss laufend gewartet und überwacht werden Anpassungsbedürftig  Neuere Dienste des Internets oft nicht möglich  2002 VPN+Firewall

17 Einige Definitionen Paket-Filter: Kontrollmechanismen, die einzelne IP-Pakete durchlassen oder blockieren Proxy: (Stellvertreter) Application-Level-Gateways bzw. Circuit-Level-Gateways, die Anwendungen weiterleiten DMZ: Netzwerk zwischen Intra- und Internet (Demilitarized zone) Bastion: System(e) des Firewalls, welche von Internet aus sichtbar sind (außer Router). Meistens im DMZ integriert und von dort aus Internetdienste anbietet Dual-homed Host: Bastion mit 2 Netzwerk-Interfaces (Gegensatz: single-homed Host) Wrapper: Programm, das anderes Programm “vertritt” und Zusatzfunktionen umsetzt (GUI, ...)  2002 VPN+Firewall

18 Paketfilter (“Screening”)
Der Filter muss für jedes Paket getrennt und von Neuem entscheiden, ob es erlaubt oder blockiert wird, in beide Richtungen. Er sieht nur die einzelnen Pakete! OK IP-Paket OK IP-Paket OK IP-Paket IP-Paket OK deny IP-Paket IP-Paket deny Intranet Internet Filter deny = Ablehnen  2002 VPN+Firewall

19 Firewall-Lösung mit Paketfiltern
Der erste Schritt: Zunächst die Brandschutzmauer so bauen, dass keine Durchkommen möglich ist. (Tools: iptables bei Linux und die Sicherheitsrichtlinie bei Windows 2000) tcp tcp LAN LAN udp udp w w w Alle Pakete werden einfach verworfen.  2002 VPN+Firewall

20 Firewall-Lösung mit Paketfiltern
Der zweite Schritt: Die notwendigen Löcher in die Firewall bauen, dass die Authentifizierung des Gateways möglich ist. Einbindung an IP-Adressen und an die externen Schnittstellen. LAN LAN udp Port 500 udp Port 500 w w w Den Schlüsselaustausch (IKE) durch das Zulassen des UDP-Protokoll am Port 500 ermöglichen. IKE= Internet Key Exchange  2002 VPN+Firewall

21 Firewall-Lösung mit Paketfiltern
Der dritte Schritt: Die notwendigen Löcher in die Brandschutzmauer bauen, dass die verschlüsselte Verbindung zwischen Gateways möglich ist. LAN LAN esp esp w w w ESP-Protokoll (Encapsulating Security Payload) zulassen.  2002 VPN+Firewall

22 Firewall-Lösung mit Paketfiltern
Der vierte Schritt: LOG-Protokoll einrichten. Die erstellten Firewallregeln testen. Clients bauen eine Verbindung auf. Prüfen, ob etwas anderes außer zugelassene Protokolle die Firewall durchdringen. sonstige sonstige VPN-Tunnel LAN LAN esp esp w w w ESP-Protokoll wird zugelassen, alles andere wird verworfen.  2002 VPN+Firewall

23 Firewall-Lösung mit Paketfiltern
Der letzte Schritt: Den normalen Betrieb überwachen. Das LOG-Protokoll auswerten. VPN-Tunnel LAN LAN esp esp w w w extern extern Normaler Betrieb  2002 VPN+Firewall

24 Vielen Dank für Ihre Aufmerksamkeit ...
Reinhard Baldauf Timo Chrusciel Eno Vaso E N D E  2002 VPN+Firewall

Herunterladen ppt "Virtual Private Network"

Ähnliche Präsentationen

Aufbau eines Netzwerkes

Aufbau eines Netzwerkes
Be.as WEB Technologie 25.03.2017.

Be.as WEB Technologie
Security Lösungen, die Ihnen echten Schutz bieten!

Security Lösungen, die Ihnen echten Schutz bieten!
- IT-Intelligence for your Business -

- IT-Intelligence for your Business -
Was kann ich tun um mein System zu verbessern?

Was kann ich tun um mein System zu verbessern?
Voice over IP (VoIP).

Voice over IP (VoIP).
BMBF-Förderinitiative Einsatz und Nutzung drahtloser Kommunikation BMBF-Förderinitiative Einsatz und Nutzung drahtloser Kommunikation bmb+f GoeMobile:

BMBF-Förderinitiative Einsatz und Nutzung drahtloser Kommunikation BMBF-Förderinitiative Einsatz und Nutzung drahtloser Kommunikation bmb+f GoeMobile:
Sichere Anbindung kleiner Netze ans Internet

Sichere Anbindung kleiner Netze ans Internet
für das Schulnetz der BS Roth

für das Schulnetz der BS Roth
Firewall und Tunneling

Firewall und Tunneling
Firewalls.

Firewalls.
Basis-Architekturen für Web-Anwendungen

Basis-Architekturen für Web-Anwendungen
Projekt Netzwerk von Tobias Dickel, Moritz Gesing, Daniel Jochem, Matthias Meister, Marc Nue und Moritz Raasch.

Projekt Netzwerk von Tobias Dickel, Moritz Gesing, Daniel Jochem, Matthias Meister, Marc Nue und Moritz Raasch.
VPN: Virtual Private Network

VPN: Virtual Private Network
Die Firewall Was versteht man unter dem Begriff „Firewall“?

Die Firewall Was versteht man unter dem Begriff „Firewall“?
Konfiguration eines VPN Netzwerkes

Konfiguration eines VPN Netzwerkes
Lokale und globale Netzwerke

Lokale und globale Netzwerke
Security Workshop der GWDG

Security Workshop der GWDG
1 Proseminar Thema: Network Security Network Security www.pc24berlin.de/sicherheit.htm Proseminar Thema: Network Security.

1 Proseminar Thema: Network Security Network Security Proseminar Thema: Network Security.
1. Einführung Lernziele: Auffrischen des Wissens aus Rechnernetze

1. Einführung Lernziele: Auffrischen des Wissens aus Rechnernetze

Ähnliche Präsentationen

Google-Anzeigen