Sichere Netzwerkinfrastruktur

VPNVirtual Private Network

© 2013 Lennart Edinger

2Inhaltsverzeichnis

1. Einleitung

2. Geschichte

3. Einsatz von VPNs

4. VPN Typen

5. VPN Dienste

6. Anforderungen an VPN

Seite 4 - 5

Seite 6 - 7Anfänge der NetzeFrame RelayATM

Seite 8 - 9KostenoptimierungGlobalisierung...

Seite 10 - 11Remote-AccessBranche-OfficeExtranet

Seite 12 - 13EigenbetiebOutsourcing-Dienste

Seite 14 - 15SicherheitVerfügbarkeitQoS

Inhaltsver-zeichnis

Informatik GKHerr Braun - 2013BBS-NW - GyTe

Ausarbeitung und Vortrag

Copyright

Urheberrecht liegt beim Herausgeber.

Alle verwendeten Informati-onsquellen im Literaturver-zeichnis zu finden.

3Inhaltsverzeichnis

Notizen

7. Tunneling

8. Sicherheit

9. Überblick VPN Anbieter

10. Literaturver-zeichnis

Seite 16 -17Protokolle

Tunneling-Modelle

Seite 18 - 19 IPSec

SSLKryptologie

Seite 20 Informationen

Seite 21

4Einleitung

Notizen

Daten sichern, Datenschutz wahren und bloß keine pri-vaten Dinge preisgeben. Die Enthüllung Edward Snowdens über die Abhörgeschichten der NSA, die auch Deutsch-land betreffen, besorgen vie-le der Deutschen mittlerweile. Die vielen eingesetzten Spi-onageprogramme, wie Prism und Tempora der amerikani-schen NSA und britischen Ge-heimdienste GCHQ, darunter auch XKeyscore, das sogar jeden Chatverlauf mitlesen kann, lassen viele über mehr Sicherheit im Netz nachden-ken, denn nicht jeder möchte seine komplette Identität im Internet durch alle Aktionen preisgeben und nicht alles Geschriebene ist auch für an-dere Menschen gedacht. Einige gingen deshalb schon auf die Straße, um zu protes-tieren, andere versuchen ge-rade ihre im Internet hinter-lassenen Spuren zu entfernen, was allerdings unmöglich ist, denn das Internet vergisst nie. Die NSA kann bis zu ein Yotta-byte an Daten sammeln, das entspricht ca. 140 Terrabyte pro Person – WELTWEIT. Und alleine von Dezember 2012 bis Januar 2013 hat die NSA laut Spiegel-Online 500 Milli-onen Kommunikationsdaten-sätze gesammelt und ausge-

wertet.Der gesetzliche Zugriff auf Kundendaten der Onlinean-bieter hat sogar schon den Betreiber Ladar Levison von Lavabit, den Emailprovider von Snowden, dazu gebracht lieber seinen eigenen Dienst einzustellen als die Daten der NSA preiszugeben. Wei-tere Dienste wie Silent Circle folgten dem Beispiel.

Hier beginnt also spätestens die Zeit, ab der man sich Ge-danken machen sollte wie weit das bisher schon führt und wie weit wir noch bereit sind solche Abhöraktionen, die an eine nicht lange zu-rückliegende Zeit erinnern, noch dulden wollen. Denn wenn die Regierung nichts unternimmt um die Bürger zu schützen, dann sollten wir zumindest soweit selbst anfangen das, was wir dem entgegenwirken können, um dem zu entgehen, auch zu tun. Um sich also etwas sicherer im Internet zu bewegen, wird ein gewisses Know-How vor-ausgesetzt. Die Daten müs-sen verschlüsselt und auch die direkte Rückverfolgung unterbunden werden. Dabei hilft die Sichere Netzwerkin-frastruktur - durch VPNs.

Einleitung1

5Einleitung

Notizen

vate Daten gesichert über das öffentliche Netzwerk zu versenden.

VPN ist das Virtual Privat Net-work - Virtuelle Private Netz-werk. Einfach gesagt nutzen VPNs öffentliche Netzwerke um private Daten zu trans-portieren. Doch nicht im-mer nutzten VPNs das Inter-net, denn auch schon vorher existierten solche VPNs zur Sprachübertragung.

Das Gegenteil zu VPNs sind echte Netzwerke, also Verbin-dungen durch Kabel beispiels-weise in einem Firmennetz. Dieses Netzwerk wird von der Firma selbst betrieben und unterhalten und nur Mitar-beiter haben darauf Zugriff. Doch oft werden diese Netze von Betreibern bereitgestellt die dadurch zwar ein priva-tes Netzwerk einrichten, dies aber in Europa meist ein Teil einer öffentlichen Netzwer-kinfrastruktur ist, was wieder-um Angriffsmöglichkeiten für Außenstehende bietet. Und genau da liegt ein großer Nachteil der „echten“ Netz-werke. Öffentliche Netzwerke können von jedem durch eine gewisse Gebühr genutzt wer-den, da sie als Infrastruktur eines Dienstleistungsunter-nehmens betrieben werden. VPNs versuchen also genau diese beiden Netzwerke zu verbinden, allerdings um pri-

Abbildung 1: Klassisches Netzwerk basierend auf Festverbindungen

Abbildung 2: VPN-Netz basierend auf virtuelle Verbindungen (Tunnel)

Notizen

In der Vergangenheit wurden VPNs auch Corporate Net-work genannt, wobei dort auch andere Technologien als das Internet genutzt wurden. Darunter waren zum einen Netzwerke zur Daten- und Sprachübertragung mit Mo-dems durch Vergabe der ein-zelnen Nummern an Teilneh-mer des Netzwerkes, dabei wurde allerdings zum ande-ren auch das öffentliche Te-lefonnetz genutzt, wodurch kein rein privates Netz vor-handen war.

Ab den 70er Jahren wurden die Netze weiterentwickelt und digitalisiert, arbeiteten weiter aber mit den bisher verwendeten Koaxialkabeln.Es folgte die fertige Entwick-lung der optischen Übertra-gungsmedien, deren Anfänge zurück in die 60er Jahre ge-hen. Hierbei werden modu-lierbare Laser verwendet, die mit Informationen codiertes Licht aussenden und auf Emp-fängerseite wieder in elektri-sche Signale zur Weiterverar-beitung umgesetzt werden. Daraus entstanden die auch heute verwendeten Glasfa-serkabel. Erstmals wurden diese in 1977 in den USA und England verwendet. Ab der Jahrtausendwende waren be-

reits etliche 10-Gibabit/s-Sys-teme im Einsatz.Weitere Entwicklungen wa-ren WDM und DWDM (Dense Wavelength Division Multi-plexing) die immer größere Datendurchsätze der Kabel mit sich brachten.In den 70er Jahren wurden immer mehr Daten über öf-fentliche Netze transportiert. Die bis daher zu reservie-renden Übertragungskanäle mussten nicht mehr reserviert werden, stattdessen wurden die Daten in Pakete zerlegt und unabhängig von der Zeit zum Empfänger transportiert. Dadurch war die Leitung nur noch virtuell vorhanden und daraus entstand der Name VC (Virtual Circuit). Bekannt wur-de diese Technik unter dem Namen X.25, wobei heute noch einige dieser Netze exis-tieren. Da nur virtuelle Ver-bindungen genutzt wurden, ist dies der Vorläufer heutiger VPNs.Durch Anstieg der Qualität der Pakete und der erhöhten Geschwindigkeit der Übertra-gung wurde X.25 weiterent-wickelt. In den 80er Jahren wurde das (Schmalband-)ISDN (Integrated Services Digital Network) eingeführt, welches nicht nur zur Sprachübertra-gung, sondern auch zur Über-

Geschichte

Geschichte6

2

Notizen

gung verschiedener Daten-ströme wie Sprache, Daten und Video. Über SDH (Digi-tal Synchrone Hirachie) und SONET (Synchronous Opti-cal Network) wurden stabile Hochgeschwindigkeitsnetzte gewährleistet mit 99,999% Verfügbarkeit. Diese werden heute noch als Basis für fast alle Netze verwendet.

Heutzutage existiert fast nur noch das Internet mit den IP-VPNs (Internet-VPNs). Dabei ist der Unterschied, dass die Trägertechnologie auf der 3. Schicht (Netzwerkschicht) an-statt - wie bei ATM und Frame Relay - auf der 2. Schicht des OSI-Schichtenmodells liegt. Dadurch ist man von physika-lischen Infrastrukturen unab-hängig.

Noch einmal zur kurzen Wie-derholung: VPNs nutzen öf-fentliche Netzwerke (Bsp. das Internet) um private Daten zu übermitteln. Dadurch ent-stehen direkte Verbindungen von Sender zu Empfänger, um Daten, Sprache oder Videos zu senden, ohne dass eine wirkliche physikalische Ver-bindung (durch Bsp. ein Ka-bel) besteht.

tragung von Daten genutzt werden sollte. Dafür entwi-ckelte die ITU-T (International Telecommunication Union – Telecommunication Standar-dization Bureau) den ITU-T I.122 ISDN-Dienst, auch Fra-me Relay bezeichnet. Durch Zusammenschluss von vier Telekommunikationsherstel-lern entstand das Frame Relay Forum (FRF) und Frame Relay wurde standardisiert. 1991 wurde der erste Frame Relay Dienst in Betrieb genommen. Auch heute noch ist Frame Re-lay bis zu 2Mbit/s etwas ver-breitet. Es bietet zwei Varian-ten der Verbindungen. Zum einen das PVC (Permanent Virtual Circuit) und zum zwei-ten das SVC (Switched Virtual Circuit). Virtuell, da nie eine echte End-to-End-Verbindung besteht sondern alles dyna-misch abläuft. Dadurch ist es vor Überlastung und Ausfäl-len geschützt. Weitere Vorteile waren da-mals die hohe Geschwindig-keit und der Einsatz mit ver-schiedenen Parametern für verschiedene Dienste. Darauf folgte der ATM (Asynchro-nous Transfer Mode) Vorteile hiervon waren die schnelle Datenübertragung und die abzustufende Dienstqualität und Eigenschaft der Übertra-

4

Geschichte7

Notizen

Für den Einsatz von VPNs über das Internet gibt es viele Gründe, auf jeden Fall mehr als nur gestiegener Bandbrei-tenbedarf und Kostengründe.In der heutigen Zeit ist in ei-nem Büro fast kein PC ohne Netzwerkverbindungen, zum einen zum Netzwerk des Fir-mengebäudes aber auch zum Internet für die externe Kom-munikation. Denn die Ge-schäftsprozesse haben sich stark verändert, denn heute läuft viel über Onlineportale und Online-Händler. Dadurch entstanden auch viele Ver-bundnetze für Banken und andere Unternehmen wie das Super-VPN- ANX (Automotive Network Exchange) für den Automobilbereich.

Aber auch die Globalisierung und Dezentralisierung vieler Unternehmen ist ein wichti-ger Grund für den Einsatz. Durch Firmensitze im Ausland wird ein Informationsfluss un-ter den Mitarbeitern gefor-dert, der mit normalen Netz-werken schon lange nicht mehr zu realisieren ist. Hierzu kommen hohe Anforderun-gen an Sicherheits- Aspekte und Kostenpunkte. Dazu kommt die Wettbe-werbssituation auf dem Welt- markt.

Ein weiterer wichtiger Punkt ist die Mobilität und Flexibili-tät. Durch VPNs kann auch auf Mobilgeräte oder generell al-len Drahtlosnetzwerkgeräten eine gesicherte Verbindung zum Firmennetzwerk gene-riert werden. Falls also einmal Kundendaten fehlen, können diese jederzeit abgerufen werden. Aber auch Service-techniker können Systeme bei Kunden warten ohne selbst vor Ort zu sein, wenn eine VPN-Verbindung besteht.Also ist auch das Arbeiten von Zuhause in diesem Umfang eigentlich erst seit dem Ein-satz von VPNs möglich.

Aber einer der größten Punk-te ist wie bereits erwähnt die Kostenoptimierung. Die Be-triebskosten der Unterneh-men müssen gesenkt werden und allein die WAN-Netz-werkkosten sind enorm. Laut Studien werden die Kosten für IT-Applikationen von 10000€ pro Jahr und Benut-zer sehr oft überschritten und dabei alleine über 85% für die Betriebskosten der Netz-werke. Die Investition in die Einrichtung eines VPN-Netzes ist höher, rechnet sich aber wegen geringer Betriebskos- ten und Wegfall der Wartung von WAN-Kabeln.

Einsatz von VPNs

Einsatz von VPNs8

3

Notizen

Geheimdienste auch Firmen-netzwerke betreffen. Starke Verschlüsselungssysteme sind nicht immer erlaubt und fal-len in Deutschland bei der Ausfuhr unter das Kriegswaf-fengesetz.

Ein wichtiges Thema ist die Sicherheit der Netzwerke vor allem bei Unternehmen. Denn die VPNs nutzen öffentliche Netzwerke wie das Internet. Dadurch muss mit Sicherheit-stechniken verhindert wer-den, dass keine Denial-of-Ser-vice-Angriffe (DOS-Angriffe) erfolgen, die das Ausspio-nieren von geheimen Daten ermöglichen beziehungswei-se das gesamte Firmennetz vorzeitig lahm legen zu las-sen. Denn dadurch entstehen Schäden in Milliardenhöhe.

Dabei sind zentrale Punkte bei der Übertragung der Da-ten wichtig: DatenvertraulichkeitDatenintegritätDatenauthentifizierungVerfügbarkeit der Überwachungseinrichtung

Zur Sicherstellung dieser An-forderungen müssen Maß-nahmen eingeleitet werden. VPN- und Sicherheitsproto-kolle wie IPSec oder SSL bie-ten diese Möglichkeit. Dabei müssen allerdings die stand-ortgemäßen Gesetze geach-tet werden, denn in viele Ländern darf der Zugriff der

Abbildung 3: Modell Total Cost of Ownership - Gesamtkostenim Vergleich zu den Anschaffungskosten

Einsatz von VPNs9

Notizen

Je nach Einsatzgebiet gibt es verschiedene VPN-Typen.

Remote Access VPNEin Remote-Access-VPN er-möglicht den Zugriff auf ein Unternehmensnetzwerk von entfernten Systemen. Es be-steht aus einem VPN-Gate-way oder VPN-Router und Software-Clients die für die Verbindung auf dem ent-fernten Rechner installiert sein müssen. Der VPN-Router terminiert nur logische Ver-bindungen (Tunnel). Dazu braucht der Client nur eine Verbindung zu einem Inter-net Service Provider über bei-spielsweise ein LAN-Interface an einem Access-Router vom Provider. Der Kunde termi-niert den Tunnel, der vom Provider zum VPN-Gateway aufgebaut wird. Sonst wird kein Equipment vom Client vorausgesetzt.Diese Verbindung ist relativ kostengünstig, denn es wird nur eine Internetverbindung benötigt. Daher ist es egal, woher die Internetverbin-dung kommt, ob Wireless LAN Hotspot, UMTS, GPRS, LAN oder Sonstiges.

Branch Office VPNDie Branch-Office-VPNs er-möglichen die Verbindung von Netzwerken verschie-dener Standorte miteinan-der. Dadurch können interne WAN- oder LAN-Netzwerke eines Standortes per VPN mit den Netzwerken anderer ver-bunden werden.

Extranet-VPNExtranet-VPNs eröffnen den Zugriff auf das private Netz-werk auch für externe Per-sonen oder Organisationen. Dabei wird eine Firewall zur Filterung der gesendeten Da-tenpakete verwendet.

VPN Typen

VPN Typen10

4

Notizen

Abbildung 4: Typisches Remout-Access-VPN

Abbildung 5: Branch-Office-VPN - verscheidene Standorte über virtuelle Verbindungen

Abbildung 6: Extranet-VPN - spezielle Maßnahmen für den Zugriff unternehmensfremder Personen

VPN Typen11

Notizen

EigenbetriebVPN-Dienste können entwe-der von einem Provider oder aber von dem Unternehmen selbst betrieben werden, denn bei einem Internet-VPN ist es egal, von woher die In-ternetverbindung stammt. Dabei sind aber drei Organi-sationen beteiligt: zum einen das Unternehmen, zum ande-ren ein Carrier für die Last-Mi-le-Übertragung und zuletzt der Service Provider für den Internetzugang und den Rou-ter. Allerdings muss dann die Wartung von der Firma selbst vorgenommen werden. Der Vorteil hierbei ist die Unab-hängigkeit von dem Provider und der jederzeit mögliche Wechsel.

Access-Equipment-OutsourcingEin größeres Leistungspaket muss vom Service Provider ge-kauft werden. Hierbei muss nur das VPN-Gateway vom Unternehmen besorgt wer-den. Ein weiterer Vorteil ist der alleinige Ansprechpart-ner, der Provider. Der Service Provider ist in keiner Weise in den VPN-Betrieb involviert.

VPN- und Access-Equipment-Outsourcing Hierbei werden außer den Access-Router und die Verbin-dungsinfrastruktur auch die VPN-Systeme vom Provider gestellt. Der Zugriff des Pro-viders ist auf die Systemkon-figuration beschränkt, das VPN-Management bleibt dem Unternehmen. Dazu wird al-lerdings ein VPN-Gateway be-nötigt das diese beiden Funk-tionen voneinander trennt.

Vollständiges OutsourcingHierbei ist für das Unterneh-men der geringste Aufwand vorhanden. Der vollständige Betrieb des VPNs wird vom Service Provider übernom-men, inklusive der Benutzer-verwaltung. Dabei besteht al-lerdings große Abhängigkeit zum Provider und Bedenken wegen Sicherheitsgründen bezüglich der Kundendaten und Verschlüsselungen.

VPN Dienste

VPN DIenste12

5

Notizen

Abbildung 7: Verteilung der Verantwortlichkeit bei verschiedenen Outsourcing-Szenarien

VPN Dienste13

Notizen

SicherheitVerschlüsselung der Daten – vertrauliche Daten sichern, so dass nur Empfänger und Sen-der die Daten lesen können.Identifizierung und Authen-tifizierung – Mitarbeiter müs-sen sich authentifizieren, bevor sie Zugriff auf das Netz-werk bekommen.Zugriffsberechtigung – Nut-zer müssen in arbeitsange-messener Weise Zugriffrechte für die für sie relevanten Da-ten bekommen. Nicht jeder braucht Zugriff auf alle Da-ten.Datenintegrität – Schutz vor Manipulation oder Verlust muss gewährleistet sein.Angriffssicherheit: Das Netz muss vor Angreifern ge-schützt werden.

Quality of ServiceDie Dienstqualität spielt eine große Rolle. Die Datenströme müssen gleichmäßig und flüs-sig laufen um keine Problem hervorzurufen. Aber auch mit den unterschiedlichen Ver-kehrskategorien wie große oder viele kleine Pakete muss ein Netzwerk zurechtkom-men. Abhängig ist dies auch von den Protokollen.

VerfügbarkeitEin Internet-VPN soll gemäß der Benutzung verfügbar sein, denn nicht immer ist eine 99,999% Verfügbarkeit notwendig. Wichtig ist das, da dies einen Kostenfaktor ausmacht, der genauso gut eingespart werden kann. Bei-spielsweise muss in einem Unternehmen das VPN-Netz nicht unbedingt nachts ver-fügbar sein, sondern nur zu normalen Bürozeiten. Es muss aber auch geprüft werden wodurch eine VPN Verfügbar-keit eingeschränkt werden kann, um mit diesen Faktoren richtig zu kalkulieren. Im End-effekt also eine reine Kosten-sache.

Anforderun-gen an VPNs

Anforderungen14

6

Notizen

Abbildung 8: Sicherheitsmaßnahmen bei Transport von vertraulichen Informationen

Abbildung 9: Neben dem System muss auch der jeweilige Nutzer authentifiziert werden

Anforderungen15

Notizen

Das Tunneling ermöglicht das Einkapseln von Paketen eines Netzwerkprotokolles in Pake-te eines anderen Netzwerk-protokolles. Dadurch können beispielsweise IPX-Pakete durch IP-Netzwerke transpor-tiert werden.Ein weiterer Vorteil bringt das Tunneling durch Verstecken von privaten, nicht registrier-ten Netzwerk- und Host-Ad-ressen durch IP in IP-Tunne-ling. Dadurch können private Netze über das Internet ver-bunden werden. Dabei wer-den Pakete mit der privaten IP-Adresse in Pakete mit einer offiziellen Adresse eingekap-selt und durch das Internet transportiert.

Für das Tunneling gibt es drei besondere Protokolle:Layer 2 Tunneling Protocol (L2TP)IP-Security-Protocol (IPSec)Multi-Protocol-Label-Swit-ching (MPLS)Diese sind standardisiert und sind die am häufigsten ver-wendeten Protokolle.

Beim Tunneling wird ein Pa-ket mit Protokoll in ein neues Protokoll eingekapselt (En-capsulation) und mit einem Tunnel-Header gesendet. Der Empfänger liest diesen Hea-

der und entpackt das origina-le Paket (Decapsulation) und transportiert dieses weiter.

Bei dem IP-Protokoll wer-den nicht immer Header ge-braucht. Diese können durch TCP- oder UDP-Protokolle mit Protokollnummern verse-hen werdend, die denselben Zweck wie der Header erfül-len.

Tunneling ModelleJe nach dem, wo die Tunnel beginnen und enden, gibt es verschiedene Tunneling-Mo-delle:End-to-End-ModellProvider-Enterprise-ModellIntra-Provider-Modell

Intra-Provider-ModellBei dem Intra-Provider-Mo-dell beginnt und endet der Tunnel bei dem Service Pro-vider. Dadurch muss auf der Kundenseite keine bestimmte Hardware vorhanden sein und diese ist nicht in das Tunne-ling involviert. Dieses Modell wird vorwiegend für Remo-te-Access-VPN oder Branch-Office-VPN verwendet. Zur Verbindung wird meist das MPLS-Protokoll eingesetzt.

Tunneling

Tunneling16

7

Notizen

Provider-Enterprise-ModellIm Provider-Enterprise-Mo-dell sind sowohl Service-Pro-vider als auch Endkunde in das Tunneling involviert. Hier-bei beginnt das Tunneling im POP (Point of Presence) des Providers und endet im Gate-way des Kunden. Primär ein-gesetzt wird es für das Remo-te-Access-VPN aber auch für das Branch-Office-VPN. Der Kunde benötigt hier aller-dings einen bestimmten Ga-teway zur Benutzung.

End-to-End.ModellIm End-to-End-Modell wird der Tunnel vom Kunden auf-gebaut und endet beim End-kunden. Dabei ist der Service Provider nicht involviert und hat keinen Einfluss darauf. Hierbei können fast alle Tun-neling-Protokolle eingesetzt werden. Oft wird das IP-Sec verwendet, selten auch das Point-to-Point Protocol (PPTP).

Es könne aber auch Tunne-ling-Protokolle miteinander kombiniert werden, in dem diese ineinander verschach-telt werden.

4

Tunneling

Abbildung 10: Prinzip aller Tunneling-Protokolle

Abbildung 11: Vergleich aller Protokolle

Abbildung 12: Drei grundsätzliche Tunneling-Modelle

17

Notizen

Zur Sicherheit in VPNs gibt es einige Verfahren, die ange-wendet werden. Diese sollten auch unbedingt eingehalten werden, denn als Unterneh-men ist die Privatsphäre der Kunden das Wichtigste im Netz.Am sichersten wäre eine End-to-End Verschlüsselung auf Applikationsebene, dies ist allerdings eher nicht mehr möglich, da die Organisation bei vielen eingesetzten Ap-plikationen fast unmöglich wird, auch weil diese eine ge-wisse Eigendynamik besitzen die die Kontrolle erschwert.

Weit verbreitete Lösung ist die Sicherheit auf Netzwerke-bene, denn umso höher die Ebene, umso mehr Nachteile ergeben sich daraus, weil nie alle Daten verschlüsselt wer-den können. Es gibt mehrere Ansätze zur sicheren Übertragung von Da-ten in VPNs. Diese unterschei-den sich nur auf welcher Ebe-ne des TCI/IP-Protokolls die Sicherung eingesetzt wird. Möglichkeiten dabei sind:Verschlüsselung auf der Ebe-ne 1 (physikalischen Schicht), auf der Ebene 2 (Sicherungs-schicht), auf der Ebene 3 (Ver-mittlungsschicht), auf der Ebene 4 (Verbindungsschicht)

und auf der Applikationsebe-ne.

Auf Ebene 1 und 2 zu ver-schlüsseln ist nicht sehr ef-fektiv, denn auf der Vermitt-lungsschicht liegen die Daten in Klartext vor. Da die Netze aber großteils dynamisch sind, ist es auch nicht zu realisieren, alle theoretisch möglichen Verbindungen durch die Ver-bindungsschicht zu verschlüs-seln. Aber alle Anwendungen zu Ver- und Entschlüsseln ist sehr aufwändig, da jede wei-ter ausgeführte Anwendung ein Sicherheitsrisiko darstel-len kann. Es muss also alles immer verschlüsselt sein.

Einzig die Ebene 3 weist diese Probleme nicht auf. Dort wird nur das Internet-Protokoll (IP) betrieben. Integriert man in das Internet-Protokoll eine Sicherheitstechnologie, wer-den alle Datenpakete diesen Protokolls gesichert, die dann unabhängig von der Ebene darunter oder darüber sind.

Bei einem Remote-Access-VPN erübrigt sich diese Maßnah-me, wenn webbasierende An-wendungen und Emailsyste-me genutzt werden, die über ein SSL-Protokoll und über

Sicherheit

Sicherheit18

8

Notizen

PGP (Pretty Good Privacy) ge-sichert sind. Wichtig dabei: Jeder andere Datenverkehr über eine anderes Kommuni-kationsprogramm ist ungesi-chert!

IPSecurityIPSec oder auch IPSecurity ist der Standard für Sicherheit auf IP-Ebene. Darin sind verschie-dene Verschlüsselungs- und Authentifizierungsverfahren sowie Schlüsseltausch- und Schlüsselverwaltungspro-tokolle festgelegt. Ein Ver-schlüsselungsalgorithmus ist der Data Encryption Standard (DES) mit einer Schlüssellän-ge von 56 Bit. Ein Anderer ist der AES (Advanced Encrypti-on Standard) mit Schlüssel-längen von 128, 192, 256 Bit. Zur Authentifizierung und zum Schutz vor unerlaubter und unbemerkter Verände-rung wird in IPSec mit HMAC (Hash-based Message Authen-tication Code) und Pre-Sha-red Secrets erreicht. HMACs erzeigen aus den Daten und einem Schlüssel einen Wert, der nicht zurückzuberechnen ist. Dies wird errechnet durch Hash-Funktionen wie MD5 und SHA-1 mit 128 Bit Länge. Auch diese unterliegen einem Standard.

4

Sicherheit

SSLBietet sinnvollen Schutz hauptsächlich durch Ver-schlüsselung mit DES im Re-mote-Access-Protokoll und Extranet-Bereich. Ersetzen kann es IPSec nicht, zu weite-rer Sicherheit beitragen aber schon.

KryptologieKryptologie verschlüsselt Da-ten und ist ein Teilbereich der theoretischen Mathematik. Es gewährleistet die Vertrau-lichkeit der Nachrichten, kann Inhalte aber auch verschlei-ern. Ein festgelegter Schlüssel verschlüsselt die Daten und erzeugt so einen Chiffretext, der wieder entschlüsselt wer-den muss. Da es schon lange die Bereiche der Kryptoana-lyse, die Kunst der Entschlüs-selung der Daten, gibt, sind gute Kenntnisse und gewisses Know-How Voraussetzung dafür. Dies vor allem um Bru-te-Force-Attacken zu vermei-den.

Abbildung 15: OSI-Schichten mit den jeweiligen Schutzmaßnahmen

Abbildung 14: Kryptologie - Verschlüsselung

Abbildugn 13:Schutz vor Angreifer durch Verschlüsselung

19

Notizen

Überblick VPN Anbieter

Anbieter20

VPN Anbieter gibt es viele. Darunter dann aber eine Empfehlung heraus zu suchen ist schwierig, denn es kommt ganz auf den Verwendungszweck und die gewünschten Eigenschaften an. Manche Anbieter bieten ihren Dienst auch für das Handy an. Andere haben ihre Serverstandorte in den USA - also nicht ganz so anonym!Und die Preise sind auch alle in annähender Ähnlichkeit.

Jeder sollte also selbst bestimmen und selbst entscheiden.

vpndienste.com

9

Notizen

[Heinzel et al. 2003] Seminar „Sicherheit in vernetzten Systemen“ - Vortrag über VPN von Marcus Heinzel, Niels Michaelsen, Alexander Scheibe Fachbereich Informatik, Universität Hamburg - Januar 2003 URL https://www.informatik.uni-hamburg.de/RZ/lehre/18.415/vortrag/10_VPN-Folien.pdf Zugriff am 12.08.2013

[Lienemann 2002] Lienemann, G.: Virtuelle Private Netzwerke: Aufbau und Nutzen 1. Auflage (November 2002) - Vde-Verlag ISBN 978-3800726387

[Böhmer 2005] Böhmer, W.: VPN - Virtual Private Networks: Kommunikations- sicherheit in VPN- und IP-Netzen, über GPRS und WLAN 2. überarbeitete Auflage (Juni 2005) - Carl Hanser Verlag GmbH & Co. KG ISBN 978-3446229303

[Lipp 2007] Lipp, M.: VPN - Virtuelle Private Netzwerke: Aufbau und Sicherheit (net.com) 2. Auflage (Januar 2007) - Addison-Wesley Verlag ISBN 978-3827322524

Abbildungen Abbildung 1: aus Lipp, M.: VPN - Seite 17 Abbildung 2: aus Lipp, M.: VPN - Seite 18 Abbildung 3: aus Lipp, M.: VPN - Seite 32 Abbildung 4: aus Lipp, M.: VPN - Seite 42 Abbildung 5: aus Lipp, M.: VPN - Seite 44 Abbildung 6: aus Lipp, M.: VPN - Seite 45 Abbildung 7: aus Lipp, M.: VPN - Seite 46 Abbildung 8: aus Lipp, M.: VPN - Seite 50 Abbildung 9: aus Lipp, M.: VPN - Seite 51 Abbildung 10: aus Lipp, M.: VPN - Seite 75 Abbildung 11: aus Lipp, M.: VPN - Seite 90 Abbildung 12: aus Lipp, M.: VPN - Seite 77 Abbildung 13: aus Lipp, M.: VPN - Seite 104 Abbildung 14: aus Lipp, M.: VPN - Seite 107 Abbildung 15: aus Heinzel et al.: Seminar PDF - Seite 6

4

Literatur21

Literaturverzeichnis10

w w w. l e n n a r t - e d i n g e r. d e

Impressum

Lennart EdingerAm Judenpfad 276835 Roschbach