ras - server christiane bär 02inf2 09971. ras - server christiane bär 11.1.20062 inhalt ras ras...

RAS - Server

Christiane Bär

02INF2

09971

RAS - Server Christiane Bär 11.1.2006 2

Inhalt

RAS RAS (Service) RAS (Server) Verbindungsmedien Protokolle Sicherheitsprotokolle DHCP Sicherheitsziele Anwendungsbeispiele


Inhalt

VPN Grundlagen Tunneling Tunnel – Protokolle Anwendungen

RADIUS Grundlagen

Praxis


RAS – Remote Access Service

Begriffe Remote – Entfernung Access – Zugang Service – Dienst

Beschreibung Anwendungsdienst Verbindung lokaler mit entfernten Computern „transparente“ Nutzung von Netzwerken


RAS – Remote Access Server

Begriffe Remote – Entfernung Access – Zugang Server – Dienstanbieter

Beschreibung Zugangssteuerung für Remote – User Zugang zum Unternehmensnetz / -

Ressourcen / -Diensten Verbindungsaufbau über Wählnetze Authentifizierung des Anrufenden


RAS – Remote Access Server

Verringert Abhängigkeit zu den Leistungsschwankungen des Internets

Eingehende Verbindungen über DFÜ – Netzwerk oder andere PPP – DFÜ – Software

Gleichzeitig mehrere Wählverbindungen

Modem-, ISDN- oder X.25 Verbindungen

kostenintensiv


RAS - Verbindungsmedien

Server: Wählleitungen für die Erreichbarkeit Clients: Einwählverbindungen Nachteil: geringe Übertragungsrate

56 kBit/s (Modem) 64 kBit/s (ISDN, ein B – Kanal) 128 kBit/s (ISDN, zwei B – Kanäle)

DFÜ – Netzwerk Bietet Verbindungen mit niedriger

Übertragungsrate zum Internet


RAS – Verbindungsmedien

Modem Modulator / Demodulator Übertragungsrate max. 56 kBit/s (7 kByte/s) gleichen Modemtyp verwenden

X.25 In paketvermittelnden Netzen Vermittlungs- und Leitungswege ständig

angepasst Direkte Verbindung (von Windows unterstützt)

oder asynchrone Verbindung


RAS – Verbindungsmedien

ISDN Integrated Services Digital Network Schnellere Übertragung als bei analogen

Verbindungen Wird Modem bevorzugt Zwei B – Kanäle

Je 64 kBit/s Übertragungsrate Getrennt oder zusammen genutzt

Nutzung der Kanalbündelung abhängig von den ausgeführten Arbeiten


RAS - Protokolle

Verwendung des PPP – Protokolls Transportprotokolle unter PPP:

TCP / IP Novell NetWare IPX / SPX Microsoft NetBEUI AppleTalk SLIP


RAS – Protokolle – PPP

Point – to – Point – Protokoll Gewährleistet Interoperabilität

Flexibilität in der Auswahl von Hard- und Software

Unterstützt Kennwort – Verschlüsselung, automatische Fehlerbehandlung und Komprimierungsfunktionen

Für die Verkapselung von Datagrammen über serielle Leitungen verwendet



Verbindungssequenz Datenblockregeln werden erstellt und

ermöglichen eine kontinuierliche Kommunikation

Authentifizierung des Remote – Users durch Authentifizierungsprotokolle

Bei aktivierten Rückruf – beenden der Verbindung und Rückruf durch den Server

Datenübertragung bei erfolgreicher Verbindung



LCP – Link Control Protocol Überprüft die Qualität der Verbindung Bei Bedarf Authentifizierung der Gegenstellen

NCP – Network Control Protocol Kontrollprotokoll Konfiguration des zu übertragenden Protokolls

IPCP – IP Control Protocol Art von DHCP Wird IP über PPP getunnelt => NCP


RAS – Protokolle – TCP / IP

Unterstützt Kommunikation zwischen unterschiedlichen Hardware – Architekturen und Betriebssystemen

IP (Internet Protocol)– Adressierung Sorgt dafür, dass das Ziel erreicht wird

TCP (Transmission Control Protocol) – Datenübertragung Stellt Datenstrom zur Anwendung

Im LAN und WAN anwendbar


RAS – Protokolle – IPX / SPX

Protokollfamilie für lokale Novell - Netzwerke IPX: internetworking packet exchange

Verbindungsloses Übertragungsprotokoll Adressierung

SPX: sequence packet exchange Verbindungsorientiertes Transportprotokoll Sicheres Ankommen durch Prüfsumme

In Windows durch NWLink implementiert Heute auch bei Novell von TCP / IP abgelöst


RAS – Protokoll - SLIP

Serial line internet protocol Gewährleistet Interoperabilität Keine eindeutige Paketlänge 2 Steuerzeichen: ESC und END

ESC – IP – Daten – END Hauptsächlich in UNIX – RAS – Servern

eingesetzt Wird noch von RAS – Clients unter Windows

unterstützt, nicht aber von RAS - Servern


RAS – Protokolle – NetBEUI

Ursprünglich: Network Basic Extended User Interface von IBM

Später: NetBIOS Extended User Interface von Microsoft und anderen

Umgebung für Kommunikationsdienste: NetBIOS als Schnittstelle für Anwendungen NetBEUI als Transportprotokoll NDIS als Schnittstelle zum Netzwerkadapter

Heute kaum noch verwendet


RAS – Protokolle – AppleTalk

Implementiert den Zugriff auf Netzwerke mit Apple – Macintosh – Computer

ATCP (AppleTalk Control Protocol) unterstützt Remotezugriff unter AppleTalk


RAS - Sicherheitsprotokolle

Authentifizierung und Datenverschlüsselung Authentifizierungsverfahren

MS – CHAP (v2) CHAP EAP – TLS SPAP PAP

Verschlüsselungsverfahren MPPE


RAS – Sicherheitsprotokolle

MS – CHAP (v2) Microsoft Challenge Handshake

Authentification Protocol Erhöhung der Sicherheit bei

der Übertragung von Sicherheitsinformationen dem Erstellen von Schlüsseln für die

Datenverschlüsselung v2 für VPN – Verbindungen entwickelt



CHAP Challenge Handshake Authentification

Protocol Server sendet challenge mit Sitzungskennung

und einer zufälligen Buchstabenfolge Client antwortet mit Benutzernamen (Klartext)

und einer Passwortkombination aus Sitzungskennung, challenge string und Passwort



PAP Password Authentification Protocol Server verlangt Passwort und Benutzername

Übermittlung im Klartext Unsicher

Dritte können Daten abhören



EAP - TLS Extensible Authentification – Protocol –

Transport – Layer Security TLS als Weiterentwicklung des SSL Unterstützt viele

Authentifizierungsmechanismen Aushandlung des konkret eingesetzten

Mechanismus erfolgt erst während der Authentifizierungsphase


RAS - Datenverschlüsselung

MPPE Microsoft Point – to – Point Encryption Chiffrierschlüssel

40 – Bit (Basisverschlüsselung) 56 – Bit (starke Verschlüsselung 128 – Bit (stärkste Verschlüsselung)

Benötigt als Authentifizierungsprotokoll MS – CHAP oder EAP - TLS


RAS – DHCP

Dynamic Host Configuration Protocol Dynamische Zuweisung von IP – Adressen Grundprinzip

Server verteilt automatisch IP – Adressen Client muss automatischen Bezug akzeptieren Nach Trennung: Freigabe und Neuverteilung

Vorteil: Keine Umkonfigurieren an allen Computern Vermeiden fehlerhafter Konfiguration


RAS – DHCP

IP – Adressen Verteilung Automatische Zuordnung Manuelle Zuordnung Dynamische Zuordnung Zusätzliche Informationen für die Verteilung,

Angabe über: Adresspool Subnetzmaske DNS – Domäne Gateway


RAS – DHCP

Kommunikation Client schickt

„DHCP – discover“

Server antwortet mit „DHCP – offer“

Client entscheidet und schickt „DHCP – request“Server übersendet IP – Konfigurationsdaten mit „DHCP – acknowledge“


RAS - Sicherheitsziele

Zugangssicherheit Eindeutige Identifikation des Benutzers

Zugriffskontrolle Berechtigungen und Einschränkungen

Verfügbarkeit Ob und wie ein RAS – Server erreichbar ist

Kommunikationssicherheit Authentizität und Vertraulichkeit


RAS - Anwendungsbeispiele

Anbindung einzelner Arbeitsstationen HomeOffice

Anbindung mobiler Rechner Mobile Office

Anbindung ganzer LANs Filialen und Außenstellen

Management – Zugriff Fernwartung


VPN – Virtual Private Network

Begriffe Virtual – nicht wirklich existent Private – nicht für die Öffentlichkeit bestimmt Network – Netzwerk

Beschreibung Ähnlich dem RAS – Server Verbindung über das Internet Tunnelverbindung für sichere

Datenübertragung


VPN - Tunneling

Verschlüsselte Datenverbindung zwischen zwei Kommunikationspartnern

Layer – 3 – Tunneling Layer – 2 – Tunneling


VPN - Layer - 3 - Tunneling

Zur Adressierung des Datenpaketes wird IP (Internet Protocol) genutzt

Realisierung mit IPsec sichere Verbindung zu einem privaten

Netzwerk Teilnehmer authentifizieren sich gegenseitig

und verschlüsseln die über VPN übertragenen Daten

IPsec legt eigene Sicherheitsverfahren und -mechanismen fest


VPN – Layer – 2 – Tunneling

Datenpaket der Schicht 3 verschlüsselt und mit einer physikalischen Adresse versehen.

Tunnelprotokolle PPTP oder L2TP verwendet unterstützen sowohl verschlüsselte als auch

unverschlüsselte Authentifizierung Stellen Zugriffskontrollmechanismen bereit,

die eine Sicherung des Datenverkehrs in einem VPN ermöglichen

machen von den Sicherheitsmechanismen des PPP - Protokolls gebrauch


VPN - Tunneling

Obligatorische Tunnel Initiierung der Tunnelverbindung und

Unterstützung des Tunnelprotokolls durch den Server

Client muss keine Extraunterstützung für das Tunneling besitzen

Freiwilliger Tunnel Client übernimmt Initiierung der

Tunnelverbindung und Unterstützung der Tunnelprotokolle


VPN – Tunnel - Protokolle

Verwaltet Verbindung und übertragt verschlüsselte Daten

Nutzen kryptografische Verfahren für eine gesicherte Verbindung

Auch mehrere Tunnel möglich


VPN – Tunnel - Protokolle

Aufgaben von Tunnel – Protokollen Aufbau, Aufrechterhaltung und Abbau des

bzw. der Tunnel kryptographisches Verfahren zur Realisierung

des Tunnels ausgehandeln Schlüsselaustausch-, Verschlüsselungs- und

Signaturverfahren Ver- und Entpacken der Datenpakete der

durch den Tunnel übertragbaren Protokolle Ver- und Entschlüsselung der Datenpakete


VPN – Tunnel – Protokolle - PPTP

Point – to – Point – Tunneling Protocol Erlaubt gegenseitige Authentifizierung Erweiterung von PPP, verbessert jedoch:

Authentifizierungsmechanismen Komprimierungsmechanismen Verschlüsselungsmechanismen


VPN – Tunnel – Protokolle - PPTP Einkapselung

PPTP – Frame aus PPP – Frame mit verschlüsseltem Inhalt entstanden

Zusätzlich noch mit einem GRE- und einem IP – Header versehen

(GRE – Generic Routing Encapsulation – enthält Angaben über das Tunnelprotokoll und die Authentifizierungsmechanismen)


VPN – Tunnel – Protokolle - L2TP

Layer – 2 – Tunneling Protocol Weiterentwicklung des PPTP und L2F unterstützt verschiedene Protokolle und

mehrere parallele Tunnel Wird hauptsächlich mit IPsec verwendet

VPN – Authentifizierung basiert auf einem Austausch von Zertifikaten, der den unberechtigten Zugriff auf Ressourcen und Daten verhindert

Bieten Weg Schlüssel zur Datenverschlüsselung auszutauschen


VPN – Tunnel – Protokolle - L2TP

Einkapselung L2TP: PPP – Frame wird mit L2TP- und UDP- Header

versehen IPsec: Es wird zusätzlich noch ESP- und IP- Header.

Und ein Authentifizierungs – Trailer für IPsec angehangen


VPN – Tunnel – Protokolle - IPsec

Allgemein IP Security Protocol Layer – 3 – Tunneling Nur in IP – Netzwerken

Herstellerübergreifender sicherer Datenaustausch

2 Betriebsmodi Transportmodus Tunnelmodus



Innerhalb sicherer interner Netzwerke Datenteil des IP – Paketes wird verschlüsselt IP – Kopf bleibt erhalten Zusätzlicher IPsec – Kopf Verschlüsselung: AH oder ESP



Verbindungen über öffentliches Netz Gesamte IP – Paket wird verschlüsselt Zusätzlich neuer IP- und IPsec – Kopf Verschlüsselung: ESP


VPN – AH

Authentification Header Auch IPsec – Header Enthält alle Informationen, die für eine

Authentifikation notwendig sind Deckt Sicherheitsanforderungen ab

Empfangene Paket vom richtigen Sender Datenintegrität sicherstellen Schutz gegen Replay - Angriffe


VPN - ESP

Encapsulating Security Payload IPsec - Header Wie AH, nur kommt noch eine

Verschlüsselungskomponente hinzu, z.B.: DESC CBC – Data Encryption Standard Cypher

Block Chaining 3DES – Triple Data Encryption Standard

Zusätzliche Sicherheitsanforderung abgedeckt:

Vertraulichkeit der gesendeten Daten


VPN - Anwendungen

End – to – Site VPN (Remote Access VPN) Verbindung eines Einzelnen mit einem Netzwerk Z.B. Außendienstmitarbeiter


VPN - Anwendungen

Site – to – Site VPN Verbindung eines Netzwerkes mit einem anderen Benutzer nehmen den firmeneigenen Gateway, um

Daten zu übertragen Extranet und Intranet - VPNs


VPN - Anwendungen

End – to – End Direkte Verbindung zwischen Arbeitsrechnern Tunnel deckt Verbindung zwischen den Hosts

vollständig ab Z.B. für Bankkunden auf einem Buchungsrechner


RADIUS

Remote Authentification Dial – In User Service

Stellt gesicherte Benutzerauthentifizierung, Autorisierungs- und Kontoführungsdienste zur Verfügung

Accounting- und Authentifizierungsprotokoll Zentrale Administration von Benutzerdaten,

wie Benutzerkennung, Passwörter, Rufnummer, Zugriffsrechte


Praxis

Ethereal - Mitschnitte Windows 2003 Server (RAS) Windows XP Professional (VPN) RAS – Server HS – Merseburg

ras - server christiane bär 02inf2 09971. ras - server christiane bär 11.1.20062 inhalt ras ras...

Documents