Virtual Private Networks VPN Virtual Private Networks CE5 – Netzwerke Andreas Amann Hendryk Wünsche

Ablauf VPN – Allgemeines VPN – Detailliert Schwachstellen Alternativen Ausblick

VPN – Allgemeines Beginn ca. 1997 Verbindet Komponenten eines Netzwerks mit anderem Netzwerk Tunnel über Internet oder anderes Netzwerk PTP – Verbindung zwischen UserPC und Unternehmensserver

VPN – Allgemeines 3 Arten: Verbinden einer Zweigstelle mit dem Unternehmens-LAN über eine Standleitung Verbinden einer Zweigstelle mit dem Unternehmens -LAN über eine DFÜ-Verbindung (Home-Office) User-2-User (Privat-VPN)

VPN – Allgemeines Warum VPN? Sicherheitsfaktor Kostenfaktor Authentisierung/ Zugangskontrolle Vertraulichkeit Datenintegrität Kostenfaktor VPN – Verbindung günstiger (via Internet) als Anbindung über Standleitung oder DFÜ (ca. 60-80% Ersparnis)

VPN – Detailliert VPN – Architekturen VPN – Protokolle VPN – Komponenten

VPN – Detailliert VPN - Architekturen Tunnelverfahren Vorhande Struktur verwendet Daten werden in Transportframes verpackt Beispielhafter Aufbau des Transportframes:

VPN – Detailliert VPN - Architekturen Sicherheitsaspekte Verschlüsselung des Verkehrs(z.B. DES, Blowfish, RSA, PGP, Hashfunktionen, Zertifikate, IPSec, Diffie-Hellman, User-Authentifizierung (Smartcards, Zertifikate, TACACS, Kerberos, Biometrik)

VPN – Detailliert VPN - Protokolle L2F – Layer2 forwarding PPTP – Point-to-Point Tunneling Protocol L2TP – Layer2 Tunneling Protocol Socks v5 (unpraktisch, kaum benutzt) SKIP und S/WAN (selten benutzt)

VPN – Protokolle Layer-2-Forwarding (L2F) entwickelt 1996 (von Cisco) erst PPP zum ISP, dann L2F zur Firma Vorteile: Protokoll unabhängig Dynamische und sichere Tunnel

VPN – Protokolle PPTP – Point-to-Point Tunneling Protocol 1996 entwickelt von Microsoft Erweiterung von PPP Tunneln von anderen Protokollen möglich Authentifizierung über PAP, CHAP, MS-CHAP (Verschlüsselung über RSA und DES, 40-128bit)

VPN – Protokolle L2TP – Layer2 Tunneling Protocol Zusammenführung von L2F und PPTP durch Cisco, 3Com, Ascend und Microsoft (1998) Vorteile und Fähigkeiten aus L2F und PPTP übernommen einige Sicherheitsfunktionen aus IPSec (=bessere Sicherheit)

Eigenschaft PPTP L2F L2TP IPsec Protokoll-Ebene Layer 2 Layer 3 Standart Nein Ja Authentifizierung (Paket) Authentifizierung (User) Verschlüsselung Schlüsselmanagement nein n/a Ja (IKE) QoS Andere Protokolle tunnelbar End-to-End Security

VPN – Detailliert VPN - Komponenten Aufbau aus vier Komponenten Internet (Grundvoraussetzung) Gateway Verbindet vers. Netzwerke miteinander Optional angeschlossene Firewall

VPN-Komponenten (Fortsetzung) Security Policy Server Sorgt für Authentifizierung Verwaltet ACL (Access Controll List) Certificate Authorities (optional) Verwaltet Zertifikate

Ablauf einer VPN-Verbindung

VPN-Schwachstellen

VPN-Schwachstellen (Fortsetzung) Hijacking Bestehende Verbindung übernehmen Replay Sniffing Ausspionieren der Verbindung Man in the Middle In Verbindung einhängen Spoofing Erstellen von TCP/IP Paketen mit fremder IP

Alternativen SSH (Portforwarding) Direkte Verbindung über Standleitung (keine echte Alternative, da wieder Abhängigkeit von Dritten)

Ausblick IPv6 zur Sicherheitsverbesserung des VPN Neue Sicherheitsfunktionen Neue Headerinformationen zur Authentifizierung Verschlüsselungsmechanismen Stärkere Nutzung, je mehr Computerarbeit möglich ist (Ausweitung von Home-Offices)

Vielen Dank für Ihre Aufmerksamkeit © A. Amann u. H. Wünsche, Furtwangen 2004