View
107
Download
0
Category
Preview:
Citation preview
Silko GrimmPhysikalische Technik undInformationsverarbeitung
FH Merseburg University ofApplied Sciences
• Einleitung- VPN Netzwerke- Grundlegende VPN Anforderungen- Tunneling - Typische Tunnel Protokolle
• Konfiguration des VPN Netzwerkes- Erstellen eines Verschlüsselungsschlüssel und eines Zertifikates- Konfiguration des VPN Servers- Konfiguration des VPN Clients
• Zusammenfassung / Ausblick
Konfiguration eines VPN Netzwerkes
Silko GrimmPhysikalische Technik undInformationsverarbeitung
FH Merseburg University ofApplied Sciences
Einleitung
Ein Virtual private Network (VPN) ist die Erweiterung eines privaten Netzwerkes das gemeinsame Netzwerke oder das Internet benutzt
• Daten werden für den Transport in ein Header gekapselt (getunnelt)• Verschlüsselung der Daten zur Sicherung der Vertraulichkeit
Silko GrimmPhysikalische Technik undInformationsverarbeitung
FH Merseburg University ofApplied Sciences
VPN - Netzwerke
• Netzwerke über Internet verbinden
Verbindung der Clienten
mit einer Standleitung Verbindung der Clienten
über eine DFÜ Verbindung
• Computer über Intranet verbinden Trennung von einzelnen Netzwerken
durch VPN Server
Silko GrimmPhysikalische Technik undInformationsverarbeitung
FH Merseburg University ofApplied Sciences
Grundlegende VPN Anforderungen
• Benutzerauthentifizierung• Ausschließlich autorisierte Benutzer (Überprüfung der Identität der Benutzer)• Überwachung der Zugriffe ( Zeit, welche Informationen)
• Adressenverwaltung• Zuordnung der Adresse des Clients auf das private Netz• Sicherstellung das die Adresse privat bleibt
• Datenverschlüsselung• Verschlüsselung der Daten für das öffentliche Netz
• Schlüsselmanagment• Erzeugung für Verschlüsselungsschlüssel für Server und Clienten
• Multiprotokollunterstützung• Unterstützung von Protokollen die im öffentlichen Netzen verwenden werden
Silko GrimmPhysikalische Technik undInformationsverarbeitung
FH Merseburg University ofApplied Sciences
Tunneling
• Senden von Daten eines Netzwerks über eine andere Netzwerkstruktur
• Kapselung der Ausgangsdaten (Pakete) in einen Header
• Header enthält Routinginformationen für die Versendung über die Netzwerkstruktur
• Bekannte Tunnelingtechnologien sind: SNA Tunneling und IPX Tunnling (Novell Netware)
Silko GrimmPhysikalische Technik undInformationsverarbeitung
FH Merseburg University ofApplied Sciences
Tunneltechnologien
Point to Point Tunneling Protokoll (PPTP)
• 2 Schicht Protokoll (OSI Referenzmodell)
• Verschlüsselung und Komprimierung der übertragenen Daten (MPPE, MPPC) • Kapselung der Daten in IP Header (GRE)
• Verwendung von einer TCP Verbindung zur Tunnelverwaltung
Silko GrimmPhysikalische Technik undInformationsverarbeitung
FH Merseburg University ofApplied Sciences
Tunneltechnologien
Layer-Two-Tunneling-Protokoll (L2TP)
• 2 Schicht Protokoll (OSI Referenzmodell)
• Verschlüsselung und Komprimierung der übertragenen Daten (MPPE, IPSec)
• Kapselung der Daten in IP Header
• Verwendung von einer UDP Verbindung und einige L2TP Nachrichten zur Tunnelverwaltung
Silko GrimmPhysikalische Technik undInformationsverarbeitung
FH Merseburg University ofApplied Sciences
Tunneltechnologien
IPSec
• 3 Schicht Protokoll (OSI Referenzmodell)
• Verschlüsselt ganze IP – Pakete und kapselt diese in ein IP Header (mittels ausgehandelten Methoden)
• Arbeitet mit AH (Authentication Header) und ESP (Encapsulation Security Payload)
• Schlüsselmanagement durch Internet Key Exchange (IKE)
• IPSec verwendet Protokolle die Algorithmus unabhängig sind
• Kennt zwei Betriebsmodi (jeweils für AH und ESP)- Transportmodus (Verschlüsselung und Übertragung)- Tunnelmodus (Verschlüsselung und neuer IP – Header)
Silko GrimmPhysikalische Technik undInformationsverarbeitung
FH Merseburg University ofApplied Sciences
IPsec mit AH (Authentication Header)• AH-Header = 5 Felder
– Next Header (TCP,UDP,ICMP)
– Länge des AH-Header
– SPI und Seq-Num
– Authentifizierung mittels• HMAC-MD5-96• HMAC-SHA-1• Optional
– DES-MAC• IP-Datagramm wird nicht verschlüsselt• 24 Byte Vergrößerung des IP-Paket
Silko GrimmPhysikalische Technik undInformationsverarbeitung
FH Merseburg University ofApplied Sciences
IPsec mit ESP (Encapsulation Security Payload)
• ESP = 6 Felder– Nutzdaten liegen zwischen ESPHeader und ESP-Trailer eingebettet– SPI und Seq-Num– ESP-Authentication data– Verschlüsselung
1. DES-CBC2. Null (RFC-2410) !3. Optional – CAST, RC5, IDEA, AES Blowfish, 3DES
– HASH-Algorithmen1. HMAC-MD52. HMAC-SHA-13. Optional
– DES-MAC
Silko GrimmPhysikalische Technik undInformationsverarbeitung
FH Merseburg University ofApplied Sciences
Konfiguration des VPN Netzwerks
• Als VPN – Server fungiert ein Cisco Router 1841
• Dieser wurde mit Hilfe der Cisco SDM – Software zum Easy VPN – Server konfiguriert
• Erstellen von erforderlichen Verschlüsselungsschlüsseln für die Authentifizierung der Clients
• Erstellung des notwendigen Zertifikates zur Wahrung der Integrität der Schlüssel (NT5 Windows Server 2003
• Mitschnitt einer Kommunikation zweier, im VPN – Netzwerk angemeldeten Stationen
(NT2 und NT4) (Ethereal)
Silko GrimmPhysikalische Technik undInformationsverarbeitung
FH Merseburg University ofApplied Sciences
Erstellen eines Verschlüsselungsschlüsselund eines Zertifikates
Silko GrimmPhysikalische Technik undInformationsverarbeitung
FH Merseburg University ofApplied Sciences
Konfiguration des VPN Server
Silko GrimmPhysikalische Technik undInformationsverarbeitung
FH Merseburg University ofApplied Sciences
Konfiguration des VPN - Clients
Silko GrimmPhysikalische Technik undInformationsverarbeitung
FH Merseburg University ofApplied Sciences
Test desVPN Netzwerkes
Silko GrimmPhysikalische Technik undInformationsverarbeitung
FH Merseburg University ofApplied Sciences
Zusammenfassung und Ausblick
• Virtual private Networking ist die Kommunikation mehrerer Stationen oder
Netzwerke, die über öffentliche Netzwerke (Internet) miteinander verbunden sind
• Dabei werden die Daten durch sog. Tunnelprotokolle gekapselt
(PPTP, L2TP, IPSec)
• Es wurde eine VPN – Netzwerk Lösung vorgestellt
(Cisco Router 1841 VPN – Server)
• Die Kommunikation zweier Stationen wurde mitgeschnitten (NT2, NT4)
• Erweiterung der Sicherheitsvorkehrungen des vorgestellten VPN – Netzwerkes
• Erstellung eines VPN – Netzwerkes unter Verwendung anderer Tunnelprotokolle
Recommended