Upload
jubal
View
54
Download
0
Tags:
Embed Size (px)
DESCRIPTION
RAS - Server. Christiane Bär 02INF2 09971. Inhalt. RAS RAS (Service) RAS (Server) Verbindungsmedien Protokolle Sicherheitsprotokolle DHCP Sicherheitsziele Anwendungsbeispiele. Inhalt. VPN Grundlagen Tunneling Tunnel – Protokolle Anwendungen RADIUS Grundlagen Praxis. - PowerPoint PPT Presentation
Citation preview
RAS - Server
Christiane Bär
02INF2
09971
RAS - Server Christiane Bär 11.1.2006 2
Inhalt
RAS RAS (Service) RAS (Server) Verbindungsmedien Protokolle Sicherheitsprotokolle DHCP Sicherheitsziele Anwendungsbeispiele
RAS - Server Christiane Bär 11.1.2006 3
Inhalt
VPN Grundlagen Tunneling Tunnel – Protokolle Anwendungen
RADIUS Grundlagen
Praxis
RAS - Server Christiane Bär 11.1.2006 4
RAS – Remote Access Service
Begriffe Remote – Entfernung Access – Zugang Service – Dienst
Beschreibung Anwendungsdienst Verbindung lokaler mit entfernten Computern „transparente“ Nutzung von Netzwerken
RAS - Server Christiane Bär 11.1.2006 5
RAS – Remote Access Server
Begriffe Remote – Entfernung Access – Zugang Server – Dienstanbieter
Beschreibung Zugangssteuerung für Remote – User Zugang zum Unternehmensnetz / -
Ressourcen / -Diensten Verbindungsaufbau über Wählnetze Authentifizierung des Anrufenden
RAS - Server Christiane Bär 11.1.2006 6
RAS – Remote Access Server
Verringert Abhängigkeit zu den Leistungsschwankungen des Internets
Eingehende Verbindungen über DFÜ – Netzwerk oder andere PPP – DFÜ – Software
Gleichzeitig mehrere Wählverbindungen
Modem-, ISDN- oder X.25 Verbindungen
kostenintensiv
RAS - Server Christiane Bär 11.1.2006 7
RAS - Verbindungsmedien
Server: Wählleitungen für die Erreichbarkeit Clients: Einwählverbindungen Nachteil: geringe Übertragungsrate
56 kBit/s (Modem) 64 kBit/s (ISDN, ein B – Kanal) 128 kBit/s (ISDN, zwei B – Kanäle)
DFÜ – Netzwerk Bietet Verbindungen mit niedriger
Übertragungsrate zum Internet
RAS - Server Christiane Bär 11.1.2006 8
RAS – Verbindungsmedien
Modem Modulator / Demodulator Übertragungsrate max. 56 kBit/s (7 kByte/s) gleichen Modemtyp verwenden
X.25 In paketvermittelnden Netzen Vermittlungs- und Leitungswege ständig
angepasst Direkte Verbindung (von Windows unterstützt)
oder asynchrone Verbindung
RAS - Server Christiane Bär 11.1.2006 9
RAS – Verbindungsmedien
ISDN Integrated Services Digital Network Schnellere Übertragung als bei analogen
Verbindungen Wird Modem bevorzugt Zwei B – Kanäle
Je 64 kBit/s Übertragungsrate Getrennt oder zusammen genutzt
Nutzung der Kanalbündelung abhängig von den ausgeführten Arbeiten
RAS - Server Christiane Bär 11.1.2006 10
RAS - Protokolle
Verwendung des PPP – Protokolls Transportprotokolle unter PPP:
TCP / IP Novell NetWare IPX / SPX Microsoft NetBEUI AppleTalk SLIP
RAS - Server Christiane Bär 11.1.2006 11
RAS – Protokolle – PPP
Point – to – Point – Protokoll Gewährleistet Interoperabilität
Flexibilität in der Auswahl von Hard- und Software
Unterstützt Kennwort – Verschlüsselung, automatische Fehlerbehandlung und Komprimierungsfunktionen
Für die Verkapselung von Datagrammen über serielle Leitungen verwendet
RAS - Server Christiane Bär 11.1.2006 12
RAS – Protokolle – PPP
Verbindungssequenz Datenblockregeln werden erstellt und
ermöglichen eine kontinuierliche Kommunikation
Authentifizierung des Remote – Users durch Authentifizierungsprotokolle
Bei aktivierten Rückruf – beenden der Verbindung und Rückruf durch den Server
Datenübertragung bei erfolgreicher Verbindung
RAS - Server Christiane Bär 11.1.2006 13
RAS – Protokolle – PPP
LCP – Link Control Protocol Überprüft die Qualität der Verbindung Bei Bedarf Authentifizierung der Gegenstellen
NCP – Network Control Protocol Kontrollprotokoll Konfiguration des zu übertragenden Protokolls
IPCP – IP Control Protocol Art von DHCP Wird IP über PPP getunnelt => NCP
RAS - Server Christiane Bär 11.1.2006 14
RAS – Protokolle – TCP / IP
Unterstützt Kommunikation zwischen unterschiedlichen Hardware – Architekturen und Betriebssystemen
IP (Internet Protocol)– Adressierung Sorgt dafür, dass das Ziel erreicht wird
TCP (Transmission Control Protocol) – Datenübertragung Stellt Datenstrom zur Anwendung
Im LAN und WAN anwendbar
RAS - Server Christiane Bär 11.1.2006 15
RAS – Protokolle – IPX / SPX
Protokollfamilie für lokale Novell - Netzwerke IPX: internetworking packet exchange
Verbindungsloses Übertragungsprotokoll Adressierung
SPX: sequence packet exchange Verbindungsorientiertes Transportprotokoll Sicheres Ankommen durch Prüfsumme
In Windows durch NWLink implementiert Heute auch bei Novell von TCP / IP abgelöst
RAS - Server Christiane Bär 11.1.2006 16
RAS – Protokoll - SLIP
Serial line internet protocol Gewährleistet Interoperabilität Keine eindeutige Paketlänge 2 Steuerzeichen: ESC und END
ESC – IP – Daten – END Hauptsächlich in UNIX – RAS – Servern
eingesetzt Wird noch von RAS – Clients unter Windows
unterstützt, nicht aber von RAS - Servern
RAS - Server Christiane Bär 11.1.2006 17
RAS – Protokolle – NetBEUI
Ursprünglich: Network Basic Extended User Interface von IBM
Später: NetBIOS Extended User Interface von Microsoft und anderen
Umgebung für Kommunikationsdienste: NetBIOS als Schnittstelle für Anwendungen NetBEUI als Transportprotokoll NDIS als Schnittstelle zum Netzwerkadapter
Heute kaum noch verwendet
RAS - Server Christiane Bär 11.1.2006 18
RAS – Protokolle – AppleTalk
Implementiert den Zugriff auf Netzwerke mit Apple – Macintosh – Computer
ATCP (AppleTalk Control Protocol) unterstützt Remotezugriff unter AppleTalk
RAS - Server Christiane Bär 11.1.2006 19
RAS - Sicherheitsprotokolle
Authentifizierung und Datenverschlüsselung Authentifizierungsverfahren
MS – CHAP (v2) CHAP EAP – TLS SPAP PAP
Verschlüsselungsverfahren MPPE
RAS - Server Christiane Bär 11.1.2006 20
RAS – Sicherheitsprotokolle
MS – CHAP (v2) Microsoft Challenge Handshake
Authentification Protocol Erhöhung der Sicherheit bei
der Übertragung von Sicherheitsinformationen dem Erstellen von Schlüsseln für die
Datenverschlüsselung v2 für VPN – Verbindungen entwickelt
RAS - Server Christiane Bär 11.1.2006 21
RAS – Sicherheitsprotokolle
CHAP Challenge Handshake Authentification
Protocol Server sendet challenge mit Sitzungskennung
und einer zufälligen Buchstabenfolge Client antwortet mit Benutzernamen (Klartext)
und einer Passwortkombination aus Sitzungskennung, challenge string und Passwort
RAS - Server Christiane Bär 11.1.2006 22
RAS – Sicherheitsprotokolle
PAP Password Authentification Protocol Server verlangt Passwort und Benutzername
Übermittlung im Klartext Unsicher
Dritte können Daten abhören
RAS - Server Christiane Bär 11.1.2006 23
RAS – Sicherheitsprotokolle
EAP - TLS Extensible Authentification – Protocol –
Transport – Layer Security TLS als Weiterentwicklung des SSL Unterstützt viele
Authentifizierungsmechanismen Aushandlung des konkret eingesetzten
Mechanismus erfolgt erst während der Authentifizierungsphase
RAS - Server Christiane Bär 11.1.2006 24
RAS - Datenverschlüsselung
MPPE Microsoft Point – to – Point Encryption Chiffrierschlüssel
40 – Bit (Basisverschlüsselung) 56 – Bit (starke Verschlüsselung 128 – Bit (stärkste Verschlüsselung)
Benötigt als Authentifizierungsprotokoll MS – CHAP oder EAP - TLS
RAS - Server Christiane Bär 11.1.2006 25
RAS – DHCP
Dynamic Host Configuration Protocol Dynamische Zuweisung von IP – Adressen Grundprinzip
Server verteilt automatisch IP – Adressen Client muss automatischen Bezug akzeptieren Nach Trennung: Freigabe und Neuverteilung
Vorteil: Keine Umkonfigurieren an allen Computern Vermeiden fehlerhafter Konfiguration
RAS - Server Christiane Bär 11.1.2006 26
RAS – DHCP
IP – Adressen Verteilung Automatische Zuordnung Manuelle Zuordnung Dynamische Zuordnung Zusätzliche Informationen für die Verteilung,
Angabe über: Adresspool Subnetzmaske DNS – Domäne Gateway
RAS - Server Christiane Bär 11.1.2006 27
RAS – DHCP
Kommunikation Client schickt
„DHCP – discover“
Server antwortet mit „DHCP – offer“
Client entscheidet und schickt „DHCP – request“Server übersendet IP – Konfigurationsdaten mit „DHCP – acknowledge“
RAS - Server Christiane Bär 11.1.2006 28
RAS - Sicherheitsziele
Zugangssicherheit Eindeutige Identifikation des Benutzers
Zugriffskontrolle Berechtigungen und Einschränkungen
Verfügbarkeit Ob und wie ein RAS – Server erreichbar ist
Kommunikationssicherheit Authentizität und Vertraulichkeit
RAS - Server Christiane Bär 11.1.2006 29
RAS - Anwendungsbeispiele
Anbindung einzelner Arbeitsstationen HomeOffice
Anbindung mobiler Rechner Mobile Office
Anbindung ganzer LANs Filialen und Außenstellen
Management – Zugriff Fernwartung
RAS - Server Christiane Bär 11.1.2006 30
VPN – Virtual Private Network
Begriffe Virtual – nicht wirklich existent Private – nicht für die Öffentlichkeit bestimmt Network – Netzwerk
Beschreibung Ähnlich dem RAS – Server Verbindung über das Internet Tunnelverbindung für sichere
Datenübertragung
RAS - Server Christiane Bär 11.1.2006 31
VPN - Tunneling
Verschlüsselte Datenverbindung zwischen zwei Kommunikationspartnern
Layer – 3 – Tunneling Layer – 2 – Tunneling
RAS - Server Christiane Bär 11.1.2006 32
VPN - Layer - 3 - Tunneling
Zur Adressierung des Datenpaketes wird IP (Internet Protocol) genutzt
Realisierung mit IPsec sichere Verbindung zu einem privaten
Netzwerk Teilnehmer authentifizieren sich gegenseitig
und verschlüsseln die über VPN übertragenen Daten
IPsec legt eigene Sicherheitsverfahren und -mechanismen fest
RAS - Server Christiane Bär 11.1.2006 33
VPN – Layer – 2 – Tunneling
Datenpaket der Schicht 3 verschlüsselt und mit einer physikalischen Adresse versehen.
Tunnelprotokolle PPTP oder L2TP verwendet unterstützen sowohl verschlüsselte als auch
unverschlüsselte Authentifizierung Stellen Zugriffskontrollmechanismen bereit,
die eine Sicherung des Datenverkehrs in einem VPN ermöglichen
machen von den Sicherheitsmechanismen des PPP - Protokolls gebrauch
RAS - Server Christiane Bär 11.1.2006 34
VPN - Tunneling
Obligatorische Tunnel Initiierung der Tunnelverbindung und
Unterstützung des Tunnelprotokolls durch den Server
Client muss keine Extraunterstützung für das Tunneling besitzen
Freiwilliger Tunnel Client übernimmt Initiierung der
Tunnelverbindung und Unterstützung der Tunnelprotokolle
RAS - Server Christiane Bär 11.1.2006 35
VPN – Tunnel - Protokolle
Verwaltet Verbindung und übertragt verschlüsselte Daten
Nutzen kryptografische Verfahren für eine gesicherte Verbindung
Auch mehrere Tunnel möglich
RAS - Server Christiane Bär 11.1.2006 36
VPN – Tunnel - Protokolle
Aufgaben von Tunnel – Protokollen Aufbau, Aufrechterhaltung und Abbau des
bzw. der Tunnel kryptographisches Verfahren zur Realisierung
des Tunnels ausgehandeln Schlüsselaustausch-, Verschlüsselungs- und
Signaturverfahren Ver- und Entpacken der Datenpakete der
durch den Tunnel übertragbaren Protokolle Ver- und Entschlüsselung der Datenpakete
RAS - Server Christiane Bär 11.1.2006 37
VPN – Tunnel – Protokolle - PPTP
Point – to – Point – Tunneling Protocol Erlaubt gegenseitige Authentifizierung Erweiterung von PPP, verbessert jedoch:
Authentifizierungsmechanismen Komprimierungsmechanismen Verschlüsselungsmechanismen
RAS - Server Christiane Bär 11.1.2006 38
VPN – Tunnel – Protokolle - PPTP Einkapselung
PPTP – Frame aus PPP – Frame mit verschlüsseltem Inhalt entstanden
Zusätzlich noch mit einem GRE- und einem IP – Header versehen
(GRE – Generic Routing Encapsulation – enthält Angaben über das Tunnelprotokoll und die Authentifizierungsmechanismen)
RAS - Server Christiane Bär 11.1.2006 39
VPN – Tunnel – Protokolle - L2TP
Layer – 2 – Tunneling Protocol Weiterentwicklung des PPTP und L2F unterstützt verschiedene Protokolle und
mehrere parallele Tunnel Wird hauptsächlich mit IPsec verwendet
VPN – Authentifizierung basiert auf einem Austausch von Zertifikaten, der den unberechtigten Zugriff auf Ressourcen und Daten verhindert
Bieten Weg Schlüssel zur Datenverschlüsselung auszutauschen
RAS - Server Christiane Bär 11.1.2006 40
VPN – Tunnel – Protokolle - L2TP
Einkapselung L2TP: PPP – Frame wird mit L2TP- und UDP- Header
versehen IPsec: Es wird zusätzlich noch ESP- und IP- Header.
Und ein Authentifizierungs – Trailer für IPsec angehangen
RAS - Server Christiane Bär 11.1.2006 41
VPN – Tunnel – Protokolle - IPsec
Allgemein IP Security Protocol Layer – 3 – Tunneling Nur in IP – Netzwerken
Herstellerübergreifender sicherer Datenaustausch
2 Betriebsmodi Transportmodus Tunnelmodus
RAS - Server Christiane Bär 11.1.2006 42
VPN – Tunnel – Protokolle - IPsec
Innerhalb sicherer interner Netzwerke Datenteil des IP – Paketes wird verschlüsselt IP – Kopf bleibt erhalten Zusätzlicher IPsec – Kopf Verschlüsselung: AH oder ESP
RAS - Server Christiane Bär 11.1.2006 43
VPN – Tunnel – Protokolle - IPsec
Verbindungen über öffentliches Netz Gesamte IP – Paket wird verschlüsselt Zusätzlich neuer IP- und IPsec – Kopf Verschlüsselung: ESP
RAS - Server Christiane Bär 11.1.2006 44
VPN – AH
Authentification Header Auch IPsec – Header Enthält alle Informationen, die für eine
Authentifikation notwendig sind Deckt Sicherheitsanforderungen ab
Empfangene Paket vom richtigen Sender Datenintegrität sicherstellen Schutz gegen Replay - Angriffe
RAS - Server Christiane Bär 11.1.2006 45
VPN - ESP
Encapsulating Security Payload IPsec - Header Wie AH, nur kommt noch eine
Verschlüsselungskomponente hinzu, z.B.: DESC CBC – Data Encryption Standard Cypher
Block Chaining 3DES – Triple Data Encryption Standard
Zusätzliche Sicherheitsanforderung abgedeckt:
Vertraulichkeit der gesendeten Daten
RAS - Server Christiane Bär 11.1.2006 46
VPN - Anwendungen
End – to – Site VPN (Remote Access VPN) Verbindung eines Einzelnen mit einem Netzwerk Z.B. Außendienstmitarbeiter
RAS - Server Christiane Bär 11.1.2006 47
VPN - Anwendungen
Site – to – Site VPN Verbindung eines Netzwerkes mit einem anderen Benutzer nehmen den firmeneigenen Gateway, um
Daten zu übertragen Extranet und Intranet - VPNs
RAS - Server Christiane Bär 11.1.2006 48
VPN - Anwendungen
End – to – End Direkte Verbindung zwischen Arbeitsrechnern Tunnel deckt Verbindung zwischen den Hosts
vollständig ab Z.B. für Bankkunden auf einem Buchungsrechner
RAS - Server Christiane Bär 11.1.2006 49
RADIUS
Remote Authentification Dial – In User Service
Stellt gesicherte Benutzerauthentifizierung, Autorisierungs- und Kontoführungsdienste zur Verfügung
Accounting- und Authentifizierungsprotokoll Zentrale Administration von Benutzerdaten,
wie Benutzerkennung, Passwörter, Rufnummer, Zugriffsrechte
RAS - Server Christiane Bär 11.1.2006 50
Praxis
Ethereal - Mitschnitte Windows 2003 Server (RAS) Windows XP Professional (VPN) RAS – Server HS – Merseburg