Titelbild (RADGUARD) VPN - Virtuelle Private Netze

Einsatzgebiete+Anforderungen
Technologien
Sicherheit
Verschlüsselung
Firewalls + VPN
Flexibilität+Skalierbarkeit
Produkte
Literatur/Internetquellen

Einsatzgebiete
und
Anforderungen
Mit VPN-Techniken können Informationen geschützt über öffentliche Netze übertragen werden.

wozu:

  • gesicherter Datentransport (Konkurenz..)
  • LAN-Erweiterung über Internet; ISDN, X.25
  • Anschluß von Geschäftspartnern, Kunden..

gefordert werden:

  • Vertraulichkeit (Verschlüsselung)
  • Authentifizierung der beteiligten Personen
  • Standards
  • hohe Leistungsfähigkeit bei niedrigen Kosten
  • gute Administration, Schlüsselmanagement [2]
Technologien
Ansätze für VPN: OSI-Modell [2]
7 Application http, telnet,
SMTP, ftp
..
4 Transport TCP, UDP
3 Network IP, ICMP
2 Data Link MAC
1 Physical
Layer

Layer-7-VPN

  • Integration in vorhandene TCP/IP-Anwendungen:
    geringer Installations-, Konfigurationsaufwand
  • Quasi-Standard durch weite Verbreitung
  • SSL Secure Socket Layer (Netscape):
    nur für http-Protokoll
    X.509-Authentifizierung und DES-Verschlüsselung
    (vorher vereinbart: Session-Key mit RSA)
  • Integration in Browser (Netscape Navigator, MS Internet Explorer)
  • PEM (Privacy Enhanced Mail),
    PGP (Pretty Good Privacy),
    S/MIME Secure MIME für sichere EMail-Dienste

Layer-4-VPN

  • herstellerspezifisch - fehlende Standards
  • nur TCP-, UDP-Pakete verschlüsselt
  • Filtern nach TCP-Ports möglich:
    SOCKS Sockets Secure
    WinSock-DLL

Security Parameter Index SPI

verschlüsselte Daten

ESP-Header

Next
Header
Length ... ...

Security Parameter Index

Authentication Data
krypt. Prüfsumme

AH-Header


Layer-3-VPN

  • umfaßt alle Pakete
  • Standard: IPSec IP Security mit:
    • SKIP Simple Key Management for Internet Security (skalierbar+sicher)
    • ISAKMP Internet Security Association and Key Management Protocol (Standard)
      in: IPv6, NT 5.0

    • normierte IP-Header:

      ESP Encapsulting Security Payload (def. Paketverschlüsselung)

      AH Auth. Header für Paketauthentifizierung

CAPI-Schnittstelle

Vermittlungsschicht

Sicherungsschicht:
LAP-D, HDLC

Bitübertragungschicht

ISDN-Schichten

Layer-2-VPN

  • unabhängig von Protokollen, Anwendungen
  • 2 entstehende Standards:
  • PPTP:
    • tunnelt nach aufgenommener Verbindung alle anderen Protokolle (incl. NetBEUI, IPX)
    • starke Auth., Nutzdatenverschlüsselung
    • NT 4.0: nur zwischen NT-Client + NT-Server,
      RAS (Remote Access)
    • oft von Internet Providern angeboten
  • L2TP:
    • Standard 03/98
    • Layer 2 Tunneling Protocol (PPTP+L2F)
    • starke Auth., optional ESP-Header
    • für Modem, ISDN: tunnelt HDLC
Möglichkeiten des
Tunnelaufbaus
[1]



PC - VPN-Tunnel - PC

End-to-End

  • Tunnel von Arbeitsplatz zu Arbeitsplatz
  • alle solchen Arbeitsplätze benötigen:
    • VPN-Software
    • öffentliche Schlüssel aller Kommunikationspartner
    • internationale IP-Adresse
  • Sicherheit reduziert durch nichtlokale IP-Adresse
  • PC - Gateway - VPN - Gateway - PC

    Site-to-Site

  • Tunnel zwischen den Gateways
  • VPN-Software nur an den Gateways
  • lokale IP-Adressen möglich bei komplettem Tunneln
  • nur Gateway braucht internationale IP-Adresse
  • Sicherheitslücke an Übergang LAN-VPN
  •  PC - Gateway - VPN - Notebook

    End-to-Site

  • Remote Access von Teleworkern, mobilen Mitarbeitern
  • Tunnel zwischen Notebook und Gateway (in der Firma)
  • kostenreduzierend über Internet Provider
  • Notebook benötigt:
    • (internationale) IP-Adresse
    • VPN-Software
  • Sicherheitslücken: LAN-VPN, Notebook-IP-Adresse
  • Möglichkeiten der
    Verschlüsselung
    [1]

    was wird wie verschlüsselt

    jedes Paket für sich
    • Paketverlust möglich
    • Einschleusen von Paketen
    • schlecht bei kleinen Paketen (ATM)

    alle Pakete als Strom

    • kein Paketverlust

    nur Nutzdaten verschlüsseln

    • Adressen bleiben offen
    • bessere Performance

    gesamtes Paket verschlüsseln

    • geschützte Adressen
    • mehr Sicherheit - weniger Performance

    Sicherheit
    - durch Verschlüsselungstechniken [1][2]

    der Umgang mit Schlüsseln

  • Schlüsselmanagement (SKIP, ISAKMP)
    • automatische Schlüsselgenerierung
    • Speicherung von Schlüsseln
      • unersetzlich, nicht reproduzierbar
      • Sicherheitsaspekt
  • Benutzung auch mittelfristig sicherer Schlüssel
    • bei Knacken des Keys müssen Daten bereits uninteressant sein
    • keine langfristig zu schützenden Daten übertragen
  • Nutzdaten oder Paket verschlüsseln ?
  • Anbindung an sichere standardisierte Sockets
  • Ende-zu-Ende-Verschlüsselung bzw.
  • Übergang von LAN zu VPN ist abzusichern!
  • Verschlüsselung
    - Sicherung vertraulicher Informationen
          (Daten, Adressen, Schlüssel) [2][5]

    Symmetrische Verschlüsselung
    Private Key-Verfahren

    • Sender und Empfänger benutzen gleichen geheimen Schlüssel zur Übertragung der eigentlichen Nachricht
    • Schlüssel muß übertragen werden
    • DES, IDEA, Triple  DES

    Asymmetrische Verschlüsselung
    Public Key-Verfahren

    • Sender benutzt öffentlichen Schlüssel
    • Empfänger: geheimer Schlüssel
    • RSA, ElGamal

    Hash-Funktionen
    Prüfsummenalgorithmen
    elektronischer  Fingerabdruck für Integrität

    • Nachricht wird auf feste Länge (128 Bit) reduziert
    • keine zwei Texte erzeugen den selben Wert
    • MD5

    digitale Signatur für Authentizität

    • von Dokument und Unterzeichner abhängig
    • Hash-Funktion + Private-Key-Verschlüsselung

    PGP Pretty Good Privacy
    für sichere Kommunikation

    • Hash-Funktion MD5
    • Authentisierung: RSA  
    • Verschlüsselung mit IDEA
    • Version 5.0(i) hat neuere Methoden

    Schlüssellängen [5]

    Schlüssellängen [5]

    Beispiel einer verschlüsselten Mail [6]

    Digit. Signatur [6]

    Firewalls und VPN
    - Möglichkeiten für stufenweisen Aufbau [1]

    LAN - Firewall - VPN

    VPN-Gateway vor dem Firewall
    • Firewall sichert LAN unabhängig von VPN
    • an Firewall Pakete im Klartext; Filtern möglich
    • Angriffsgefahr auf gesichert übertragene Daten

    LAN - Firewall/VPN

    Firewall integriert VPN-Gateway
    • Sicherheit des Firewalls an
      Sicherheit des VPN gebunden
    • sonst wie 'vor dem Firewall'

    LAN - VPN - Firewall

    VPN-Gateway nach dem Firewall
    • Firewall muß alle verschlüsselten Pakete
      ungeprüft durchlassen
    • gefälschte Pakete im LAN, bevor VPN-Ende erreicht
    • Angriffsgefahr auf LAN

    Flexibilität und
    Skalierbarkeit

    • Anbindung von remote users, Erweiterbarkeit und Konfigurationsänderungen ohne großen Adminstrationsaufwand
    • Unterstützung vieler (unendl.) Tunnels
    • wieviele und welche Tunneling-Protokolle
    • welche Protokolle werden getunnelt
    • gute Performance bei VPNs auf HW-Basis
      (wichtig für ATM, FR) [3]

    Produkte

    • reine Software-Produkte
    • Hardware-Produkte
    • in Anbindung an Firewall
    Infocrypt (HW) (www.isolation.com) [3]
    • 1024 Tunnel auf Basis von IPSec, ISL
    • UDP, TCP, ICMP-Pakete mit  (Triple) DES verschlüsselt
    • digitale Zertifikate nch X.509
    • integrierte Firewall
    • Diffie-Hellman Schlüsselverwaltung
    • $6200, $50(Client)

    Aventail VPN 2.6 (SW) (www.aventail.com) [3]

    • unbegrenzte Tunnelanzahl: PPTP, SOCKS V, IPSec
    • UDP, TCP-Pakete
    • (Triple) DES, MD5, SHA-1
    • SSL
    • $ 12000
    [4]

    Bild VPN-Prod. (CeBIT-Vortrag)

    • auf Basis einer HW-Firewall-Gateway
    • Routing, Filtering, Traffic Auditing, redundante Pfade für minimale Ausfallzeiten
    • verwendet IPSec bei Internet-Tunnels
    • 56 Bit-Schlüssel
    • auch im Intra-LAN gesicherte Übertragung
    • unterstützt verschiedenartige Tunnel (Internet, ISDN..)
    • Authentifizierung bei Remote Access
    • Schlüsselmanagement mit ISAKMP/Oakley
    • gesichertes Management
    • flexibel bei Konfigurationsänderungen im Netzwerk
    • bis 100 Mbps

    Literatur / Internet

    [1] Klaus-Peter Kossakowski (kpk@work.de)
    Virtuelle Private Netze - Techniken und Einsatzmöglichkeiten;
    KES - Zeitschrift für Kommunikations- und EDV-Sicherheit; Nr. 2, Mai 1998
    [2] Michael Schmidt
    Unter Ausschluß der Öffentlichkeit: Virtual Private Network
    - vertraulicher Datenaustausch über das Internet;
    c't; Heft 8, April 1998, S. 226-235
    [3] James Taschek (Übers. Franz Grieser)
    Privatsphäre für das Firmennetz. Test: Virtual Private Networks (VPN);
    INTERNET PROFESSIONELL, Nr. 5, Mai 1998, S. 66-71
    [4] RADGUARD Ltd. Israel (www.radguard.com)
    TCP/IP VPNs - Real life considerations;
    Vortrag auf der CeBIT 1998
    [5] Hans-Juergen Rehm (IBM Deutschland Informationssysteme GmbH)
    Das Intranet verlangt hohe Sicherheitsstandards;
    Bank Magazin - Special Sicherheit, Juni 1998, S. 4-6
    [6] Klaus P. Wagner (Gerling Consulting Gruppe GmbH)
    Versicherungsangebote im Internet;
    Bank Magazin - Special Sicherheit, Juni 1998, S. 8-10

    23-Jun-1998            Martina Wolpert (NWA)