Home arrow VPN Lösungen 05.09.2010
PCHelp
Home
News
Links
Kontakt
Suche
Impressum
Partner
Netzwerke
Lösungen
Consulting
Betreuung
Installation
IT-Sicherheit
Firewall Lösungen
VPN Lösungen
Virenschutz
Datensicherung
Hardware
Personal Computer
Notebooks
Peripherie
Server Systeme
Software
Betriebssysteme
Anwendungen
Tools
Groupware
Service
Fernwartung
Web-Hosting
Leasing

PCHelp - Fernwartung
Bitte geben Sie Ihren Session Code ein:
 

VPN Lösungen
VPNs werden häufig dazu verwendet um externe Mitarbeiter, Filialen oder Geschäftspartner sicher an das Unternehmensnetz anzubinden.

Dabei baut der Computer des Mitarbeiters eine VPN-Verbindung zu dem ihm bekannten VPN-Gateway der Firma auf. Über diese Verbindung ist es dem Mitarbeiter nun möglich, so zu arbeiten, als ob er im lokalen Netz der Firma wäre (Remote-Access VPN). Dieses Verfahren wird auch verwendet, um WLANs und andere Funkstrecken zu sichern (End-to-Site VPN).

Sollen zwei lokale Netze verbunden werden, wird auf beiden Seiten ein VPN-Gateway verwendet. Diese bauen dann untereinander eine VPN-Verbindung auf. Andere Rechner in einem lokalen Netz verwenden nun den Gateway auf ihrer Seite, um Daten in das andere Netz zu senden. So lassen sich zum Beispiel zwei weit entfernte Standorte einer Firma verbinden (Site-to-Site VPN).
 PCH-Security


OpenVPN Drucken E-Mail
Geschrieben von Michael Beck   
05.11.2005
OpenVPN ist eine vielversprechende OpenSource Software VPN Lösung basierend auf SSL/TLS. OpenVPN verwendet das bewährte und als sicher eingestufte openssl zur Verschlüsselung und Authentisierung. Damit lassen sich höchste Sicherheitsanforderungen realisieren. OpenVPN benutzt standardmässig das robuste User Datagram Protocol (UDP) als Transportprotokoll. Der Protokoll-Overhead ist sehr gering, was sich günstig auf den Datendurchsatz auswirkt.

OpenVPN bietet eine Reihe von Authentisierungsfunktionen an. Der Anwender kann, je nach Anforderungen, zwischen shared secret, Zertifikat oder Authentisierungs-Plugin wählen. Kombinationen aller Methoden miteinander sind möglich. Shared Secret Authentisierung ist für kleine peer to peer VPN geeignet, bei denen es keine Rolle spielt, wenn mehrere Peers den gleichen Schlüssel verwenden. Eine wesentlich sicherere Methode zur Authentisierung stellen X.509 Client Zertifikate dar. Hier muss der Client ein gültiges Zertifikat vorweisen, um sich am VPN anzumelden. Die Gesamtsicherheit dieser Lösung wird aber vom Client Zertifikatsspeicher massgebend beeinflusst.


OpenVPN kann mit Plugins flexibel auf andere Authentisierungsformen erweitert werden. Beispielsweise kann zusätzlich ein Benutzername und ein Passwort an einem RADIUS oder LDAP Directory Server geprüft werden.

Die komplexen Verschlüsselungs- und Authentisierungsmethoden sind mit OpenVPN vergleichsweise einfach zu verwalten. Eine Konfigurationsdatei steuert alle wichtigen Einstellungen.


Neben dem Tunneling von IP Paketen beherrscht OpenVPN auch Ethernet Bridging. Layer 2 Protokolle (z.B. NetBUI, DHCP) und Broadcasts können so über das VPN transportiert werden. Applikationen, die von diesen Protokollen abhängig sind, können transparent über das VPN benutzt werden. 

 OpenVPN
Letzte Aktualisierung ( 13.10.2006 )
IPSec - IP Internet Security Drucken E-Mail
Geschrieben von Michael Beck   
05.11.2005
Entwickelt und verwaltet wird dieser VPN-Standard von der IETF- Internet Engineering Task Force. Mit IPSec steht ein allgemein verbindlicher, herstellerübergreifender Standard zur Verfügung, der den Datenaustausch zwischen unterschiedlichen Security Gateways im Rahmen einer VPN-Lösung regelt. Die zu verwendeten Protokolle im Rahmen des IPSec-Standards müssen folgende Aufgaben bewerkstelligen:
  • Authentifikation der Gesprächspartner
  • Integrität der Informationen
  • Verschlüsselung der Informationen
  • Massnahmen gegen Replay-Angriffe
  • Schlüssel Verwaltung

Um diese Forderungen zu erfüllen, verwendet man das AH- (Authentication Header), ESP- ( Encapsulating Security Payload) und das IKE (Internet Key Exchange) Protokoll.

Bevor diese Protokolle näher betrachtet werden, sollen die zwei Modi vorgestellt werden, welche IPSec benützt. Je nachdem, ob man intern im lokalen Netzwerk kommuniziert oder extern über ein öffentliches Netz, hat man die Wahl zwischen Transportmodus und Tunnelmodus.


Transportmodus

Dieser Modus wird mehrheitlich innerhalb eines sicheren internen Netzes verwendet. Aus diesem Grund ist der angewendete Sicherheitsgrad geringer als im Tunnelmodus. Das ursprüngliche Datenpaket wird nur in soweit verändert, wie es nötig ist, um die Protokolle AH und ESP anzuwenden. Das bedeutet, dass der ursprüngliche IP-Header erhalten bleibt und je nach dem, ob AH oder ESP angewendet wird, sind die Daten entweder nur authentisiert oder authentisiert und verschlüsselt.
Das positive dieses Modus ist das Sparen von Rechenzeit, weil die Datenpakete weniger Rechenintensiv bearbeitet werden müssen. Dies kann zum Beispiel für Echtzeit-Anwendungen, wie Telefonieren über das Internet, von Bedeutung sein.



Tunnelmodus

Dieser Modus wird für Verbindungen verwendet, welche über ein öffentliches Netz , wie das Internet geht. Der Tunnelmodus in Verbindung mit dem ESP ist dafür das geeignetste Mittel. Die ursprüngliche Anwendung von Tunneling ist ein lokales Netz, welches zum Beispiel die Protokolle NetBIOS (IBM) und IPX (Novell) verwendet, um über ein TCP/IP-Netz zu übertragen. Dies wird erreicht, indem das originale Datenpaket in einen IP-Datenpaket ‘eingepackt’ über das TCP/IP-Netz übertragen wird. Somit beinhaltet das neue Datenpaket das urspüngliche Datenpaket als seine Nutzdaten.
Mit dem Ziel einen grösseren Sicherheitsgrad zu erreichen, wird diese Technik in IPSec angewendet, denn durch das ‘Einpacken’ und zusätzlichem Verschlüsseln mittels ESP wird das gesamte ursprüngliche Datenpaket verhüllt. Somit bleibt im Tunnelmodus die Identität der Source- und Destination-Adresse im Verborgenen, oder anders gesagt, die Identität der Kommunikationspartner bleibt anonym. Das ist ein Vorteil gegenüber dem Transportmodus.
Bezogen auf unser Modell sieht es folgendermassen aus:

Ein weiteres Plus von Tunneling ist die Benützung von privaten IP-Adressen. In der Regel ist das lokale Netz mit privaten IP-Adressen aufgebaut. Wie man in der Skizze sieht, wird der IP-Header_ Client (Bsp. 10.0.1.2) in den Nutzdaten des neuen Datenpakets versteckt, welcher einen IP-Header_SG hat, der routingfähig und somit eine registrierte IP-Adresse (Bsp. 160.85.131.60) hat. Somit kann man also mit nicht routingfähigen Adressen, Datenpakete durch ein öffentliches TCP/IP-Netz senden.
Nachdem nun die zwei Modi erklärt worden sind, gehen wir nun auf die IPSec Protokolle AH, ESP und IKE näher ein.

IPSec 
Letzte Aktualisierung ( 06.11.2005 )
[ < ]

Advertisement