Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Virtual Private Network

Veröffentlicht von:Annaliesa Stromberg Geändert vor über 10 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "Virtual Private Network"—  Präsentation transkript:

1 Virtual Private Network
Seminar Internet-Technologie Maxim Sharnopolsky

2 Inhalt Einleitung in die VPN Technologie
Tunneling Technologie und die Protokolle PPTP (Point-to-Point Tunneling Protocol) L2F (Layer 2 Forwarding) L2TP (Layer 2 Tunneling Protocol) SSL, IPSec VPN Arten Funktionsweise von VPN Zusammenfassung

3 Was ist VPN? VPN steht für Virtual Private Network
Technologie um Geräte über ein fremdes Netzwerk in das eigene Netzwerk virtuell einzubinden als ob man lokal da wäre.  Network Logisch wird man ein Teil eines weit entfernten Netzwerkes , physisch nicht  Virtuell Dabei achtet man auf hohe Sicherheitsmaßnamen der Kommunikation, abhör- und manipulationssicher  Private

4 Was ist VPN? VPN Technologie ist reine Softwarelösung
Es werden mindestens benötigt : Client, Server und ein fremdes Netzwerk über das man kommunizieren möchte  z.B. Internet VPN bieten eine große Flexibilität Die Kommunikation wird ermöglicht durch Tunneling Technologie und deren Protokolle Die verschiedenen VPN arten können miteinander kombiniert werden

5 Wozu VPN? Geld sparen =_= (bis zu 80% Standleitung,DFÜ)
VPN funktioniert ohne dass dafür ein zusätzliches Kabel verlegt oder sonst irgendetwas an Hardware hinzugefügt werden muss Wir erhalten vollständigen Zugriff auf alle Ressourcen der zusammen geschlossenen Netzwerke  z.B. Intranet Dienste die man eigentlich nur lokal im Netzwerk nutzen konnte

6 Beispiele für VPN Anwendung
verteilte Unternehmensnetze können verbunden werden  Hauptzentralle und Filiale Außendienstmitarbeiter können auf Ressourcen und Daten in dem Unternehmensnetz zuzugreifen , auf die sie eigentlich nur lokalen Zugriff hätten  z.B. Außendienstmitarbeiter mit Notebook und UMTS Usb-stick

7 Tunneling Technologie
Gebrauch des Kommunikationsprotokolls eines Netzwerkdienstes als Transportmittel für Daten, die nicht zu diesem Dienst gehören.  z.B. Internet mit TCP/IP als Transportmittel für unsere eigentlichen Datenpakette die für das Zielnetzwerk bestimmt sind Das verwendete Kommunikationsprotokoll wird wie eine Hülle genutzt, die dabei hilft, den tatsächlichen Inhalt zu transportieren ist die Basis moderner VPNs

8 Tunneling Technologie
Pakete eines Netzwerkprotokolls werden in Pakete eines anderen Netzwerkprotokolls gekapselt und über dieses Netzwerk übertragen Datenpakete werden als Nutzdaten in ein IP-Paket verpackt, über das Internet übertragen und beim Empfänger wieder ausgepackt Es gilt Authentizität, Integrität und Vertraulichkeit, die in unsicheren Trägermedien nicht gewährleistet werden können, sicherzustellen

9 Tunneling Technologie

10 Tunneling Protokolle PPTP (Point-to-Point Tunneling Protocol)
wurde ursprünglich von Microsoft und Ascend entwickelt und war aufgrund seiner Integration in Windows weit verbreitet Übertragung von IP-Paketen, IPX- und NetBUI Je Kommunikationspaar kann nur ein Tunnel aufgebaut werden. keine Key-Management-Protokolle implementiert Die Datenverschlüsselung erfolgt nach dem RC4-Verfahren mit Schlüssellängen von 40, 56 oder 128 Bit Eine Paket- Integritätsrüfung ist nicht implementiert Zur Authentisierung dient PAP/ CHAP; eine Authentisierung der Tunnelenden ist jedoch nicht vorgesehen

11 Tunneling Protokolle L2F (Layer 2 Forwarding)
wurde von Cisco, Nortel und Shiva entwickelt (1999) Im Gegensatz zu PPTP sind mehrere Tunnel möglich Erlaubt mittels Client-ID mehrere parallele Verbindung innerhalb des Tunnels Die Authentisierung erfolgt über ein Challenge-Handshake-Verfahren Es erfolgt keine Verschlüsselung der Daten! Eine Paket- Integritätsrüfung ist nicht implementiert Kein Key-Management Ist veraltet und wird nicht mehr verwendet, Status  historical

12 Tunneling Protokolle L2TP (Layer 2 Tunneling Protocol)
L2TP vereint die Vorteile von PPTP und L2F IETF Standard für IP- und Non-IP-Traffic erlaubt den Betrieb mehrerer Tunnels L2TP erlaubt eine Authentisierung auf der Basis von CHAP/ PAP Es ist keine Verschlüsselung definiert. Eine Paket- Integritätsrüfung ist nicht implementiert Kein Key-Management

13 Tunneling Protokolle SSL in Verbindung mit VPN
SSL wurde ursprünglich von Netscape entwickelt um eine sichere, vertrauenswürdige Verbindung zwischen Client und Server zu gewährleisten Datenverschlüsselung: RSA, DES (SHA-1), Triple-DES (SHA-1), RC-4 (MD5) Authentisierung durch Zertifikate und nutzt Public Key Verschlüsselung um ein "Shared Secret"/ Session Key zu generieren Meistens über Webbrowser mit Active – X oder Java – Applikationen

14 Tunneling Protokolle SSL
Der Vorteil dieser Lösung bestehen darin, dass der Zugriff über das VPN ins Firmennetz ohne eigenen VPN-Client vorgenommen werden kann z.B. einfach per Webbrowser aus dem Internet Café Nachteil: SSL ist eigentlich kein Tunnelprotokoll und muss auf der Application Ebene emuliert werden, was sich sehr negativ auf die Performance auswirkt Diese neue Tunneltechnik mittels SSL ist zwar nicht schlecht, kann aber IPsec nicht (ganz) das Wasser reichen

15 Tunneling Protokolle IPSec
steht für IP Security Protocol, Layer-3-Tunneling-Protokoll IPsec war ursprünglich für IP Version 6 geplant, ist heute jedoch (auch) vollständig für IPv4 standardisiert Zukunftssicherheit – kann leicht in bestehende Netze integriert werden keine Festlegung auf bestimmte Verschlüsselungsverfahren erfolgen muss für die Authentisierung und die Verschlüsselung können unterschiedliche Protokolle zum Einsatz kommen, die unabhängig voneinander oder zusammen eingesetzt werden können

16 Tunneling Protokolle IPSec
IPSec kann ohne Probleme um weitere Protokolle ergänzt werden Es erfüllt alle Anforderungen an die Sicherheit die man heute braucht der Tunnel ist - nach dem heutigen Stand der Kryptologie - als absolut sicher zu betrachten und bittet ein Höchstmaß an Sicherheit hat bereits die o.g. Layer-2-Protokolle langfristig als VPN-Standard-Protokoll abgelöst IPSec definiert zwei weitere Protokollköpfe (Header) für IP-Pakete, um eine Authentifizierung und eine Verschlüsselung zu erreichen, AH und ESP

17 Tunneling Protokolle IPSec – Paket Sicherheit mit AH
Paket- Integritätsrüfung bzw. Paket-Authentifizierung mittels des Authentication Headers, AH schützt die Pakete vor Verfälschung mit Hash-Funktionen wie MD-5(Message Digest) und SHA-1(Secure Hashing Algorithmus) Wobei MD-5 vor kurzem geknackt worden ist  GPU’s(CUDA) Zu SHA-1 gab es berichte über mögliche Security-Schwächen Hashing  der Absender schickt eine Prüfsumme mit, an den Empfänger , errechnet der Empfänger dann die selbe, so ist sichergestellt dass das Packet unterwegs nicht manipuliert worden ist und nur vom Absender stammen kann {authentication_algorithm hmac_sha1, hmac_md5 ;} im Configfile ca. so ein vereinbarter geheimer symmetrischer Schl¨ussel in die Berechnung des Wertes mit einbezogen – dieses Verfahren wird Hashing Message Authentication Code (HMAC) genannt

18 Tunneling Protokolle IPSec – Verschlüsselung der Daten mit ESP
Encapsulating Security Payload – ESP erfolgt mit einem beliebigen Schlüssel (z.B. DES, Triple-DES, AES) unterstützt prinzipiell alle verfügbaren Verschlüsselungsalgorithmen  Blowfish, IDEA usw. Es gibt 2 Mod‘s: Transport und Tunnelmodus { encryption_algorithm 3des, aes; } im Configfile ca. so

19 Tunneling Protokolle

20 Tunneling Protokolle IPSec – Key-Managment IKE
Internet Key Exchange Protocol (IKE) Damit alles funktioniert müssen auf beiden Seiten viele Parameter ausgetauscht werden Art der gesicherten Übertragung (Authentisierung und/oder Verschlüsselung) Verschlüsselungsalgorithmus "Schlüssel„ Dauer der Gültigkeit der Schlüssel, usw. 1 Möglichkeit wäre alles manuell einrichten  keine Flexibilität 2 Möglichkeit, IKE benutzen der das alles automatisch abgleicht und konfiguriert und dabei eine SA (Security Association) erstellt

21 Tunneling Protokolle IPSec – Security Association (SA)
ist ein temporäre, nur für den Zeitraum der Kommunikation gültiger Vertrag zwischen den beiden Kommunikationspartnern beinhaltet alle zum Aufbau einer gesicherten Kommunikationsverbindung wichtigen Elemente und legt den Arbeitsmodus fest Im Vertrag stehen dann die Verfahren die bei der Verbindung benutzt werden  Identifikation (entweder per PSK oder Zertifikat), Verschlüsselungart, Gültigkeit des Keys usw. für eine Kommunikation müssen immer zwei IPSec-SAs existieren, eine für den ausgehenden Verkehr und eine weitere für den ankommenden Verkehr

22 VPN-Arten:::Side-to-End

23 VPN-Arten:::Side-to-Side

24 VPN-Arten:::End-to-End

25 Funktionsweise von VPN
Phase 1 des IKE: Der Client sendet einen Vorschlag mit Authentisierungs- und Verschlüsselungsalgorithmen. Der Server wählt aus den angebotenen und den von ihm unterstützten Algorithmen den sichersten aus und sendet das Auswahlergebnis an den Client. Der Client sendet seinen öffentlichen Teil vom Diffie-Hellman-Schlüsselaustausch und einen zufälligen Wert, Server tut das selbe

26 Funktionsweise von VPN
beide kennen nun die öffentlichen Teile für den Diffie-Hellman-Schlüsselaustausch, jetzt wird der geheime Schlüssel berechnet. Der berechnete (Diffie-Hellman-)Schlüssel wird für die Erzeugung eines weiteren Schlüssels genutzt, der für die Authentifikation verwendet wird Jetzt kommt die Authentisierung. Dabei müssen sich beide Beteiligten als zugriffsberechtigt ausweisen

27 Funktionsweise von VPN
2 Möglichkeiten: mittels Pre-Shared-Keys(PSK) oder zertifikatsbasiert die zertifikatsbasierte Authentisierung verwendet X.509-Zertifikate und ist im Wesentlichen eine Public-Key-Infrastruktur PSK – fester Key in einer Datei, z.B unserem VPN client  Nachteil: kommt der Key in die falschen Hände, müssen alle user ihre Keys austauschen, ein Zertifikat kann man dagegen einzeln sperren

28 Funktionsweise von VPN
Es wird ein Hashwert über das mit dem Diffie-Hellman-Schlüsselaustausch erzeugte Geheimnis, die Identität, die ausgehandelten Kryptoverfahren sowie die bisher versandten Nachrichten gebildet, verschlüsselt und versendet Der Schlüssel, der hier für die Verschlüsselung genutzt wird, ist jedoch nicht der aus dem Diffie-Hellman-Schlüsselaustausch, sondern ein Hashwert über diesen sowie die versandten Nachrichten

29 Funktionsweise von VPN
Phase 2 des IKE: Die gesamte Kommunikation in dieser Phase erfolgt verschlüsselt Wie in der ersten Phase wird zunächst ein Vorschlag gemacht und zusammen mit einem Hashwert und dem zufälligen Wert übertragen die Schlüssel werden neuberechnet Dies wird erreicht, indem ein zusätzlicher Diffie-Hellman-Austausch stattfindet Die Geheimnisse zur Schlüsselbildung werden verworfen, sobald der Austausch fertig ist

30 Funktionsweise von VPN
Tunnel wird aufgebaut und User-PC bekommt virtuelle IP Adresse zugewiesen Jetzt kann endlich die Kommunikation stattfinden, unsere eigentlichen Komunikationsdatenpakete werden in IP-Pakete gekapselt und über das Internet zum Server gesendet Dort werden diese geprüft, entpackt und entschlüsselt und schließlich an den Ziel Rechner im Netzwerk weitergeleitet

31 Zusammenfassung Bei aller Technikbegeisterung: Ein VPN dient dem Geldsparen! VPN ist ein Netzwerk bestehend aus virtuellen Verbindungen (z.B. durch das Internet), über die nicht öffentliche bzw. firmeninterne Daten sicher übertragen werden. Die VPN-Technologie ermöglicht kostengünstige und sichere Anbindungen von Außenstellen bzw. Niederlassungen und Aussendienstmitarbeitern

32 Quellen http://de.wikipedia.org/wiki/Virtual_Private_Network

Herunterladen ppt "Virtual Private Network"

Ähnliche Präsentationen

Security Lösungen, die Ihnen echten Schutz bieten!

Security Lösungen, die Ihnen echten Schutz bieten!
Mündliche Fachprüfung

Mündliche Fachprüfung
Sicherheit in Netzwerken

Sicherheit in Netzwerken
BMBF-Förderinitiative Einsatz und Nutzung drahtloser Kommunikation BMBF-Förderinitiative Einsatz und Nutzung drahtloser Kommunikation bmb+f GoeMobile:

BMBF-Förderinitiative Einsatz und Nutzung drahtloser Kommunikation BMBF-Förderinitiative Einsatz und Nutzung drahtloser Kommunikation bmb+f GoeMobile:
Netzwerke in der Informationstechnik

Netzwerke in der Informationstechnik
Präsentation Der Gruppe: Boll, Barbosa, Blädel Klasse: WG 05 a.

Präsentation Der Gruppe: Boll, Barbosa, Blädel Klasse: WG 05 a.
Asymmetrische Kryptographie

Asymmetrische Kryptographie
Link Layer Security in BT LE.

Link Layer Security in BT LE.
Projekt Netzwerk von Tobias Dickel, Moritz Gesing, Daniel Jochem, Matthias Meister, Marc Nue und Moritz Raasch.

Projekt Netzwerk von Tobias Dickel, Moritz Gesing, Daniel Jochem, Matthias Meister, Marc Nue und Moritz Raasch.
WTLS Wireless Transport Layer Security

WTLS Wireless Transport Layer Security
VPN: Virtual Private Network

VPN: Virtual Private Network
Netzwerke im Dialogmarketing

Netzwerke im Dialogmarketing
Secure Socket Layer SSL For a secure E-Business Thomas Muskalla

Secure Socket Layer SSL For a secure E-Business Thomas Muskalla
Verschlüsselungsverfahren Gruppe 3/ Judith Neu / Stephanie Czichon

Verschlüsselungsverfahren Gruppe 3/ Judith Neu / Stephanie Czichon
Konfiguration eines VPN Netzwerkes

Konfiguration eines VPN Netzwerkes
Tiny TP Tiny TP gehört zwar zu den optionalen Komponenten wird aber dringend empfohlen. Tiny TP erfüllt folgende Aufgaben: 1.Zerlegung von großen Nachrichten.

Tiny TP Tiny TP gehört zwar zu den optionalen Komponenten wird aber dringend empfohlen. Tiny TP erfüllt folgende Aufgaben: 1.Zerlegung von großen Nachrichten.
Security Workshop der GWDG

Security Workshop der GWDG
Security im FunkLAN GWDG, Niklas Neumann, Andreas Ißleiber.

Security im FunkLAN GWDG, Niklas Neumann, Andreas Ißleiber.
IKS – Informations und Kommunikations-systeme

IKS – Informations und Kommunikations-systeme
Security Manager Protocol. Physical Layer Link Layer Host Controller Interface L2CAP Attribute Protocol Attribute Profile PUIDRemote ControlProximityBatteryThermostatHeart.

Security Manager Protocol. Physical Layer Link Layer Host Controller Interface L2CAP Attribute Protocol Attribute Profile PUIDRemote ControlProximityBatteryThermostatHeart.

Ähnliche Präsentationen

Google-Anzeigen