VPN: Virtual Private Network Präsentiert von Abouchdak und Ben Guirat

VPN: Virtual Private Network

Präsentiert vonAbouchdak und Ben Guirat

DEFINITION

Was ist eigentlich ein Virtual Private Network (VPN)?

Definition: Was ist eigentlich ein VPN?

Laut dem deutschen Duden: Virtual - dem Wesen nach geltend,

möglich, scheinbar Private - nicht öffentlich, persönlich,

vertraulich Network - Datenkommunikationssystem

für Übermittlung und Übertragung von Signalen


Übliche Bezeichnung:

Virtual – Virtuelles

Private – Privates

Network - Netz


Der Begriff VPN ist in der Fachpresse weit verbreitet.

Es existiert eine Vielzahl von unterschiedlichen Definitionen.


Mögliche Definition:Ein Virtual Private Network ist ein Netzwerk,

das aus mindestens zwei Teilnetzwerken (bzw. Teilnehmern) besteht, die über öffentliche Leitungen (z.B. dem Internet) miteinander verbunden sind und bei dem die Vertraulichkeit, Integrität und Authentizität der Daten bei der Datenkommunikation gewährleistet werden soll.

VPN Anforderungen

Welche Anforderungen werden an das VPN

gestellt?

VPN Anforderungen:

Durch Einsatz bestimmter VPN-Technologien sollen folgende Anforderungen erfüllt werden:SicherheitPerformanceMigrationsfähigkeit und SkalierbarkeitIntegration in existierende NetzeVerfügbarkeit

VPN Anforderungen: Sicherheit

Zentrale Bedeutung hat Sicherheit weil: Kommunikation durch öffentlicher

Netwerke bedeutet die Möglichkeit für den Angreifer, den Datenstrom abzuhören und sogar zu verändern

deshalb: Einsatz der Mechanismen die den Datentransport sicher machen

VPN Anforderungen: Performance

Einsatz aufwendiger Verschlüsselungsmechanismen bei breitbandiger Strecken in Echtzeit zur Gewährleistung der Sicherheit kann problematisch sein und stellt hohe Anforderungen an die Hardware

VPN Anforderungen: Migrationsfähigkeit und Skalierbarkeit

Einsatz der offenen Standards zur Meidung der Bindung an einen einzigen Hersteller

freie Produktwahl für eventuelle Erweiterungen des VPNs

VPN-Lösung und deren einzelner Komponenten sollen zu späteren Zeitpunkten erweiterbar sein (Updates, usw.)

VPN Anforderungen: Integration in existierende Netze

VPN-Lösung muss sich in die vorhandene Netzwerk-Infrastruktur integrieren lassen

Einfache Eingliederung in das Sicherheitskonzept des vorhandenen Netzwerkes um somit die Authentifizierung und Verschlüsselung zu gewährleisten

VPN Anforderungen: Verfügbarkeit

Um keine Nachteile im Datenverkehr zu erlangen, sollte die Verfügbarkeit eines VPNs mit der einer herkömmlichen und zu ersetzenden WAN-Infrastruktur gleichgesetzt werden können.

Sicherheitsproblematik

Welche Bedrohungen gibt es?

Welche Sicherheit garantiert VPN?

Sicherheitsproblematik: Bedrohungen

Abhören von Daten

Datengewinnung durch das Belauschen des Netzwerks (sniffen) Der Angreifer kann so unverschlüsselte Daten im Klartext lesen und somit Passwörter oder Dokumente herausfiltern und rekonstruieren. physikalischer Zugang zum Netzwerk notwendig (WLAN, Hub….).


Datenmanipulation

Angreifer ist gewillt, Daten des Netzwerkverkehrs zu löschen, zu verändern oder falsche Informationen in den Verkehr einzuspielen.


Datenmanipulation

Einige dieser Bedrohungen für Datenmanipulation sind: IP-Spoofing Man-in-the-Middle-Angriff Session Hijacking Missbrauch des Source-Routing Missbrauch der Routing-Protokolle


Verhindern von Diensten auch als "Denial of Service" ( DoS ) bezeichnet. Störung und das Verhindern des Informationsflusses im ausgewählten System. (mittels Überlastung des Systems oder über Abtrennung einzelner Netzwerkkomponenten). Systeme können übernommen oder sogar zum Absturz gebracht werden.

Sicherheitsproblematik: VPN-Sicherheit

Funktionen Datenvertraulichkeit Datenintegrität Schlüsselmanagement Paket-Authentifizierung Benutzer-Authentifizierung Benutzer-Authorisierung


Funktionen > Datenvertraulichkeit Unbefugten wird der Zugang zu den versendeten Daten verwehrt wird Einsatz der Verschlüsselung der zu sendenden Datenpakete (Verfahren wie: DES oder 3DES)


Funktionen > Datenintegrität Sichergestellung, dass keine Veränderungen der Daten auf deren Transportwegen erfolgen Die Datenintegrität und die Paket-Authentifizierung werden oftmals mittels ein und dem selben Verfahren realisiert.


Funktionen > Schlüsselmanagement Prüfung und rechtzeitige Erneuerung der Schlüssel Die Schlüssel für die Datenverschlüsselung müssen oft erzeugt werden


Funktionen > Paket-Authentifizierung Jedes einzeln eintreffende Datenpaket muss authentifiziert werden zur Sicherstellung, dass:

ankommendes Datenpaket unverfälscht vom authentischen Absender übersendet wurde

Einsatz spezielle symmetrische Verschlüsselungsverfahren, so genannte Keyed-Hash-Algorithmen (MD5 SHA…)


Funktionen > Benutzerauthentifizierung Identitätsfeststellung mittels Authentifizierung der Kommunikationspartner. Einsatz von Kern-Mechanismen in VPNs:

- Authentifizierung (Authentication) - Verschlüsselung (Encryption)


Authentifizierung Paketauthentifizierung IPSec ( durch AH und ESP ) Email-Verschlüsselungsverfahren mittels Einweg-Hash-Funktionen ( MD5, SHA,... ) User-AuthentifizierungPasswort-Verfahren wie PAP und CHAP


Verschlüsselung

Wegen ihrer hohen Geschwindigkeit werden in der Praxis für die Verschlüsselungen symmetrische Verschlüsselungsverfahren eingesetzt, z.B.: IPSec (kommt ESP zum Einsatz, realisiert durch ( DES, 3DES, IDEA, Cast, Blowfish ) Das PPTP ( Layer-2 ) definiert durch MPPE

VPN Typen

Welche VPN Typen gibt es?

VPN Typen

Vier Kategorien:

Remote - Access VPN Intranet VPN Branch-Office VPN Extranet VPN

VPN Typen:Kategorien

Remote - Access VPN auch als End-to-Site oder Host-to-Network bezeichnet Bei dieser Topologie wird gewährleistet, dass sich Mitarbeiter, die zuhause arbeiten ( Home-Office ) oder als Außendienstmitarbeiter tätig sind, über einen Internet Service Provider (ISP) in das Firmennetzwerk einwählen können. Somit hat der Remote-Access User von seinem lokalen System Zugriff auf das Netzwerk.


Intranet VPN Einsatz des VPN auch in einem lokalen "öffentlichen" Netz Intranet Vermeidung der Betriebsspionage

Schutz hochempfindlicher Daten und ganzer Teilnetze vor unautorisiertem Zugriff (VLAN).


Branch-Office VPN auch als Network-to-Network oder

Site-to-Site bezeichnet Verbindung zwei Intranets (firmenintern, d.h.

Anbindung einzelner Firmenstandorte.) Zur Kostenreduzierung werden die einzelnen

Teilnetze eines Unternehmens mittels VPN-Gateways über das Internet verbunden.


Extranet VPN ähnelt der Branch-Office VPN Der Unterschied liegt im Teilnehmerumfeld:

externe Teilnehmer ( Teilnetze ) sind Bestandteile dieser Topologie.

Gewährung ausgewählten Geschäftspartnern, Zulieferern oder Kunden Zugriffs auf bestimmte Bereiche des unternehmensinternen Netzwerkes.

VPN - Technologie

Welche Technologie kommt zum Einsatz?

VPN Technologie

Tunneling Sicherheits-Protokolle

VPN Technologie:Tunneling

Ist ein Konzept, mit dem Beliebige Datenpakete über ein ( unsicheres ) Transitnetz im Huckepackverfahren sicher weitergeleitet werden können.


Ist ein Konzept, mit dem Beliebige Datenpakete über ein ( unsicheres ) Transitnetz im Huckepackverfahren sicher weitergeleitet werden können.

Modelle: Provider-Enterprise-Modell Ende-zu-Ende-Modell


Modelle > Provider-Enterprise-Modell sowohl die Service Provider als auch Endkunden in das Tunneling sind involviert Das primäre Einsatzgebiet sind Remote-Access-VPNs aber auch in Branch-Office-VPNs.


Modelle > Ende-zu-Ende-Modell Der Tunnel wird hier ausschließlich vom Kunden aufgebaut Der Remote-Access-Client wählt sich in POPs der Service Provider ein und eine spezielle VPN-Clientsoftware im Endgerät des Kunden baut dann den Tunnel zum gewünschten VPN-Gateway im Firmennetzwerk auf.

VPN Technologie:Sicherheits-Protokolle

Übersicht Sicherheitsansprüche an zu übersendende Daten immer weiter angewachsen. Da das TCP/IP-Protokoll keine Sicherheit im internetbezogenen Datenverkehr bietet, wurde das OSI Referenzmodell um weitere Sicherheitsprotokolle erweitert.

VPN Technologie:Sicherheits-Protokolle

Typen: Layer 2 Technik Layer 3 Technik IPSec Internet Key Exchange (IKE)

VPN in der Praxis

Welche VPN-Lösungen werden angeboten?

VPN in der Praxis

Für die Implementierung der VPN stehen

verschiedene Varianten zur Verfügung: Hardware Based VPN Router Based VPN Software Based VPN Firewall Based VPN

VPN in der PraxisVarianten

Hardware Based VPN hohe Bandbreiten Komponenten: Router mit ganz speziell für die Verschlüsselung optimierten Prozessoren und Hardware Anwendungsbereich der Hardwarelösung liegt eher im Network-to-Network Bereich


Router Based VPN Router sind in vielen Unternehmen die Schnittstelle zum Internet. Viele Hersteller von Routern haben deshalb meist schon VPN-Funktionen in das Betriebssystem implementiert. Die Software und das Betriebssystem Routers sind vom selben Hersteller.


Software Based VPN Diese Lösungen arbeiten zusätzlich zu anderen Diensten auf dafür bereitgestellten Servern Softwarelösung als Unterstützung für die gängigen Standards Die Sicherheit und Qualität einer solchen Software hängt oft vom darunter liegenden Betriebssystem ab.


Firewall Based VPN Viele Unternehmen leiten ihren gesamten externen Datenverkehr zu einer Firewall, mit der diese VPN-Lösung demzufolge arbeitet. Die Konfiguration erfolgt mittels dem Management der Firewall ( weitere VPN-Funktionen installiert ). Die bestehende Netzwerkstruktur bleibt in der Regel unverändert.

VPN – Fazit und Ausblick

Wie sieht die Zukunft von VPN aus?


im Laufe der letzten Jahre die Anzahl von VPNs hat sich enorm erhöht.

Die Gründe:o Unternehmen arbeiten global mit vielen Außendienstmitarbeitern/Tochterfirmen/Lieferanten zusammeno Sicherheit der Datenkommunikation.o Kosteneffektivität


Die Zukunft von Virtual Private Networks sieht sehr gut aus. Wirtschafts-Institute prognostizieren für VPNs große Wachstumsraten in der Zukunft

VPN – Fazit und AusblickFirmen und VPN

Future of VPN: Companies with VPN

Vielen Dank für Ihre Aufmerksamkeit!

Documents

VPN: Virtual Private Network Präsentiert von Abouchdak und Ben Guirat