VPN

Virtual Private Networks

CE5 – NetzwerkeAndreas AmannHendryk Wünsche

Ablauf

VPN – Allgemeines VPN – Detailliert Schwachstellen Alternativen Ausblick

VPN – Allgemeines

Beginn ca. 1997 Verbindet Komponenten eines Netzwerks mit

anderem Netzwerk Tunnel über Internet oder anderes Netzwerk PTP – Verbindung zwischen UserPC und

Unternehmensserver

VPN – Allgemeines

3 Arten:Verbinden einer Zweigstelle mit dem

Unternehmens-LAN über eine StandleitungVerbinden einer Zweigstelle mit dem

Unternehmens -LAN über eine DFÜ-Verbindung (Home-Office)

User-2-User (Privat-VPN)

VPN – Allgemeines

Warum VPN? Sicherheitsfaktor

Authentisierung/ Zugangskontrolle Vertraulichkeit Datenintegrität

Kostenfaktor VPN – Verbindung günstiger (via Internet) als Anbindung

über Standleitung oder DFÜ (ca. 60-80% Ersparnis)

VPN – Detailliert

VPN – Architekturen VPN – Protokolle VPN – Komponenten

VPN – DetailliertVPN - Architekturen

TunnelverfahrenVorhande Struktur verwendetDaten werden in Transportframes verpacktBeispielhafter Aufbau des Transportframes:

SicherheitsaspekteVerschlüsselung des Verkehrs(z.B. DES,

Blowfish, RSA, PGP, Hashfunktionen, Zertifikate, IPSec, Diffie-Hellman,

User-Authentifizierung (Smartcards, Zertifikate, TACACS, Kerberos, Biometrik)

VPN – DetailliertVPN - Architekturen

VPN – DetailliertVPN - Protokolle

L2F – Layer2 forwarding PPTP – Point-to-Point Tunneling Protocol L2TP – Layer2 Tunneling Protocol Socks v5 (unpraktisch, kaum benutzt) SKIP und S/WAN (selten benutzt)

VPN – ProtokolleLayer-2-Forwarding (L2F)

entwickelt 1996 (von Cisco) erst PPP zum ISP, dann L2F zur Firma Vorteile:

Protokoll unabhängigDynamische und sichere Tunnel

VPN – ProtokollePPTP – Point-to-Point Tunneling Protocol

1996 entwickelt von Microsoft Erweiterung von PPP Tunneln von anderen Protokollen möglich Authentifizierung über PAP, CHAP, MS-

CHAP (Verschlüsselung über RSA und DES, 40-128bit)

VPN – ProtokolleL2TP – Layer2 Tunneling Protocol

Zusammenführung von L2F und PPTP durch Cisco, 3Com, Ascend und Microsoft (1998)

Vorteile und Fähigkeiten aus L2F und PPTP übernommen

einige Sicherheitsfunktionen aus IPSec (=bessere Sicherheit)

Eigenschaft PPTP L2F L2TP IPsec

Protokoll-Ebene Layer 2 Layer 2 Layer 2 Layer 3

Standart Nein Nein Ja Ja

Authentifizierung (Paket) Nein Nein Nein Ja

Authentifizierung (User) Ja Ja Ja Ja

Verschlüsselung Ja Nein Nein Ja

Schlüsselmanagement nein n/a n/a Ja (IKE)

QoS Nein Nein Nein Ja

Andere Protokolle tunnelbar

Ja Ja Ja Nein

End-to-End Security Ja Nein Nein Ja

Aufbau aus vier Komponenten Internet (Grundvoraussetzung)Gateway

Verbindet vers. Netzwerke miteinander Optional angeschlossene Firewall

VPN – DetailliertVPN - Komponenten

VPN-Komponenten (Fortsetzung)

Security Policy Server Sorgt für Authentifizierung Verwaltet ACL (Access Controll List)

Certificate Authorities (optional) Verwaltet Zertifikate

Ablauf einer VPN-Verbindung

VPN-Schwachstellen

VPN-Schwachstellen(Fortsetzung)

Hijacking Bestehende Verbindung übernehmen

Replay Sniffing

Ausspionieren der Verbindung Man in the Middle

In Verbindung einhängen Spoofing

Erstellen von TCP/IP Paketen mit fremder IP

Alternativen

SSH (Portforwarding) Direkte Verbindung über Standleitung

(keine echte Alternative, da wieder Abhängigkeit von Dritten)

Ausblick

IPv6 zur Sicherheitsverbesserung des VPN Neue Sicherheitsfunktionen Neue Headerinformationen zur Authentifizierung Verschlüsselungsmechanismen

Stärkere Nutzung, je mehr Computerarbeit möglich ist (Ausweitung von Home-Offices)

Vielen Dank für Ihre Aufmerksamkeit

© A. Amann u. H. Wünsche, Furtwangen 2004