SS 08 Virtual Private Network (VPN) Seminar Internet-Technologie – Henrik Bartholmai
SS 08
Virtual Private Network (VPN)Seminar Internet-Technologie – Henrik Bartholmai
2
Inhalte
• Was ist ein VPN?
• Funktionsweise
• Tunnelingprotokolleo PPTPo L2Fo L2TP
• Sicherheitsmechanismeno IPSeco TSL/SSL
• VPN Arteno Site-to-Siteo Site-to-Endo End-to-End
• Software
• Fazit
3
Was ist ein VPN?
Virtual Private Network
Reines Softwareprodukt
Verschlüsselt und abgeschottet
Eigenständiges Netzwerk
Was ist ein VPN?
• VPN verbindet lokal getrennte Netzwerke
• Basiert meistens auf einem global übergreifenden Network
• Bietet vollständigen Zugriff auf alle Ressourcen der zusammen geschlossenen Netzwerke
• Durch Verschlüsselung wird der Datenverkehr über öffentliche Netze gesichert.
• Günstige Alternative zu klassischen Dial-In- / Remote Access-Lösungen
4
Was ist ein VPN?
Anforderungen an VPN
• Benutzerauthentifizierungo Benötigt Lösungen zur Authentifizierung des Benutzerso Protokollieren der Nutzerzugriffe im Netzwerk
• Adressenverwaltungo Zuordnung der Adressen in den Netzwerken
• Datenverschlüsselungo Daten die über öffentliche Leitungen (Internet) verschickt werden, sollten für dritte
nicht lesbar sein
• Schlüsselmanagemento Techniken zur Verschlüsselung müssen für Client/Server sichergestellt sein
• Multiprotokollunterstützungo Versand muss über gängige Protokolle zur Datenübertragung möglich sein
5
Was ist ein VPN?
6
© 2008 Anhalt-Computer
Funktionsweise
VPN-Verbindungen bestehen aus drei Phasen:
7
Authentifizierung • Client baut Verbindung zum VPN-Server auf• User meldet sich mit seinem Passwort an• User wird authentifiziert
Funktionsweise
VPN-Verbindungen bestehen aus 3 Phasen:
8
Authentifizierung • Client baut Verbindung zum VPN-Server auf• User meldet sich mit seinem Passwort an• User wird authentifiziert
Tunnelaufbau • Tunnel wird aufgebaut und User-PC bekommt IP Adresse zugewiesen• User-PC ist ab diesem Zeitpunkt nicht mehr aus dem Internet erreichbar
Funktionsweise
VPN-Verbindungen bestehen aus 3 Phasen:
9
Authentifizierung • Client baut Verbindung zum VPN-Server auf• User meldet sich mit seinem Passwort an• User wird authentifiziert
Tunnelaufbau • Tunnel wird aufgebaut und User-PC bekommt IP Adresse zugewiesen• User-PC ist ab diesem Zeitpunkt nicht mehr aus dem Internet erreichbar.
Übertragung • Datenpakete werden umgewandelt in IP-Pakete und zum Server gesendet• Dort werden diese an den jeweiligen Rechner im Netzwerk weitergeleitet
Funktionsweise
Grundprinzip der Tunnelprotokolle:
• VPN Pakete lassen sich separat adressieren• Vorteil – Paket lässt sich über jegliche Netzwerkart transportieren
10
Wikipedia.de
Funktionsweise
Tunnelarten
Freiwilliger Tunnel:
• User erstellt nach Internetverbindung via VPN Client-Software eine Verbindung zum Zielnetzwerk
Erzwungener Tunnel:
• Internet-Gateway mit VPN Unterstützung leitet alle Pakete der Clients im Netzwerk per Tunnel an das Zielnetzwerk
11
Tunnelingprotokolle
PPTP (Point-to-Point Tunneling Protocol)
• Von Microsoft und Ascend entwickelt
• Entwickelt 1996, RFC 2637 (Juli 1999)
• In Windows enthalten und damit am weitesten verbreitet
• Unterstützt nur einen Tunnel pro Client
• Weiterentwicklung von PPP (neben IP-Paketen können zusätzlich IPX- und NetBUI-Pakete übertragen werden)
• In PPTP sind keine Key-Management-Protokolle implementiert.
• Datenverschlüsselung durch RC4-Verfahren auch Microsoft Point-to-Point-Encryption (MPPE) genannt
12
Tunnelingprotokolle
PPTP (Point-to-Point Tunneling Protocol)
• PAC (PPTP Access Concentrator) o Verwaltet Verbindung, leitet zum PNS weiter
• PNS (PPTP Network Server)o Routing und Kontrolle
13
elektronik-kompendium.de
Tunnelingprotokolle
L2F (Layer 2 Forwarding)
• Wurde von Cisco, Nortel und Shiva entwickelt
• Im Gegensatz zu PPTP sind mehrere Tunnel möglich
• Erlaubt mittels Client-ID mehrere parallele Verbindung innerhalb des Tunnels
• Authentifizierung über Challenge-Handshake-Verfahren
• Wird mittlerweile nicht mehr verwendet
14
Tunnelingprotokolle
L2TP (Layer 2 Tunneling Protocol)
• RFC 2661 (August 1999)• Vereinigung der Vorteile von PPTP und L2F• Mehrere Tunnel möglich• Kann jedes beliebige Netzwerkprotokoll übertragen• Mehrere Sessions möglich durch Multiplex-Modus• Tunnel besteht aus zwei Kanälen. Kontroll- und Datenkanal• Hat keine integrierte Verschlüsselung, aber Authentifizierungsverfahren• Lässt sich allerdings durch eine Kombination mit IPSec verschlüsseln (RFC 3193 –
"Securing L2TP using IPSec“)
15
Tunnelingprotokolle
L2TP (Layer 2 Tunneling Protocol)
• L2TP Access Concentrator (LAC) o Verwaltet Verbindung, leitet zum LNS weiter
• L2TP Network Server (LNS)o Routing und Kontrolle
16
elektronik-kompendium.de
Sicherheitsmechanismen
IPSec (IP Security Protocol)
• RFC 2401 (November 1998)• Entwickelt von Internet Engineering Task Force(IETF)• Entwickelt für IPv6, allerdings auch Kompatibel zu IPv4• Arbeitet auf der Vermittlungsschicht (Schicht 3)• Verschlüsselt IP-Pakete• Bietet Transport- und Tunnelmodus
17
Sicherheitsmechanismen
IPSec (IP Security Protocol)
IPsec beinhaltet vier wichtige Sicherheitsfunktionen:
• Verschlüsselung - als Schutz gegen unbefugtes Mitlesen (ESP)
• Authentisierung der Nachricht - zum Beweis der Unverfälschtheit einer Nachricht (Paketintegrität) (AH)
• Authentisierung des Absenders - zur unzweifelhaften Zuordnung eines Senders/ Empfängers (Paketauthentizität) (AH)
• Verwaltung von Schlüsseln (IKE)
18
Sicherheitsmechanismen
IPSec (IP Security Protocol) – Verbindungsaufbau
1. Initiator schickt Vorschläge an Authentisierungs- und Verschlüsselungsalgorithmen
2. Responder wählt den sichersten Algorithmus aus der unterstützt wird und sendet diesen zurück
3. Initiator sendet (bei IKE) seinen Diffie-Hellman-Schlüssel + zufälligen Wert
4. Gleiches Verfahren vom Responder
5. Authentifizierung (Zertifikat oder PSK)
Anschließend wird im Quickmode (verschlüsselt) ein erneuter
Vorschlag gemacht, eine neue SA (Security Association) angelegt und
die Alte verworfen.
19
Sicherheitsmechanismen
IPSec (IP Security Protocol) – Verbindungsaufbau
Eine Security Association (SA) ist eine Vereinbarung zwischen den
beiden kommunizierenden Seiten und besteht aus den Punkten:
1. Identifikation (entweder per PSK oder Zertifikat)
2. Festlegung des zu verwendenden Schlüsselalgorithmus für die IPsec-Verbindung
3. von welchem (IP-) Netz die IPsec-Verbindung erfolgt
4. zu welchem (IP-) Netz die Verbindung bestehen soll
5. Zeiträume, in denen eine erneute Authentisierung erforderlich ist
6. Zeitraum, nach dem der IPsec-Schlüssel erneuert werden muss
20
Sicherheitsmechanismen
IPSec (IP Security Protocol) - Übertragung
Authentication Header (AH)
• Erstellt Prüfsumme über das gesamte Paket• Wird zwischen IP und TCP Header gespeichert• Prüfsumme stellt Identität, Vollständigkeit und Korrektheit des Paketes dar
21
Sicherheitsmechanismen
IPSec (IP Security Protocol) - Übertragung
Authentication Header (AH)
• Erstellt Prüfsumme über das gesamte Paket• Wird zwischen IP und TCP Header gespeichert• Prüfsumme stellt Identität, Vollständigkeit und Korrektheit des Paketes dar
22
Encapsulating Security Payload (ESP)
•Bietet Tunnel- und Transportmodus
•Komplettes Datenpaket wird verschlüsselt und neuem Header versehen
Sicherheitsmechanismen
IPSec (IP Security Protocol) – Arten
IPSec Paket im Tunnelmodus nach VPN mit AH oder ESP
23
Sicherheitsmechanismen
TSL/SSL (Transport Layer Security/Secure Sockel Layer)
• TSL ist die Weiterentwicklung von SSL (TSL 1.0 = SSL 3.1)• Stellt Protokollen ohne Sicherheitsmechanismen gesicherte Verbindungen zur Verfügung
Dabei leistet SSL folgende Möglichkeiten:
• SSL authentisiert den Server gegenüber dem Client• SSL authentisiert den Client gegenüber dem Server (optional)• SSL baut zwischen Client und Server eine verschlüsselte Verbindung auf• SSL nutzt Public Key Verschlüsselung um ein "Shared Secret"/ Session Key zu
generieren
24
Sicherheitsmechanismen
TSL/SSL in Verbindung mit VPN
• Mittlerweile von IPSec verdrängt
• Dennoch für Mobile User interessant
• Nutzung durch HTTPS auch ohne extra Client-Software möglich.
SSL VPN Verbindungen werden meistens benutzt, wenn das
Userinterface über eine Website realisiert wird.
• Active – X oder Java – Applikationen
OpenVPN arbeitet mit SSL VPN.
25
VPN Arten
Site – to – Side
26
Zwei unterschiedliche Netzwerke werden miteinander über das Internetverbunden.
www.chicagotech.net
VPN Arten
Site – to – End
27
Client (z. B. Heimarbeitsplatz) wählt sich über VPN in das Firmennetzwerkein.
www.chicagotech.net
VPN Arten
End – to – End
28
Einzelverbindung zwischen zwei Rechnern, um zum Beispiel sensible Datenüber das Internet auszutauschen.
www.chicagotech.net
Software
OpenVPN
• Software zur Erstellung von VPN Netzwerk• Verwendet zur Verschlüsselung SSL
29
Unterstützt zwei verschiedene Modi:
Routing:• Leitet Pakete zwischen zwei Netzwerken in einem sicheren Tunnel
weiter• Keine direkte Verbindung zwischen Rechnern der „getrennten“
Netzwerke. Alle Pakete werden vom Client den Rechnern im Netz zugewiesen.
Bridging:• Erlaubt den Einsatz von alternativen Protokollen wie z. Bsp. IPX.• Virtuelle Netzwerkkarte (tap-Device) verbindet sich über
Netzwerkbrücke mit dem lokalen Netzwerk
Software
30
OpenVPN – Authentifizierung
Pre-shared Key:
• Passwort zum ver- und entschlüsseln wird festgelegt.• Geht der Schlüssel verloren, muss ein neuer angelegt werden.
Username/Password:
• Zugriff auf Netzwerk wird per Username und Passwort geschützt.
Zertifikatsbasiert
• Server und Client besitzen jeweils eigene einmalige Zertifikate• Server kommuniziert nur mit Clients, die zertifiziert wurden.
Software
31
Hamachi
•Einfach zu konfigurierender VPN-Client
•Mit integriertem Instant Messenger
•Verbindung der Clients über zentralen Server
•Nutzdaten fliesen P2P und nicht über Server
•Ideal zum spielen für Games, die normalerweise nur im LAN funktionieren.
Fazit
• Billige und einfache Lösung zum verbinden lokal getrennter Netzwerke• Mit IPSec/SSL eine relativ sichere Art und Weise, um Daten über
öffentliche Netz zu übertragen• Für Clients meist leichte Handhabung durch integrierte VPN-Clients
(Windows)• Verbindung meist über Internet – Bei lokalem Ausfall des Internets,
auch keinen Kontakt zwischen VPN Netzwerken.
32
Ende
Vielen Dank für Eure Aufmerksamkeit.
Fragen?
33
Quellen
VPN und Windows Server 2003http://www.microsoft.com/germany/technet/datenbank/articles/600283.mspx
VPN:http://www.tcp-ip-info.de/tcp_ip_und_internet/vpn.htm
Wikipedia:http://de.wikipedia.org/wiki/Virtual_Private_Network
http://de.wikipedia.org/wiki/OpenVPN
http://de.wikipedia.org/wiki/SSL_VPN
Elektronik Kompendium:http://www.elektronik-kompendium.de
34