VPN

VPN – VIRTUAL PRIVATE NETWORK:

Verwendungszweck/ Anwendungsbereiche:

  • Verbindung von räumlich entfernten Standorten
  • Verschlüsselung und Absicherung von Kommunikation
  • Umgehung von lokalen oder regionalen Sperren im Internet

Das Virtual Private Network (VPN) ist ein geschlossenes, logisches Netz, das auf unterschiedlichen Schichten des OSI-Referenzmodells aufsetzt und für eine bestimmte Benutzergruppe etabliert wird. VPN-Netze setzen in der Regel auf den Schichten 2 (Sicherungsschicht) oder 3 (Vermittlungsschicht) des OSI-Referenzmodells auf und verwenden Tunneling-Mechanismen für den IP-Verkehr.

Ein VPN nutzt immer die öffentlich zugänglichen Übertragungsnetzwerke, bei denen die Verbindungen durch einen öffentlichen Carrier (engl: Überbringer) bereitgestellt werden. (VPN’s schalten sich als sogenannter „Man-in-the-middle“ in den Datenstrom)

Verbindungen:

Es gibt unterschiedliche Verbindungstypen beim Aufbau eines VPNs. Im Folgenden werden die wichtigsten Typen kurz erläutert.

2.2.1 End-to-End Dieser Verbindungstyp kann dazu benutzt werden, um z.B. von zu Hause eine verschlüsselte Remotedesktop-Verbindung zu einem anderen Rechner (Server) aufzubauen. Hierbei ist nur ein bestimmter Rechner im fremden Netz erreichbar. Typische Anwendung eines End-to-End-VPN ist Remote-Desktop über öffentliche Netze. Während RDP (Windows) und VNC sich wegen der fehlenden Verschlüsselung nur für den Einsatz in lokalen Netzwerken eignet, gibt es für Remote-Desktop-VPNs meist nur proprietäre (lat.: eigentümlich) und kommerzielle Lösungen. Zum Beispiel Teamviewer und GotoMyPC.

2.2.2 End-to-Site Typische Anwendung für diese Verbindung ist der externe Mitarbeiter, der von zu Hause aus auf das interne Netzwerk der Firma zugreifen will. Der externe Mitarbeiter soll so arbeiten, wie wenn er sich im Netzwerk des Unternehmens befindet. Man bezeichnet dieses VPN-Szenario auch als Remote Access. Hierbei muss ein VPN-Client auf dem Computer des externen Mitarbeiters installieren sein.
Im Vordergrund steht ein möglichst geringer, technischer und finanzieller Aufwand für einen sicheren Zugriff auf das entfernte Netzwerk.

2.2.3 Site-to-Site Hierbei werden zwei Netzwerke durch einen Tunnel miteinander verbunden. Die Rechner der einen Seite können auf die Rechner der anderen Seite zugreifen. Virtuelle private Netze (VPN) werden immer öfter über das Internet aufgebaut. Das Internet wird so zur Konkurrenz zu den klassischen WAN-Diensten der Netzbetreiber. VPNs lassen sich über das Internet billiger und flexibler betreiben.

Übung :

VPN- PROTOKOLLE:

NAME VERSCHLÜSSELUNG SICHERHEIT GESCHWINDIGKEIT
PPTP (Point – to – Point Tunneling Protocol) 128 Bit Einfache Verschlüsselung MS CHAPv2 und auch RSA RC4 gelten als unsicher; Port: 1723 TCP Wenig Rechenleistung daher schnell
L2TP und L2TP/IPsec (Layer 2 Tunneling Protocol) 256 Bit

Keine eigene Verschlüsselung daher in Internet Protocol Security integriert

Höchster Verschlüsselungsgrad. Überprüft die Integrität von Daten und kapselt die Daten zweimal ab. UDP Port 500 Port Forwarding! Hohe Rechenleistung etwas langsamer und nicht so effizient wie SSL basierte Lösungen (wie OpenVPN und SSTP)
OpenVPN 160 Bit

256 Bit

 Zertifikatbasierte Authentifizierung über TLS-Protokoll. Verwendet OpenSSL Bibliothek zur Verschlüsselung (AES, Blowfish, 3DES, CAST-128, Camelia und mehr) Geschwindigkeit hängt vom Grad der Verschlüsselung ab.
SSTP (Secure Socket Tunneling Protocol) SSL with AES
2048 Bit key certificate
256 Bit key for encryption
tunnelt den PPP oder L2TP Verkehr durch einen SSL-3.0-Kanal. selbstentwickelter Standard im Besitz von Microsoft, UDP Port 443 ermöglicht den Aufbau eines VPN-Tunnels über HTTPS kann von keiner Firewall gedrosselt oder geblockt werden. Benutzt TCP Protokolle langsamer als UDP basierende Systeme
IKEv2 (Internet Key Exchange V2) 128 Bit

168 Bit

256 Bit

Standard-Algorithmus ist die dreifache DES-Verschlüsselung mit einer nominellen Schlüssellänge von 168 Bit. Alternativ wird der Advanced Encryption Standard (AES) mit 128 Bit Schlüssellänge empfohlen. optional auf 256 Bit erhöhen Nutzt UDP schneller als PPTP, SSTP und L2TP,

In einer „Layer 2“ -VPN, werden die Frames (in der Regel Ethernet) zwischen Standorten transportiert. Das VPN verfügt über alle grundlegenden Eigenschaften eines Ethernet-Netzwerks wie MAC-Adressen zu lernen, die zu replizieren Broadcast- und Multicast-Frames usw. Allerdings gibt es möglicherweise Probleme, die Standard-L2-Erweiterungen mit sich tragen, einschließlich Fragen der Sicherheit und Instabilität.

In einer Schicht 3 VPN, ist jede Seite der Verbindung auf einem anderen Teilnetz, und IP-Pakete werden durch die VPN geroutet. Das Design ist möglicherweise besser skalierbar als ein L2 VPN und bietet mehr Sicherheit als eine einfache Layer 2-Implementierung.

Sicherheit

Durch die Verwendung von Passwörtern, öffentlichen Schlüsseln oder durch ein digitales Zertifikat kann die Authentifizierung der VPN-Endpunkte gewährleistet werden. Zusätzlich werden auch Hardware-basierte Systeme wie bei RSA SecurID angeboten.

  • Mobiltelefone oder Smartphones etc. mit Pin-Card nach 3GPP-Standards
  • USB-, NFC- und Bluetooth-Token nach dem offenen U2F-Standard
  • herkömmliche Chip-Karten nach ISO-Standards ISO/IEC 10536, ISO/IEC 14443 (proximity card), ISO/IEC 15693 (vicinity card), (Smart-Card)

Übung :

  1. Ordnen Sie die in Punkt 3. beschriebenen VPN-Protokolle der bzw. den jeweiligen OSI Schichten zu und trennen sie standardisierte (gilt als nicht sicher) von den nicht standardisierten.
  2. Nennen sie 2-3 weitere VPN Protokolle:

VPN Fehlersuche

Einstellungen und Parameter

Für einen erfolgreichen Tunnelaufbau müssen beide Partner dieselbe Sprache sprechen. Alle VPN-Parameter müssen übereinstimmen.

  • Prüfen Sie Hostnamen, IP-Adressen und IP-Netze
  • Stehen beide Seiten auf Aggressive Mode oder Main Mode
  • Identifikation mit PSK oder Zertifikat
  • Stimmt der Pre-shared Key (PSK)
  • Stimmen die Proposals (engl.: Angebote, Vorschläge) für Verschlüssung (DES, 3DES, AES) und Hash-Verfahren (MD5, SHA) für Phase 1 und Phase 2
  • Prüfen Sie die Diffie-Hellman-Group (DH-Group), die Hersteller nutzen teilweise andere Bezeichnungen: DH-Group 1 = MODP 768, DH-Group 2 = MODP 1024 und DH-Group 5 = MODP 1536
  • Ist Perfect Forward Secrecy (PFS) gleich konfiguriert
  • Dead Peer Detection (DPD) muss ggf. von beiden Seiten unterstützt werden

Namensauflösung / DynDNS

IP-Konnektivität – Ping, Traceroute

LOG Dateien von VPN Router sowie dem VPN Client.

VPN Passthrough oder IPsec Passthrough. – IPsec arbeitet mit der Protokollnummer 50 für ESP (nicht Portnummer) und nutzt den UDP-Port 500 für IKE bzw. ISAKMP. Mitunter müssen diese Optionen im Router aktiviert werden.

Lehrvideo:

hacking a VPN Connection

Analysieren Sie den Ablauf dieses Hacking Verfahrens. Interpretieren Sie die einzelnen Arbeitsschritte und schreiben sie eine Zusammenfassung . (ca. 50 Worte)

Buch: SICHERE IT-KOMMUNIKATION in UNSICHEREN NETZEN (2001) Author: Shubhangi Stark

https://books.google.at/books?id=NQ96AQAAQBAJ&printsec=frontcover&hl=de#v=onepage&q&f=false

Wiederholung/ Quiz:

VPN - Virtual Private Network

Virtuelle Private Netzwerke

Verbindungstypen

Protokolle

Security

 


http://www.itwissen.info/definition/lexikon/virtual-private-network-VPN-Virtuelles-privates-Netzwerk.html
Quellen:

https://anonymweb.de/vpn-protokoll-vergleich-pptp-vs-l2tp-vs-openvpn-vs-sstp-vs-ikev2/

http://www.highspeedvpn.net/PPTP-L2TP-SSTP-OpenVPN.aspx

https://hide.me/de/features/protocols

http://www.nwlab.net/know-how/VPN/

Learning management system for IT

error: Content is protected !!
Zur Werkzeugleiste springen