Transcript VPN: Virtual Private Network

VPN:
Virtual Private Network
Präsentiert von
Abouchdak und Ben Guirat
DEFINITION
Was ist eigentlich ein
Virtual Private Network
(VPN)?
Definition:
Was ist eigentlich ein VPN?
Laut dem deutschen Duden:
 Virtual - dem Wesen nach geltend,
möglich, scheinbar
 Private - nicht öffentlich, persönlich,
vertraulich
 Network - Datenkommunikationssystem
für Übermittlung und Übertragung von
Signalen
Definition:
Was ist eigentlich ein VPN?
Übliche Bezeichnung:

Virtual – Virtuelles

Private – Privates

Network - Netz
Definition:
Was ist eigentlich ein VPN?


Der Begriff VPN ist in der Fachpresse
weit verbreitet.
Es existiert eine Vielzahl von
unterschiedlichen Definitionen.
Definition:
Was ist eigentlich ein VPN?
Mögliche Definition:
Ein Virtual Private Network ist ein Netzwerk,
das aus mindestens zwei Teilnetzwerken
(bzw. Teilnehmern) besteht, die über
öffentliche Leitungen (z.B. dem Internet)
miteinander verbunden sind und bei dem die
Vertraulichkeit, Integrität und Authentizität
der Daten bei der Datenkommunikation
gewährleistet werden soll.
VPN Anforderungen
Welche Anforderungen
werden an das VPN
gestellt?
VPN Anforderungen:
Durch Einsatz bestimmter VPN-Technologien
sollen folgende Anforderungen erfüllt werden:
 Sicherheit
 Performance
 Migrationsfähigkeit und Skalierbarkeit
 Integration in existierende Netze
 Verfügbarkeit
VPN Anforderungen:
Sicherheit
Zentrale Bedeutung hat Sicherheit
 weil: Kommunikation durch öffentlicher
Netwerke bedeutet die Möglichkeit für den
Angreifer, den Datenstrom abzuhören und
sogar zu verändern
 deshalb: Einsatz der Mechanismen die den
Datentransport sicher machen
VPN Anforderungen:
Performance
Einsatz aufwendiger
Verschlüsselungsmechanismen bei
breitbandiger Strecken in Echtzeit zur
Gewährleistung der Sicherheit kann
problematisch sein und stellt hohe
Anforderungen an die Hardware
VPN Anforderungen:
Migrationsfähigkeit und Skalierbarkeit
Einsatz der offenen Standards zur Meidung
der Bindung an einen einzigen Hersteller
 freie Produktwahl für eventuelle
Erweiterungen des VPNs

VPN-Lösung und deren einzelner
Komponenten sollen zu späteren Zeitpunkten
erweiterbar sein (Updates, usw.)

VPN Anforderungen:
Integration in existierende Netze
VPN-Lösung muss sich in die vorhandene
Netzwerk-Infrastruktur integrieren lassen

Einfache Eingliederung in das
Sicherheitskonzept des vorhandenen
Netzwerkes um somit die Authentifizierung und
Verschlüsselung zu gewährleisten

VPN Anforderungen:
Verfügbarkeit
Um keine Nachteile im Datenverkehr zu
erlangen, sollte die Verfügbarkeit eines VPNs
mit der einer herkömmlichen und zu
ersetzenden WAN-Infrastruktur gleichgesetzt
werden können.
Sicherheitsproblematik
Welche Bedrohungen gibt es?
Welche Sicherheit garantiert
VPN?
Sicherheitsproblematik:
Bedrohungen
Abhören von Daten
Datengewinnung durch das Belauschen des
Netzwerks (sniffen)
 Der Angreifer kann so unverschlüsselte
Daten im Klartext lesen und somit Passwörter
oder Dokumente herausfiltern und
rekonstruieren.
 physikalischer Zugang zum Netzwerk
notwendig (WLAN, Hub….).
Sicherheitsproblematik:
Bedrohungen
Datenmanipulation
Angreifer ist gewillt, Daten des
Netzwerkverkehrs zu löschen, zu verändern
oder falsche Informationen in den Verkehr
einzuspielen.
Sicherheitsproblematik:
Bedrohungen
Datenmanipulation
Einige dieser Bedrohungen für
Datenmanipulation sind:
 IP-Spoofing
 Man-in-the-Middle-Angriff
 Session Hijacking
 Missbrauch des Source-Routing
 Missbrauch der Routing-Protokolle
Sicherheitsproblematik:
Bedrohungen
Verhindern von Diensten
 auch als "Denial of Service" ( DoS )
bezeichnet.
 Störung und das Verhindern des
Informationsflusses im ausgewählten System.
(mittels Überlastung des Systems oder über
Abtrennung einzelner Netzwerkkomponenten).
 Systeme können übernommen oder sogar
zum Absturz gebracht werden.
Sicherheitsproblematik:
VPN-Sicherheit
Funktionen
 Datenvertraulichkeit
 Datenintegrität
 Schlüsselmanagement
 Paket-Authentifizierung
 Benutzer-Authentifizierung
 Benutzer-Authorisierung
Sicherheitsproblematik:
VPN-Sicherheit
Funktionen > Datenvertraulichkeit
 Unbefugten wird der Zugang zu den
versendeten Daten verwehrt wird
 Einsatz der Verschlüsselung der zu
sendenden Datenpakete (Verfahren wie: DES
oder 3DES)
Sicherheitsproblematik:
VPN-Sicherheit
Funktionen > Datenintegrität
 Sichergestellung, dass keine Veränderungen
der Daten auf deren Transportwegen erfolgen
 Die Datenintegrität und die PaketAuthentifizierung werden oftmals mittels ein
und dem selben Verfahren realisiert.
Sicherheitsproblematik:
VPN-Sicherheit
Funktionen > Schlüsselmanagement
 Prüfung und rechtzeitige Erneuerung der
Schlüssel
 Die Schlüssel für die Datenverschlüsselung
müssen oft erzeugt werden
Sicherheitsproblematik:
VPN-Sicherheit
Funktionen > Paket-Authentifizierung
 Jedes einzeln eintreffende Datenpaket muss
authentifiziert werden zur Sicherstellung, dass:
ankommendes Datenpaket unverfälscht vom
authentischen Absender übersendet wurde
Einsatz spezielle symmetrische
Verschlüsselungsverfahren, so genannte
Keyed-Hash-Algorithmen (MD5 SHA…)
Sicherheitsproblematik:
VPN-Sicherheit
Funktionen > Benutzerauthentifizierung
 Identitätsfeststellung mittels Authentifizierung
der Kommunikationspartner.
 Einsatz von Kern-Mechanismen in VPNs:
- Authentifizierung (Authentication)
- Verschlüsselung (Encryption)
Sicherheitsproblematik:
VPN-Sicherheit
Authentifizierung
 Paketauthentifizierung
IPSec ( durch AH und ESP )
Email-Verschlüsselungsverfahren mittels
Einweg-Hash-Funktionen ( MD5, SHA,... )
 User-Authentifizierung
Passwort-Verfahren wie PAP und CHAP
Sicherheitsproblematik:
VPN-Sicherheit
Verschlüsselung
Wegen ihrer hohen Geschwindigkeit werden in
der Praxis für die Verschlüsselungen
symmetrische Verschlüsselungsverfahren
eingesetzt, z.B.:
 IPSec (kommt ESP zum Einsatz, realisiert
durch ( DES, 3DES, IDEA, Cast, Blowfish )
 Das PPTP ( Layer-2 ) definiert durch MPPE
VPN Typen
Welche VPN Typen gibt es?
VPN Typen
Vier Kategorien:
Remote - Access VPN
 Intranet VPN
 Branch-Office VPN
 Extranet VPN

VPN Typen:
Kategorien
Remote - Access VPN
 auch als End-to-Site oder Host-to-Network
bezeichnet
 Bei dieser Topologie wird gewährleistet, dass
sich Mitarbeiter, die zuhause arbeiten ( HomeOffice ) oder als Außendienstmitarbeiter tätig
sind, über einen Internet Service Provider (ISP)
in das Firmennetzwerk einwählen können.
Somit hat der Remote-Access User von seinem
lokalen System Zugriff auf das Netzwerk.
VPN Typen:
Kategorien
Intranet VPN
 Einsatz des VPN auch in einem lokalen
"öffentlichen" Netz Intranet
 Vermeidung der Betriebsspionage
Schutz hochempfindlicher Daten und ganzer
Teilnetze vor unautorisiertem Zugriff (VLAN).
VPN Typen:
Kategorien
Branch-Office VPN
 auch als Network-to-Network oder
Site-to-Site bezeichnet
 Verbindung zwei Intranets (firmenintern, d.h.
Anbindung einzelner Firmenstandorte.)
 Zur Kostenreduzierung werden die einzelnen
Teilnetze eines Unternehmens mittels VPNGateways über das Internet verbunden.
VPN Typen:
Kategorien
Extranet VPN
 ähnelt der Branch-Office VPN
 Der Unterschied liegt im Teilnehmerumfeld:
externe Teilnehmer ( Teilnetze ) sind
Bestandteile dieser Topologie.
 Gewährung ausgewählten
Geschäftspartnern, Zulieferern oder Kunden
Zugriffs auf bestimmte Bereiche des
unternehmensinternen Netzwerkes.
VPN - Technologie
Welche Technologie kommt
zum Einsatz?
VPN Technologie
Tunneling
 Sicherheits-Protokolle

VPN Technologie:
Tunneling
Ist ein Konzept, mit dem Beliebige Datenpakete
über ein ( unsicheres ) Transitnetz im
Huckepackverfahren sicher weitergeleitet
werden können.
VPN Technologie:
Tunneling
Ist ein Konzept, mit dem Beliebige Datenpakete
über ein ( unsicheres ) Transitnetz im
Huckepackverfahren sicher weitergeleitet
werden können.
Modelle:
 Provider-Enterprise-Modell
 Ende-zu-Ende-Modell
VPN Technologie:
Tunneling
Modelle > Provider-Enterprise-Modell
 sowohl die Service Provider als auch
Endkunden in das Tunneling sind involviert
 Das primäre Einsatzgebiet sind RemoteAccess-VPNs aber auch in Branch-OfficeVPNs.
VPN Technologie:
Tunneling
Modelle > Ende-zu-Ende-Modell
 Der Tunnel wird hier ausschließlich vom
Kunden aufgebaut
 Der Remote-Access-Client wählt sich in
POPs der Service Provider ein und eine
spezielle VPN-Clientsoftware im Endgerät des
Kunden baut dann den Tunnel zum
gewünschten VPN-Gateway im
Firmennetzwerk auf.
VPN Technologie:
Sicherheits-Protokolle
Übersicht
 Sicherheitsansprüche an zu übersendende
Daten immer weiter angewachsen.
 Da das TCP/IP-Protokoll keine Sicherheit im
internetbezogenen Datenverkehr bietet, wurde
das OSI Referenzmodell um weitere
Sicherheitsprotokolle erweitert.
VPN Technologie:
Sicherheits-Protokolle
Typen:
 Layer 2 Technik
 Layer 3 Technik
 IPSec
 Internet Key Exchange (IKE)
VPN in der Praxis
Welche VPN-Lösungen
werden angeboten?
VPN in der Praxis
Für die Implementierung der VPN stehen
verschiedene Varianten zur Verfügung:
Hardware Based VPN
 Router Based VPN
 Software Based VPN
 Firewall Based VPN

VPN in der Praxis
Varianten
Hardware Based VPN
 hohe Bandbreiten
 Komponenten: Router mit ganz speziell für
die Verschlüsselung optimierten Prozessoren
und Hardware
 Anwendungsbereich der Hardwarelösung
liegt eher im Network-to-Network Bereich
VPN in der Praxis
Varianten
Router Based VPN
 Router sind in vielen Unternehmen die
Schnittstelle zum Internet.
 Viele Hersteller von Routern haben deshalb
meist schon VPN-Funktionen in das
Betriebssystem implementiert.
 Die Software und das Betriebssystem
Routers sind vom selben Hersteller.
VPN in der Praxis
Varianten
Software Based VPN
 Diese Lösungen arbeiten zusätzlich zu
anderen Diensten auf dafür bereitgestellten
Servern
 Softwarelösung als Unterstützung für die
gängigen Standards
 Die Sicherheit und Qualität einer solchen
Software hängt oft vom darunter liegenden
Betriebssystem ab.
VPN in der Praxis
Varianten
Firewall Based VPN
 Viele Unternehmen leiten ihren gesamten
externen Datenverkehr zu einer Firewall, mit
der diese VPN-Lösung demzufolge arbeitet.
 Die Konfiguration erfolgt mittels dem
Management der Firewall ( weitere VPNFunktionen installiert ).
 Die bestehende Netzwerkstruktur bleibt in der
Regel unverändert.
VPN – Fazit und Ausblick
Wie sieht die Zukunft von VPN
aus?
VPN – Fazit und Ausblick
im Laufe der letzten Jahre die Anzahl von
VPNs hat sich enorm erhöht.
Die Gründe:
o Unternehmen arbeiten global mit vielen
Außendienstmitarbeitern/Tochterfirmen/Liefera
nten zusammen
o Sicherheit der Datenkommunikation.
o Kosteneffektivität

VPN – Fazit und Ausblick
Die Zukunft von Virtual Private Networks
sieht sehr gut aus.
 Wirtschafts-Institute prognostizieren für VPNs
große Wachstumsraten in der Zukunft

VPN – Fazit und Ausblick
Firmen und VPN
Future of VPN: Companies with
VPN
Vielen Dank für Ihre
Aufmerksamkeit!