Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

VPN: Virtual Private Network

Ähnliche Präsentationen


Präsentation zum Thema: "VPN: Virtual Private Network"—  Präsentation transkript:

1

2 VPN: Virtual Private Network
Präsentiert von: Christoph Stani

3 Was ist eine VPN? Ein privates Netzwerk auf einer öffentlich zugänglichen Infrastruktur . Zugriff ist nur für diejenigen gewährleistet, die zu diesem privaten Netzwerk gehören. Erst dann ist es möglich miteinander zu kommunizieren und Informationen und Daten aus zu tauschen. Öffentliche zugängliche Infrastruktur  Internet 3

4 Aufgabe der VPN Authentizität:
VPN - Virtual Private Network Authentizität Vertraulichkeit Integrität Authentizität: Identifizierung von autorisierten Nutzern Überprüfung der Daten Vertraulichkeit und Geheimhaltung: Verschlüsselung Integrität Daten dürfen nicht verändert werden VPNs müssen Sicherheit der Authentizität, Vertraulichkeit und Integrität sicherstellen. Authentizität bedeutet die Identifizierung von autorisierten Nutzern und die Überprüfung der Daten, dass sie nur aus der autorisierten Quelle stammen. Vertraulichkeit und Geheimhaltung wird durch Verschlüsselung der Daten hergestellt. Mit der Integrität wird sichergestellt, dass die Daten von Dritten nicht verändert wurden. Unabhängig von der Infrastruktur sorgen VPNs für eine angemessene Sicherheit der Daten, die darüber übertragen werden. 4

5 Arten der VPN Remote-Access-VPN
Branch-Office-VPN / Site-to-Site-VPN / LAN-to-LAN-VPN Extranet-VPN

6 Remote-Access-VPN Ziel:
Logische Verbindung zum lokalen Netzwerk über das öffentliche Netzwerk Ziel: Mit möglichst geringem, technischen und finanziellen Aufwand Zugriff auf das gewünschte Netzwerk zu haben Remote-Access ist ein VPN-Szenario, bei dem Heimarbeitsplätze oder mobile Benutzer (Außendienst) in ein Unternehmensnetzwerk eingebunden werden. Der externe Mitarbeiter soll so arbeiten, wie wenn er sich im Netzwerk des Unternehmens befindet. Hierbei ist zwangsläufig ein VPN-Client auf dem Computer des externen Mitarbeiters zu installieren, wenn diese Software nicht bereits im Betriebssystem verankert ist. 6

7 Branch-Office-VPN / Site-to-Site-VPN / LAN-to-LAN-VPN
Wird angewandt, um Außenstellen oder Niederlassungen zu einem dynamischen, virtuellen Firmennetzwerk über das öffentliche Netz zusammenzuschalten. Netzwerke, die sich an verschiedenen Orten befinden lassen sich über eine angemietete Standleitung direkt verbinden. Standleitung  permanent Verbindung zweier Kommunikationspartner über ein Telekommunikationsnetz. Bei VPNs über das Internet entstehen nur die Kosten, die für den Internet Service Provider zu bezahlen sind. Virtuelle private Netze benutzen das Internet als Weitverkehrsnetz. VPN-Technik löst zunehmend WAN ab . VPNs lassen sich über das Internet billiger und flexibler betreiben. 7

8 Extranet-VPN Virtuelles Netzwerk, das die Netzwerke unterschiedlicher Firmen miteinander verbindet. Ziel: Intranets fremder Unternehmen zusammenzuschließen Funktionsweise: Dabei gewährt man dem externen Unternehmen Zugriff auf Teilbereiche des Unternehmensnetzwerks. Die Zugriffsbeschränkung erfolgt mittels einer Firewall. Extranet-VPNs ermöglichen eine sichere Kommunikation bzw. einen sicheren Datenaustausch zwischen den beteiligten Unternehmen. Intranets  Rechennetz das nicht öffentlich ist Zum Beispiel Geschäftspartner, Lieferanten und Support-leistende Unternehmen. 8

9 Tunneling / Tunnelmodus / Transportmodus
Gesicherte Datenübertragung: Aufbau einer verschlüsselten Verbindung mittels Tunneling- Protokoll Wird auch VPN-Tunnel genannt. Tunnel: Logische Verbindung zwischen zwei beliebigen Endpunkten Inhalt der Daten für andere nicht sichtbar daher auch der Name „Tunnel“. Bei einzelnen Clients bindet man per Tunnelmodus an. Für LAN-to-LAN-Kopplung kommt der Transportmodus zum Einsatz. Um eine gesicherte Datenübertragung über das unsichere Internet zu gewährleisten, wird mit einem Tunneling-Protokoll eine verschlüsselte Verbindung, der VPN-Tunnel, aufgebaut. Einzelne Clients bindet man in der Regel per Tunnelmodus an. Für LAN-to-LAN-Kopplungen setzt man in der Regel den Transportmodus ein. 9

10 VPN Endpunkt VPN-Gateway:
Stelle an der der VPN-Tunnel endet bzw. beginnt. Station, die für die Einhaltung von Authentizität, Vertraulichkeit und Integrität zuständig ist. Ein VPN-Endpunkt kann ein Router, Gateway oder Software-Client sein. Server auf denen VPN Dienste installiert sind dienen auch als Endpunkt wird aber selten angewendet. VPN-Gateway: Funktionen immer mehr in normalen Routern und Firewalls. VPN-Gateways und -Router können VPN-Verbindungen und normale Verbindungen verarbeiten. VPN-Verbindung erkennbar am Header der Datenpakete oder an der IP- Protokollnummern Eine Sonderform sind VPN-Services von Netzbetreibern, die keine Installation zusätzlicher Hardware notwendig macht. Der Endpunkt ist die Station, die für die Einhaltung von Authentizität, Vertraulichkeit und Integrität zuständig ist. Ein VPN-Endpunkt kann ein Router, Gateway oder Software-Client sein. 10

11 VPN- Protokolle Ipsec PPTP L2TP L2TP over Ipsec SSL – VPN OpenVPN
Hamachi

12 Ipsec - Security Architecture for IP
IPsec ist eine Erweiterung des Internet-Protokolls (IP) um Verschlüsselungs- und Authentifizierungsmechanismen durchzuführen. Ablauf: Zuerst wird ermittelt, ob die Gegenstellen die notwendigen Verfahren überhaupt beherrschen. Dann wird versucht die NAT-Router auf dem Übertragungsweg zu erkennen. NAT-Keep-Alive wird auf der richtigen Seite aktiviert. Das sorgt dafür, dass die Einträge in der Tabelle der NAT-Router nicht aufgrund von Timeouts gelöscht werden. Bei Bedarf, und das ist die Regel, wird NAT-Traversal aktiviert. Danach beginnt die Aushandlung Vertrauensstellungen. Beide Seiten legen dann die Verschlüsselungs- und Authentifizierungsverfahren für die Datenübertragung fest. Die Daten werden dann ausgetauscht und die Verbindung hergestellt. Dazu generiert das eine Ende von zwei VPN-Endpunkten eine Anfrage an das Zielsystem. Das Zielsystem antwortet und leitet den Schlüsselaustausch per Internet Key Exchange (IKE) ein. Beide Endpunkte handeln dabei Verschlüsselungs- und Authentifizierungsverfahren aus. Über einen Schlüssel oder ein Zertifikat, das beide System kennen, wird eine Vertrauensstellung zueinander hergestellt. Für beide Seiten wird dann der digitale Master-Schlüssel erzeugt. 12

13 IPsec Probleme mit NAT IPsec-Erweiterung NAT-Traversal
Ein NAT-Router hat keinen Zugriff auf verschlüsselte IP-Pakete. Hätte der NAT-Router Zugriff auf das verschlüsselte IP-Paket, dann wäre das per NAT veränderte Datenpakete ungültig. IPsec-Erweiterung NAT-Traversal Beide Kommunikationspartner tauschen über das NAT-Traversal-Protokoll verschiedene Informationen aus. Im Anschluss werden die ESP-Pakete in UDP-Pakete verpackt und über Port 4500 verschickt. Dann können die NAT- Router ohne Probleme IP-Adressen und Ports umschreiben. User Datagram Protocol ist ein minimales, verbindungsloses Netzwerkprotokoll. Aufgabe von UDP ist es, Daten, die über das Internet übertragen werden, der richtigen Anwendung zukommen zu lassen. Encapsulating Security Payload 13

14 Hamachi Gamer-VPN, das zur Verschlüsselung von Peer-to-Peer-Verbindungen in Computerspiele-Netzwerken eingesetzt wird. Funktion: Client bekommt Adresse eines Mediation- Server Client baut TCP-Verbindung zum Server auf Schlüssel wird ausgetauscht und Datenverkehr verschlüsselt und authentisiert Es wird eine weitere UDP-Verbindung aufgebaut um NAT-Problematik zu lösen Port wird für Tunnelverbindung mit anderen Clients des Netzwerks verwendet Peer to Peer  Verbindung zwischen zwei Rechnern Authentisiert: User behauptet, er selbst zu sein und bestimmte Rechte, beispielsweise auf einem Server, zu haben. Er „authentisiert“ sich also. Vom Server aus wird dann überprüft, ob die Angaben stimmen und gegebenenfalls wird der User zugelassen – er wird authentifiziert. 14

15 Hamachi Verbindungsaufbau ist abgeschlossen wenn weiter Hamachi-Server über die UDP-Verbindung Pakete an den Client senden können und diese angekommen sind Alle 90 Sekunden Keep-Alive-Paket Die TCP-Verbindung wird alle 90 Sekunden mit einem Keep-Alive-Paket aufrechterhalten, um den Eintrag in der NAT-Tabelle des NAT-Routers aktuell zu halten. 15

16 Systemanforderungen Sicherheit Datenvertraulichkeit
Schlüsselmanagement Paketauthentifizierung Datenintegrität Benutzerauthentifizierung Benutzerautorisierung Schutz vor Sabotage und unerlaubtem Eindringen Durch Verschlüsselung längere Paketlaufzeit. Bei der Planung eines VPNs ist deshalb auf ein gute Ausstattung des gesamten Systems zu achten.. 16

17 FIN


Herunterladen ppt "VPN: Virtual Private Network"

Ähnliche Präsentationen


Google-Anzeigen