VPN - Virtuelle Private Netzwerke

VPN - Virtuelle Private Netzwerke *Aufbau und Sicherheit*......Page 3
1 Virtuelle Private Netze......Page 5
3 Tunneling......Page 6
4 Sicherheitstechnologie......Page 7
5 IP Security (IPSec)......Page 8
6 Das IKE-Protokoll......Page 9
SSL-PN......Page 10
9 Quality of Service in VPN......Page 11
11 Design und Realisierung......Page 12
Stichwortverzeichnis......Page 13
Aufbau......Page 15
Danksagung......Page 16
1.1 Was ist ein VPN?......Page 17
1.2.1 Übertragungstechnologie......Page 19
1.2.2 Datennetze......Page 23
1.2.3 Netzwerkapplikationen......Page 26
1.3.1 Veränderung der Geschäftsprozesse......Page 29
1.3.4 Mobilität und Flexibilität......Page 31
1.3.5 Kostenoptimierung......Page 32
1.3.6 Sicherheit......Page 33
1.4 Randbedingungen für den Einsatz......Page 34
1.5 Der VPN-Markt......Page 35
1.6 Internet-VPN......Page 37
1.7 VPN-Typen......Page 40
1.7.1 Remote Access VPN......Page 41
1.7.2 Branch Office VPN......Page 43
1.7.3 Extranet-VPN......Page 45
1.8.1 Eigenbetrieb......Page 46
1.8.3 VPN- und Access-Equipment-Outsourcing......Page 47
1.9 Intranet-VPN......Page 48
2.1.1 Datenvertraulichkeit......Page 49
2.1.3 Paketauthentifizierung......Page 50
2.1.5 Benutzerauthentifizierung......Page 51
2.1.7 Schutz vor Sabotage......Page 52
2.1.8 Schutz vor unerlaubtem Eindringen......Page 53
2.2.1 Die Verfügbarkeit von Wähl- und Festverbindungen......Page 54
2.2.2 Die Verfügbarkeit von Internet-VPN......Page 55
2.3.1 QoS in Sprachnetzen......Page 56
2.3.2 QoS im LAN......Page 57
2.3.3 QoS im WAN......Page 58
2.3.4 QoS in IP......Page 63
2.3.5 QoS im VPN......Page 64
2.5 Integration in existierende Netze......Page 65
2.5.1 Management......Page 66
2.5.2 Sicherheit......Page 69
2.6 Koexistenz zu traditionellen WAN......Page 71
2.7 Adressmanagement......Page 72
2.8 Interoperabilität......Page 73
3 Tunneling......Page 75
3.1.2 Das Provider-Enterprise-Modell......Page 76
3.1.3 Das Ende-zu-Ende-Modell......Page 77
3.2.1 Layer-2-Protokolle......Page 78
3.2.2 Layer 2 Tunneling Protocol (L2TP)......Page 79
3.2.4 IP Security (IPSec) im Tunnel-Modus......Page 81
3.2.5 Multi Protocol Label Switching (MPLS)......Page 82
3.3 Nichtstandardisierte Tunneling-Protokolle......Page 86
3.3.2 Point-to-Point Tunneling Protocol......Page 87
3.4 Verschachtelte Tunneling-Protokolle......Page 88
3.5 Welches Protokoll für welchen Zweck?......Page 90
3.6 Auswahlkriterien......Page 91
4.1.1 Sicherheit in Unternehmensdatennetzen......Page 93
4.1.2 Sicherheitsverfahren in VPN......Page 96
4.1.3 Sicherheit in der Netzwerkschicht mit IP-Security......Page 98
4.1.4 Sicherheit auf der Transportschicht mit Transport Layer Security (TLS) und Secure Socket La.........Page 100
4.2.1 Geschichtliches......Page 101
4.2.3 Verschleierung und Verschlüsselung......Page 103
4.2.4 Die Kunst der Kryptoanalyse......Page 105
4.2.5 Einführung in die Kryprografie......Page 107
4.2.6 Verschlüsselungsverfahren......Page 113
4.3 Symmetrische Verschlüsselungsverfahren......Page 116
4.4 Der Data Encryption Standard (DES)......Page 118
4.4.2 Die DES-Schlüsseltransformation......Page 120
4.4.3 Die DES-Funktion......Page 121
4.5 Triple-DES......Page 123
4.5.1 Die Kryptoanalyse von Triple-DES......Page 125
4.6 Cipher Block Chaining (CBC)......Page 126
4.7 Neu: Advanced Encryption Standard (AES)......Page 127
4.8 Rijndael......Page 129
4.8.1 Die Mathematik hinter Rijndael......Page 130
4.8.2 Der Rijndael-Algorithmus......Page 133
4.8.4 Die Kryptoanalyse von Rijndael......Page 139
4.9 RC4......Page 141
4.9.2 Der RC4-Algorithmus......Page 142
4.9.3 Die Kryptoanalyse von RC4......Page 145
4.10.1 Die kurze Geschichte der Public-Key-Kryptografie......Page 146
4.10.2 Das Grundprinzip der Public-Key-Kryptografie......Page 148
4.10.3 Mathematische Grundlagen......Page 149
4.11 Das Diffie-Hellman-Verfahren......Page 153
4.11.1 Die Kryptoanalyse des Diffie-Hellman-Verfahrens......Page 154
4.12 Das RSA-Verfahren......Page 155
4.12.1 Die Kryptoanalyse von RSA......Page 156
4.13.1 Mathematische Grundlagen......Page 158
4.13.2 ECDH (Elliptic Curve Diffie-Hellman)......Page 160
4.14 Zufallszahlen......Page 161
4.15 Hash-Funktionen......Page 163
4.15.1 Hash-Algorithmen......Page 164
4.15.2 Die Kryptoanalyse von MD5 und SHA1......Page 166
5.1.1 Paketintegrität......Page 169
5.1.5 Schutz vor wiederholtem Senden von Paketen (Replay-Angriff)......Page 170
5.2.1 Datenverschlüsselung......Page 171
5.2.2 Integritätsprüfung und Authentifizierung......Page 173
5.2.3 Schutz vor Replay-Angriffen......Page 174
5.3.1 Die IPSec-Architektur......Page 176
5.4 Die IPSec Security Association......Page 177
5.5.2 Die IPSec-Selektoren......Page 180
5.6.2 Transport-Modus......Page 181
5.7.1 Gateway-zu-Gateway......Page 182
5.8.1 Die Paketverarbeitung in IPSec......Page 183
5.8.2 Authentication Header (AH)......Page 184
5.8.3 Encapsulating Security Payload (ESP)......Page 187
5.9.2 Bump-in-the-Stack (BITS)......Page 191
5.10 Betrachtungen zur IPSec Performance......Page 192
5.11 Zukünftige Entwicklungen......Page 194
6.1 Das Henne-Ei-Problem......Page 195
6.2 ISAKMP......Page 196
6.2.1 Die Sicherheit von ISAKMP......Page 197
6.2.2 Der ISAKMP-Header......Page 202
6.3.1 Security Associatiation Payload......Page 204
6.3.2 Proposal Payload......Page 205
6.3.5 Identification Payload......Page 206
6.3.6 Certificate Payload......Page 207
6.3.8 Hash, Signature und Nonce Payload......Page 208
6.3.9 Notification Payload......Page 209
6.3.10 Delete Payload......Page 210
6.4 Die ISAKMP-Austauschvorgänge......Page 211
6.4.3 Die Austauschvorgänge......Page 212
6.4.4 Das Oakley Key Determination Protocol......Page 213
6.5.1 Perfect Forwarding Secrecy......Page 216
6.5.2 Die Attribute einer IPSec Security Association......Page 217
6.5.3 Die Attribute einer IKE Security Association......Page 218
6.5.5 Die Schlüsselerzeugung in IKE......Page 221
6.5.6 Authentifizierung in IKE......Page 224
6.6 Der IKE-Mainmode......Page 225
6.6.1 Authentifizierung mit Pre-Shared Key......Page 226
6.6.2 Authentifizierung mit digitaler Signatur......Page 229
6.6.3 Authentifizierung mit Public-Key-Verschlüsselung (RSA)......Page 230
6.6.4 Authentifizierung mit revidierter Public-Key- Verschlüsselung (RSA)......Page 232
6.7 Der IKE Aggressive Mode......Page 233
6.7.1 Authentifizierung mit Pre-Shared Secret......Page 235
6.7.3 Authentifizierung mit standardisierter und revidierter Public-Key-Verschlüsselung (RSA)......Page 236
6.8 Der IKE Quick Mode......Page 237
6.9 Die Performance von IKE......Page 239
6.9.1 IKE und Hardware-Beschleuniger......Page 240
6.10.1 NAT und IPsec......Page 242
6.10.2 Automatische Erkennung von NAT-Routern......Page 243
6.10.3 UDP Encapsulation von IPSec-ESP......Page 247
6.11.1 DPD nach RFC3706......Page 250
6.11.2 Andere DPD-Verfahren......Page 251
6.12 Die Sicherheit von IKE......Page 252
7.1 Geschichtliches......Page 257
7.2 Secure Socket Layer (SSL)......Page 258
7.2.1 Transport Layer Security (TLS)......Page 260
7.2.2 Kryptografie in SSL......Page 261
7.2.3 Die Schlüsselerzeugung in SSL......Page 262
7.2.4 Verschlüsselungsalgorithmen......Page 266
7.2.5 Integritätssicherung und Recordauthentifizierung......Page 267
7.2.7 Fazit......Page 268
7.3 SSL-Funktionsblöcke......Page 269
7.3.1 SSL Handshake Protocol......Page 270
7.3.3 SSL Alert Protocol......Page 276
7.3.4 SSL Record Protocol......Page 277
7.4 Betrachtungen zur Performance von SSL......Page 282
7.5 SSL-VPN......Page 283
7.5.1 Das SSL-VPN-Gateway......Page 288
7.6.1 Angriffe auf SSL-Anwendungen und -Implementierungen......Page 289
7.6.2 Protokollimmanente Angriffspunkte......Page 290
7.6.3 Fazit......Page 293
8.1 Das Point-to-Point Protocol (PPP)......Page 295
8.1.2 Die Komponenten von PPP......Page 296
8.1.3 PPP-Steuerprotokolle und -Dienste......Page 298
8.1.4 Der PPP-Verbindungsaufbau......Page 302
8.2 L2TP......Page 303
8.2.1 Virtueller Remote Access mit L2TP......Page 304
8.2.4 Die L2TP-Tunneling Modelle......Page 305
8.2.5 L2TP-Paketformate......Page 306
8.2.6 L2TP Attribute Value Pairs (AVP)......Page 308
8.2.7 Auf- und Abbau von Tunneln und Calls in L2TP......Page 310
8.2.8 Die Sicherheit von L2TP......Page 311
8.3 L2TP-over-IPSec......Page 312
8.3.2 Die Erzeugung von L2TP/IPSec-Paketen......Page 314
9.1 Quality of Service (QoS)......Page 317
9.2.1 Verfügbarkeit......Page 320
9.2.2 Verzögerung......Page 322
9.2.3 Verzögerungsvarianz (Jitter)......Page 324
9.2.5 Bandbreite......Page 325
9.3.1 TCP-Flusssteuerung......Page 326
9.3.2 Weighted Fair Queueing (WFQ)......Page 328
9.3.3 Random Early Discard (RED), Weighted Random Early Discard (WRED)......Page 332
9.4 Flussbasierende Dienstgüte......Page 333
9.5.1 Die DiffServ-Architektur......Page 335
9.5.3 Der DiffServ-Edge-Router......Page 337
9.5.4 Der DiffServ-PHB-Router......Page 338
9.5.5 Die Implementierung von DiffServ......Page 339
9.6 QoS in VPN......Page 342
9.7.1 DiffServ......Page 346
9.7.2 Einflüsse von IPSec auf die Dienstgüte......Page 347
9.8.1 DiffServ......Page 348
9.8.2 Einflüsse von SSL auf die Dienstgüte......Page 349
9.9.1 DiffServ......Page 350
9.9.2 Einfluss von L2TP/IPSec auf die Dienstgüte......Page 351
10.1.1 GPRS......Page 353
10.1.2 UMTS......Page 356
10.1.4 Satellitenverbindungen......Page 360
10.2.1 ADSL......Page 362
10.2.2 SDSL......Page 365
10.2.3 Breitbandkabel......Page 366
10.2.4 Digitale Standardfestverbindungen......Page 367
10.3.1 Analoge Verbindungen......Page 370
10.3.2 ISDN......Page 371
11.1 Ein VPN ist auch nur Netzwerk......Page 373
11.2 Die Ist-Aufnahme......Page 374
11.2.1 Technische Aspekte......Page 375
11.2.2 Betriebswirtschaftliche Aspekte......Page 377
11.3 Der Sollzustand......Page 378
11.3.1 Randbedingungen......Page 379
11.3.2 Technische Aspekte......Page 380
11.3.3 Betriebswirtschaftliche Aspekte......Page 381
11.4 Die Übergangsphase......Page 382
11.5 Die Umsetzung der Security Policy......Page 383
11.6.1 VPN-Router für Remote Access......Page 385
11.6.3 VPN-Router spezifische Clients......Page 391
11.6.4 Universelle VPN-Clients......Page 395
11.7.1 VPN-Router für kleine und Heimbüros......Page 396
11.7.2 VPN-Router zur Standortverbindung......Page 397
11.8.1 Remote Access in kleineren Netzen......Page 404
11.8.2 Remote Access in großen Netzen......Page 411
11.8.3 Anbindung von kleinen Büros......Page 416
11.8.4 Standortverbindungen......Page 418
A.1.3 Sicherheitstechnologie......Page 429
A.1.4 Netzwerkdesign und Quality of Service......Page 430
A.2 Links......Page 431
D......Page 433
F......Page 434
I......Page 435
K......Page 436
N......Page 437
Q......Page 438
S......Page 439
V......Page 440
Z......Page 441
Ins Internet: Weitere Infos zum Buch, Downloads, etc.......Page 0
© Copyright......Page 442