VPN - Virtuelle Private Netzwerke - Aufbau und Sicherheit
von: Manfred Lipp
Addison-Wesley Verlag, 2006
ISBN: 9783827322524
Sprache: Deutsch
442 Seiten, Download: 17732 KB
Format: PDF, auch als Online-Lesen
Inhaltsverzeichnis | 6 | ||
Vorwort | 6 | ||
1 Virtuelle Private Netze | 6 | ||
2 Anforderungen an VPN | 7 | ||
3 Tunneling | 7 | ||
4 Sicherheitstechnologie | 8 | ||
5 IP Security (IPSec) | 9 | ||
6 Das IKE-Protokoll | 10 | ||
SSL-PN | 11 | ||
8 L2TP/IPSec-Transport | 12 | ||
9 Quality of Service in VPN | 12 | ||
10 Access-Technologien | 13 | ||
11 Design und Realisierung | 13 | ||
A Anhang | 14 | ||
Stichwortverzeichnis | 14 | ||
Vorwort | 16 | ||
Aufbau | 16 | ||
Danksagung | 17 | ||
1 Virtuelle Private Netze | 18 | ||
1.1 Was ist ein VPN? | 18 | ||
1.2 Netze im Wandel | 20 | ||
1.2.1 Übertragungstechnologie | 20 | ||
1.2.2 Datennetze | 24 | ||
1.2.3 Netzwerkapplikationen | 27 | ||
1.3 Warum VPN? | 30 | ||
1.3.1 Veränderung der Geschäftsprozesse | 30 | ||
1.3.2 Globalisierung und Dezentralisierung | 32 | ||
1.3.3 Veränderung der Wettbewerbssituation | 32 | ||
1.3.4 Mobilität und Flexibilität | 32 | ||
1.3.5 Kostenoptimierung | 33 | ||
1.3.6 Sicherheit | 34 | ||
1.4 Randbedingungen für den Einsatz | 35 | ||
1.5 Der VPN-Markt | 36 | ||
1.6 Internet-VPN | 38 | ||
1.7 VPN-Typen | 41 | ||
1.7.1 Remote Access VPN | 42 | ||
1.7.2 Branch Office VPN | 44 | ||
1.7.3 Extranet-VPN | 46 | ||
1.8 VPN-Dienste | 47 | ||
1.8.1 Eigenbetrieb | 47 | ||
1.8.2 Access-Equipment-Outsourcing | 48 | ||
1.8.3 VPN- und Access-Equipment-Outsourcing | 48 | ||
1.8.4 Vollständiges Outsourcing | 49 | ||
1.9 Intranet-VPN | 49 | ||
2 Anforderungen an VPN | 50 | ||
2.1 Sicherheit | 50 | ||
2.1.1 Datenvertraulichkeit | 50 | ||
2.1.2 Schlüsselmanagement | 51 | ||
2.1.3 Paketauthentifizierung | 51 | ||
2.1.4 Datenintegrität | 52 | ||
2.1.5 Benutzerauthentifizierung | 52 | ||
2.1.6 Benutzerautorisierung | 53 | ||
2.1.7 Schutz vor Sabotage | 53 | ||
2.1.8 Schutz vor unerlaubtem Eindringen | 54 | ||
2.2 Verfügbarkeit | 55 | ||
2.2.1 Die Verfügbarkeit von Wähl- und Festverbindungen | 55 | ||
2.2.2 Die Verfügbarkeit von Internet-VPN | 56 | ||
2.3 Quality of Service | 57 | ||
2.3.1 QoS in Sprachnetzen | 57 | ||
2.3.2 QoS im LAN | 58 | ||
2.3.3 QoS im WAN | 59 | ||
2.3.4 QoS in IP | 64 | ||
2.3.5 QoS im VPN | 65 | ||
2.4 Skalierbarkeit und Migrationsfähigkeit | 66 | ||
2.5 Integration in existierende Netze | 66 | ||
2.5.1 Management | 67 | ||
2.5.2 Sicherheit | 70 | ||
2.6 Koexistenz zu traditionellen WAN | 72 | ||
2.7 Adressmanagement | 73 | ||
2.8 Interoperabilität | 74 | ||
3 Tunneling | 76 | ||
3.1 Tunneling-Modelle | 77 | ||
3.1.1 Das Intra-Provider-Modell | 77 | ||
3.1.2 Das Provider-Enterprise-Modell | 77 | ||
3.1.3 Das Ende-zu-Ende-Modell | 78 | ||
3.2 Standardisierte Tunneling-Protokolle | 79 | ||
3.2.1 Layer-2-Protokolle | 79 | ||
3.2.2 Layer 2 Tunneling Protocol (L2TP) | 80 | ||
3.2.3 Layer-3-Protokolle | 82 | ||
3.2.4 IP Security (IPSec) im Tunnel-Modus | 82 | ||
3.2.5 Multi Protocol Label Switching (MPLS) | 83 | ||
3.3 Nichtstandardisierte Tunneling-Protokolle | 87 | ||
3.3.1 Layer 2 Forwarding (L2F) | 88 | ||
3.3.2 Point-to-Point Tunneling Protocol | 88 | ||
3.4 Verschachtelte Tunneling-Protokolle | 89 | ||
3.5 Welches Protokoll für welchen Zweck? | 91 | ||
3.6 Auswahlkriterien | 92 | ||
4 Sicherheitstechnologie | 94 | ||
4.1 Sicherheit in VPN | 94 | ||
4.1.1 Sicherheit in Unternehmensdatennetzen | 94 | ||
4.1.2 Sicherheitsverfahren in VPN | 97 | ||
4.1.3 Sicherheit in der Netzwerkschicht mit IP-Security | 99 | ||
4.1.4 Sicherheit auf der Transportschicht mit Transport Layer Security (TLS) und Secure Socket La... | 101 | ||
4.2 Die Grundlagen der Kryptografie | 102 | ||
4.2.1 Geschichtliches | 102 | ||
4.2.2 Datenvertraulichkeit | 104 | ||
4.2.3 Verschleierung und Verschlüsselung | 104 | ||
4.2.4 Die Kunst der Kryptoanalyse | 106 | ||
4.2.5 Einführung in die Kryprografie | 108 | ||
4.2.6 Verschlüsselungsverfahren | 114 | ||
4.3 Symmetrische Verschlüsselungsverfahren | 117 | ||
4.4 Der Data Encryption Standard (DES) | 119 | ||
4.4.1 Ein Überblick über DES | 121 | ||
4.4.2 Die DES-Schlüsseltransformation | 121 | ||
4.4.3 Die DES-Funktion | 122 | ||
4.4.4 Die DES-Entschlüsselung | 124 | ||
4.4.5 Die Kryptoanalyse von DES | 124 | ||
4.5 Triple-DES | 124 | ||
4.5.1 Die Kryptoanalyse von Triple-DES | 126 | ||
4.6 Cipher Block Chaining (CBC) | 127 | ||
4.6.1 Die Funktionsweise von CBC | 128 | ||
4.7 Neu: Advanced Encryption Standard (AES) | 128 | ||
4.8 Rijndael | 130 | ||
4.8.1 Die Mathematik hinter Rijndael | 131 | ||
4.8.2 Der Rijndael-Algorithmus | 134 | ||
4.8.3 Entschlüsselung | 140 | ||
4.8.4 Die Kryptoanalyse von Rijndael | 140 | ||
4.9 RC4 | 142 | ||
4.9.1 Geschichtliches | 143 | ||
4.9.2 Der RC4-Algorithmus | 143 | ||
4.9.3 Die Kryptoanalyse von RC4 | 146 | ||
4.10 Asymmetrische Verschlüsselungsverfahren | 147 | ||
4.10.1 Die kurze Geschichte der Public-Key-Kryptografie | 147 | ||
4.10.2 Das Grundprinzip der Public-Key-Kryptografie | 149 | ||
4.10.3 Mathematische Grundlagen | 150 | ||
4.11 Das Diffie-Hellman-Verfahren | 154 | ||
4.11.1 Die Kryptoanalyse des Diffie-Hellman-Verfahrens | 155 | ||
4.12 Das RSA-Verfahren | 156 | ||
4.12.1 Die Kryptoanalyse von RSA | 157 | ||
4.13 Elliptic Curve Cryptography (ECC) | 159 | ||
4.13.1 Mathematische Grundlagen | 159 | ||
4.13.2 ECDH (Elliptic Curve Diffie-Hellman) | 161 | ||
4.13.3 Die Kryptoanalyse von ECC | 162 | ||
4.14 Zufallszahlen | 162 | ||
4.15 Hash-Funktionen | 164 | ||
4.15.1 Hash-Algorithmen | 165 | ||
4.15.2 Die Kryptoanalyse von MD5 und SHA1 | 167 | ||
5 IP Security (IPSec) | 170 | ||
5.1 IP Security im Überblick | 170 | ||
5.1.1 Paketintegrität | 170 | ||
5.1.2 Paketauthentifizierung | 171 | ||
5.1.3 Paketvertraulichkeit | 171 | ||
5.1.4 Verkehrsflussvertraulichkeit | 171 | ||
5.1.5 Schutz vor wiederholtem Senden von Paketen (Replay-Angriff) | 171 | ||
5.1.6 Schutz vor weiteren Denial-of-Service-Angriffen | 172 | ||
5.2 Kryptografische Verfahren in IPSec | 172 | ||
5.2.1 Datenverschlüsselung | 172 | ||
5.2.2 Integritätsprüfung und Authentifizierung | 174 | ||
5.2.3 Schutz vor Replay-Angriffen | 175 | ||
5.3 Die IPSec-Standards | 177 | ||
5.3.1 Die IPSec-Architektur | 177 | ||
5.3.2 Die aktuelle IPSec-Standardisierung | 178 | ||
5.4 Die IPSec Security Association | 178 | ||
5.5 Die IPSec Security Policy | 181 | ||
5.5.1 Die Security Policy in IPSec | 181 | ||
5.5.2 Die IPSec-Selektoren | 181 | ||
5.6 Die IPSec-Betriebsmodi | 182 | ||
5.6.1 Tunnel-Modus | 182 | ||
5.6.2 Transport-Modus | 182 | ||
5.7 IPSec-Einsatzszenarien | 183 | ||
5.7.1 Gateway-zu-Gateway | 183 | ||
5.7.2 Host-zu-Gateway | 184 | ||
5.7.3 Host-zu-Host | 184 | ||
5.8 Die IPSec-Protokolle | 184 | ||
5.8.1 Die Paketverarbeitung in IPSec | 184 | ||
5.8.2 Authentication Header (AH) | 185 | ||
5.8.3 Encapsulating Security Payload (ESP) | 188 | ||
5.9 IPSec-Implementierung | 192 | ||
5.9.1 Betriebssystemebene, IPSec-Stack | 192 | ||
5.9.2 Bump-in-the-Stack (BITS) | 192 | ||
5.10 Betrachtungen zur IPSec Performance | 193 | ||
5.11 Zukünftige Entwicklungen | 195 | ||
6 Das IKE-Protokoll | 196 | ||
6.1 Das Henne-Ei-Problem | 196 | ||
6.2 ISAKMP | 197 | ||
6.2.1 Die Sicherheit von ISAKMP | 198 | ||
6.2.2 Der ISAKMP-Header | 203 | ||
6.2.3 Der ISAKMP-Nutzdaten-Header | 205 | ||
6.3 ISAKMP-Nutzdaten | 205 | ||
6.3.1 Security Associatiation Payload | 205 | ||
6.3.2 Proposal Payload | 206 | ||
6.3.3 Transform Payload | 207 | ||
6.3.4 Key Exchange Payload | 207 | ||
6.3.5 Identification Payload | 207 | ||
6.3.6 Certificate Payload | 208 | ||
6.3.7 Certificate Request Payload | 209 | ||
6.3.8 Hash, Signature und Nonce Payload | 209 | ||
6.3.9 Notification Payload | 210 | ||
6.3.10 Delete Payload | 211 | ||
6.3.11 Vendor ID Payload | 212 | ||
6.4 Die ISAKMP-Austauschvorgänge | 212 | ||
6.4.1 Phase 1 | 213 | ||
6.4.2 Phase 2 | 213 | ||
6.4.3 Die Austauschvorgänge | 213 | ||
6.4.4 Das Oakley Key Determination Protocol | 214 | ||
6.5 Der Aufbau von IKE | 217 | ||
6.5.1 Perfect Forwarding Secrecy | 217 | ||
6.5.2 Die Attribute einer IPSec Security Association | 218 | ||
6.5.3 Die Attribute einer IKE Security Association | 219 | ||
6.5.4 IKE-Sicherheitsverfahren | 222 | ||
6.5.5 Die Schlüsselerzeugung in IKE | 222 | ||
6.5.6 Authentifizierung in IKE | 225 | ||
6.6 Der IKE-Mainmode | 226 | ||
6.6.1 Authentifizierung mit Pre-Shared Key | 227 | ||
6.6.2 Authentifizierung mit digitaler Signatur | 230 | ||
6.6.3 Authentifizierung mit Public-Key-Verschlüsselung (RSA) | 231 | ||
6.6.4 Authentifizierung mit revidierter Public-Key- Verschlüsselung (RSA) | 233 | ||
6.7 Der IKE Aggressive Mode | 234 | ||
6.7.1 Authentifizierung mit Pre-Shared Secret | 236 | ||
6.7.2 Authentifizierung mit digitaler Signatur | 237 | ||
6.7.3 Authentifizierung mit standardisierter und revidierter Public-Key-Verschlüsselung (RSA) | 237 | ||
6.8 Der IKE Quick Mode | 238 | ||
6.9 Die Performance von IKE | 240 | ||
6.9.1 IKE und Hardware-Beschleuniger | 241 | ||
6.10 NAT mit IKE und IPSec | 243 | ||
6.10.1 NAT und IPsec | 243 | ||
6.10.2 Automatische Erkennung von NAT-Routern | 244 | ||
6.10.3 UDP Encapsulation von IPSec-ESP | 248 | ||
6.11 IKE Dead Peer Detection (DPD) | 251 | ||
6.11.1 DPD nach RFC3706 | 251 | ||
6.11.2 Andere DPD-Verfahren | 252 | ||
6.12 Die Sicherheit von IKE | 253 | ||
7 SSL-PN | 258 | ||
7.1 Geschichtliches | 258 | ||
7.2 Secure Socket Layer (SSL) | 259 | ||
7.2.1 Transport Layer Security (TLS) | 261 | ||
7.2.2 Kryptografie in SSL | 262 | ||
7.2.3 Die Schlüsselerzeugung in SSL | 263 | ||
7.2.4 Verschlüsselungsalgorithmen | 267 | ||
7.2.5 Integritätssicherung und Recordauthentifizierung | 268 | ||
7.2.6 Schutz vor Replay-Angriffen | 269 | ||
7.2.7 Fazit | 269 | ||
7.3 SSL-Funktionsblöcke | 270 | ||
7.3.1 SSL Handshake Protocol | 271 | ||
7.3.2 SSL Change Cipher Spec Protocol | 277 | ||
7.3.3 SSL Alert Protocol | 277 | ||
7.3.4 SSL Record Protocol | 278 | ||
7.4 Betrachtungen zur Performance von SSL | 283 | ||
7.5 SSL-VPN | 284 | ||
7.5.1 Das SSL-VPN-Gateway | 289 | ||
7.6 Die Sicherheit von SSL | 290 | ||
7.6.1 Angriffe auf SSL-Anwendungen und -Implementierungen | 290 | ||
7.6.2 Protokollimmanente Angriffspunkte | 291 | ||
7.6.3 Fazit | 294 | ||
8 L2TP/IPSec-Transport | 296 | ||
8.1 Das Point-to-Point Protocol (PPP) | 296 | ||
8.1.1 Remote Access mit PPP | 297 | ||
8.1.2 Die Komponenten von PPP | 297 | ||
8.1.3 PPP-Steuerprotokolle und -Dienste | 299 | ||
8.1.4 Der PPP-Verbindungsaufbau | 303 | ||
8.2 L2TP | 304 | ||
8.2.1 Virtueller Remote Access mit L2TP | 305 | ||
8.2.2 Der LAC (L2TP Access Concentrator) | 306 | ||
8.2.3 Der LNS (L2TP Network Server) | 306 | ||
8.2.4 Die L2TP-Tunneling Modelle | 306 | ||
8.2.5 L2TP-Paketformate | 307 | ||
8.2.6 L2TP Attribute Value Pairs (AVP) | 309 | ||
8.2.7 Auf- und Abbau von Tunneln und Calls in L2TP | 311 | ||
8.2.8 Die Sicherheit von L2TP | 312 | ||
8.3 L2TP-over-IPSec | 313 | ||
8.3.1 Die Performance von L2TP/IPSec | 315 | ||
8.3.2 Die Erzeugung von L2TP/IPSec-Paketen | 315 | ||
9 Quality of Service in VPN | 318 | ||
9.1 Quality of Service (QoS) | 318 | ||
9.2 Qualitätskriterien | 321 | ||
9.2.1 Verfügbarkeit | 321 | ||
9.2.2 Verzögerung | 323 | ||
9.2.3 Verzögerungsvarianz (Jitter) | 325 | ||
9.2.4 Fehlerrate, Bitfehlerrate | 326 | ||
9.2.5 Bandbreite | 326 | ||
9.3 QoS-Technologien | 327 | ||
9.3.1 TCP-Flusssteuerung | 327 | ||
9.3.2 Weighted Fair Queueing (WFQ) | 329 | ||
9.3.3 Random Early Discard (RED), Weighted Random Early Discard (WRED) | 333 | ||
9.3.4 Strict Priority Queueing | 334 | ||
9.3.5 Fazit | 334 | ||
9.4 Flussbasierende Dienstgüte | 334 | ||
9.5 Klassenbasierende Dienstgüte, DiffServ | 336 | ||
9.5.1 Die DiffServ-Architektur | 336 | ||
9.5.2 Die DiffServ-Service-Klassen | 338 | ||
9.5.3 Der DiffServ-Edge-Router | 338 | ||
9.5.4 Der DiffServ-PHB-Router | 339 | ||
9.5.5 Die Implementierung von DiffServ | 340 | ||
9.6 QoS in VPN | 343 | ||
9.7 QoS in IPSec VPN | 347 | ||
9.7.1 DiffServ | 347 | ||
9.7.2 Einflüsse von IPSec auf die Dienstgüte | 348 | ||
9.8 QoS in SSL VPN | 349 | ||
9.8.1 DiffServ | 349 | ||
9.8.2 Einflüsse von SSL auf die Dienstgüte | 350 | ||
9.9 Qos in L2TP und L2TP/IPSec VPN | 351 | ||
9.9.1 DiffServ | 351 | ||
9.9.2 Einfluss von L2TP/IPSec auf die Dienstgüte | 352 | ||
10 Access-Technologien | 354 | ||
10.1 Mobile Technologien | 354 | ||
10.1.1 GPRS | 354 | ||
10.1.2 UMTS | 357 | ||
10.1.3 WLAN | 361 | ||
10.1.4 Satellitenverbindungen | 361 | ||
10.2 Ortsgebundene Technologien | 363 | ||
10.2.1 ADSL | 363 | ||
10.2.2 SDSL | 366 | ||
10.2.3 Breitbandkabel | 367 | ||
10.2.4 Digitale Standardfestverbindungen | 368 | ||
10.2.5 HSSI | 371 | ||
10.3 Wählverbindungen | 371 | ||
10.3.1 Analoge Verbindungen | 371 | ||
10.3.2 ISDN | 372 | ||
11 Design und Realisierung | 374 | ||
11.1 Ein VPN ist auch nur Netzwerk | 374 | ||
11.2 Die Ist-Aufnahme | 375 | ||
11.2.1 Technische Aspekte | 376 | ||
11.2.2 Betriebswirtschaftliche Aspekte | 378 | ||
11.2.3 Sicherheit | 379 | ||
11.3 Der Sollzustand | 379 | ||
11.3.1 Randbedingungen | 380 | ||
11.3.2 Technische Aspekte | 381 | ||
11.3.3 Betriebswirtschaftliche Aspekte | 382 | ||
11.4 Die Übergangsphase | 383 | ||
11.5 Die Umsetzung der Security Policy | 384 | ||
11.6 Remote Access VPN | 386 | ||
11.6.1 VPN-Router für Remote Access | 386 | ||
11.6.2 VPN-Clients | 392 | ||
11.6.3 VPN-Router spezifische Clients | 392 | ||
11.6.4 Universelle VPN-Clients | 396 | ||
11.7 VPN zur Standortanbindung | 397 | ||
11.7.1 VPN-Router für kleine und Heimbüros | 397 | ||
11.7.2 VPN-Router zur Standortverbindung | 398 | ||
11.8 Beispiele | 405 | ||
11.8.1 Remote Access in kleineren Netzen | 405 | ||
11.8.2 Remote Access in großen Netzen | 412 | ||
11.8.3 Anbindung von kleinen Büros | 417 | ||
11.8.4 Standortverbindungen | 419 | ||
A Anhang | 430 | ||
A.1 Literatur | 430 | ||
A.1.1 Access- und Netzwerktechnologie | 430 | ||
A.1.2 VPN-Technologie | 430 | ||
A.1.3 Sicherheitstechnologie | 430 | ||
A.1.4 Netzwerkdesign und Quality of Service | 431 | ||
A.2 Links | 432 | ||
Stichwortverzeichnis | 434 | ||
A | 434 | ||
B | 434 | ||
C | 434 | ||
D | 434 | ||
E | 435 | ||
F | 435 | ||
G | 436 | ||
H | 436 | ||
I | 436 | ||
K | 437 | ||
L | 438 | ||
M | 438 | ||
N | 438 | ||
O | 439 | ||
P | 439 | ||
Q | 439 | ||
R | 440 | ||
S | 440 | ||
T | 441 | ||
U | 441 | ||
V | 441 | ||
W | 442 | ||
X | 442 | ||
Z | 442 | ||
Mehr eBooks bei www.ciando.com | 0 |