INHALTSVERZEICHNIS I

  Inhaltsverzeichnis  

  Abk urzungsverzeichnis  III

  Abbildungsverzeichnis  IV

1  Einleitung  1

2  Anforderungen an ein VPN  2

2.1  Sicherheit  2

2.1.1  Grundlagen der Kryptographie  2

2.1.1.1  Datenvertraulichkeit  2

2.1.1.2  Kryptoanalyse  3

2.1.1.3  Verschl usselungsverfahren  3

2.1.2  Tunneling  4

2.1.2.1  GRE  5

2.1.2.2  PPP  5

2.1.2.3  PPTP  6

2.1.2.4  L2 F  6

2.1.2.5  L2 TP  7

2.1.2.6  IPSec  7

2.2  Verf ugbarkeit  8

2.3  Erweiterbarkeit  9

INHALTSVERZEICHNIS II

3  Betriebsdaten ubermittlung per VPN  9

3.1  Rahmenbedingungen f ur VPN  9

3.1.1  Hardwarevoraussetzung  9

3.1.2  Softwarevoraussetzung  10

3.2  Konfiguration der AVM Fritz Box WLAN 7270  11

3.2.1  Firmware Update  12

3.2.2  Konfiguration LAN/WLAN  13

3.2.3  Einstellungen VPN  14

3.2.4  Dynamic Domain Name System  16

3.3  Einstellungen Client Seite  17

3.4  Einstellungen Server Seite  19

3.5  Verbindungsaufbau  21

3.6  Daten ubermittlung  23

4  Bewertung  25

4.1  Verf ugbarkeit  25

4.2  Sicherheit  25

4.3  Erweiterbarkeit  25

4.4  Kosten  26

4.5  Geschwindigkeit  26

5  Fazit  27

  A Literaturverzeichnis  i

ABK ¨ URZUNGSVERZEICHNIS III

Abk¨ urzungsverzeichnis

BIT Binary Digit CHAP Challenge Handshake Authentication Protocol DES Data Enccryption Standard DHCP Dynamic Host Configuration Protocol DynDns Dynamic Domain Name System GRE Generic Routing Encapsulation HMAC Hash-based Message Authentication Code IETF Internet Engineering Task Force IKE Internet Key Exchange IP Internet Protocol IPSec Internet Security Protocol IPv4 Internet Protocol Version 4 IPv6 Internet Protocol Version 6 IPX Internetwork Packet Exchange LAN Lokal Area Network L2F Layer 2 Forwarding L2TP Layer 2 Tunneling Protocol MIPS Millionen Instruktionen pro Sekunde PAP Password Authentication Protocol PC Personal Computer PPP Point to Point Protocol PPTP Point to Point Tunneling Protocol SLA Service Level Agreement

TCP/IP Transmission Control Protocol/Internet Protocol VPN Virtuelles Private Netzwerk WAN Wide Area Network WLAN Wireless Local Area Network WPA Wifi Protected Access

ABBILDUNGSVERZEICHNIS IV

Abbildungsverzeichnis

1 Symmetrische Verschl¨ usselung . . . . . . . . . . . . . . . . . . . . . . 3 2 Asymmetrische Verschl¨ usselung . . . . . . . . . . . . . . . . . . . . . 4 3 Prinzip Tunneling . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 4 Expertenansicht aktivieren . . . . . . . . . . . . . . . . . . . . . . . . 11 5 Aktualisierung Firmware auf Version 54.04.57 . . . . . . . . . . . . . 12 6 IP Adressbereich einstellen . . . . . . . . . . . . . . . . . . . . . . . . 13 ¨ 7 Ubersicht Port-Freigaben . . . . . . . . . . . . . . . . . . . . . . . . . 15 8 Port-Freigabe f¨ ur VPN . . . . . . . . . . . . . . . . . . . . . . . . . . 15 9 Protokoll Freigabe PPTP . . . . . . . . . . . . . . . . . . . . . . . . . 15 10 ¨ Ubersicht aller Freigaben . . . . . . . . . . . . . . . . . . . . . . . . . 16 11 Dynamic Domain Name System einrichten . . . . . . . . . . . . . . . 17 12 Neue Verbindung erstellen . . . . . . . . . . . . . . . . . . . . . . . . 18 13 Start Verbindungsassistent . . . . . . . . . . . . . . . . . . . . . . . . 18 14 Eigenschaften VPN Verbindung . . . . . . . . . . . . . . . . . . . . . 19 15 Benutzer hinzuf¨ ugen . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 16 Neuen Benutzer hinzuf¨ ugen . . . . . . . . . . . . . . . . . . . . . . . 20 17 Eingehende Verbindung . . . . . . . . . . . . . . . . . . . . . . . . . 21 18 Verbindung erfolgreich hergestellt . . . . . . . . . . . . . . . . . . . . 21 19 Eigenschaften VPN Verbindung . . . . . . . . . . . . . . . . . . . . . 21 20 Eingehende Verbindung Server Seite . . . . . . . . . . . . . . . . . . . 22 21 Freigabe eines Verzeichnisses . . . . . . . . . . . . . . . . . . . . . . . 23 22 Fernzugriff auf Betriebsdaten . . . . . . . . . . . . . . . . . . . . . . 23

1 EINLEITUNG 1

1 Einleitung

In der heutigen Zeit ist eine zunehmende internationale Verflechtung der M¨ arkte zu verzeichnen, wodurch nationale Grenzen nahezu v¨ ollig verschwinden und Interaktion nicht ausschließlich nationale M¨ arkte betreffen.

Durch diese Globalisierung der M¨ arkte ist es notwendig, Außendienstmitarbeitern oder dauerhaft mobilen Mitarbeitern, grenz¨ uberschreitend eine Arbeitsplattform zu bieten, die es ihnen jederzeit, unabh¨ angig vom derzeitigen Aufenthaltsort, eine Kommunikation wie im eigenen B¨ uro erm¨ oglicht. ¹ Es muss ihnen erm¨ oglicht werden, jederzeit flexibel an verschiedenen Standorten der Welt gemeinsam auf Daten, Informationen oder Applikationen des Unternehmens zuzugreifen, um ihre Gesch¨ aftst¨ atigkeit effizient ausf¨ uhren zu k¨ onnen. ² ¨ Uber die Kommunikation und den reinen Informationsbedarf hinaus lassen sich ebenso Gesch¨ aftsprozesse mit modernen, integrierten Systemen effektiv und kosteng¨ unstig abwickeln. Dabei sorgen flexible Netzwerksysteme daf¨ ur, dass der Zugriff auf die Unternehmensressourcen jederzeit m¨ oglich ist. Fest verdrahtete L¨ osungen waren bisher wenig flexibel und sehr wartungsintensiv, was, ebenso wie der eigentliche Auf-und Ausbau eines solchen Netzwerkes, sehr kostenintensiv ist. ³ Daher wird heute meist das gut ausgebaute ¨ offentliche Netz (Internet) als Transportweg genutzt, um so eine vorhandene, gut ausgebaute Infrastruktur zur Kommunikation zu nutzen. ⁴ Eine m¨ ogliche L¨ osung, eine solche Kommunikation zu gew¨ ahrleisten, ist das in dieser Arbeit erl¨ auterte auf dem Internet Protokoll basierende virtuelle private Netzwerk (IP VPN). Im begrenzten Rahmen der Studienarbeit ist es nicht m¨ oglich, auf alle verf¨ ugbaren Technologien der einzelnen VPN Varianten einzugehen, die eine Verbindung zu einem Firmennetzwerk oder einem Fernzugang herstellen. Vielmehr gibt die Arbeit einen ¨ Uberblick ¨ uber die generelle Anforderung an einem VPN, sowie eine kundenspezifische L¨ osung zur ¨ Ubermittlung von Betriebsdaten ¨ uber ein VPN, welches ¨ uber einen Fernzugang f¨ ur einen Benutzer mittels einer AVM Fritz!Box vom Typ WLAN7270 mit PPTP realisiert wird.

¹ Vgl. H¨ oreth (2001), Seite 1[8].

² Vgl. Buckbesch & K¨ ohler, Seite 5 f[4].

³ Vgl. Comer (2003), passim[5].

⁴ Vgl. ebd., passim[5].

2 ANFORDERUNGEN AN EIN VPN 2

2 Anforderungen an ein VPN

Private Netzwerke nutzen eigens gemietete Leitungen, die nur f¨ ur ihre Kommunikation zur Verf¨ ugung stehen. Bei virtuellen privaten Netzen wird immer h¨ aufiger diese exklusive Leitung durch das ¨ offentliche Netz, dem Internet, ersetzt. ⁵ Dies hat, im Gegensatz zur exklusiven Leitung, den Nachteil, dass nun nicht mehr nur die eigene netzinterne Kommunikation ¨ uber diese Leitung stattfindet. Daraus folgt, dass hohe Anforderungen an die Sicherheit von virtuellen privaten Netzwerken bestehen.

2.1 Sicherheit

Ziel eines virtuellen privaten Netzwerkes ist ein Datenaustausch zwischen Rechnern, also die Daten oder Applikationen ¨ uber den lokalen Standort des Netzwerkes hinaus zur Verf¨ ugung zu stellen. ¨ Uberall dort, wo eine Kommunikation ¨ uber das Internet

stattfinden kann, besteht die M¨ oglichkeit, dass sensible, vertrauliche Daten ¨ ubermittelt werden. Dieser Umstand macht deutlich, dass das Thema Sicherheit bei einem VPN einen zentralen Aspekt darstellt.

2.1.1 Grundlagen der Kryptographie

Kryptographie setzt sich aus den beiden griechischen W¨ ortern ” krypt´ os“ (verborgen) und ” gr´ aphikos“ (schreiben) zusammen und ist die Wissenschaft der Geheimhaltung von Daten durch Verschleierung oder Verschl¨ usselung der Informationen. 6

2.1.1.1 Datenvertraulichkeit

Die Kryptographie wird genutzt, um Daten zwischen Sender und Empf¨ anger zu sch¨ utzen, um so einen bestimmten Grad an Vertraulichkeit der Informationen zu gew¨ ahrleisten. Die Daten werden derart ver¨ andert, dass ein unbefugter Zugriff auf diese Daten f¨ ur einen Dritten keinen Nutzen hat, weil die Art und der Inhalt der Informationen nicht im Klartext vorliegen. Mit steigender Rechnergeschwindigkeit nimmt die Lebensdauer der in verschl¨ usselter Form vorliegenden Daten stetig ab.

⁵ Vgl. Kono (2007), passim[9].

⁶ Vgl. Pl¨ otner & Wendzel (2007), Seite 537[14].

2 ANFORDERUNGEN AN EIN VPN 3

Mit steigenden MIPS (Millionen Instruktionen Pro Sekunde) steigt auch das Risiko, dass verschl¨ usselte Daten dekodiert werden k¨ onnen. 7

2.1.1.2 Kryptoanalyse

Die Kryptoanalyse ist die Kunst, verschl¨ usselte Daten wieder lesbar zu machen ⁸ , wobei sich dies nicht auf das Erzeugen des Klartextes einer verschl¨ usselten Nachricht bezieht, sondern auf das Auffinden des zur Verschl¨ usselung verwendeten Schl¨ ussels. Alle heutigen Chiffrierverfahren basieren auf geheimgehaltene Schl¨ ussel zum Ver-und Entschl¨ usseln, womit der Schl¨ ussel das Hauptangriffsziel f¨ ur potentielle Angreifer ist.

2.1.1.3 Verschl¨ usselungsverfahren

Grunds¨ atzlich gibt es zwei verschiedene Arten von Verschl¨ usselungsverfahren, einerseits die symmetrische und andererseits die asymmetrische Verschl¨ usselung. 9

2.1.1.3.1 Symmetrische Verschl¨ usselung

Kennzeichen einer symmetrischen Verschl¨ usselung ist die Verwendung derselben geheimzuhaltenden Schl¨ ussel (Secret Key) zur Ver- und Entschl¨ usselung. ¹⁰ Sender und Empf¨ anger verein-

baren vor dem eigentlichen Datenaustausch einen gemeinsamen Schl¨ ussel, mit dem die ^{Quelle: In Anlehnung an Lipp (2006), Seite 113[11].} Nachricht zuerst vom Sender kodiert und anschließend vom Abbildung 1: Symmetrische Verschl¨ usselung Empf¨ anger wieder dekodiert

wird. Die Sicherheit dieses Verfahrens h¨ angt ausschließlich von der L¨ ange und Vertraulichkeit des Schl¨ ussels ab.

⁷ Vgl. Scott et al. (1999), Seite 30[16].

⁸ Vgl. B¨ ohmer (2005), Seite 89[3].

⁹ Vgl. Pl¨ otner & Wendzel (2007), Seite 544 ff[14].

¹⁰ Vgl. Lipp (2006), Seite 113 [11].

2 ANFORDERUNGEN AN EIN VPN 4

2.1.1.3.2 Asymmetrische Verschl¨ usselung

Das asymmetrische Verschl¨ usselungsverfahren verwendet zwei unterschiedliche Schl¨ ussel zum Kodieren und Dekodieren der Informationen. Das Verschl¨ usseln der Daten erfolgt durch den bekannten, ¨ offentlichen Schl¨ ussel (Public Key), der dem Sender und dem Empf¨ anger bekannt ist. Zum Dekodieren wird ein privater Schl¨ ussel (Private Key) verwendet, der

nur dem Empf¨ anger bekannt ist. ¨ Offentlicher und privater Schl¨ ussel sind ein fest zueinander geh¨ orendes Schl¨ usselpaar. ^{Quelle: In Anlehnung an Lipp (2006), Seite 115[11].} Die beiden Schl¨ ussel werden Abbildung 2: Asymmetrische Verschl¨ usselung mit einem nicht reversiblen mathematischen Verfahren vonein-ander abgeleitet. Eine mit einem ¨ offentlichen Schl¨ ussel kodierte Nachricht oder Information kann ohne den zugeh¨ origen privaten Schl¨ ussel nicht mehr entschl¨ usselt werden. Asymmetrische Verschl¨ usselungsverfahren sind wesentlich langsamer als symmetrische Verschl¨ usselungsverfahren, weshalb sie nur selten zum Verschl¨ usseln von Nutzdaten verwendet werden. In der Praxis wird das asymmetrische Verschl¨ usselungsverfahren dazu verwendet, einen sicheren Schl¨ ussel f¨ ur die symmetrische Verschl¨ usselung zu generieren. 11

2.1.2 Tunneling

Einer der kosteng¨ unstigsten M¨ oglichkeiten Daten zu transportieren, ist das Internet mit seinen vorhandenen, gut ausgebauten Infrastruktur als Transportmedium zu nutzen. Dieses ¨ offentliche Netzwerk basiert ausschließlich auf der Protokollfamilie TCP/IP. Da nicht alle Unternehmen TCP/IP Protokolle verwenden, ist es notwendig, die ¨ Ubertragung unterschiedlicher Protokolle und Anwendungen ¨ uber

ein Tr¨ agerprotokoll zu erm¨ oglichen. ¹² Diese Anforderung ist das Grundprinzip des Tunnelings. Anwendungsdatenpakete eines Netzwerkprotokolls werden in das Trans-portprotokoll verpackt (Encapsulation). ¹³ Neben dem ” Verpacken“ verschiedener

Protokolle ist die Verschl¨ usselung der Daten ein weiterer Vorteil des Tunnelings.

¹¹ Vgl. Lipp (2001), Seite 112[10].

¹² Vgl. Schreiner (2006), Seite 126[15].

¹³ Vgl. Buckbesch & K¨ ohler (2001), Seite 21 f[4].