VPN Allgemein: Unterschied zwischen den Versionen

Aus xinux.net
Zur Navigation springen Zur Suche springen
 
(31 dazwischenliegende Versionen von 3 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
=IPSec=
+
=Was ist ein VPN=
 +
*VPNs versetzen Unternehmen in die Lage, auf einfache und kostengünstige Weise ihre Netzwerke an verschiedenen Standorte zu verbinden
 +
*Des weiteren kann man Außendienstmitarbeiter anbinden.
 +
*Man muss Sicherheitsfragen beachten.
 +
*Man nutzt öffentliche Netze und muss darum ensprechende Sicherheit sorgen.
 +
*Hier muss man 3 Punkte beachten
 +
**Verfügbarkeit
 +
**Integrität
 +
**Vertraulichkeit
  
IPSec ist ein Standard, um lokale Netzwerke sicher über das Internet zu verbinden. Dabei legt IPSec so genannte Virtual Private Networks (VPN) an.
+
=VPN ist ein reines Softwareprodukt=
 +
*VPN ist grundsätzlich ein Software Produkt
 +
*Es gibt aber auch Geräte die (VPN-Appliances), die für die Verwendung der VPN-Software optimiert wurde.
 +
*Normalerweise gibt es für die Betriebsssteme Windows, Linux und MacOS native Software
 +
*Es gibt sogenannte VPN Gateways die mehr als eine VPN Verbindung handeln können
 +
=Vorgang beim Aufbau einer VPN=
 +
*Ein VPN Partner will eine Verbindung eingehen.
 +
*Er muss sich auf der Gegenseite authentifizieren.
 +
*Danach muss eine Gemeisamer Sitzungsschlüssel ausgehandelt werden.
 +
*Die Netze die zu schützen sind werden bestimmt.
 +
*Die Pakete werden dann verschlüsselt und eingekapselt
 +
*Die Komminikation der beiteiligten Netze läuft dann über den sogenannten VPN Tunnel
 +
=Prinzip=
  
IPSec arbeitet dabei auf der IP-Ebene. Dies bedeutet, es werden keine Veränderungen (wie z.B. Verschlüsselungsmodule) in den verwendeten Programmen benötigt. Deshalb ist es auch mit allen TCP/IP basierten Netzwerkprogrammen kompatibel.
+
{{#drawio:vpn-vorgang}}
  
IPSec kann lokale Netze oder auch einzelne Clients mit privaten Netzwerkadressen über das Internet verbinden. Dazu werden die ursprünglichen IP-Pakete verschlüsselt und in neue Pakete eingepackt. Beim Empfänger werden die Pakete wieder ausgepackt, entschlüsselt, geprüft und weitergeleitet.
+
{{#drawio:vpn-vorgang-1}}
  
Bevor allerdings eine verschlüsselte Verbindung aufgebaut werden kann, müssen sich die beiden Verbindungspartner sicher sein, dass Ihr Gegenüber auch der ist, für den er sich ausgibt (Authentifizierung). Hierzu gibt es zwei Verfahren. Das eine wird Pre-Shared Key (PSK) oder auch Shared Secret genannt. Hierbei kennen beide Seiten ein gemeinsames Passwort. Bei dem anderen Verfahren wird die so genannte Public-Key Kryptographie eingesetzt.
 
  
=Public-Key=
+
{{#drawio:vpn-vorgang-2}}
  
Public-Key Kryptographie basiert auf einem mathematischen Verfahren, bei dem ein Schlüsselpaar aus einem geheimen Schlüssel (Private Key) und einem dazugehörigen öffentlichen Schlüssel (Public Key) erzeugt wird. Mit dem Public Key verschlüsselte Nachrichten können nur mit dem dazugehörigen Private Key entschlüsselt werden. Hat jemand nur den Public Key, so kann er nur verschlüsseln, nicht aber entschlüsseln.
 
  
Daher können die Public Keys problemlos auf unsicheren Kanälen (z.B. per E-Mail) ausgetauscht werden.
+
{{#drawio:vpn-vorgang-3}}
  
Die einzige Gefahr besteht darin, dass ein Angreifer den Schlüssel vertauscht haben könnte (sog. Man-in-the-middle Angriff). Wenn Sie ganz sicher gehen wollen, können daher nach dem Schlüsselaustausch die Signaturen (auch Fingerprint genannt) der Schlüssel z.B. am Telefon verglichen werden.
+
=Weiteres=
 +
*VPN funktioniert weitgehend unabhängig von der physischen Topologie und den verwendeten Netzwerkprotokollen.
 +
*Das Netz, in dem sich die VPN-Partner befinden, dient lediglich als Transportmittel bei der Kommunikation mit den eingebundenen Geräten.
 +
*Da die tatsächlichen Netzwerkpakete in dem VPN-Protokoll verpackt sind,
 +
*Sie müssen/dürfen nur von den VPN-Partnern, nicht aber von den Netzwerkkomponenten dieses Netzes verstanden werden.
  
=Zertifikate=
+
=Verschlüsselung=
 +
*Theoretisch kann man eine VPN auch unverschlüsselt aufbauen
 +
*Das wird aber in der Regel nicht gemacht.
 +
*Um die Verbindung abhör- und manipulationssicher zu machen wird verschlüsselt
  
Als Erweiterung zum Konzept von öffentlichen und privaten Schlüsseln gibt es Zertifikate. Dabei wird der öffentliche Schlüssel von einer Zertifizierungsstelle (engl. Certification Authority, abgekürzt CA), digital signiert. Das ermöglicht bei größeren Installationen, dass eine Gegenstelle anhand der digitalen Signatur feststellen kann, ob ein Schlüssel gültig ist, ohne dass der Schlüssel selbst vorher installiert wurde.
+
=Arten von VPN's=
 +
*[[Arten von VPN's]]
 +
=Die Funktionsweise=
 +
*Ein VPN beruht auf IP-Tunneling, daß heißt, das zu transportierende Paket wird verschlüsselt und in ein neues Paket verpackt.
 +
*Dieses Paket wird in einem Server des LANs oder des ISPs erzeugt, der den Ausgangspunkt des Tunnels bildet.
 +
*Das Paket enthält als Quelladresse die Adresse dieses Rechners und als Zieladresse einen Server
 +
*Der den Endpunkt des Tunnels bildet und das transportierte Paket wieder entpackt
 +
*Der Tunnel-Kopf wird entfernt und das Paket entschlüsselt.
 +
*Dieses Paket wird dann wie gewohnt im Ziel-LAN seinem Empfänger zugestellt.
  
Für den Intranator bringt eine solche Zertifizierungsstelle normalerweise nur wenig Vorteile, dennoch setzt der Intranator konsequent den Zertifikatsstandard X.509 ein. Dieser Standard hat sich in der Praxis anstatt einfachen Public-/Private-Key-Paaren durchgesetzt.
+
=Authentifikation=
 +
*Bevor ein Rechner eine verschüsselte Datenverbindung aufbaut, muß er sich eindeutig authentifizieren.
 +
*Erst nach dem erfolgreichen Identitätsnachweis leitet das VPN-Gateway die Pakete ins Firmennetz weiter.
 +
*Die Authentifizierung erfolgt über:
 +
**Pre Shared Keys
 +
**Public-Key-Mechanismen
 +
**Zertifikate
  
Um die Bedienung zu vereinfachen, erzeugt der Intranator normalerweise selbstsignierte Zertifikate, bei denen der Inhaber (Subject genannt) auch gleichzeitig der Zertifikatsaussteller (Issuer) ist. Dadurch sind bei der Bedienung keine zusätzlichen Schritte für die Verwendung von Zertifikaten nötig. Selbstverständlich können aber auch externe Zertifizierungsstellen verwendet werden.
+
=Praktischer Nutzen eines VPNs=
 
+
*Anbinden von Aussenstellen an die Zentrale
 
+
*Anbinden von Homearbeitsplätzen
=IPSec Verbindungen=
+
*Anbinden von Partnerfirmen
 
+
*Verschleierung der realen IP
Ein IPSec Verbindungsaufbau geschieht mit dem Protokoll Internet Key Exchange (IKE) in zwei Phasen.
+
*Umgegen von Länderrestrigionen
 
+
=Quellen=
Phase 1: Zuerst wird eine gesicherte Verbindung (ISAKMP SA oder IKE SA genannt) aufgebaut. Diese Verbindung wird über UDP Port 500 aufgebaut. Erkennt das System, dass eine Seite hinter einem NAT-Router steht, wird auf UDP Port 4500 umgeschaltet. Es gibt zwei Modi für den Verbindungsaufbau: den Main Mode und den Aggressive Mode. Der Aggressive Mode beschleunigt den Verbindungsaufbau um einige Zehntelsekunden, kann aber leichter geknackt werden. Der Intranator unterstützt daher nur den sicheren Main Mode.
+
*wiki.xinux.de
 
+
*www.wikipedia.de
Phase 2: Die zuvor aufgebaute gesicherte Verbindung wird nun genutzt, um die eigentlichen Verbindungsdaten und Sitzungsschlüssel auszuhandeln (Quick Mode). Ist dies erfolgreich, wird eine sog. IPSec SA konfiguriert und kann dann genutzt werden, um verschlüsselt Daten zu übertragen.
 
 
 
Beide Phasen der Verbindung haben aus Sicherheitsgründen nur eine begrenzte Lebensdauer und werden daher regelmäßig aktualisiert.
 
 
 
Aus Sicherheitsgründen und um das Routing zu vereinfachen überprüft jede Seite der Verbindung, dass nur genau die Pakete durch die Verbindung kommen, die vorher konfiguriert wurden. Daher ist es wichtig, dass auf beiden Seiten identische Werte für Start- und Zielnetz eines Tunnels angegeben wurden.
 
 
 
Damit die Sicherheitsrichtlinien sehr eng konfiguriert werden können, ist es möglich, zwischen zwei Rechnern beliebig viele verschiedene IPSec Verbindungen aufzubauen.
 
 
 
=Algorithmen=
 
 
 
Beide Seiten einigen sich beim Verbindungsaufbau über die für Verschlüsselung und Datensignierung zu verwendenden kryptographischen Algorithmen. Die Algorithmen sind für jede Phase separat einstellbar. Im Intranator können im Menü Dienste > VPN > Verschlüsselung Profile mit Algorithmen konfiguriert werden.
 
 
 
Eine Verschlüsselungsmethode besteht dabei aus je einem Algorithmus für Verschlüsselung, für Hashing (Signatur) und einer Diffie Hellman Gruppe für den Aufbau einer gesicherten Verbindung. Die meisten Algorithmen werden in verschiedenen Längen angeboten. Die Länge wird in Bit angegeben und der Algorithmus ist desto stärker, je mehr Bit verwendet werden. Allerdings steigt mit der Bitzahl auch der nötige Rechenaufwand.
 
 
 
Für beide Phasen wird nun eine Liste von möglichen Methoden hinterlegt. Diese Liste wird in der eingestellten Reihenfolge der Gegenstelle angeboten, die dann die oberste, von ihr auch unterstütze Methode verwendet.
 
 
 
Auch die Verwendung von Perfect Forward Secrecy (PFS) in Phase 2 wird im Intranator über die Verschlüsselungsprofile konfiguriert. Ist auf dem Intranator eine PFS-Gruppe vorgegeben, wird diese beim Verbindungsaufbau verwendet. Baut die Gegenseite die Verbindung auf, akzeptiert der Intranator die eingestellte und alle stärkeren Gruppen. Ist die PFS-Gruppe auf Keine gestellt, werden Verbindungen ohne PFS aufgebaut. Baut die Gegenseite die Verbindung auf, werden Verbindungen mit und ohne PFS akzeptiert.
 
 
 
Alle angebotenen Algorithmen bieten aus heutiger Sicht eine ausreichende Stärke. Nicht mehr empfohlene Algorithmen wie z.B. einfaches DES mit 64 Bit werden vom Intranator gar nicht erst angeboten. Allerdings wurden in letzter Zeit in der kryptographischen Forschung einige mögliche Schwachstellen von vor allem MD5 als auch SHA diskutiert. Wir empfehlen daher, so bald wie möglich auf eine der stärkeren SHA2-Varianten (256, 384 und 512 Bit) umzusteigen.
 
 
 
=Einschränkungen=
 
 
 
Bei der Entwicklung von IPSec war Voraussetzung, dass keinerlei Information unverschlüsselt oder an nicht autorisierte Gegenstellen versendet werden darf. Leider bringt dies auch einige Einschränkungen in Verbindung mit dynamischen IP-Adressen mit sich:
 
 
 
Alle Informationen werden verschlüsselt übertragen, also auch die Kennung einer Station. Da bei dynamischen IPs weder anhand der IP-Adresse noch anhand der Kennung entschieden werden kann, welcher Schlüssel zur Entschlüsselung verwendet werden soll, müssen alle diese Gegenstellen denselben Schlüssel verwenden.
 
 
 
Zum Glück gilt diese Einschränkung nur für das Pre-Shared Key Verfahren; beim Einsatz von Public Key Verfahren kann jede Gegenstelle einen eigenen Schlüssel haben. Durch die Trennung von Public und Private Key ist dies möglich, ohne dass Daten gefährdet werden. Wir empfehlen daher, ausschließlich das Public Key Verfahren zu verwenden.
 
 
 
 
 
=Kompatibilität mit anderen IPSec-Gegenstellen=
 
 
 
IPSec ist standardisiert und der Intranator kann grundsätzlich mit allen standardkonformen Gegenstellen Verbindungen aufbauen. Allerdings erlaubt der IPSec-Standard sehr viele Wahlmöglichkeiten und Optionen, die teilweise auf beiden Seiten identisch eingestellt oder implementiert sein müssen. Daher können wir eine Kompatibilität nicht generell garantieren.
 
 
 
Viele einfachere Geräte (z.B. kleine Router) unterstützen ausschließlich eine Authentifizierung mit Pre-Shared Keys. Wegen den im vorherigen Abschnitt beschriebenen Einschränkungen können wir dazu nur dann raten, wenn beide Seiten über feste IP-Adressen verfügen.
 
 
 
Sind keine festen IP-Adressen verfügbar, sollten Sie Router verwenden, die Public Key unterstützen. Die Konfiguration einiger dieser Router wird in den folgenden Kapiteln vorgestellt.
 

Aktuelle Version vom 24. März 2022, 10:04 Uhr

Was ist ein VPN

  • VPNs versetzen Unternehmen in die Lage, auf einfache und kostengünstige Weise ihre Netzwerke an verschiedenen Standorte zu verbinden
  • Des weiteren kann man Außendienstmitarbeiter anbinden.
  • Man muss Sicherheitsfragen beachten.
  • Man nutzt öffentliche Netze und muss darum ensprechende Sicherheit sorgen.
  • Hier muss man 3 Punkte beachten
    • Verfügbarkeit
    • Integrität
    • Vertraulichkeit

VPN ist ein reines Softwareprodukt

  • VPN ist grundsätzlich ein Software Produkt
  • Es gibt aber auch Geräte die (VPN-Appliances), die für die Verwendung der VPN-Software optimiert wurde.
  • Normalerweise gibt es für die Betriebsssteme Windows, Linux und MacOS native Software
  • Es gibt sogenannte VPN Gateways die mehr als eine VPN Verbindung handeln können

Vorgang beim Aufbau einer VPN

  • Ein VPN Partner will eine Verbindung eingehen.
  • Er muss sich auf der Gegenseite authentifizieren.
  • Danach muss eine Gemeisamer Sitzungsschlüssel ausgehandelt werden.
  • Die Netze die zu schützen sind werden bestimmt.
  • Die Pakete werden dann verschlüsselt und eingekapselt
  • Die Komminikation der beiteiligten Netze läuft dann über den sogenannten VPN Tunnel

Prinzip



Weiteres

  • VPN funktioniert weitgehend unabhängig von der physischen Topologie und den verwendeten Netzwerkprotokollen.
  • Das Netz, in dem sich die VPN-Partner befinden, dient lediglich als Transportmittel bei der Kommunikation mit den eingebundenen Geräten.
  • Da die tatsächlichen Netzwerkpakete in dem VPN-Protokoll verpackt sind,
  • Sie müssen/dürfen nur von den VPN-Partnern, nicht aber von den Netzwerkkomponenten dieses Netzes verstanden werden.

Verschlüsselung

  • Theoretisch kann man eine VPN auch unverschlüsselt aufbauen
  • Das wird aber in der Regel nicht gemacht.
  • Um die Verbindung abhör- und manipulationssicher zu machen wird verschlüsselt

Arten von VPN's

Die Funktionsweise

  • Ein VPN beruht auf IP-Tunneling, daß heißt, das zu transportierende Paket wird verschlüsselt und in ein neues Paket verpackt.
  • Dieses Paket wird in einem Server des LANs oder des ISPs erzeugt, der den Ausgangspunkt des Tunnels bildet.
  • Das Paket enthält als Quelladresse die Adresse dieses Rechners und als Zieladresse einen Server
  • Der den Endpunkt des Tunnels bildet und das transportierte Paket wieder entpackt
  • Der Tunnel-Kopf wird entfernt und das Paket entschlüsselt.
  • Dieses Paket wird dann wie gewohnt im Ziel-LAN seinem Empfänger zugestellt.

Authentifikation

  • Bevor ein Rechner eine verschüsselte Datenverbindung aufbaut, muß er sich eindeutig authentifizieren.
  • Erst nach dem erfolgreichen Identitätsnachweis leitet das VPN-Gateway die Pakete ins Firmennetz weiter.
  • Die Authentifizierung erfolgt über:
    • Pre Shared Keys
    • Public-Key-Mechanismen
    • Zertifikate

Praktischer Nutzen eines VPNs

  • Anbinden von Aussenstellen an die Zentrale
  • Anbinden von Homearbeitsplätzen
  • Anbinden von Partnerfirmen
  • Verschleierung der realen IP
  • Umgegen von Länderrestrigionen

Quellen

  • wiki.xinux.de
  • www.wikipedia.de
Abgerufen von „https://xinux.net/index.php?title=VPN_Allgemein&oldid=32554