Virtuelle Private Netzwerke

Inhaltsverzeichnis

Abkürzungsverzeichnis

Abbildungsverzeichnis

1 Einleitung

2 Anforderungen an ein VPN
2.1 Sicherheit
2.1.1 Grundlagen der Kryptographie
2.1.1.1 Datenvertraulichkeit
2.1.1.2 Kryptoanalyse
2.1.1.3 Verschlüsselungsverfahren
2.1.2 Tunneling
2.1.2.1 GRE
2.1.2.2 PPP
2.1.2.3 PPTP
2.1.2.4 L2F
2.1.2.5 L2TP
2.1.2.6 IPSec
2.2 Verfügbarkeit
2.3 Erweiterbarkeit

3 Betriebsdatenübermittlung per VPN
3.1 Rahmenbedingungen für VPN
3.1.1 Hardwarevoraussetzung
3.1.2 Softwarevoraussetzung
3.2 Konfiguration der AVM Fritz!Box WLAN 7270
3.2.1 Firmware Update
3.2.2 Konfiguration LAN/WLAN
3.2.3 Einstellungen VPN
3.2.4 Dynamic Domain Name System
3.3 Einstellungen Client Seite
3.4 Einstellungen Server Seite
3.5 Verbindungsaufbau
3.6 Datenübermittlung

4 Bewertung
4.1 Verfügbarkeit
4.2 Sicherheit
4.3 Erweiterbarkeit
4.4 Kosten
4.5 Geschwindigkeit

5 Fazit

A Literaturverzeichnis

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

Abbildungsverzeichnis

1 Symmetrische Verschlüsselung

2 Asymmetrische Verschlüsselung

3 Prinzip Tunneling

4 Expertenansicht aktivieren

5 Aktualisierung Firmware auf Version 54.04.57

6 IP Adressbereich einstellen

7 Ü bersicht Port-Freigaben

8 Port-Freigabe für VPN

9 Protokoll Freigabe PPTP

10 Ü bersicht aller Freigaben

11 Dynamic Domain Name System einrichten

12 Neue Verbindung erstellen

13 Start Verbindungsassistent

14 Eigenschaften VPN Verbindung

15 Benutzer hinzufügen

16 Neuen Benutzer hinzufügen

17 Eingehende Verbindung

18 Verbindung erfolgreich hergestellt

19 Eigenschaften VPN Verbindung

20 Eingehende Verbindung Server Seite

21 Freigabe eines Verzeichnisses

22 Fernzugriff auf Betriebsdaten

1 Einleitung

In der heutigen Zeit ist eine zunehmende internationale Verflechtung der Märkte zu verzeichnen, wodurch nationale Grenzen nahezu völlig verschwinden und Interakti- on nicht ausschließlich nationale Märkte betreffen.

Durch diese Globalisierung der Märkte ist es notwendig, Außendienstmitarbeitern oder dauerhaft mobilen Mitarbeitern, grenzüberschreitend eine Arbeitsplattform zu bieten, die es ihnen jederzeit, unabhängig vom derzeitigen Aufenthaltsort, ei- ne Kommunikation wie im eigenen Büro ermöglicht.¹ Es muss ihnen ermöglicht werden, jederzeit flexibel an verschiedenen Standorten der Welt gemeinsam auf Daten, Informationen oder Applikationen des Unternehmens zuzugreifen, um ih- re Geschäftstätigkeit effizient ausführen zu können.²

Ü ber die Kommunikation und den reinen Informationsbedarf hinaus lassen sich eben- so Geschäftsprozesse mit modernen, integrierten Systemen effektiv und kostengüns- tig abwickeln. Dabei sorgen flexible Netzwerksysteme dafür, dass der Zugriff auf die Unternehmensressourcen jederzeit möglich ist. Fest verdrahtete Lösungen waren bis- her wenig flexibel und sehr wartungsintensiv, was, ebenso wie der eigentliche Auf- und Ausbau eines solchen Netzwerkes, sehr kostenintensiv ist.³ Daher wird heute meist das gut ausgebaute öffentliche Netz (Internet) als Transportweg genutzt, um so eine vorhandene, gut ausgebaute Infrastruktur zur Kommunikation zu nutzen.⁴ Eine mögliche Lösung, eine solche Kommunikation zu gewährleisten, ist das in dieser Arbeit erläuterte auf dem Internet Protokoll basierende virtuelle private Netzwerk (IP VPN). Im begrenzten Rahmen der Studienarbeit ist es nicht möglich, auf alle verfügbaren Technologien der einzelnen VPN Varianten einzugehen, die eine Ver- bindung zu einem Firmennetzwerk oder einem Fernzugang herstellen.

Vielmehr gibt die Arbeit einen Ü berblick über die generelle Anforderung an einem VPN, sowie eine kundenspezifische Lösung zur Ü bermittlung von Betriebsdaten über ein VPN, welches über einen Fernzugang für einen Benutzer mittels einer AVM Fritz!Box vom Typ WLAN7270 mit PPTP realisiert wird.

2 Anforderungen an ein VPN

Private Netzwerke nutzen eigens gemietete Leitungen, die nur für ihre Kommunika- tion zur Verfügung stehen. Bei virtuellen privaten Netzen wird immer häufiger diese exklusive Leitung durch das öffentliche Netz, dem Internet, ersetzt.⁵ Dies hat, im Gegensatz zur exklusiven Leitung, den Nachteil, dass nun nicht mehr nur die eigene netzinterne Kommunikation über diese Leitung stattfindet. Daraus folgt, dass hohe Anforderungen an die Sicherheit von virtuellen privaten Netzwerken bestehen.

2.1 Sicherheit

Ziel eines virtuellen privaten Netzwerkes ist ein Datenaustausch zwischen Rechnern, also die Daten oder Applikationen über den lokalen Standort des Netzwerkes hinaus zur Verfügung zu stellen. Ü berall dort, wo eine Kommunikation über das Internet stattfinden kann, besteht die Möglichkeit, dass sensible, vertrauliche Daten übermit- telt werden. Dieser Umstand macht deutlich, dass das Thema Sicherheit bei einem VPN einen zentralen Aspekt darstellt.

2.1.1 Grundlagen der Kryptographie

Kryptographie setzt sich aus den beiden griechischen Wörtern krypt´os“ (verborgen) ” und gr´aphikos“ (schreiben) zusammen und ist die Wissenschaft der Geheimhaltung ” von Daten durch Verschleierung oder Verschlüsselung der Informationen.⁶

2.1.1.1 Datenvertraulichkeit

Die Kryptographie wird genutzt, um Daten zwischen Sender und Empfänger zu schützen, um so einen bestimmten Grad an Vertraulichkeit der Informationen zu gewährleisten. Die Daten werden derart verändert, dass ein unbefugter Zugriff auf diese Daten für einen Dritten keinen Nutzen hat, weil die Art und der Inhalt der Informationen nicht im Klartext vorliegen. Mit steigender Rechnergeschwindigkeit nimmt die Lebensdauer der in verschlüsselter Form vorliegenden Daten stetig ab.

Mit steigenden MIPS (Millionen Instruktionen Pro Sekunde) steigt auch das Risiko, dass verschlüsselte Daten dekodiert werden können.⁷

2.1.1.2 Kryptoanalyse

Die Kryptoanalyse ist die Kunst, verschlüsselte Daten wieder lesbar zu machen⁸, wo- bei sich dies nicht auf das Erzeugen des Klartextes einer verschlüsselten Nachricht bezieht, sondern auf das Auffinden des zur Verschlüsselung verwendeten Schlüssels. Alle heutigen Chiffrierverfahren basieren auf geheimgehaltene Schlüssel zum Ver- und Entschlüsseln, womit der Schlüssel das Hauptangriffsziel für potentielle Angrei- fer ist.

2.1.1.3 Verschlüsselungsverfahren

Grundsätzlich gibt es zwei verschiedene Arten von Verschlüsselungsverfahren, einer- seits die symmetrische und andererseits die asymmetrische Verschlüsselung.⁹

2.1.1.3.1 Symmetrische Verschlüsselung

Kennzeichen einer symmetrischen Verschlüsselung ist die Verwendung dersel- ben geheimzuhaltenden Schlüssel (Secret Key) zur Ver- und Entschlüsselung.¹⁰ Sender und Empfänger verein- baren vor dem eigentlichen Da- tenaustausch einen gemeinsa- men Schlüssel, mit dem die Nachricht zuerst vom Sender kodiert und anschließend vom Empfänger wieder dekodiertwird. Die Sicherheit dieses Verfahrens hängt ausschließlich von der Länge und Ver- traulichkeit des Schlüssels ab.

Abbildung in dieser Leseprobe nicht enthalten

Quelle: In Anlehnung an Lipp (2006), Seite 113[11].

Abbildung 1:Symmetrische Verschlüsselung

2.1.1.3.2 Asymmetrische Verschlüsselung

Das asymmetrische Verschlüsselungsverfahren verwendet zwei unterschiedliche Schlüssel zum Kodieren und Dekodieren der Informationen. Das Verschlüsseln der Daten erfolgt durch den bekannten, öffentlichen Schlüssel (Public Key), der dem Sender und dem Empfänger bekannt ist. Zum Dekodieren wird ein privater Schlüssel (Private Key) verwendet, der nur dem Empfänger bekannt ist. Öffentlicher und privater Schlüssel sind ein fest zueinan- der gehörendes Schlüsselpaar. Die beiden Schlüssel werden mit einem nicht reversiblen ma- thematischen Verfahren vonein- ander abgeleitet. Eine mit einem öffentlichen Schlüssel kodierte Nachricht oder Infor- mation kann ohne den zugehörigen privaten Schlüssel nicht mehr entschlüsselt wer- den. Asymmetrische Verschlüsselungsverfahren sind wesentlich langsamer als sym- metrische Verschlüsselungsverfahren, weshalb sie nur selten zum Verschlüsseln von Nutzdaten verwendet werden. In der Praxis wird das asymmetrische Verschlüsse- lungsverfahren dazu verwendet, einen sicheren Schlüssel für die symmetrische Ver- schlüsselung zu generieren.¹¹

Abbildung in dieser Leseprobe nicht enthalten

Quelle: In Anlehnung an Lipp (2006), Seite 115[11].

Abbildung 2:Asymmetrische Verschlüsselung

2.1.2 Tunneling

Einer der kostengünstigsten Möglichkeiten Daten zu transportieren, ist das Inter- net mit seinen vorhandenen, gut ausgebauten Infrastruktur als Transportmedium zu nutzen. Dieses öffentliche Netzwerk basiert ausschließlich auf der Protokollfa- milie TCP/IP. Da nicht alle Unternehmen TCP/IP Protokolle verwenden, ist es notwendig, die Übertragung unterschiedlicher Protokolle und Anwendungen über ein Trägerprotokoll zu ermöglichen.¹² Diese Anforderung ist das Grundprinzip des Tunnelings. Anwendungsdatenpakete eines Netzwerkprotokolls werden in das Trans- portprotokoll verpackt (Encapsulation).¹³ Neben dem Verpacken“ verschiedener ” Protokolle ist die Verschlüsselung der Daten ein weiterer Vorteil des Tunnelings. Ohne Tunneling könnte der komplette Datenverkehr über dem öffentlichen Netz mit- ” gehört“ werden. Die ver- schlüsselte Verbindung ist wie ein Tunnel durch das Internet, der von außen durch Unbefugte nicht einfach durchdringbar ist. Sicheres Tunneling wird meist erst durch eine Kombination der einzelnen Protokolle erreicht. Im Folgenden werden die gängigsten, für ein VPN notwendigen Protokolle erläutert.

Abbildung in dieser Leseprobe nicht enthalten

Quelle: In Anlehnung an Schreiner (2006), Seite 127[15].

Abbildung 3:Prinzip Tunneling

2.1.2.1 GRE

Das Generic Routing Encapsulation Protokoll (GRE) ist ein von der Firma Cisco Systems entwickeltes Netzwerkprotokoll. Seit der Veröffentlichung 1994 dient dieses Netzwerkprotokoll als Vorbild für viele andere namhafte, moderne Protokolle. Kern- funktion dieses Protokolls ist es, andere Netzwerkprotokolle zu kapseln und in Form eines Tunnels über das Internet Protokoll zu übertragen.¹⁴

2.1.2.2 PPP

Mit dem Point to Point Protocol (PPP) ist es möglich, verschiedene Netzwerkpro- tokolle, wie zum Beispiel IP, IPX oder Appletalk, über eine Punkt zu Punkt Verbin- dung zu übertragen.¹⁵ Damit eröffnet sich erstmalig die Möglichkeit, eine Verbindung zwischen Produkten verschiedener Hersteller, wie beispielsweise Novell (IPX) und Apple (Appletalk) herzustellen.¹⁶ PPP kapselt die Pakete verschiedener Protokolle in einem PPP-Paket und überträgt diese in einer seriellen Punkt zu Punkt Verbin- dung. Hierfür wird eine synchrone oder asynchrone Vollduplexleitung benötigt. PPP wird oftmals für den Internet Zugang über eine Wählleitung eingesetzt. Zur Authen- tifizierung werden das Password Authentication Protocol (PAP) und das Challen- ge Handshake Authentication Protocol (CHAP) unterstützt.¹⁷ PAP ist ein einfa- ches Authentifizierungsprotokoll, welches entweder nach dem Ein- oder Zwei-Wege Handshake Verfahren die Benutzerkennung verifiziert. In beiden Verfahren werden Kennwort und Benutzername im Klartext übermittelt. Beim Zwei-Wege Handshake wird nach dem Verbindungsaufbau eine Verifizierung der Benutzerkennung durch- geführt. Das Ein-Wege Handshake Verfahren versendet vor dem Verbindungsaufbau Benutzername und Passwort. Wird die Benutzerkennung als gültig erkannt, wird eine Verbindung aufgebaut, ansonsten bricht der Server die Verbindung ab.¹⁸ Beim CHAP wird auf das Versenden eines Passwortes im engeren Sinne verzichtet. Das Verfahren authentifiziert einen Benutzer, indem mehrfach Frage / Antwort Sequen- zen vom Authentifizierungsserver ausgelöst werden, die sich aus einer Zufallszahl und einem Benutzerpasswort berechnen. Eine erfolgreiche Authentifizierung kann nur erfolgen, indem im Vorhinein anderweitig auf beiden Seiten identische, valide Benutzerkennungen mit den dazugehörigen Passwörtern eingetragen werden.¹⁹

2.1.2.3 PPTP

Das Point to Point Tunneling Protocol (PPTP) stellt eine Erweiterung des Point to Point Protokoll (PPP) dar und ist in einer Zusammenarbeit mehrerer namhaf- ter Firmen, unter anderem Microsoft und 3Com, entwickelt worden.²⁰ Es ist bereits seit Windows95 fester Bestandteil der Betriebssysteme von Microsoft. Um PPTP zu realisieren, ist das Point to Point Protocoll mit einem Generic Routing Encap- sulation (GRE) Header gekapselt und mit einem zusätzlichen Tunnel IP Header versehen worden. Damit ermöglicht PPTP technologisch einfache Fernzugriffe auf Netzwerke verschiedener Hersteller. Häufig wird PPTP für den Internetzugang im Endanwenderbereich eingesetzt.²¹ Unter Verwendung des PPTP kann ausschließlich eine Verbindung gleichzeitig aufgebaut werden.

2.1.2.4 L2F

Das Layer 2 Forwarding Verfahren von Cisco Systems ist zur gleichen Zeit wie das PPTP entwickelt worden und stellt einen offiziell anerkannten Standard der Internet Engineering Task Force (IETF) dar. L2F ermöglicht den Aufbau eines VPN über das Internet, indem es die Verbindung zwischen dem entfernten Arbeitsplatzrechner und dem unternehmensinternen Lokal Area Network (LAN) tunnelt“. Dabei ist das ”

Protokoll nicht nur an das Internet Protokoll gebunden, sondern unterstützt noch weitere Protokolle wie beispielsweise Frame Relay.²² Zur Client Authentifizierung wird das Point to Point Protokoll verwendet. Ein großer Vorteil des L2F ist die Unterstützung mehrerer gleichzeitiger Verbindungen.

2.1.2.5 L2TP

Layer 2 Transport Protocol (L2TP) ist ein Industriestandard²³ und wird häufig in der Bürokommunikation eingesetzt, da seit Windows2000 dieses Protokoll in allen Windows Betriebssystemen integriert ist. Das Protokoll ist eine Mischform der bei- den Vorgänger L2F und PPTP. Es vereint die Vorteile jedes einzelnen Protokolls in einem neuen leistungsfähigeren Protokoll. L2TP hat keine eigenen Sicherheitsme- chanismen, sondern ist ein reines Tunnelprotokoll, welches aber zusätzlich Verfahren wie IPSec (siehe Kapitel 2.1.2.6 IPsec) zur Verbindungsabsicherung oder PPP un- terstützte Verfahren zur Authentifizierung nutzen kann.²⁴

[...]

---

¹ Vgl. Höreth (2001), Seite 1[8].

² Vgl. Buckbesch & Köhler, Seite 5 f[4].

³ Vgl. Comer (2003), passim[5].

⁴ Vgl. ebd., passim[5].

⁵ Vgl. Kono (2007), passim[9].

⁶ Vgl. Plötner & Wendzel (2007), Seite 537[14].

⁷ Vgl. Scott et al. (1999), Seite 30[16].

⁸ Vgl. Böhmer (2005), Seite 89[3].

⁹ Vgl. Plötner & Wendzel (2007), Seite 544 ff[14].

¹⁰ Vgl. Lipp (2006), Seite 113 [11].

¹¹ Vgl. Lipp (2001), Seite 112[10].

¹² Vgl. Schreiner (2006), Seite 126[15].

¹³ Vgl. Buckbesch & Köhler (2001), Seite 21 f[4].

¹⁴ Vgl. Böhmer (2005), Seite 207 f[3].

¹⁵ Vgl. Stein (2001), Seite 340 f[18].

¹⁶ Vgl. Lipp (2006), Seite 295 f[11].

¹⁷ Vgl. Böhmer (2005), Seite 164[3].

¹⁸ Vgl. Träger & Volk, Seite 304[19].

¹⁹ Vgl. Lipp (2006), Seite 299[11].

²⁰ Vgl. Böhmer (2005), Seite 211[3].

²¹ Vgl. ebd., Seite 212[3].

²² Vgl. Böhmer (2005), Seite 210[3].

²³ Vgl. Lipp (2006), Seite 217[11].

²⁴ Vgl. Buckbesch & Köhler (2001), Seite 37[4].