Kurzeinführung VPN

Veranstaltung

➢ Rechnernetze II

Übersicht

➢ Was bedeutet VPN?

➢ VPN Typen

➢ VPN Anforderungen

Was sind VPNs?

➢ Virtuelles Privates Netzwerk

➸ Mehrere entfernte lokale Netzwerke werden wie ein zusammenhängendes behandelt

➸ Zwischenliegende Netzwerke gelten als transparent

➸ Vertraulichkeit der lokalen Strukturen muss gewahrt bleiben

VPN Typen

➢ Remote­Access

➢ Branch Office

➢ Extranet

➢ VPN Service Provider

➢ „Intranet“

Remote Access Koncentrator

Remote Access Koncentrator

➢ Für jede Einwahltechnik muss Schnittstelle angeboten werden (GSM, ISDN, Analog)

➢ Primärmultiplexanschluss bietet in Deutschland (hier als S2M bezeichnet) 2048 kbit/s und 30 Nutzdatenkanäle

➢ Nutzung von Kabelmodems, DSL o.ä. Nicht möglich

➢ Hohe Kosten der Hardware

➢ Hohe Einwahlgebühren (wegen möglicher Ferngespräche)

Remote­Access VPN

Remote­Access VPN

➢ Einwahl erfolgt über Internet Service Provider (ISP) – Einwahltechnik nur Abhängig von ISP

➢ Kunde benötigt nur noch einen Konzentrator, der Tunnel vom ISP terminiert

➢ Einwahl zu Orts­ oder Spezialtarifen

➢ VPN­Konzentrator günstiger, da einfachere Technik

WAN Verbindungen

WAN Verbindungen

➢ Fest vorgegebene Verbindung 

➸ Z.B. durch ATM, Frame Relay oder Standleitungen

➢ Qualität/Durchsatz der Verbindung wählbar

➢ Kosten abhängig von Entfernung

➢ Abhilfe Branch­Office

Branch Office VPN

Branch Office VPN

➢ Auch als Site­to­Site VPN bezeichnet

➢ Günstig bei großen Entfernungen, da Strecke zwischen POPs (Point of Presence) vom Internet überbrückt wird

➢ Verbindungen zwischen den POPs möglicherweise etwas schlechter

Extranet VPN

Extranet VPN

➢ Bietet externen Personen (limitierten) Zugang zum eigenen Netzwerk

➢ Externe Verbindung wird über eine Firewall umgeleitet

➢ Zugriffsbeschränkungen, Audit, Filterung usw. sind möglich

VPN Service Provider

➢ Vollständiger Eigenbetrieb

➸ Carrier und Provider stellen Internetzugang bereit

➢ Access­Equipment­Outsourcing

➸ LAN Anschluss wird vom Provider bereitgestellt

➸ Kunde betreibt VPN Gateway in Eigenregie

VPN Service Provider

➢ VPN­ und Access­Equipment­Outsourcing

➸ VPN Management obliegt dem Kunden, Systemkonfiguration ist Aufgabe des Providers

➸ Abhören durch Ermittlungsbehörden möglich

➢ Vollständiges VPN­Outsourcing

➸ Einfachste Form des VPN für den Kunden

➸ Vollständige Kontrolle inkl. Verschlüsselungsstärke und Benutzerverwaltung liegen beim Provider

„Intranet“ VPN

➢ Virtual LANs, meist unverschlüsselt

➸ Protokollbasiert (erfordert Layer 3 Switch)

➸ MAC­basiert

➸ Portbasiert

➢ Hinweis: In einigen Büchern bezeichnetIntranet VPN auch das Branch Office VPN

Anforderungen an VPNs

➢ Datenvertraulichkeit

➢ Schlüsselmanagement

➢ Paket­Authentifizierung

➢ Datenintegrität

➢ Benutzer­Authentifizierung und Autorisierung

➢ Schutz vor Sabotage

➢ Schutz vor unerlaubtem Eindringen

Datenvertraulichkeit

➢ Datenverkehr darf nicht mitgelesen werden können

➢ Zuordnung von Quelle, Ziel, Port verhindern =>

➸ Tunneling

➸ Meist Verwendung symmetrischer Verschlüsselung

➸ z.B. DES, Triple­DES

Schlüsselmanagement

➢ Gängige VPN arbeiten mit kurzlebigen Schlüsseln (wenige Stunden, einmalige Sitzung usw.)

➸ Manuelle Schlüsselverteilung fällt aus

➸ Out­of­Band Verfahren sind zu aufwendig, da weiteres Kommunikationsmedium benötigt wird

➢ Häufigste Form sind Public­Key Verfahren

Paket­Authentifizierung

➢ Pakete mit gefälschten Adressen und neu berechneten Prüfsummen müssen erkannt werden

➢ Jedes ankommende Paket wird authentifiziert

➸ Symmetrische Schlüssel

➸ Shared Secret

➢ Aus Effizienzgründen meist mit Prüfung der Datenintegrität kombiniert

Datenintegrität

➢ Es muss gewährleistet sein, dass ankommende Pakete nicht verfälscht wurden

➢ Einsatz von Prüfsummen

➸ Einfache Prüfsumme kann vom Angreifer neu berechnet werden

➸ Prüfsummen werden meist mit symmetrischer Verschlüsselung gesichert

➸ Asymmetrische Verfahren hier i.d.R. zu aufwendig

Benutzer­Authentifizierung

➢ Besonders wichtig bei Remote­Access VPNs

➢ Gute Konzentratoren bieten eine Reihe abgestufter Verfahren zur Authentifizierung an

➸ Passwort

➸ PKI

➸ Tokens

Benutzer­Autorisierung

➢ Besonders wichtig bei Extranet

➢ Zugriffssteuerung auf Benutzer­ oder Gruppenebene wird von VPNs nicht unterstützt

➢ Filterung aufgrund von Adressen, Ports usw. möglich

➢ Weitere Autorisierung nur durch Proxy bzw. auf lokaler Ebene möglich 

Schutz vor Sabotage

➢ Primäre Angriffsformen sind auch hier DoS Angriffe

➢ Speziell gegen DDoS Angriffe sind VPNs (theoretisch) besonders anfällig

➸ Ausfall Konzentrator => Teilnetz nicht erreichbar

Schutz vor unerlaubtem Eindringen

➢ Physische Sicherheit

➸ Verschließen der Geräte

➸ Geräteräume unter Verschluss halten

➢ Interface Sicherheit

➸ IP Stack härten (Funktionalität beschränken)

➸ VPN nicht auf „unsicherem“ Betriebssystem aufsetzen

Schutz vor unerlaubtem Eindringen

➢ Betriebssicherheit

➸ Zugriff von innen verhindern (Administrative Zugriffe im LAN verschlüsseln)

➢ Interne Konfigurationszugänge minimieren

➢ Hintertüren vermeiden

Tunnel Technologien➢ Schicht 2

➸ Tunneling Protocol (L2TP)

➸ Layer 2 Forwarding (L2F)

➢ Schicht 3

➸ IP Security Protocol (IPsec)

➢ Schicht 4

➸ Secure Socket Layer (SSL)

➸ Transport Layer Security (TLS)

➢ Schicht 5

➸ SOCKS v5

Tunnel Technologien

➢ L2TP

➸ Flexible logische Punkt­zu­Punkt Verbindungen

➸ Stellt selber keine Sicherungsmaßnahmen zur Verfügung

➢ IPsec

➸ Einfache und meist sichere Methode für Einsatz von VPN

➸ Konzept in sich aufwendig

➸ großer Overhead

Tunnel Technologien

➢ SSL/TLS

➸ Einfach in der Anwendung

➸ Verschlüsselt „nur“ die Daten zwischen Server und Client

➢ SOCKS v5

➸ Authentifizierung und Kontrollmöglichkeiten auf Anwedungsebene

➸ Aufwendige Installation

Resümee

➢ VPN bieten günstige und sichere Möglichkeit zur Verbindung weit entfernter lokaler Netze

➢ Auf alle Schichten stehen gute Sicherungsverfahren zur Verfügung

➢ In Zusammenhang mit IPv6 dürfte sich IPsec als Standard für VPN etablieren