Kurzeinführung VPN - Rechnernetze und...
Transcript of Kurzeinführung VPN - Rechnernetze und...
Was sind VPNs?
➢ Virtuelles Privates Netzwerk
➸ Mehrere entfernte lokale Netzwerke werden wie ein zusammenhängendes behandelt
➸ Zwischenliegende Netzwerke gelten als transparent
➸ Vertraulichkeit der lokalen Strukturen muss gewahrt bleiben
Remote Access Koncentrator
➢ Für jede Einwahltechnik muss Schnittstelle angeboten werden (GSM, ISDN, Analog)
➢ Primärmultiplexanschluss bietet in Deutschland (hier als S2M bezeichnet) 2048 kbit/s und 30 Nutzdatenkanäle
➢ Nutzung von Kabelmodems, DSL o.ä. Nicht möglich
➢ Hohe Kosten der Hardware
➢ Hohe Einwahlgebühren (wegen möglicher Ferngespräche)
RemoteAccess VPN
➢ Einwahl erfolgt über Internet Service Provider (ISP) – Einwahltechnik nur Abhängig von ISP
➢ Kunde benötigt nur noch einen Konzentrator, der Tunnel vom ISP terminiert
➢ Einwahl zu Orts oder Spezialtarifen
➢ VPNKonzentrator günstiger, da einfachere Technik
WAN Verbindungen
➢ Fest vorgegebene Verbindung
➸ Z.B. durch ATM, Frame Relay oder Standleitungen
➢ Qualität/Durchsatz der Verbindung wählbar
➢ Kosten abhängig von Entfernung
➢ Abhilfe BranchOffice
Branch Office VPN
➢ Auch als SitetoSite VPN bezeichnet
➢ Günstig bei großen Entfernungen, da Strecke zwischen POPs (Point of Presence) vom Internet überbrückt wird
➢ Verbindungen zwischen den POPs möglicherweise etwas schlechter
Extranet VPN
➢ Bietet externen Personen (limitierten) Zugang zum eigenen Netzwerk
➢ Externe Verbindung wird über eine Firewall umgeleitet
➢ Zugriffsbeschränkungen, Audit, Filterung usw. sind möglich
VPN Service Provider
➢ Vollständiger Eigenbetrieb
➸ Carrier und Provider stellen Internetzugang bereit
➢ AccessEquipmentOutsourcing
➸ LAN Anschluss wird vom Provider bereitgestellt
➸ Kunde betreibt VPN Gateway in Eigenregie
VPN Service Provider
➢ VPN und AccessEquipmentOutsourcing
➸ VPN Management obliegt dem Kunden, Systemkonfiguration ist Aufgabe des Providers
➸ Abhören durch Ermittlungsbehörden möglich
➢ Vollständiges VPNOutsourcing
➸ Einfachste Form des VPN für den Kunden
➸ Vollständige Kontrolle inkl. Verschlüsselungsstärke und Benutzerverwaltung liegen beim Provider
„Intranet“ VPN
➢ Virtual LANs, meist unverschlüsselt
➸ Protokollbasiert (erfordert Layer 3 Switch)
➸ MACbasiert
➸ Portbasiert
➢ Hinweis: In einigen Büchern bezeichnetIntranet VPN auch das Branch Office VPN
Anforderungen an VPNs
➢ Datenvertraulichkeit
➢ Schlüsselmanagement
➢ PaketAuthentifizierung
➢ Datenintegrität
➢ BenutzerAuthentifizierung und Autorisierung
➢ Schutz vor Sabotage
➢ Schutz vor unerlaubtem Eindringen
Datenvertraulichkeit
➢ Datenverkehr darf nicht mitgelesen werden können
➢ Zuordnung von Quelle, Ziel, Port verhindern =>
➸ Tunneling
➸ Meist Verwendung symmetrischer Verschlüsselung
➸ z.B. DES, TripleDES
Schlüsselmanagement
➢ Gängige VPN arbeiten mit kurzlebigen Schlüsseln (wenige Stunden, einmalige Sitzung usw.)
➸ Manuelle Schlüsselverteilung fällt aus
➸ OutofBand Verfahren sind zu aufwendig, da weiteres Kommunikationsmedium benötigt wird
➢ Häufigste Form sind PublicKey Verfahren
PaketAuthentifizierung
➢ Pakete mit gefälschten Adressen und neu berechneten Prüfsummen müssen erkannt werden
➢ Jedes ankommende Paket wird authentifiziert
➸ Symmetrische Schlüssel
➸ Shared Secret
➢ Aus Effizienzgründen meist mit Prüfung der Datenintegrität kombiniert
Datenintegrität
➢ Es muss gewährleistet sein, dass ankommende Pakete nicht verfälscht wurden
➢ Einsatz von Prüfsummen
➸ Einfache Prüfsumme kann vom Angreifer neu berechnet werden
➸ Prüfsummen werden meist mit symmetrischer Verschlüsselung gesichert
➸ Asymmetrische Verfahren hier i.d.R. zu aufwendig
BenutzerAuthentifizierung
➢ Besonders wichtig bei RemoteAccess VPNs
➢ Gute Konzentratoren bieten eine Reihe abgestufter Verfahren zur Authentifizierung an
➸ Passwort
➸ PKI
➸ Tokens
BenutzerAutorisierung
➢ Besonders wichtig bei Extranet
➢ Zugriffssteuerung auf Benutzer oder Gruppenebene wird von VPNs nicht unterstützt
➢ Filterung aufgrund von Adressen, Ports usw. möglich
➢ Weitere Autorisierung nur durch Proxy bzw. auf lokaler Ebene möglich
Schutz vor Sabotage
➢ Primäre Angriffsformen sind auch hier DoS Angriffe
➢ Speziell gegen DDoS Angriffe sind VPNs (theoretisch) besonders anfällig
➸ Ausfall Konzentrator => Teilnetz nicht erreichbar
Schutz vor unerlaubtem Eindringen
➢ Physische Sicherheit
➸ Verschließen der Geräte
➸ Geräteräume unter Verschluss halten
➢ Interface Sicherheit
➸ IP Stack härten (Funktionalität beschränken)
➸ VPN nicht auf „unsicherem“ Betriebssystem aufsetzen
Schutz vor unerlaubtem Eindringen
➢ Betriebssicherheit
➸ Zugriff von innen verhindern (Administrative Zugriffe im LAN verschlüsseln)
➢ Interne Konfigurationszugänge minimieren
➢ Hintertüren vermeiden
Tunnel Technologien➢ Schicht 2
➸ Tunneling Protocol (L2TP)
➸ Layer 2 Forwarding (L2F)
➢ Schicht 3
➸ IP Security Protocol (IPsec)
➢ Schicht 4
➸ Secure Socket Layer (SSL)
➸ Transport Layer Security (TLS)
➢ Schicht 5
➸ SOCKS v5
Tunnel Technologien
➢ L2TP
➸ Flexible logische PunktzuPunkt Verbindungen
➸ Stellt selber keine Sicherungsmaßnahmen zur Verfügung
➢ IPsec
➸ Einfache und meist sichere Methode für Einsatz von VPN
➸ Konzept in sich aufwendig
➸ großer Overhead
Tunnel Technologien
➢ SSL/TLS
➸ Einfach in der Anwendung
➸ Verschlüsselt „nur“ die Daten zwischen Server und Client
➢ SOCKS v5
➸ Authentifizierung und Kontrollmöglichkeiten auf Anwedungsebene
➸ Aufwendige Installation