VPN Allgemein: Unterschied zwischen den Versionen

Aus xinux.net
Zur Navigation springen Zur Suche springen
 
(33 dazwischenliegende Versionen von 3 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
=IPSec=
+
=Was ist ein VPN=
 +
*VPNs versetzen Unternehmen in die Lage, auf einfache und kostengünstige Weise ihre Netzwerke an verschiedenen Standorte zu verbinden
 +
*Des weiteren kann man Außendienstmitarbeiter anbinden.
 +
*Man muss Sicherheitsfragen beachten.
 +
*Man nutzt öffentliche Netze und muss darum ensprechende Sicherheit sorgen.
 +
*Hier muss man 3 Punkte beachten
 +
**Verfügbarkeit
 +
**Integrität
 +
**Vertraulichkeit
  
IPSec ist ein Standard, um lokale Netzwerke sicher über das Internet zu verbinden. Dabei legt IPSec so genannte Virtual Private Networks (VPN) an.
+
=VPN ist ein reines Softwareprodukt=
 +
*VPN ist grundsätzlich ein Software Produkt
 +
*Es gibt aber auch Geräte die (VPN-Appliances), die für die Verwendung der VPN-Software optimiert wurde.
 +
*Normalerweise gibt es für die Betriebsssteme Windows, Linux und MacOS native Software
 +
*Es gibt sogenannte VPN Gateways die mehr als eine VPN Verbindung handeln können
 +
=Vorgang beim Aufbau einer VPN=
 +
*Ein VPN Partner will eine Verbindung eingehen.
 +
*Er muss sich auf der Gegenseite authentifizieren.
 +
*Danach muss eine Gemeisamer Sitzungsschlüssel ausgehandelt werden.
 +
*Die Netze die zu schützen sind werden bestimmt.
 +
*Die Pakete werden dann verschlüsselt und eingekapselt
 +
*Die Komminikation der beiteiligten Netze läuft dann über den sogenannten VPN Tunnel
 +
=Prinzip=
  
IPSec arbeitet dabei auf der IP-Ebene. Dies bedeutet, es werden keine Veränderungen (wie z.B. Verschlüsselungsmodule) in den verwendeten Programmen benötigt. Deshalb ist es auch mit allen TCP/IP basierten Netzwerkprogrammen kompatibel.
+
{{#drawio:vpn-vorgang}}
  
IPSec kann lokale Netze oder auch einzelne Clients mit privaten Netzwerkadressen über das Internet verbinden. Dazu werden die ursprünglichen IP-Pakete verschlüsselt und in neue Pakete eingepackt. Beim Empfänger werden die Pakete wieder ausgepackt, entschlüsselt, geprüft und weitergeleitet.
+
{{#drawio:vpn-vorgang-1}}
  
Bevor allerdings eine verschlüsselte Verbindung aufgebaut werden kann, müssen sich die beiden Verbindungspartner sicher sein, dass Ihr Gegenüber auch der ist, für den er sich ausgibt (Authentifizierung). Hierzu gibt es zwei Verfahren. Das eine wird Pre-Shared Key (PSK) oder auch Shared Secret genannt. Hierbei kennen beide Seiten ein gemeinsames Passwort. Bei dem anderen Verfahren wird die so genannte Public-Key Kryptographie eingesetzt.
 
  
=Public-Key=
+
{{#drawio:vpn-vorgang-2}}
  
Public-Key Kryptographie basiert auf einem mathematischen Verfahren, bei dem ein Schlüsselpaar aus einem geheimen Schlüssel (Private Key) und einem dazugehörigen öffentlichen Schlüssel (Public Key) erzeugt wird. Mit dem Public Key verschlüsselte Nachrichten können nur mit dem dazugehörigen Private Key entschlüsselt werden. Hat jemand nur den Public Key, so kann er nur verschlüsseln, nicht aber entschlüsseln.
 
  
Daher können die Public Keys problemlos auf unsicheren Kanälen (z.B. per E-Mail) ausgetauscht werden.
+
{{#drawio:vpn-vorgang-3}}
  
Die einzige Gefahr besteht darin, dass ein Angreifer den Schlüssel vertauscht haben könnte (sog. Man-in-the-middle Angriff). Wenn Sie ganz sicher gehen wollen, können daher nach dem Schlüsselaustausch die Signaturen (auch Fingerprint genannt) der Schlüssel z.B. am Telefon verglichen werden.
+
=Weiteres=
 +
*VPN funktioniert weitgehend unabhängig von der physischen Topologie und den verwendeten Netzwerkprotokollen.
 +
*Das Netz, in dem sich die VPN-Partner befinden, dient lediglich als Transportmittel bei der Kommunikation mit den eingebundenen Geräten.
 +
*Da die tatsächlichen Netzwerkpakete in dem VPN-Protokoll verpackt sind,
 +
*Sie müssen/dürfen nur von den VPN-Partnern, nicht aber von den Netzwerkkomponenten dieses Netzes verstanden werden.
  
=Zertifikate=
+
=Verschlüsselung=
 +
*Theoretisch kann man eine VPN auch unverschlüsselt aufbauen
 +
*Das wird aber in der Regel nicht gemacht.
 +
*Um die Verbindung abhör- und manipulationssicher zu machen wird verschlüsselt
  
Als Erweiterung zum Konzept von öffentlichen und privaten Schlüsseln gibt es Zertifikate. Dabei wird der öffentliche Schlüssel von einer Zertifizierungsstelle (engl. Certification Authority, abgekürzt CA), digital signiert. Das ermöglicht bei größeren Installationen, dass eine Gegenstelle anhand der digitalen Signatur feststellen kann, ob ein Schlüssel gültig ist, ohne dass der Schlüssel selbst vorher installiert wurde.
+
=Arten von VPN's=
 +
*[[Arten von VPN's]]
 +
=Die Funktionsweise=
 +
*Ein VPN beruht auf IP-Tunneling, daß heißt, das zu transportierende Paket wird verschlüsselt und in ein neues Paket verpackt.
 +
*Dieses Paket wird in einem Server des LANs oder des ISPs erzeugt, der den Ausgangspunkt des Tunnels bildet.
 +
*Das Paket enthält als Quelladresse die Adresse dieses Rechners und als Zieladresse einen Server
 +
*Der den Endpunkt des Tunnels bildet und das transportierte Paket wieder entpackt
 +
*Der Tunnel-Kopf wird entfernt und das Paket entschlüsselt.
 +
*Dieses Paket wird dann wie gewohnt im Ziel-LAN seinem Empfänger zugestellt.
  
Für den Intranator bringt eine solche Zertifizierungsstelle normalerweise nur wenig Vorteile, dennoch setzt der Intranator konsequent den Zertifikatsstandard X.509 ein. Dieser Standard hat sich in der Praxis anstatt einfachen Public-/Private-Key-Paaren durchgesetzt.
+
=Authentifikation=
 +
*Bevor ein Rechner eine verschüsselte Datenverbindung aufbaut, muß er sich eindeutig authentifizieren.
 +
*Erst nach dem erfolgreichen Identitätsnachweis leitet das VPN-Gateway die Pakete ins Firmennetz weiter.
 +
*Die Authentifizierung erfolgt über:
 +
**Pre Shared Keys
 +
**Public-Key-Mechanismen
 +
**Zertifikate
  
Um die Bedienung zu vereinfachen, erzeugt der Intranator normalerweise selbstsignierte Zertifikate, bei denen der Inhaber (Subject genannt) auch gleichzeitig der Zertifikatsaussteller (Issuer) ist. Dadurch sind bei der Bedienung keine zusätzlichen Schritte für die Verwendung von Zertifikaten nötig. Selbstverständlich können aber auch externe Zertifizierungsstellen verwendet werden.
+
=Praktischer Nutzen eines VPNs=
 
+
*Anbinden von Aussenstellen an die Zentrale
 
+
*Anbinden von Homearbeitsplätzen
=IPSec Verbindungen=
+
*Anbinden von Partnerfirmen
 
+
*Verschleierung der realen IP
Ein IPSec Verbindungsaufbau geschieht mit dem Protokoll Internet Key Exchange (IKE) in zwei Phasen.
+
*Umgegen von Länderrestrigionen
 
+
=Quellen=
Phase 1: Zuerst wird eine gesicherte Verbindung (ISAKMP SA oder IKE SA genannt) aufgebaut. Diese Verbindung wird über UDP Port 500 aufgebaut. Erkennt das System, dass eine Seite hinter einem NAT-Router steht, wird auf UDP Port 4500 umgeschaltet. Es gibt zwei Modi für den Verbindungsaufbau: den Main Mode und den Aggressive Mode. Der Aggressive Mode beschleunigt den Verbindungsaufbau um einige Zehntelsekunden, kann aber leichter geknackt werden. Der Intranator unterstützt daher nur den sicheren Main Mode.
+
*wiki.xinux.de
 
+
*www.wikipedia.de
Phase 2: Die zuvor aufgebaute gesicherte Verbindung wird nun genutzt, um die eigentlichen Verbindungsdaten und Sitzungsschlüssel auszuhandeln (Quick Mode). Ist dies erfolgreich, wird eine sog. IPSec SA konfiguriert und kann dann genutzt werden, um verschlüsselt Daten zu übertragen.
 
 
 
Beide Phasen der Verbindung haben aus Sicherheitsgründen nur eine begrenzte Lebensdauer und werden daher regelmäßig aktualisiert.
 
 
 
Aus Sicherheitsgründen und um das Routing zu vereinfachen überprüft jede Seite der Verbindung, dass nur genau die Pakete durch die Verbindung kommen, die vorher konfiguriert wurden. Daher ist es wichtig, dass auf beiden Seiten identische Werte für Start- und Zielnetz eines Tunnels angegeben wurden.
 
 
 
Damit die Sicherheitsrichtlinien sehr eng konfiguriert werden können, ist es möglich, zwischen zwei Rechnern beliebig viele verschiedene IPSec Verbindungen aufzubauen.
 

Aktuelle Version vom 24. März 2022, 10:04 Uhr

Was ist ein VPN

  • VPNs versetzen Unternehmen in die Lage, auf einfache und kostengünstige Weise ihre Netzwerke an verschiedenen Standorte zu verbinden
  • Des weiteren kann man Außendienstmitarbeiter anbinden.
  • Man muss Sicherheitsfragen beachten.
  • Man nutzt öffentliche Netze und muss darum ensprechende Sicherheit sorgen.
  • Hier muss man 3 Punkte beachten
    • Verfügbarkeit
    • Integrität
    • Vertraulichkeit

VPN ist ein reines Softwareprodukt

  • VPN ist grundsätzlich ein Software Produkt
  • Es gibt aber auch Geräte die (VPN-Appliances), die für die Verwendung der VPN-Software optimiert wurde.
  • Normalerweise gibt es für die Betriebsssteme Windows, Linux und MacOS native Software
  • Es gibt sogenannte VPN Gateways die mehr als eine VPN Verbindung handeln können

Vorgang beim Aufbau einer VPN

  • Ein VPN Partner will eine Verbindung eingehen.
  • Er muss sich auf der Gegenseite authentifizieren.
  • Danach muss eine Gemeisamer Sitzungsschlüssel ausgehandelt werden.
  • Die Netze die zu schützen sind werden bestimmt.
  • Die Pakete werden dann verschlüsselt und eingekapselt
  • Die Komminikation der beiteiligten Netze läuft dann über den sogenannten VPN Tunnel

Prinzip



Weiteres

  • VPN funktioniert weitgehend unabhängig von der physischen Topologie und den verwendeten Netzwerkprotokollen.
  • Das Netz, in dem sich die VPN-Partner befinden, dient lediglich als Transportmittel bei der Kommunikation mit den eingebundenen Geräten.
  • Da die tatsächlichen Netzwerkpakete in dem VPN-Protokoll verpackt sind,
  • Sie müssen/dürfen nur von den VPN-Partnern, nicht aber von den Netzwerkkomponenten dieses Netzes verstanden werden.

Verschlüsselung

  • Theoretisch kann man eine VPN auch unverschlüsselt aufbauen
  • Das wird aber in der Regel nicht gemacht.
  • Um die Verbindung abhör- und manipulationssicher zu machen wird verschlüsselt

Arten von VPN's

Die Funktionsweise

  • Ein VPN beruht auf IP-Tunneling, daß heißt, das zu transportierende Paket wird verschlüsselt und in ein neues Paket verpackt.
  • Dieses Paket wird in einem Server des LANs oder des ISPs erzeugt, der den Ausgangspunkt des Tunnels bildet.
  • Das Paket enthält als Quelladresse die Adresse dieses Rechners und als Zieladresse einen Server
  • Der den Endpunkt des Tunnels bildet und das transportierte Paket wieder entpackt
  • Der Tunnel-Kopf wird entfernt und das Paket entschlüsselt.
  • Dieses Paket wird dann wie gewohnt im Ziel-LAN seinem Empfänger zugestellt.

Authentifikation

  • Bevor ein Rechner eine verschüsselte Datenverbindung aufbaut, muß er sich eindeutig authentifizieren.
  • Erst nach dem erfolgreichen Identitätsnachweis leitet das VPN-Gateway die Pakete ins Firmennetz weiter.
  • Die Authentifizierung erfolgt über:
    • Pre Shared Keys
    • Public-Key-Mechanismen
    • Zertifikate

Praktischer Nutzen eines VPNs

  • Anbinden von Aussenstellen an die Zentrale
  • Anbinden von Homearbeitsplätzen
  • Anbinden von Partnerfirmen
  • Verschleierung der realen IP
  • Umgegen von Länderrestrigionen

Quellen

  • wiki.xinux.de
  • www.wikipedia.de
Abgerufen von „https://xinux.net/index.php?title=VPN_Allgemein&oldid=32554