VPN
Virtual Private Networks
CE5 – NetzwerkeAndreas AmannHendryk Wünsche
Ablauf
VPN – Allgemeines VPN – Detailliert Schwachstellen Alternativen Ausblick
VPN – Allgemeines
Beginn ca. 1997 Verbindet Komponenten eines Netzwerks mit
anderem Netzwerk Tunnel über Internet oder anderes Netzwerk PTP – Verbindung zwischen UserPC und
Unternehmensserver
VPN – Allgemeines
3 Arten:Verbinden einer Zweigstelle mit dem
Unternehmens-LAN über eine StandleitungVerbinden einer Zweigstelle mit dem
Unternehmens -LAN über eine DFÜ-Verbindung (Home-Office)
User-2-User (Privat-VPN)
VPN – Allgemeines
Warum VPN? Sicherheitsfaktor
Authentisierung/ Zugangskontrolle Vertraulichkeit Datenintegrität
Kostenfaktor VPN – Verbindung günstiger (via Internet) als Anbindung
über Standleitung oder DFÜ (ca. 60-80% Ersparnis)
VPN – Detailliert
VPN – Architekturen VPN – Protokolle VPN – Komponenten
VPN – DetailliertVPN - Architekturen
TunnelverfahrenVorhande Struktur verwendetDaten werden in Transportframes verpacktBeispielhafter Aufbau des Transportframes:
SicherheitsaspekteVerschlüsselung des Verkehrs(z.B. DES,
Blowfish, RSA, PGP, Hashfunktionen, Zertifikate, IPSec, Diffie-Hellman,
User-Authentifizierung (Smartcards, Zertifikate, TACACS, Kerberos, Biometrik)
VPN – DetailliertVPN - Architekturen
VPN – DetailliertVPN - Protokolle
L2F – Layer2 forwarding PPTP – Point-to-Point Tunneling Protocol L2TP – Layer2 Tunneling Protocol Socks v5 (unpraktisch, kaum benutzt) SKIP und S/WAN (selten benutzt)
VPN – ProtokolleLayer-2-Forwarding (L2F)
entwickelt 1996 (von Cisco) erst PPP zum ISP, dann L2F zur Firma Vorteile:
Protokoll unabhängigDynamische und sichere Tunnel
VPN – ProtokollePPTP – Point-to-Point Tunneling Protocol
1996 entwickelt von Microsoft Erweiterung von PPP Tunneln von anderen Protokollen möglich Authentifizierung über PAP, CHAP, MS-
CHAP (Verschlüsselung über RSA und DES, 40-128bit)
VPN – ProtokolleL2TP – Layer2 Tunneling Protocol
Zusammenführung von L2F und PPTP durch Cisco, 3Com, Ascend und Microsoft (1998)
Vorteile und Fähigkeiten aus L2F und PPTP übernommen
einige Sicherheitsfunktionen aus IPSec (=bessere Sicherheit)
Eigenschaft PPTP L2F L2TP IPsec
Protokoll-Ebene Layer 2 Layer 2 Layer 2 Layer 3
Standart Nein Nein Ja Ja
Authentifizierung (Paket) Nein Nein Nein Ja
Authentifizierung (User) Ja Ja Ja Ja
Verschlüsselung Ja Nein Nein Ja
Schlüsselmanagement nein n/a n/a Ja (IKE)
QoS Nein Nein Nein Ja
Andere Protokolle tunnelbar
Ja Ja Ja Nein
End-to-End Security Ja Nein Nein Ja
Aufbau aus vier Komponenten Internet (Grundvoraussetzung)Gateway
Verbindet vers. Netzwerke miteinander Optional angeschlossene Firewall
VPN – DetailliertVPN - Komponenten
VPN-Komponenten (Fortsetzung)
Security Policy Server Sorgt für Authentifizierung Verwaltet ACL (Access Controll List)
Certificate Authorities (optional) Verwaltet Zertifikate
Ablauf einer VPN-Verbindung
VPN-Schwachstellen
VPN-Schwachstellen(Fortsetzung)
Hijacking Bestehende Verbindung übernehmen
Replay Sniffing
Ausspionieren der Verbindung Man in the Middle
In Verbindung einhängen Spoofing
Erstellen von TCP/IP Paketen mit fremder IP
Alternativen
SSH (Portforwarding) Direkte Verbindung über Standleitung
(keine echte Alternative, da wieder Abhängigkeit von Dritten)
Ausblick
IPv6 zur Sicherheitsverbesserung des VPN Neue Sicherheitsfunktionen Neue Headerinformationen zur Authentifizierung Verschlüsselungsmechanismen
Stärkere Nutzung, je mehr Computerarbeit möglich ist (Ausweitung von Home-Offices)
Vielen Dank für Ihre Aufmerksamkeit
© A. Amann u. H. Wünsche, Furtwangen 2004