Virtual Private Network Seminar Internet-Technologie Maxim Sharnopolsky

Inhalt Einleitung in die VPN Technologie Tunneling Technologie und die Protokolle PPTP (Point-to-Point Tunneling Protocol) L2F (Layer 2 Forwarding) L2TP (Layer 2 Tunneling Protocol) SSL, IPSec VPN Arten Funktionsweise von VPN Zusammenfassung

Was ist VPN? VPN steht für Virtual Private Network Technologie um Geräte über ein fremdes Netzwerk in das eigene Netzwerk virtuell einzubinden als ob man lokal da wäre.  Network Logisch wird man ein Teil eines weit entfernten Netzwerkes , physisch nicht  Virtuell Dabei achtet man auf hohe Sicherheitsmaßnamen der Kommunikation, abhör- und manipulationssicher  Private

Was ist VPN? VPN Technologie ist reine Softwarelösung Es werden mindestens benötigt : Client, Server und ein fremdes Netzwerk über das man kommunizieren möchte  z.B. Internet VPN bieten eine große Flexibilität Die Kommunikation wird ermöglicht durch Tunneling Technologie und deren Protokolle Die verschiedenen VPN arten können miteinander kombiniert werden

Wozu VPN? Geld sparen =_= (bis zu 80% Standleitung,DFÜ) VPN funktioniert ohne dass dafür ein zusätzliches Kabel verlegt oder sonst irgendetwas an Hardware hinzugefügt werden muss Wir erhalten vollständigen Zugriff auf alle Ressourcen der zusammen geschlossenen Netzwerke  z.B. Intranet Dienste die man eigentlich nur lokal im Netzwerk nutzen konnte

Beispiele für VPN Anwendung verteilte Unternehmensnetze können verbunden werden  Hauptzentralle und Filiale Außendienstmitarbeiter können auf Ressourcen und Daten in dem Unternehmensnetz zuzugreifen , auf die sie eigentlich nur lokalen Zugriff hätten  z.B. Außendienstmitarbeiter mit Notebook und UMTS Usb-stick

Tunneling Technologie Gebrauch des Kommunikationsprotokolls eines Netzwerkdienstes als Transportmittel für Daten, die nicht zu diesem Dienst gehören.  z.B. Internet mit TCP/IP als Transportmittel für unsere eigentlichen Datenpakette die für das Zielnetzwerk bestimmt sind Das verwendete Kommunikationsprotokoll wird wie eine Hülle genutzt, die dabei hilft, den tatsächlichen Inhalt zu transportieren ist die Basis moderner VPNs

Tunneling Technologie Pakete eines Netzwerkprotokolls werden in Pakete eines anderen Netzwerkprotokolls gekapselt und über dieses Netzwerk übertragen Datenpakete werden als Nutzdaten in ein IP-Paket verpackt, über das Internet übertragen und beim Empfänger wieder ausgepackt Es gilt Authentizität, Integrität und Vertraulichkeit, die in unsicheren Trägermedien nicht gewährleistet werden können, sicherzustellen

Tunneling Technologie

Tunneling Protokolle PPTP (Point-to-Point Tunneling Protocol) wurde ursprünglich von Microsoft und Ascend entwickelt und war aufgrund seiner Integration in Windows weit verbreitet Übertragung von IP-Paketen, IPX- und NetBUI Je Kommunikationspaar kann nur ein Tunnel aufgebaut werden. keine Key-Management-Protokolle implementiert Die Datenverschlüsselung erfolgt nach dem RC4-Verfahren mit Schlüssellängen von 40, 56 oder 128 Bit Eine Paket- Integritätsrüfung ist nicht implementiert Zur Authentisierung dient PAP/ CHAP; eine Authentisierung der Tunnelenden ist jedoch nicht vorgesehen

Tunneling Protokolle L2F (Layer 2 Forwarding) wurde von Cisco, Nortel und Shiva entwickelt (1999) Im Gegensatz zu PPTP sind mehrere Tunnel möglich Erlaubt mittels Client-ID mehrere parallele Verbindung innerhalb des Tunnels Die Authentisierung erfolgt über ein Challenge-Handshake-Verfahren Es erfolgt keine Verschlüsselung der Daten! Eine Paket- Integritätsrüfung ist nicht implementiert Kein Key-Management Ist veraltet und wird nicht mehr verwendet, Status  historical

Tunneling Protokolle L2TP (Layer 2 Tunneling Protocol) L2TP vereint die Vorteile von PPTP und L2F IETF Standard für IP- und Non-IP-Traffic erlaubt den Betrieb mehrerer Tunnels L2TP erlaubt eine Authentisierung auf der Basis von CHAP/ PAP Es ist keine Verschlüsselung definiert. Eine Paket- Integritätsrüfung ist nicht implementiert Kein Key-Management

Tunneling Protokolle SSL in Verbindung mit VPN SSL wurde ursprünglich von Netscape entwickelt um eine sichere, vertrauenswürdige Verbindung zwischen Client und Server zu gewährleisten Datenverschlüsselung: RSA, DES (SHA-1), Triple-DES (SHA-1), RC-4 (MD5) Authentisierung durch Zertifikate und nutzt Public Key Verschlüsselung um ein "Shared Secret"/ Session Key zu generieren Meistens über Webbrowser mit Active – X oder Java – Applikationen

Tunneling Protokolle SSL Der Vorteil dieser Lösung bestehen darin, dass der Zugriff über das VPN ins Firmennetz ohne eigenen VPN-Client vorgenommen werden kann z.B. einfach per Webbrowser aus dem Internet Café Nachteil: SSL ist eigentlich kein Tunnelprotokoll und muss auf der Application Ebene emuliert werden, was sich sehr negativ auf die Performance auswirkt Diese neue Tunneltechnik mittels SSL ist zwar nicht schlecht, kann aber IPsec nicht (ganz) das Wasser reichen

Tunneling Protokolle IPSec steht für IP Security Protocol, Layer-3-Tunneling-Protokoll IPsec war ursprünglich für IP Version 6 geplant, ist heute jedoch (auch) vollständig für IPv4 standardisiert Zukunftssicherheit – kann leicht in bestehende Netze integriert werden keine Festlegung auf bestimmte Verschlüsselungsverfahren erfolgen muss für die Authentisierung und die Verschlüsselung können unterschiedliche Protokolle zum Einsatz kommen, die unabhängig voneinander oder zusammen eingesetzt werden können

Tunneling Protokolle IPSec IPSec kann ohne Probleme um weitere Protokolle ergänzt werden Es erfüllt alle Anforderungen an die Sicherheit die man heute braucht der Tunnel ist - nach dem heutigen Stand der Kryptologie - als absolut sicher zu betrachten und bittet ein Höchstmaß an Sicherheit hat bereits die o.g. Layer-2-Protokolle langfristig als VPN-Standard-Protokoll abgelöst IPSec definiert zwei weitere Protokollköpfe (Header) für IP-Pakete, um eine Authentifizierung und eine Verschlüsselung zu erreichen, AH und ESP

Tunneling Protokolle IPSec – Paket Sicherheit mit AH Paket- Integritätsrüfung bzw. Paket-Authentifizierung mittels des Authentication Headers, AH schützt die Pakete vor Verfälschung mit Hash-Funktionen wie MD-5(Message Digest) und SHA-1(Secure Hashing Algorithmus) Wobei MD-5 vor kurzem geknackt worden ist  GPU’s(CUDA) Zu SHA-1 gab es berichte über mögliche Security-Schwächen Hashing  der Absender schickt eine Prüfsumme mit, an den Empfänger , errechnet der Empfänger dann die selbe, so ist sichergestellt dass das Packet unterwegs nicht manipuliert worden ist und nur vom Absender stammen kann {authentication_algorithm hmac_sha1, hmac_md5 ;} im Configfile ca. so ein vereinbarter geheimer symmetrischer Schl¨ussel in die Berechnung des Wertes mit einbezogen – dieses Verfahren wird Hashing Message Authentication Code (HMAC) genannt

Tunneling Protokolle IPSec – Verschlüsselung der Daten mit ESP Encapsulating Security Payload – ESP erfolgt mit einem beliebigen Schlüssel (z.B. DES, Triple-DES, AES) unterstützt prinzipiell alle verfügbaren Verschlüsselungsalgorithmen  Blowfish, IDEA usw. Es gibt 2 Mod‘s: Transport und Tunnelmodus { encryption_algorithm 3des, aes; } im Configfile ca. so

Tunneling Protokolle

Tunneling Protokolle IPSec – Key-Managment IKE Internet Key Exchange Protocol (IKE) Damit alles funktioniert müssen auf beiden Seiten viele Parameter ausgetauscht werden Art der gesicherten Übertragung (Authentisierung und/oder Verschlüsselung) Verschlüsselungsalgorithmus "Schlüssel„ Dauer der Gültigkeit der Schlüssel, usw. 1 Möglichkeit wäre alles manuell einrichten  keine Flexibilität 2 Möglichkeit, IKE benutzen der das alles automatisch abgleicht und konfiguriert und dabei eine SA (Security Association) erstellt

Tunneling Protokolle IPSec – Security Association (SA) ist ein temporäre, nur für den Zeitraum der Kommunikation gültiger Vertrag zwischen den beiden Kommunikationspartnern beinhaltet alle zum Aufbau einer gesicherten Kommunikationsverbindung wichtigen Elemente und legt den Arbeitsmodus fest Im Vertrag stehen dann die Verfahren die bei der Verbindung benutzt werden  Identifikation (entweder per PSK oder Zertifikat), Verschlüsselungart, Gültigkeit des Keys usw. für eine Kommunikation müssen immer zwei IPSec-SAs existieren, eine für den ausgehenden Verkehr und eine weitere für den ankommenden Verkehr

VPN-Arten:::Side-to-End

VPN-Arten:::Side-to-Side

VPN-Arten:::End-to-End

Funktionsweise von VPN Phase 1 des IKE: Der Client sendet einen Vorschlag mit Authentisierungs- und Verschlüsselungsalgorithmen. Der Server wählt aus den angebotenen und den von ihm unterstützten Algorithmen den sichersten aus und sendet das Auswahlergebnis an den Client. Der Client sendet seinen öffentlichen Teil vom Diffie-Hellman-Schlüsselaustausch und einen zufälligen Wert, Server tut das selbe

Funktionsweise von VPN beide kennen nun die öffentlichen Teile für den Diffie-Hellman-Schlüsselaustausch, jetzt wird der geheime Schlüssel berechnet. Der berechnete (Diffie-Hellman-)Schlüssel wird für die Erzeugung eines weiteren Schlüssels genutzt, der für die Authentifikation verwendet wird Jetzt kommt die Authentisierung. Dabei müssen sich beide Beteiligten als zugriffsberechtigt ausweisen

Funktionsweise von VPN 2 Möglichkeiten: mittels Pre-Shared-Keys(PSK) oder zertifikatsbasiert die zertifikatsbasierte Authentisierung verwendet X.509-Zertifikate und ist im Wesentlichen eine Public-Key-Infrastruktur PSK – fester Key in einer Datei, z.B unserem VPN client  Nachteil: kommt der Key in die falschen Hände, müssen alle user ihre Keys austauschen, ein Zertifikat kann man dagegen einzeln sperren

Funktionsweise von VPN Es wird ein Hashwert über das mit dem Diffie-Hellman-Schlüsselaustausch erzeugte Geheimnis, die Identität, die ausgehandelten Kryptoverfahren sowie die bisher versandten Nachrichten gebildet, verschlüsselt und versendet Der Schlüssel, der hier für die Verschlüsselung genutzt wird, ist jedoch nicht der aus dem Diffie-Hellman-Schlüsselaustausch, sondern ein Hashwert über diesen sowie die versandten Nachrichten

Funktionsweise von VPN Phase 2 des IKE: Die gesamte Kommunikation in dieser Phase erfolgt verschlüsselt Wie in der ersten Phase wird zunächst ein Vorschlag gemacht und zusammen mit einem Hashwert und dem zufälligen Wert übertragen die Schlüssel werden neuberechnet Dies wird erreicht, indem ein zusätzlicher Diffie-Hellman-Austausch stattfindet Die Geheimnisse zur Schlüsselbildung werden verworfen, sobald der Austausch fertig ist

Funktionsweise von VPN Tunnel wird aufgebaut und User-PC bekommt virtuelle IP Adresse zugewiesen Jetzt kann endlich die Kommunikation stattfinden, unsere eigentlichen Komunikationsdatenpakete werden in IP-Pakete gekapselt und über das Internet zum Server gesendet Dort werden diese geprüft, entpackt und entschlüsselt und schließlich an den Ziel Rechner im Netzwerk weitergeleitet

Zusammenfassung Bei aller Technikbegeisterung: Ein VPN dient dem Geldsparen! VPN ist ein Netzwerk bestehend aus virtuellen Verbindungen (z.B. durch das Internet), über die nicht öffentliche bzw. firmeninterne Daten sicher übertragen werden. Die VPN-Technologie ermöglicht kostengünstige und sichere Anbindungen von Außenstellen bzw. Niederlassungen und Aussendienstmitarbeitern

Quellen http://de.wikipedia.org/wiki/Virtual_Private_Network http://www.tcp-ip-info.de/tcp_ip_und_internet/tunneling_protokolle.htm http://www.tcp-ip-info.de/tcp_ip_und_internet/vpn.htm http://www.tcp-ip-info.de/tcp_ip_und_internet/tunneling_protokolle_uebersicht.htm http://de.wikipedia.org/wiki/Tunneling http://fara.cs.uni-potsdam.de/~enke/vpn.htm http://www.tcp-ip-info.de/tcp_ip_und_internet/ipsec.htm http://www.abipur.de/hausaufgaben/neu/detail/stat/253835092.html http://www.grueneberg.de/andre/diplom/docs/vpn-ipsec.pdf http://www.inf.fu-berlin.de/lehre/SS05/ITsich/vortaege/ipsec-final.ppt http://www.lrz-muenchen.de/services/netz/mobil/vpn-technik/ http://www.mobile.unibas.ch/vpn/vpn-what.html http://wiki.hackerboard.de/index.php/VPN_(Virtual_Privat_Network)