|
Einsatzgebiete
und
Anforderungen |
Mit VPN-Techniken können
Informationen geschützt über öffentliche Netze übertragen
werden.
wozu:
- gesicherter Datentransport (Konkurenz..)
- LAN-Erweiterung über Internet; ISDN, X.25
- Anschluß von Geschäftspartnern, Kunden..
gefordert werden:
- Vertraulichkeit (Verschlüsselung)
- Authentifizierung der beteiligten Personen
- Standards
- hohe Leistungsfähigkeit bei niedrigen Kosten
- gute Administration, Schlüsselmanagement [2]
|
|
Technologien |
|
Ansätze
für VPN: OSI-Modell [2]
7 |
Application |
http, telnet,
SMTP, ftp |
.. |
|
|
4 |
Transport |
TCP, UDP |
3 |
Network |
IP, ICMP |
2 |
Data Link |
MAC |
1 |
Physical
Layer |
|
|
Layer-7-VPN
- Integration in vorhandene TCP/IP-Anwendungen:
geringer Installations-, Konfigurationsaufwand
- Quasi-Standard durch weite Verbreitung
- SSL Secure Socket Layer (Netscape):
nur für http-Protokoll
X.509-Authentifizierung und DES-Verschlüsselung
(vorher vereinbart: Session-Key mit RSA)
- Integration in Browser (Netscape Navigator, MS Internet Explorer)
- PEM (Privacy Enhanced Mail),
PGP (Pretty Good Privacy),
S/MIME Secure MIME für sichere EMail-Dienste
|
|
Layer-4-VPN
|
Security Parameter Index SPI
|
verschlüsselte Daten
|
ESP-Header
Next
Header |
Length |
... |
... |
Security Parameter Index
|
Authentication Data
krypt. Prüfsumme
|
AH-Header
|
Layer-3-VPN
- umfaßt alle Pakete
- Standard: IPSec IP Security mit:
- SKIP Simple Key Management for Internet Security
(skalierbar+sicher)
- ISAKMP Internet Security Association and Key Management
Protocol (Standard)
in: IPv6, NT 5.0
- normierte IP-Header:
ESP Encapsulting Security Payload (def. Paketverschlüsselung)
AH Auth. Header für Paketauthentifizierung
|
CAPI-Schnittstelle
|
Vermittlungsschicht
|
Sicherungsschicht:
LAP-D, HDLC
|
Bitübertragungschicht
|
ISDN-Schichten
|
Layer-2-VPN
- unabhängig von Protokollen, Anwendungen
- 2 entstehende Standards:
- PPTP:
- tunnelt nach aufgenommener Verbindung alle anderen Protokolle
(incl. NetBEUI, IPX)
- starke Auth., Nutzdatenverschlüsselung
- NT 4.0: nur zwischen NT-Client + NT-Server,
RAS (Remote Access)
- oft von Internet Providern angeboten
- L2TP:
- Standard 03/98
- Layer 2 Tunneling Protocol (PPTP+L2F)
- starke Auth., optional ESP-Header
- für Modem, ISDN: tunnelt HDLC
|
|
Möglichkeiten des
Tunnelaufbaus [1]
PC - VPN-Tunnel - PC
|
End-to-End
Tunnel von Arbeitsplatz zu Arbeitsplatz
alle solchen Arbeitsplätze benötigen:
- VPN-Software
- öffentliche Schlüssel aller Kommunikationspartner
- internationale IP-Adresse
Sicherheit reduziert durch nichtlokale IP-Adresse
|
PC - Gateway - VPN - Gateway - PC
|
Site-to-Site
Tunnel zwischen den Gateways
VPN-Software nur an den Gateways
lokale IP-Adressen möglich bei komplettem Tunneln
nur Gateway braucht internationale IP-Adresse
Sicherheitslücke an Übergang LAN-VPN
|
PC - Gateway - VPN - Notebook
|
End-to-Site
Remote Access von Teleworkern, mobilen Mitarbeitern
Tunnel zwischen Notebook und Gateway (in der Firma)
kostenreduzierend über Internet Provider
Notebook benötigt:
- (internationale) IP-Adresse
- VPN-Software
Sicherheitslücken: LAN-VPN, Notebook-IP-Adresse
|
|
|
Möglichkeiten
der
Verschlüsselung [1]
was wird wie verschlüsselt
|
jedes Paket für sich
- Paketverlust möglich
- Einschleusen von Paketen
- schlecht bei kleinen Paketen (ATM)
alle Pakete als Strom
nur Nutzdaten verschlüsseln
- Adressen bleiben offen
- bessere Performance
gesamtes Paket verschlüsseln
- geschützte Adressen
- mehr Sicherheit - weniger Performance
|
|
Sicherheit
- durch Verschlüsselungstechniken [1][2]
|
|
der Umgang mit Schlüsseln
|
Schlüsselmanagement (SKIP, ISAKMP)
- automatische Schlüsselgenerierung
- Speicherung von Schlüsseln
- unersetzlich, nicht reproduzierbar
- Sicherheitsaspekt
Benutzung auch mittelfristig sicherer Schlüssel
- bei Knacken des Keys müssen Daten bereits uninteressant
sein
- keine langfristig zu schützenden Daten übertragen
Nutzdaten oder Paket verschlüsseln ?
|
|
Anbindung an sichere standardisierte Sockets
Ende-zu-Ende-Verschlüsselung bzw.
Übergang von LAN zu VPN ist abzusichern!
|
|
Verschlüsselung
- Sicherung vertraulicher Informationen
(Daten, Adressen, Schlüssel) [2][5]
|
|
Symmetrische Verschlüsselung
Private Key-Verfahren
|
- Sender und Empfänger benutzen gleichen geheimen Schlüssel
zur Übertragung der eigentlichen Nachricht
- Schlüssel muß übertragen werden
- DES, IDEA, Triple DES
|
Asymmetrische Verschlüsselung
Public Key-Verfahren
|
- Sender benutzt öffentlichen Schlüssel
- Empfänger: geheimer Schlüssel
- RSA, ElGamal
|
Hash-Funktionen
Prüfsummenalgorithmen
elektronischer Fingerabdruck für Integrität
|
- Nachricht wird auf feste Länge (128 Bit) reduziert
- keine zwei Texte erzeugen den selben Wert
- MD5
|
digitale Signatur für Authentizität
|
- von Dokument und Unterzeichner abhängig
- Hash-Funktion + Private-Key-Verschlüsselung
|
PGP Pretty Good Privacy
für sichere Kommunikation
|
- Hash-Funktion MD5
- Authentisierung: RSA
- Verschlüsselung mit IDEA
- Version 5.0(i) hat neuere Methoden
|
Schlüssellängen [5]
|
|
Beispiel einer verschlüsselten
Mail [6]
|
|
Firewalls und
VPN
- Möglichkeiten für stufenweisen Aufbau
[1]
|
|
LAN - Firewall - VPN
|
VPN-Gateway vor dem Firewall
- Firewall sichert LAN unabhängig von VPN
- an Firewall Pakete im Klartext; Filtern möglich
- Angriffsgefahr auf gesichert übertragene Daten
|
LAN - Firewall/VPN
|
Firewall integriert VPN-Gateway
- Sicherheit des Firewalls an
Sicherheit des VPN gebunden
- sonst wie 'vor dem Firewall'
|
LAN - VPN - Firewall
|
VPN-Gateway nach dem Firewall
- Firewall muß alle verschlüsselten Pakete
ungeprüft durchlassen
- gefälschte Pakete im LAN, bevor VPN-Ende erreicht
- Angriffsgefahr auf LAN
|
|
Flexibilität
und
Skalierbarkeit
|
|
|
- Anbindung von remote users, Erweiterbarkeit und Konfigurationsänderungen
ohne großen Adminstrationsaufwand
- Unterstützung vieler (unendl.) Tunnels
- wieviele und welche Tunneling-Protokolle
- welche Protokolle werden getunnelt
- gute Performance bei VPNs auf HW-Basis
(wichtig für ATM, FR) [3]
|
|
Produkte
|
|
- reine Software-Produkte
- Hardware-Produkte
- in Anbindung an Firewall
|
Infocrypt (HW) (www.isolation.com)
[3]
- 1024 Tunnel auf Basis von IPSec, ISL
- UDP, TCP, ICMP-Pakete mit (Triple) DES verschlüsselt
- digitale Zertifikate nch X.509
- integrierte Firewall
- Diffie-Hellman Schlüsselverwaltung
- $6200, $50(Client)
Aventail VPN 2.6 (SW) (www.aventail.com)
[3]
- unbegrenzte Tunnelanzahl: PPTP, SOCKS V, IPSec
- UDP, TCP-Pakete
- (Triple) DES, MD5, SHA-1
- SSL
- $ 12000
|
[4]
- auf Basis einer HW-Firewall-Gateway
- Routing, Filtering, Traffic Auditing, redundante Pfade für minimale
Ausfallzeiten
- verwendet IPSec bei Internet-Tunnels
- 56 Bit-Schlüssel
- auch im Intra-LAN gesicherte Übertragung
- unterstützt verschiedenartige Tunnel (Internet, ISDN..)
- Authentifizierung bei Remote Access
- Schlüsselmanagement mit ISAKMP/Oakley
- gesichertes Management
- flexibel bei Konfigurationsänderungen im Netzwerk
- bis 100 Mbps
|
|
Literatur / Internet
|
|
[1] |
Klaus-Peter Kossakowski (kpk@work.de)
Virtuelle Private Netze - Techniken und Einsatzmöglichkeiten;
KES - Zeitschrift für Kommunikations- und EDV-Sicherheit; Nr.
2, Mai 1998 |
[2] |
Michael Schmidt
Unter Ausschluß der Öffentlichkeit: Virtual Private Network
- vertraulicher Datenaustausch über das Internet;
c't; Heft 8, April 1998, S. 226-235 |
[3] |
James Taschek (Übers. Franz Grieser)
Privatsphäre für das Firmennetz. Test: Virtual Private Networks
(VPN);
INTERNET PROFESSIONELL, Nr. 5, Mai 1998, S. 66-71 |
[4] |
RADGUARD Ltd. Israel (www.radguard.com)
TCP/IP VPNs - Real life considerations;
Vortrag auf der CeBIT 1998 |
[5] |
Hans-Juergen Rehm (IBM Deutschland Informationssysteme
GmbH)
Das Intranet verlangt hohe Sicherheitsstandards;
Bank Magazin - Special Sicherheit, Juni 1998, S. 4-6 |
[6] |
Klaus P. Wagner (Gerling Consulting Gruppe GmbH)
Versicherungsangebote im Internet;
Bank Magazin - Special Sicherheit, Juni 1998, S. 8-10 |
|