Virtual Private Network (VPN) Seminar Internet-Technologie – Henrik Bartholmai SS 08
Inhalte Was ist ein VPN? Funktionsweise Tunnelingprotokolle PPTP L2F L2TP Sicherheitsmechanismen IPSec TSL/SSL VPN Arten Site-to-Site Site-to-End End-to-End Software Fazit
Virtual Private Network Was ist ein VPN? Virtual Private Network Reines Softwareprodukt Verschlüsselt und abgeschottet Eigenständiges Netzwerk
Was ist ein VPN? VPN verbindet lokal getrennte Netzwerke Basiert meistens auf einem global übergreifenden Network Bietet vollständigen Zugriff auf alle Ressourcen der zusammen geschlossenen Netzwerke Durch Verschlüsselung wird der Datenverkehr über öffentliche Netze gesichert. Günstige Alternative zu klassischen Dial-In- / Remote Access-Lösungen
Was ist ein VPN? Anforderungen an VPN Benutzerauthentifizierung Benötigt Lösungen zur Authentifizierung des Benutzers Protokollieren der Nutzerzugriffe im Netzwerk Adressenverwaltung Zuordnung der Adressen in den Netzwerken Datenverschlüsselung Daten die über öffentliche Leitungen (Internet) verschickt werden, sollten für dritte nicht lesbar sein Schlüsselmanagement Techniken zur Verschlüsselung müssen für Client/Server sichergestellt sein Multiprotokollunterstützung Versand muss über gängige Protokolle zur Datenübertragung möglich sein
Was ist ein VPN? © 2008 Anhalt-Computer
Funktionsweise VPN-Verbindungen bestehen aus drei Phasen: Authentifizierung Client baut Verbindung zum VPN-Server auf User meldet sich mit seinem Passwort an User wird authentifiziert
Funktionsweise VPN-Verbindungen bestehen aus 3 Phasen: Authentifizierung Client baut Verbindung zum VPN-Server auf User meldet sich mit seinem Passwort an User wird authentifiziert Tunnelaufbau Tunnel wird aufgebaut und User-PC bekommt IP Adresse zugewiesen User-PC ist ab diesem Zeitpunkt nicht mehr aus dem Internet erreichbar
Funktionsweise VPN-Verbindungen bestehen aus 3 Phasen: Authentifizierung Client baut Verbindung zum VPN-Server auf User meldet sich mit seinem Passwort an User wird authentifiziert Tunnelaufbau Tunnel wird aufgebaut und User-PC bekommt IP Adresse zugewiesen User-PC ist ab diesem Zeitpunkt nicht mehr aus dem Internet erreichbar. Übertragung Datenpakete werden umgewandelt in IP-Pakete und zum Server gesendet Dort werden diese an den jeweiligen Rechner im Netzwerk weitergeleitet
Funktionsweise Grundprinzip der Tunnelprotokolle: VPN Pakete lassen sich separat adressieren Vorteil – Paket lässt sich über jegliche Netzwerkart transportieren Wikipedia.de
Funktionsweise Tunnelarten Freiwilliger Tunnel: Erzwungener Tunnel: User erstellt nach Internetverbindung via VPN Client-Software eine Verbindung zum Zielnetzwerk Erzwungener Tunnel: Internet-Gateway mit VPN Unterstützung leitet alle Pakete der Clients im Netzwerk per Tunnel an das Zielnetzwerk
Tunnelingprotokolle PPTP (Point-to-Point Tunneling Protocol) Von Microsoft und Ascend entwickelt Entwickelt 1996, RFC 2637 (Juli 1999) In Windows enthalten und damit am weitesten verbreitet Unterstützt nur einen Tunnel pro Client Weiterentwicklung von PPP (neben IP-Paketen können zusätzlich IPX- und NetBUI-Pakete übertragen werden) In PPTP sind keine Key-Management-Protokolle implementiert. Datenverschlüsselung durch RC4-Verfahren auch Microsoft Point-to-Point-Encryption (MPPE) genannt
Tunnelingprotokolle PPTP (Point-to-Point Tunneling Protocol) PAC (PPTP Access Concentrator) Verwaltet Verbindung, leitet zum PNS weiter PNS (PPTP Network Server) Routing und Kontrolle elektronik-kompendium.de
Tunnelingprotokolle L2F (Layer 2 Forwarding) Wurde von Cisco, Nortel und Shiva entwickelt Im Gegensatz zu PPTP sind mehrere Tunnel möglich Erlaubt mittels Client-ID mehrere parallele Verbindung innerhalb des Tunnels Authentifizierung über Challenge-Handshake-Verfahren Wird mittlerweile nicht mehr verwendet
Tunnelingprotokolle L2TP (Layer 2 Tunneling Protocol) RFC 2661 (August 1999) Vereinigung der Vorteile von PPTP und L2F Mehrere Tunnel möglich Kann jedes beliebige Netzwerkprotokoll übertragen Mehrere Sessions möglich durch Multiplex-Modus Tunnel besteht aus zwei Kanälen. Kontroll- und Datenkanal Hat keine integrierte Verschlüsselung, aber Authentifizierungsverfahren Lässt sich allerdings durch eine Kombination mit IPSec verschlüsseln (RFC 3193 – "Securing L2TP using IPSec“)
Tunnelingprotokolle L2TP (Layer 2 Tunneling Protocol) L2TP Access Concentrator (LAC) Verwaltet Verbindung, leitet zum LNS weiter L2TP Network Server (LNS) Routing und Kontrolle elektronik-kompendium.de
Sicherheitsmechanismen IPSec (IP Security Protocol) RFC 2401 (November 1998) Entwickelt von Internet Engineering Task Force(IETF) Entwickelt für IPv6, allerdings auch Kompatibel zu IPv4 Arbeitet auf der Vermittlungsschicht (Schicht 3) Verschlüsselt IP-Pakete Bietet Transport- und Tunnelmodus
Sicherheitsmechanismen IPSec (IP Security Protocol) IPsec beinhaltet vier wichtige Sicherheitsfunktionen: Verschlüsselung - als Schutz gegen unbefugtes Mitlesen (ESP) Authentisierung der Nachricht - zum Beweis der Unverfälschtheit einer Nachricht (Paketintegrität) (AH) Authentisierung des Absenders - zur unzweifelhaften Zuordnung eines Senders/ Empfängers (Paketauthentizität) (AH) Verwaltung von Schlüsseln (IKE)
Sicherheitsmechanismen IPSec (IP Security Protocol) – Verbindungsaufbau Initiator schickt Vorschläge an Authentisierungs- und Verschlüsselungsalgorithmen Responder wählt den sichersten Algorithmus aus der unterstützt wird und sendet diesen zurück Initiator sendet (bei IKE) seinen Diffie-Hellman-Schlüssel + zufälligen Wert Gleiches Verfahren vom Responder Authentifizierung (Zertifikat oder PSK) Anschließend wird im Quickmode (verschlüsselt) ein erneuter Vorschlag gemacht, eine neue SA (Security Association) angelegt und die Alte verworfen.
Sicherheitsmechanismen IPSec (IP Security Protocol) – Verbindungsaufbau Eine Security Association (SA) ist eine Vereinbarung zwischen den beiden kommunizierenden Seiten und besteht aus den Punkten: Identifikation (entweder per PSK oder Zertifikat) Festlegung des zu verwendenden Schlüsselalgorithmus für die IPsec-Verbindung von welchem (IP-) Netz die IPsec-Verbindung erfolgt zu welchem (IP-) Netz die Verbindung bestehen soll Zeiträume, in denen eine erneute Authentisierung erforderlich ist Zeitraum, nach dem der IPsec-Schlüssel erneuert werden muss
Sicherheitsmechanismen IPSec (IP Security Protocol) - Übertragung Authentication Header (AH) Erstellt Prüfsumme über das gesamte Paket Wird zwischen IP und TCP Header gespeichert Prüfsumme stellt Identität, Vollständigkeit und Korrektheit des Paketes dar
Sicherheitsmechanismen IPSec (IP Security Protocol) - Übertragung Authentication Header (AH) Erstellt Prüfsumme über das gesamte Paket Wird zwischen IP und TCP Header gespeichert Prüfsumme stellt Identität, Vollständigkeit und Korrektheit des Paketes dar Encapsulating Security Payload (ESP) Bietet Tunnel- und Transportmodus Komplettes Datenpaket wird verschlüsselt und neuem Header versehen
Sicherheitsmechanismen IPSec (IP Security Protocol) – Arten IPSec Paket im Tunnelmodus nach VPN mit AH oder ESP
Sicherheitsmechanismen TSL/SSL (Transport Layer Security/Secure Sockel Layer) TSL ist die Weiterentwicklung von SSL (TSL 1.0 = SSL 3.1) Stellt Protokollen ohne Sicherheitsmechanismen gesicherte Verbindungen zur Verfügung Dabei leistet SSL folgende Möglichkeiten: SSL authentisiert den Server gegenüber dem Client SSL authentisiert den Client gegenüber dem Server (optional) SSL baut zwischen Client und Server eine verschlüsselte Verbindung auf SSL nutzt Public Key Verschlüsselung um ein "Shared Secret"/ Session Key zu generieren
Sicherheitsmechanismen TSL/SSL in Verbindung mit VPN Mittlerweile von IPSec verdrängt Dennoch für Mobile User interessant Nutzung durch HTTPS auch ohne extra Client-Software möglich. SSL VPN Verbindungen werden meistens benutzt, wenn das Userinterface über eine Website realisiert wird. Active – X oder Java – Applikationen OpenVPN arbeitet mit SSL VPN.
VPN Arten Site – to – Side Zwei unterschiedliche Netzwerke werden miteinander über das Internet verbunden. www.chicagotech.net
VPN Arten Site – to – End Client (z. B. Heimarbeitsplatz) wählt sich über VPN in das Firmennetzwerk ein. www.chicagotech.net
VPN Arten End – to – End Einzelverbindung zwischen zwei Rechnern, um zum Beispiel sensible Daten über das Internet auszutauschen. www.chicagotech.net
Software OpenVPN Software zur Erstellung von VPN Netzwerk Verwendet zur Verschlüsselung SSL Unterstützt zwei verschiedene Modi: Routing: Leitet Pakete zwischen zwei Netzwerken in einem sicheren Tunnel weiter Keine direkte Verbindung zwischen Rechnern der „getrennten“ Netzwerke. Alle Pakete werden vom Client den Rechnern im Netz zugewiesen. Bridging: Erlaubt den Einsatz von alternativen Protokollen wie z. Bsp. IPX. Virtuelle Netzwerkkarte (tap-Device) verbindet sich über Netzwerkbrücke mit dem lokalen Netzwerk
Software OpenVPN – Authentifizierung Pre-shared Key: Passwort zum ver- und entschlüsseln wird festgelegt. Geht der Schlüssel verloren, muss ein neuer angelegt werden. Username/Password: Zugriff auf Netzwerk wird per Username und Passwort geschützt. Zertifikatsbasiert Server und Client besitzen jeweils eigene einmalige Zertifikate Server kommuniziert nur mit Clients, die zertifiziert wurden.
Software Hamachi Einfach zu konfigurierender VPN-Client Mit integriertem Instant Messenger Verbindung der Clients über zentralen Server Nutzdaten fliesen P2P und nicht über Server Ideal zum spielen für Games, die normalerweise nur im LAN funktionieren.
Fazit Billige und einfache Lösung zum verbinden lokal getrennter Netzwerke Mit IPSec/SSL eine relativ sichere Art und Weise, um Daten über öffentliche Netz zu übertragen Für Clients meist leichte Handhabung durch integrierte VPN-Clients (Windows) Verbindung meist über Internet – Bei lokalem Ausfall des Internets, auch keinen Kontakt zwischen VPN Netzwerken.
Vielen Dank für Eure Aufmerksamkeit. Fragen? Ende Vielen Dank für Eure Aufmerksamkeit. Fragen?
Quellen VPN und Windows Server 2003 VPN: Wikipedia: http://www.microsoft.com/germany/technet/datenbank/articles/600283.mspx VPN: http://www.tcp-ip-info.de/tcp_ip_und_internet/vpn.htm Wikipedia: http://de.wikipedia.org/wiki/Virtual_Private_Network http://de.wikipedia.org/wiki/OpenVPN http://de.wikipedia.org/wiki/SSL_VPN Elektronik Kompendium: http://www.elektronik-kompendium.de