VPN – Virtual Private Network

Referenten: Sabrina Falcone, Ben Fischer

• VPN = Virtual Private Network

• Verknüpft zwei voneinander getrennte Netzwerke (zwei Rechner)

• Sicherer Kommunikationskanal = Tunnel

• Durch Chiffrierung abhörsicher und vor Manipulation geschützt

Überwachte Übertragung

• Alles vom eigenen Rechner wird geschützt weiter geleitetVon außen nicht einsehbar

• z.B. gut bei Passwörtern

• heißt: die Daten machen einen Zwischenstopp über den VPN-Provider

Aufgabe

• Datenpakete eines beliebigen Protokolls werden verschlüsselt und verpackt übers Internet gesendet

• Dieses Verfahren nennt man „Tunneling“

• Internetprotokolle dienen als Transportmittel

Schaubild

IPsec

• IPsec = IP Security Protocol

• Derzeit nur Verschlüsselung von IP Paketen

• Leichte Integrierung in bestehende Netzwerke und Möglichkeit zur Ergänzung weiterer Protokolle

• Datenintegrität und Authentisierung des Datenursprungs AH-Header (Authentication Headers)

• AH-Header: schützt vor Verfälschungen durch Hash-Funktionen

Hash-Funktionen

• MD-5 = Message Digest

• SHA-1 = Secure Hashing Algorithmus

Aus der IP-Playload wird eine Prüfsumme gebildet und im AH-Header an den Empfänger übertragen – errechnet dieser dieselbe Prüfsumme, ist sichergestellt, dass die Nachricht nicht verändert wurde

Löst die Layer-2-Protokolle langfristig als VPN-Standard-Protokoll ab

SSL (Secure Socket Layer)

• Ursprünglich entwickelt von Netscape, um eine sichere Verbindung zwischen Client und Server zu gewährleisten

• Authentisiert den Server gegenüber dem Client und den Client gegenüber dem Server (optional); baut zwischen beiden eine verschlüsselte Verbindung auf

• Bei der SSL Server Authentisierung kann die Client-Software die Identität eindeutig anhand eines Zertifikats auf dem Server überprüfen muss erworben werden

• Neuerdings auch zum Aufbau von VPN-Tunneln verwendet unter Verwendung von SSL als Verschlüsselungsprotokoll

• Vorteil: Zugriff kann über das VPN in z.B. ein Firmennetz ohne installierten VPN-Client vorgenommen werden

• Alle heute üblichen SSL-VPN-Systeme verwenden den TCP-Port 443 (HTTPS) für die Datenübertragung Zugriff auch durch Firewall hindurch

Weitere Tunneling Protokolle für VPN

• PPTP (Point To Point Tunneling Protocol): – Ursprünglich von Microsoft und Ascend entwickelt und aufgrund seiner

Integration in Windows weit verbreitet

• L2F (Layer 2 Forwarding): – Entwickelt von Cisco, Nortel und Shiva – Erlaubt den gleichzeitigen Betrieb mehrerer Tunnel sowie parallele

Verbindungen innerhalb jeden Tunnels– Unterstützt werden Punkt-zu-Punkt und Punkt-zu-Mehrpunkt-Verbindungen– Es erfolgt keine Verschlüsselung der Daten!

• L2TP (Layer 2 Tunneling Protocol):– Vereint die Vorteile von PPT und L2F; bietet selbst keinen Authentisierungs-

und Verschlüsselungsmechanismus, lässt sich aber mit beliebigen Verschlüsselungsverfahren kombinieren

• Unterscheidung: Tunneltypen

• Full-Tunnel: – Beim Full-Tunnel-Verfahren besteht außer der Verbindung zum VPN-Server

keine weitere Verbindung des Rechners zum Internet. Alle Webseiten und Internet-Dienste werden ausschließlich über das VPN-Gateway (das Netz der Uni Köln) übertragen.

– Viele Dienste der Uni Köln können nur mit einer Full-Tunnel-Verbindung genutzt werden (z.B. Datenbanken, E-Zeitschriften oder E-Books der Universitätsbibliothek).

• Split-Tunnel:– Die Daten werden nur dann über den Tunnel geleitet, wenn die aufgerufene

Webseite oder der Internetdienst innerhalb des UKLANs liegt. Ansonsten wird eine direkte Verbindung vom Rechner zum Webseiten- beziehungsweise Dienstanbieter hergestellt.

– Downloads und Datenverkehr von externen Servern werden nicht erst über die Universität geleitet.

Cisco AnyConnect Client

Konfiguration des IPSec Client• 1. Möglichkeit: Profildatei

importieren• 2. Möglichkeit: Manuell

– Passwort: uklan