Authentifizierungsverfahren als Sicherheitsaspekt für Virtuelle Private Netzwerke


Diplomarbeit, 2004
91 Seiten, Note: 1.2

Leseprobe

FACHRICHTUNG W I R T S C H A F T S I N F O R M A T I K
DIPLOMARBEIT
Autor: Dirk Umlauf
Kurs: WWI
01
G
Ausbildungsbetrieb:
Sparkassen Versicherung Baden Württemberg
Informatikdienste GmbH (SVI)
in Verbindung mit der
Gesellschaft für angewandte Versicherungs-
Informatik (GaVI)
Thema:
Authentifizierungsverfahren als
Sicherheitsaspekt für
Virtuelle Private Netzwerke

Diplomarbeit: Authentifizierungsverfahren als Sicherheitsaspekt für Virtuelle Private Netzwerke
Dirk Umlauf
WWI 01 G
Seite
II
Abstract
Bis vor einigen Jahren war die Kommunikation zwischen verteilten
Firmennetzwerken noch die Ausnahme, da es aufgrund teurer Standleitungen
oder hoher Telefongebühren durch Fern-Wählverbindungen für viele Firmen
finanziell nicht tragbar war. Durch die rasante Entwicklung automatisierter
Prozessabläufe kann ein Unternehmen in der heutigen Zeit allerdings nur durch
eine standortübergreifende Kommunikation wettbewerbsfähig bleiben, was somit
zum grundlegenden Gerüst der Wirtschaftlichkeit eines Unternehmens wird. Die
Anbindung von entfernten Zweigstellen oder mobilen Mitarbeitern an das zentrale
Hauptnetz wird durch die Nutzung öffentlicher Netzinfrastrukturen ermöglicht. Da
diese nicht exklusiv, sondern gemeinsam mit vielen unterschiedlichen
Verbindungen genutzt werden, befasst sich diese Arbeit mit dem sicheren Aufbau
von standortübergreifenden privaten (Firmen-)Netzwerken mittels sog. Virtual
Private Networks (VPN's). Die Spezialisierung dieser Arbeit liegt dabei auf der
Benutzerauthentifizierung.
Der erste Abschnitt befasst sich mit dem Begriff VPN und beschreibt
anschließend die Funktionsweise dieser Lösung, bevor im nächsten Teil auf die
Technologien Frame Relay, ATM, ISDN und Internet eingegangen wird, auf Basis
derer ein VPN implementiert werden kann.
Der folgende Punkt sensibilisiert den Leser mit der Sicherheitsproblematik, die
eine Verwendung öffentlicher Netze mit sich bringt. Hier werden die Konzepte
angesprochen, welche bei der Implementierung eines VPN zum Einsatz
kommen, um den Anforderungen der Datenauthentizität, -integrität,
-vertraulichkeit sowie Verfügbarkeit und Geschwindigkeit der Datenübermittlung
gerecht zu werden. Dabei handelt es sich um Firewalls, Tunneling-Verfahren,
Verschlüsselung und Authentifizierung.
Der letzte Punkt stellt das Thema des längsten Abschnitts dar, in welchem die
unterschiedlichen Authentifizierungswerkzeuge der Merkmale Wissen, Besitz und
Eigenschaft ausgiebig bearbeitet werden. Dabei gehe ich neben der
Funktionsweise und Vor- bzw. Nachteilen der jeweiligen Werkzeuge auf die
Faktoren Zuverlässigkeit, Kosten, Schnelligkeit, Benutzerfreundlichkeit bzw.
-akzeptanz und die Eignung für den (mobilen) Einsatz in VPN's ein.
Als Abschluss werden in einem Fazit nochmals die Vor- und Nachteile der
möglichen Authentifizierungsmerkmale Wissen, Besitz und Eigenschaft
aufgegriffen, um anhand von Beispielen auf die Notwendigkeit der Zwei-Faktor-
Authentifizierung hinzuweisen.

Diplomarbeit: Authentifizierungsverfahren als Sicherheitsaspekt für Virtuelle Private Netzwerke
Dirk Umlauf
WWI 01 G
Seite
III
Inhaltsverzeichnis
1. EINLEITUNG ... 1
2. BEGRIFFSERKLÄRUNG UND FUNKTIONSWEISE VON VPN'S ... 2
3. TECHNOLOGIEN... 6
3.1. L
AYER
-2-VPN'
S
... 6
3.1.1.
Frame Relay ... 7
3.1.2.
ATM (Asynchronous Transfer Mode) ... 9
3.1.3.
ISDN (Integrated Service Digital Network) ... 10
3.2. I
NTERNET
... 11
4. SICHERHEIT ... 11
4.1. S
ICHERHEITSRISIKEN
... 11
4.2. S
ICHERHEITSKONZEPTE
... 14
4.2.1.
Firewalls ... 14
4.2.2.
Tunneling... 14
4.2.2.1. Tunneling-Protokolle ... 16
4.2.3.
Verschlüsselung ... 18
4.2.3.1. Schlüsselmanagement ... 21
4.2.4.
Authentifizierung ... 22
5. AUTHENTIFIZIERUNGSWERKZEUGE ... 23
5.1. W
ISSEN
(W
AS WEIßT DU
?)... 24
5.1.1.
Passwörter ... 24
5.1.2.
Einmal-Passwörter... 26
5.1.2.1. Einmal-Verschlüsselung... 26
5.1.3.
Zeitabhängige Passwörter ... 27
5.2. B
ESITZ
(W
AS HAST DU
?) ... 28
5.2.1.
Rufnummernprüfung und Callback ... 28
5.2.2.
Magnetkarten... 29
5.2.2.1. Sicherheitsrisiken ... 30
5.2.3.
Chipkarten ... 32
5.2.3.1. Speicherchipkarten ... 33
5.2.3.2. Intelligente Speicherchipkarten ... 33
5.2.3.3. Prozessorchipkarten (Smart-Cards) ... 33
5.2.3.4. Superchipkarten... 35
5.2.4.
Digitale Unterschriften ... 36

Diplomarbeit: Authentifizierungsverfahren als Sicherheitsaspekt für Virtuelle Private Netzwerke
Dirk Umlauf
WWI 01 G
Seite
IV
5.2.5.
Digitale Briefumschläge ... 40
5.2.6.
Digitale Zertifikate... 40
5.2.7.
Tokens... 44
5.3. E
IGENSCHAFTEN
(W
ER BIST DU
?) ... 48
5.3.1.
Fingerabdruck-Erkennung ... 50
5.3.2.
Hand-Erkennung ... 53
5.3.3.
Iris-/Regenbogenhaut-Erkennung ... 55
5.3.4.
Retina-/Netzhaut-Erkennung ... 56
5.3.5.
Gesicht-Erkennung ... 57
5.3.6.
Haut-Erkennung ... 61
5.3.7.
Handschrift-/Unterschrift-Erkennung... 61
5.3.8.
Sprach-Erkennung... 62
5.3.9.
Vor- und Nachteile biometrischer Verfahren: ... 63
6. SCHLUSSBETRACHTUNG ... 65
7. GLOSSAR... 68
8. LITERATURVERZEICHNIS... 71
9. ANHANG...
· Anbieter von Authentifizierungswerkzeugen
· notwendige Daten für die Online-Beantragung von digitalen Zertifikaten
bei der Firma TeleSec
· Artikel über Fingerabdruck-Sensoren auf mobilen Geräten der Fa. ALPS
· Datenblatt des Handerkennungssystems Vascular VP-II
®
der Fa. Identica
· Algorithmus des Gesichterkennungssystems FaceVACS der Fa. Cognitec
Systems
· Datenblatt des dreidimensionalen Gesichterkennungssystems Tridentity
der Fa. Neurodynamics
· Datenblatt des auf der CeBIT 2004 vorgestellten dreidimensionalen
Gesichterkennungssystems Fiore der Fa. NEC

Diplomarbeit: Authentifizierungsverfahren als Sicherheitsaspekt für Virtuelle Private Netzwerke
Dirk Umlauf
WWI 01 G
Seite
V
Abbildungsverzeichnis
Abbildung 1: Grundsätzlicher Aufbau einer VPN-Anbindung... 3
Abbildung 2: Frame-Relay-VPN mit permanenten virtuellen Verbindungen ... 8
Abbildung 3: Übertragung verschiedener Arten des Datenverkehrs auf Basis von
ATM ... 9
Abbildung 4: Kapselung und Transport von Netzwerkpaketen ... 15
Abbildung 5: symmetrische Datenübertragung mit gleichen Schlüsseln ... 18
Abbildung 6: asymmetrische Datenübertragung mit unterschiedlichen Schlüsseln
... 19
Abbildung 7: Abmessungen für Identifikationskarten aus Kunststoff nach ISO
7810 ... 30
Abbildung 8: CVC2- bzw. CVV2-Nummer auf Kreditkarten ... 31
Abbildung 9: Kontaktflächenbelegung der externen Ein-/Ausgabeschnittstelle
eines Karten-Chips nach ISO 7816-2 ... 33
Abbildung 10: Chipkarten-Authentifizierung mit symm.
Verschlüsselungsverfahren ... 34
Abbildung 11: Beispiel für den inneren Aufbau einer Superchipkarte ... 35
Abbildung 12: Übermittlung einer signierten Nachricht ... 37
Abbildung 13: Digitale Signatur mit Anwendung einer Hash-Funktion ... 39
Abbildung 14: Zertifizierungsablauf mit digitalen Zertifikaten einer CA ... 41
Abbildung 15: Standard-Format für digitale Zertifikate nach ITU-X.509 ... 43
Abbildung 16: Authentifizierungsablauf mit einer Token-Karte ... 45
Abbildung 17: zeitabhängige hardwarebasierende Tokens der Firma RSA
Security ... 46
Abbildung 18: Charakteristische Merkmale (Minutien) eines Fingerabdruckes .. 51
Abbildung 19: Smart-Card und ID-Mouse mit integriertem Fingertipp-Sensor der
Firma Siemens ... 52
Abbildung 20: USB-Stick mit Fingertipp-Sensor der Firma Navi ... 52
Abbildung 21: Hand-Erkennungs-Gerät HandPunch der Firma IR Recognition
Systems ... 54
Abbildung 22: Personenidentifizierung durch FaceFINDER
®
... 58
Abbildung 23: dreidimensionale Gesicht-Erkennung ... 60

Diplomarbeit: Authentifizierungsverfahren als Sicherheitsaspekt für Virtuelle Private Netzwerke
Dirk Umlauf
WWI 01 G
Seite
1
1. Einleitung
Sichere Netzwerke waren bis vor einigen Jahren nur für große Unternehmen
erschwinglich, da Verbindungen über mehrere Standorte hinweg immer auf
teuren Standleitungen beruhten. Bei bundesweit verteilten Filialen führte dies
aufgrund der zu hohen Gebühren oftmals zur Unwirtschaftlichkeit. Weiterhin war
für mobile Mitarbeiter der Zugang zu privaten Firmennetzen problematisch, da
diese mittels Modem über das Telefonnetz mit dem Unternehmen kommunizieren
mussten und dafür meist teure Ferngespräche erforderlich waren. Vor allem
kleineren Organisationen blieb deshalb die standortübergreifende Verbindung
meist vorbehalten. Alternativ konnte man sich nur auf das unsichere öffentliche
Internet stützen.
Aus diesen Gründen betrieben Unternehmen anfangs ihre Netzwerke oftmals
völlig unabhängig voneinander mit individuellen Eigenschaften und
Anwendungen, so dass für jede Filiale ein eigenes Netz existierte, das mit
anderen Filial-Netzen nicht unbedingt kompatibel war und somit keine
netzübergreifende Kommunikation ermöglicht wurde. In der heutigen Zeit ist dies
durch die zunehmende Umstellung der Prozesse auf die elektronische
Datenverarbeitung allerdings wirtschaftlich nicht mehr tragbar. Immer öfter sind
deshalb Unternehmen gezwungen, auf Verbindungen außerhalb ihres privaten
lokalen Firmennetzes (LAN) zuzugreifen, um etwa mit externen Firmennetzen,
Kooperationspartnern oder mobilen Mitarbeitern kommunizieren zu können. So
ziehen Unternehmensnetze mittlerweile immer größere Kreise durch Integration
kleinerer Außenbüros, mobiler Mitarbeiter, Telearbeiter, usw. Der Einschluss in
die Firmen-Kommunikation von "außerhalb" verfolgt das Ziel, alle Anwender oder
auch Kunden mittels Remote Access an den Ressourcen und Kommunikations-
möglichkeiten des Unternehmens teilhaben zu lassen. Dies ermöglicht einem
Unternehmen neben der Steigerung ihrer Flexibilität auch die Erhöhung der
Effizienz und macht moderne Netzwerke somit zur entscheidenden Infrastruktur
für Wettbewerbsfähigkeit und Produktivität. Denn um nur einen von vielen
Gründen zu nennen, ist es durchaus wirtschaftlich notwendig, dass ein
Lagerverwalter seinen Produktionsbestand nicht nur ständig aktualisieren kann,
sondern dies auch von der Vertriebsabteilung ersichtlich ist, um die verfügbare
Menge bei Geschäftsprozessen berücksichtigen zu können.
Es stellt sich nun die Frage, mit welchen Technologien und Mitteln sich eine
Anbindung über das interne Firmennetz hinaus sicher und zugleich preisgünstig
realisieren lässt.

Diplomarbeit: Authentifizierungsverfahren als Sicherheitsaspekt für Virtuelle Private Netzwerke
Dirk Umlauf
WWI 01 G
Seite
2
Die Lösung steckt in Virtual Private Networks (VPN's), durch deren Technologien
sichere Verbindungen über öffentliche Netze mittels sog. "Tunneln" gewährleistet
werden.
Die bisherige Definition von Netzwerken unterschied allerdings nur zwischen
öffentlichen und privaten Netzen. Während öffentliche Netze wie das Telefonnetz
oder das Internet durch zahlreiche Teilnehmer geprägt sind, welche in keiner
festen Beziehung zueinander stehen und mehr oder weniger ungehindert
Informationen austauschen, besteht ein privates Netz dagegen nur aus
Computern einer bestimmten Organisation, die in erster Linie untereinander
kommunizieren. Bei einem privaten Netz können die Beteiligten sicher sein, dass
ausschließlich sie das Netz benutzen und die ausgetauschten Informationen nur
berechtigten Personen zugänglich sind. Im Gegensatz dazu besitzen Personen
mit Zugang zu einem öffentlichen Netz nicht unbedingt gemeinsame Merkmale
oder Interessen und die Kommunikation betrifft meist nur einen Bruchteil der
Benutzer eines solchen Netzes. Ohne entsprechende Sicherheitsmaßnahmen
können dabei jedoch auch unerwünschte Kommunikationsbeziehungen
entstehen, wodurch sensible Daten in falsche Hände geraten können.
Um diese Lücke zu schließen und die Grenze zwischen öffentlichem und
privatem (Firmen-)Netz zu verwischen, beschreibt diese Arbeit die
Funktionsweise von Virtuellen Privaten Netzwerken (VPN's) sowie die dafür
notwendigen Authentifizierungsverfahren, die einen grundlegenden Aspekt zur
sicheren Anbindung von außerhalb an ein privates Netz darstellen.
2. Begriffserklärung und Funktionsweise von VPN's
Unter einem Virtuellen Privaten Netzwerk versteht man ein Verfahren, bei dem
innerhalb eines öffentlichen Netzes wie dem Internet ein privates Netz simuliert
wird.
1
Somit kann sich beispielsweise der Außendienstmitarbeiter durch eine
VPN-Anbindung über das Internet oder andere öffentliche Netze mit dem privaten
internen Netz seiner Firma verbinden.
Der Begriff VPN enthält die wesentlichen Komponenten privat und virtuell, die
ein solches Netzwerk charakterisieren und im entsprechenden Zusammenhang
erläutert werden:
Mit privat wird die Abschottung eines Netzwerkes (gegen andere) mit geeigneten
technischen Maßnahmen assoziiert. Aus diesem Grund können
1
vgl. Erwin Mike / Scott Charlie (Hrsg.) / Wolfe Paul: Virtuelle Private Netzwerke [Übersetzung und
dt. Bearbeitung: Karsunke Katja / Merz Thomas], Köln 1999, S. 2

Diplomarbeit: Authentifizierungsverfahren als Sicherheitsaspekt für Virtuelle Private Netzwerke
Dirk Umlauf
WWI 01 G
Seite
3
Kommunikationsverbindungen auf Basis von VPN's gleichermaßen wie (eigene)
exklusiv verwendete physikalische Leitungen bzw. Netzwerke genutzt werden.
Auch in solchen virtuellen Netzwerken kann eine völlig unabhängige Netzwerk-
Administration erfolgen.
Da die zugrunde liegende physikalische Infrastruktur in Wirklichkeit nicht
exklusiv, sondern gemeinsam von vielen unterschiedlichen Verbindungen
genutzt wird, sind die privaten Netzwerke somit nur virtuell vorhanden. Genauer
gesagt handelt es sich um temporäre Verbindungen, die physikalisch nicht
vorhanden sind und aus Paketen bestehen, die über verschiedene Rechner und
Router in einem öffentlichen Netz ohne vorgegebene Route übertragen werden.
Virtuelle Verbindungen können zwischen zwei Rechnern, einem Rechner und
einem Netzwerk sowie zwischen zwei Netzwerken hergestellt werden. Zur
Sicherung dieser Verbindungen bedarf es allerdings Komponenten der
Verschlüsselung, Authentifizierung, des Paket-Tunnelings und Firewalls.
1
Diese
Techniken werden im Abschnitt Sicherheit noch genauer erklärt.
Man kann sich eine VPN-Verbindung als einen abgeschotteten Tunnel durch ein
öffentliches Netz vorstellen, der ein Firmennetz mit einer Außenstelle oder einem
entfernten Arbeitsplatz verbindet. Die folgende Abbildung veranschaulicht den
Aufbau einer VPN-Verbindung:
$EELOGXQJ *UXQGVlW]OLFKHU $XIEDX HLQHU 931$QELQGXQJ
Um eine Verbindung mit dem Firmennetz aufbauen zu können, müssen sich die
Clients mit einer speziellen Software am VPN-Server anmelden, die meist über
eine Firewall-Funktionalität verfügt, um auch den Client vor Angriffen aus dem
Internet zu schützen. Als Übergabepunkte bzw. VPN-Server können z. B. Geräte
1
vgl. Erwin u. a., a. a. o., S. 2 und Meder Andreas / Zarenko Alexander, ComConsult Technologie
Information GmbH: sichere und kostenoptimale Netzwerklösungen mit VPN-Technologien,
Aachen 2002, S. 1f
ORNDOHV
)LUPHQQHW]
9316HUYHU
gIIHQWOLFKHV 1HW]
9317XQQHO
YHUVFKOVVHOW
$XHQVWHOOH
5HPRWH
8VHU

Diplomarbeit: Authentifizierungsverfahren als Sicherheitsaspekt für Virtuelle Private Netzwerke
Dirk Umlauf
WWI 01 G
Seite
4
der Cisco VPN 3000 Concentrator Series eingesetzt werden. Aufgaben eines
VPN-Servers oder Konzentrators von Cisco sind
· Verbindungsaufbau
· Benutzerauthentifizierung
· Konfiguration der Zugriffsbeschränkungen auf Layer3 (IP)
· Zuweisen einer Konfiguration anhand der Gruppenzugehörigkeit eines
Benutzers
· Aufbau und Halten des (verschlüsselten) Tunnels
In der Konfiguration eines VPN-Servers können Regeln definiert werden, die den
Zugriff auf die internen (Firmen-)Daten nach erfolgter Anmeldung einschränken,
was entweder für jeden Benutzer einzeln oder gruppenweise geschieht. Die
Anmeldung kann auch durch einen Router erfolgen, an dem wiederum mehrere
externe Clients angeschlossen sind, die in diesem Fall keine eigene VPN-
Verbindung mehr aufbauen müssen.
1
Man unterscheidet grundsätzlich drei verschiedene Implementierungen von
VPN's:
· Site to Site: Kopplung von Netzwerken
Dabei werden die VPN-Verbindungen über Router oder Firewalls
aufgebaut, die VPN-fähig sind, z. B. zwischen einer Filiale und der
Hauptgeschäftsstelle. Die Sicherung des Datenverkehrs findet nur
zwischen diesen Geräten statt. Da keine einzelnen Rechner sondern nur
ganze Netzwerke oder Segmente verbunden und authentifiziert werden,
ist die Qualifikation einzelner Benutzer nur unzureichend oder gar nicht
möglich. Diese Art der VPN-Verbindung wird auch mit der Bezeichnung
Tunnel Mode assoziiert.
· End to Site: Kopplung von Client zu Netzwerk(en)
Diese Art der Kopplung ist auch unter dem Namen Remote-Access-VPN
bekannt und dient dazu, entfernt arbeitenden Usern die Einwahl sowie
den Aufbau einer gesicherten Verbindung zum Firmennetz zu
ermöglichen. Die VPN-Verbindung besteht hierbei nur bis zum gesamten
Netz, nicht aber zu einem speziellen Server.
· End to End: Kopplung von Endgerät zu Endgerät
Eine End-to-End-Verbindung hat den Vorteil, dass der gesamte
Datenverkehr geschützt ist, da die Verbindung direkt von einem Endgerät
1
vgl. Hellmich Kay (Human Internet Consult GmbH), VPN-Dokumentation der Gesellschaft für
angewandte Versicherungs-Informatik (GaVI) mit firmenspezifischem Aufbau und verwendeter
Hardware, Stuttgart 2002, S. 7ff

Diplomarbeit: Authentifizierungsverfahren als Sicherheitsaspekt für Virtuelle Private Netzwerke
Dirk Umlauf
WWI 01 G
Seite
5
bis zum anderen besteht, beispielsweise von einem Client zu einem
bestimmten Server des Firmennetzes. Solche VPN-Verbindungen fallen
unter den Begriff Transparent Mode und bieten durchaus zusätzlichen
Schutz für wichtige Applikationen im LAN.
1
Mit Hilfe dieser Funktionalitäten kann der Netzwerkadministrator sicherstellen,
dass nur Benutzer mit den richtigen unternehmensinternen Anmelde-
informationen auf die geschützten Firmen- oder Abteilungsressourcen zugreifen
können. Benutzern ohne geeignete Anmeldeinformationen bleibt das Firmen-
oder Abteilungs-LAN verborgen. Darüber hinaus kann und sollte die gesamte
Kommunikation über das VPN verschlüsselt werden, um die Vertraulichkeit der
Daten sicherzustellen.
2
Da klassische VPN's öffentliche Netze als Trägersystem und somit als WAN
nutzen, werden nur kurze Standleitungen zwischen dem jeweiligen
Firmenstandort und dem nächsten Einwahlknoten Point of Presence (PoP) des
Internet Service Providers (ISP) benötigt. Dieses Verfahren stellt eine
kostengünstige Alternative dar, die auch für kleinere Firmen erschwinglich wird,
da durch die mittlerweile günstigen oder sogar gebührenfreien Wählzugänge ISP-
Accounts für mobile Benutzer in jedem Fall wirtschaftlicher sind als ein Modem-
Pool mit hohen Gebühren für Fernverbindungen.
Neben den reduzierten Kosten stellt bei virtuellen Netzen auch die
Synergienutzung der physikalischen Netzwerkstruktur einen erheblichen Vorteil
dar. Denn die verfügbare bzw. zugesicherte Bandbreite des eigenen Virtuellen
Privaten Netzwerkes wird meist nicht voll ausgenutzt, so dass in entsprechenden
Niederlastzeiten freie Ressourcen durch andere VPN's genutzt werden können.
Somit werden auf der vorhandenen Struktur insgesamt mehr Netze realisiert, als
dies bei jeweils exklusiver Zuteilung physikalischer Ressourcen möglich wäre.
Auch kann mit einem Virtuellen Privaten Netzwerk die Reichweite des Intranets
beliebig vergrößert werden. Zwar sollen die firmeninternen Informationen
normalerweise nicht vom Internet aus zugreifbar sein, doch in manchen Fällen ist
eine gemeinsame Nutzung mit (weit) verstreuten Filialen oder Benutzern
durchaus sinnvoll. Diese Verbindungsart, die sich über mehrere Standorte
erstreckt, ist auch unter dem Namen Extranet bekannt.
Ein VPN gewährleistet die sichere Verbindung zum Intranet, so dass vertrauliche
Daten nicht ungeschützt das Netz verlassen. Dadurch können beispielsweise
1
vgl. Hein Mathias / Reisner Michael / Voß Antje (Hrsg.): Security ­ Das Grundlagenbuch, Poing
2003, S. 163
2
vgl. http://wwwiti.cs.uni-
magdeburg.de/iti_amsl/lehre/03_04_WiSem/ak_itsec_v/additional/mswpvpn.pdf, vom 04.03.04

Diplomarbeit: Authentifizierungsverfahren als Sicherheitsaspekt für Virtuelle Private Netzwerke
Dirk Umlauf
WWI 01 G
Seite
6
Außendienstmitarbeiter von unterwegs oder zu Hause arbeiten und auf den
Server mit den notwendigen Daten zugreifen. Diese Informationen sollten jedoch
nicht uneingeschränkt zugänglich sein, sondern durch Berechtigungen
abgesichert werden. Die Vergabe von Berechtigungen und Anmeldedaten gehört
neben der Verschlüsselung zu den Funktionalitäten von VPN's und ermöglicht
die Flexibilität dahingehend, dass nahezu jeder firmeninterne Netzdienst sicher
über das Internet genutzt werden kann.
1
Aus Gründen der Flexibilität, Kosten und Sicherheit gewinnt diese Technik
zunehmend an Beliebtheit und ist vor allem bei größeren Firmen immer häufiger
zu finden.
2
3. Technologien
Virtuelle Private Netzwerke im weiteren Sinne gibt es schon seit einiger Zeit, nur
wurden sie in der Vergangenheit vielfach unter dem Begriff Corporate Network
zusammengefasst. Dabei handelt es sich um private Netze einzelner
Unternehmen oder Kommunikationsgemeinschaften zur standortübergreifenden
Übertragung der verschiedensten Datentypen. Netzbetreiber eines Corporate
Networks bieten die Netzinfrastruktur als Dienstleistung auf Basis öffentlich
zugänglicher Netze an. Unterhält der Betreiber selbst keine eigenen
Übertragungswege, spricht man in diesem Fall von einem Virtual Private
Network.
3
Als Basis für VPN's sind die Technologien Frame Relay, ATM und
ISDN auf Layer 2 sowie das Internet auf Layer 3 verwendbar, welche im
Anschluss erläutert werden.
3.1. Layer-2-VPN's
,,Ein Layer-2-VPN stellt ein ,,virtuelles Kabel" über jede IP-Plattform dar."
4
Verfahren zur Realisierung von Layer-2-VPN's basieren auf einer gemeinsam
genutzten Netzwerk-Infrastruktur und ermöglichen Vermittlungen
unterschiedlicher Kommunikationsbeziehungen mittels Layer-2-Dateneinheiten
wie Frames oder Zellen. Ähnlich wie bei einem IP-Netzwerk werden auch in
1
vgl. Erwin u. a., a. a. o., S. 2ff und Meder u. a., a. a. o., S. 1f
2
vgl. ebenda
3
vgl. Hasenkamp Ulrich / Stahlknecht Peter: Einführung in die Wirtschaftsinformatik, 10., überarb.
und aktual. Auflage, Berlin Heidelberg 2002, S. 112
4
Hein, a. a. o., S. 168

Diplomarbeit: Authentifizierungsverfahren als Sicherheitsaspekt für Virtuelle Private Netzwerke
Dirk Umlauf
WWI 01 G
Seite
7
solchen Layer-2-Netzen die Dateneinheiten durch die aktiven Komponenten der
Netz-Infrastruktur weitergeleitet.
1
Die Multiprotokollfähigkeit eines Layer-2-VPN ergibt sich aus der Verwendung
des Point to Point Protocols (PPP), das für die Verbindung zwischen zwei
Rechnern eingesetzt wird. Damit kann über ein öffentliches Netz auch mit
Unternehmenszentralen kommuniziert werden, die andere Netzwerkprotokolle
einsetzen.
2
Nähere Erläuterungen darüber sind im Absatz 4.2.2 (Tunneling) zu
finden.
VPN's lassen sich durch die beiden Layer-2-Techniken Frame Relay und ATM
realisieren:
3.1.1. Frame Relay
Hierbei handelt es sich um eine bereits länger im Einsatz befindliche
Übertragungstechnologie auf Basis von Frames, die ursprünglich zum reinen
Datentransport entwickelt wurde. Bei einem Frame handelt es sich um ein Paket
variabler Länge, das neben den Nutzdaten noch zusätzliche Protokoll-
informationen enthält. Frame Relay wird mittlerweile zunehmend für gemischte
Sprach- und Datenübertragungen verwendet. Die Länge der Datenpakete kann
zwischen 262 Bytes und 8 KBytes variieren. Der Frame Relay-Standard basiert
auf dem X.25-Standard als ISDN-Datenübertragungsprotokoll, doch existieren zu
diesem wesentliche Unterschiede. Frame Relay verzichtet im Vergleich zu X.25
auf die Fehlerkennungsmethode, was auf Kosten der Zuverlässigkeit geschieht.
D. h. Fehler bei der Datenübertragung werden erst beim Empfänger erkannt, der
verworfene Pakete erneut vom Sender anfordern muss. Dafür arbeitet diese
Technik aber mit viel höheren Geschwindigkeiten, die teilweise bis zu 45 Mbit/s
betragen. Da hierfür bereits eine hohe Leitungsqualität vorausgesetzt wird, sind
im Gegensatz zum X.25-Protokoll weniger aufwendige und ressourcenintensive
Mechanismen erforderlich.
Aus Sicht des Anwenders ist Frame Relay ein verbindungsorientiertes Protokoll.
Es muss eine virtuelle Verbindung zwischen zwei Datenübertragungs-
einrichtungen existieren, die entweder vom Provider konfiguriert und dauerhaft
aktiviert oder erst bei anstehender Datenübertragung vom Kunden aufgebaut und
auch wieder abgebaut wird. Die letzte Variante nennt man Switched Virtual
Circuit (SVC) während bei einer dauerhaften Aktivierung der Verbindung von
Permanent Virtual Circuit (PVC) gesprochen wird. Die Abbildung der virtuellen
1
vgl. Meder u. a., a. a. o., S. 4
2
vgl. Hein, a. a. o., S. 168

Diplomarbeit: Authentifizierungsverfahren als Sicherheitsaspekt für Virtuelle Private Netzwerke
Dirk Umlauf
WWI 01 G
Seite
8
Verbindungen geschieht auf OSI-Schicht 2. Ein Frame-Relay VPN kann man
anhand eines Beispiels mit permanenten virtuellen Verbindungen
folgendermaßen abbilden:
$EELOGXQJ )UDPH5HOD\931 PLW SHUPDQHQWHQ YLUWXHOOHQ 9HUELQGXQJHQ
Da in Wirklichkeit keine physikalischen Ende-zu-Ende-Verbindungen bestehen,
werden die Pfade als virtuell bezeichnet. Der tatsächliche Weg der Frames ist
dynamisch, weshalb bei Überlasten oder Ausfällen alternative Routen gewählt
werden. Für den Benutzer ist das nicht sichtbar, da es sich als Punkt-zu-Punkt-
Verbindung darstellt.
Neben der hohen Geschwindigkeit können bei Frame Relay insbesondere
verschiedene Dienstqualitäten wie garantierte und maximale Bandbreite
zwischen Provider und Kunde vereinbart werden. Weiterhin besteht die
Möglichkeit, in einer Verbindung zu einem Frame-Relay-Zugangsknoten
gleichzeitig mehrere PVC's mit unterschiedlichen Parametern für verschieden
priorisierte Dienste zu konfigurieren. Aus technischer Sicht ist dieses Verfahren
sehr gut zum Aufbau von VPN's geeignet, was durch die große Verbreitung und
dem nahezu weltweiten Angebot bestätigt wird. Allerdings ist wie bei allen
paketorientierten Verfahren die Übertragungszeit der Daten nicht genau
vorhersehbar, weshalb sich Frame Relay nicht besonders gut für die Übertragung
1
nach Lipp Manfred: VPN ­ Virtuelle Private Netzwerke, Aufbau und Sicherheit, München 2001,
S. 21
1HW]ZHUN $
1HW]ZHUN '
1HW]ZHUN
1HW]ZHUN %
39
39
39
39
39
39
5RXWHU
5RXWHU
5RXWHU
5RXWHU
$
%
'

Diplomarbeit: Authentifizierungsverfahren als Sicherheitsaspekt für Virtuelle Private Netzwerke
Dirk Umlauf
WWI 01 G
Seite
9
zeitkritischer Daten wie Sprache oder Bild eignet. Die Verwendung liegt also
vielmehr in stark schwankendem Datenverkehr als in konstanten Bandbreiten.
1
3.1.2. ATM (Asynchronous Transfer Mode)
Die ATM-Technologie beschreibt einen weltweiten Standard für die asynchrone
zellenvermittelnde Übertragung verschiedenster Arten des Datenverkehrs mit
einer grundsätzlich geringen Komplexität. Wird diese Technik jedoch für
Kommunikationsströme benutzt, welche die vorgesehenen Aufgaben
überschreiten, so steigt die Komplexität. Ein Beispiel für einen solchen Einsatz ist
die Emulation von Ethernet- oder Token-Ring-Netzwerken. ATM-Netzwerke sind
verbindungsorientiert und erlauben eine schnelle Datenübertragung. Viel
wichtiger seien hierbei aber die möglichen abgestuften Dienstqualitäten sowie die
gute Eignung zur Übertragung von isochronen Daten wie Sprache oder Video zu
nennen.
Ziel dieser Entwicklung ist die Integration von öffentlichen und privaten Netzen
durch eine gemeinsame Technik.
Im Gegensatz zum zuvor erläuterten Frame-Relay-Verfahren, bei dem die Daten
in einem Frame übertragen werden, geschieht dies bei ATM durch Cell
Switching, was in folgender Abbildung verdeutlicht wird:
$EELOGXQJ hEHUWUDJXQJ YHUVFKLHGHQHU $UWHQ GHV 'DWHQYHUNHKUV DXI %DVLV YRQ $70
Dabei werden sehr kleine Zellen mit einer festen Länge von 53 Bytes übertragen,
wodurch eine einfachere und schnellere Verarbeitung ermöglicht wird. Die
1
vgl. Comer Douglas E.: Internetworking with TCP/IP ­ Prinziples, Protocols and Architectures,
Fourth Edition, Upper Saddle River (New Jersey) 2000, S. 30, Lipp, a. a. o., S. 21f und
http://www.net-lexikon.de/Frame-Relay.html, vom 30.03.04
2
nach Lipp, a. a. o., S. 22
6SUDFKH
'DWHQ
6SUDFKH
9LGHR
'DWHQ
9LGHR
/HHU]HOOHQ
hEHUWUDJXQJ
PD[ %LWUDWH
5HDVVHPEOLHUXQJ
6HJPHQWLHUXQJ

Diplomarbeit: Authentifizierungsverfahren als Sicherheitsaspekt für Virtuelle Private Netzwerke
Dirk Umlauf
WWI 01 G
Seite
10
Nutzdaten werden in 48 Byte große Zellen aufgeteilt und mit einem Header für
Steuerdaten von 5 Bytes versehen, um in den ATM-Zellen mit 53 Bytes synchron
übertragen werden zu können. Sofern keine Zellen aufgrund Überlastung
verworfen wurden, findet auf der Empfängerseite die Paketzusammensetzung
statt. Bei Sprach- oder Videodaten sind verworfene Zellen allerdings weniger
problematisch, da durch die minimale Größe der ATM-Zellen akustische oder
optische Störungen in der Regel für die menschliche Wahrnehmungsfähigkeit
unbemerkt bleiben. Auch bei den meisten anderen Datentypen kann das
Überlastverhalten durchaus noch als akzeptabel angesehen werden, da höhere
Übertragungsprotokolle einfach das gesamte Paket erneut anfordern.
ATM bietet bei Bedarf hohe Bandbreiten ohne die typischen Redundanzen einer
leitungsvermittelten Übertragung, so dass problemlos mehrere verschiedene
Daten per Multiplexing über eine Verbindung transportiert werden können.
1
3.1.3. ISDN (Integrated Service Digital Network)
Hinter ISDN steckt ein integriertes weltweites Telefon- und Datennetz. Die
Verabschiedung der Grundkonzeption ist auf das Comité Consultativ
International Télégraphique et Téléphonique (CCITT) im Jahr 1984
zurückzuführen. Europaweit ist diese Technologie in 20 Ländern nach dem
einheitlichen Standard Euro-ISDN eingeführt und weist folgende Merkmale auf:
· digitalisiertes Telefon- und Universalnetz
· wenige international genormte Schnittstellen
· Leitungsvermittlung
· Standardübertragungsrate von 64 kBit/s
Die Standardübertragungsrate errechnet sich aus dem Abstand der
Sprachschwingungen von 1/8000 Sekunde (= 0,000125) und den 2
8
(= 256)
unterschiedlichen Sprachfrequenzen. Daraus ergibt sich die Übertragungsrate
von 8000 * 8 = 64.000 Bit/s.
2
Im Gegensatz zur Verwendung als öffentliches Telefonnetz kann dieses
leitungsvermittelnde, digitale Multiservice-Netzwerk auch für geschlossene
Nummernkreise verwendet werden, um damit ein VPN aufzubauen. Hierbei wird
vom Telekommunikationsunternehmen eine Reihe von Telefonnummern für die
Anschlüsse eines Kunden vergeben, mit denen nur untereinander kommuniziert
werden kann. Verbindungen zu oder von Nummern außerhalb dieses
1
vgl. Comer, a. a. o., S. 37, Hasenkamp u. a., a. a. o., S. 108, Lipp, a. a. o., S. 22f und
http://gd.tuwien.ac.at/study/hrh-glossar/16-2_1.htm, vom 30.03.04
2
vgl. Hasenkamp u. a., a. a. o., S. 106

Diplomarbeit: Authentifizierungsverfahren als Sicherheitsaspekt für Virtuelle Private Netzwerke
Dirk Umlauf
WWI 01 G
Seite
11
Nummernkreises sind deshalb nicht möglich. Für das Unternehmen stellt sich der
vergebene Nummernkreis wie ein privates abgeschlossenes Netz dar, doch in
Wirklichkeit wird das öffentliche Netzwerk des Telekommunikationsproviders als
Infrastruktur in Form von Leitungen und Vermittlungssystemen genutzt. Für die
Kommunikation mit externen Nummern sind Schnittstellensysteme wie eine
Nebenstellenanlage notwendig, die den Übergang zum öffentlichen Netzwerk
bietet.
1
3.2. Internet
Die am weitesten verbreitete und immer mehr an Beliebtheit gewinnende
Technologie stellen Internet-VPN's dar, die auch als IP-VPN's bezeichnet werden
und das Internet als Trägersystem nutzen. Der grundlegende Unterschied zu
Virtuellen Privaten Netzwerken auf Basis von Frame-Relay, ATM oder ISDN
besteht darin, dass bei IP-VPN's die Trägertechnologie auf Ebene 3 der OSI-
Schichten (Netzwerkschicht) und nicht auf Ebene 2 liegt. Ein Layer-3-VPN ist
immer von einem bestimmten Netzwerkprotokoll abhängig und aus diesem
Grund nicht multiprotokollfähig. Daraus resultiert aber der große Vorteil einer
Unabhängigkeit von physikalischen Infrastrukturen, da in einem IP-VPN die IP-
Pakete zwischen zwei Endsystemen transportiert werden und diese während der
Übertragung durchaus auch in Frame-Relay, ATM od. anderen Technologien
eingekapselt werden können.
2
4. Sicherheit
Das Thema Sicherheit ist ein nicht zu unterschätzender Punkt, der besonders
beim Aufbau von Virtuellen Privaten Netzen nicht vernachlässigt werden darf, da
hierbei immer unsichere öffentliche Infrastrukturen als Trägersystem dienen. Im
Folgenden wird anhand bestehender Risiken die Wichtigkeit des Aspektes
Sicherheit verdeutlicht und die grundlegenden Möglichkeiten beschrieben, die zur
sicheren Implementierung eines Virtuellen Privaten Netzwerks beitragen.
4.1. Sicherheitsrisiken
Bei der Verwendung von VPN-Mechanismen muss wie bereits erwähnt auf ein
öffentliches Trägersystem zurückgegriffen werden. Da dieses öffentliche Netz
1
vgl. Lipp, a. a. o., S. 20
2
vgl. Hein u. a., a. a. o., S. 170 und Lipp, a. a. o., S. 24

Diplomarbeit: Authentifizierungsverfahren als Sicherheitsaspekt für Virtuelle Private Netzwerke
Dirk Umlauf
WWI 01 G
Seite
12
nicht exklusiv sondern mit anderen gemeinsam genutzt wird, hat dies Risiken in
Form von Datenmanipulation, -raub usw. zur Folge, die durch geeignete
Maßnahmen eingeschränkt bzw. verhindert werden müssen.
,,Fast täglich findet man in den Medien Berichte über die Risiken, die mit der
Nutzung des Internets verbunden sind"
1
, was meiner Ansicht nach gewissenhaft
bestätigt werden kann.
In öffentlichen Netzen wie dem Internet sind private Daten ständig neuen
Gefahren ausgesetzt, wodurch diese in falsche Hände geraten können, nicht
abzusehen von dem Risiko, mit abstoßenden, vor allem für Kinder
unzumutbaren, Inhalten konfrontiert zu werden. Für Unternehmen sind die
Gefahren noch weitreichender, da durch gestohlene oder gelöschte Firmendaten
neben dem Unternehmen selbst auch Einzelpersonen zu Schaden kommen
können. Ebenfalls zu beachten sind die finanziellen Folgen, die eine Firma
durchaus ruinieren können, wenn wichtige Daten oder Firmengeheimnisse wie
Projektdateien, Patente oder die Kundendatenbank gestohlen werden.
2
Aus diesen Gründen darf das Thema Sicherheit nicht isoliert, sondern muss als
integrierter Bestandteil einer VPN-Lösung gesehen werden. Zwar spielte der
Aspekt Sicherheit in der Vergangenheit keine besonders große Rolle, da
Datennetze auf das Unternehmensgelände begrenzt waren, doch durch die
veränderten Arbeits- und Kommunikationsweisen der heutigen Zeit hat sich dies
drastisch geändert. Die folgenden Aussagen bzw. Feststellungen von Lipp
bestätigen dies:
· Die Zahl der Remote-Nutzer mit Zugriff auf Firmennetze steigt
kontinuierlich, besonders durch die mittlerweile beliebten Heim-
Arbeitsplätze. Somit ist das Netz nicht mehr auf das Firmengelände
begrenzt und es bedarf der Einrichtung, Betreibung sowie Überwachung
vieler Remote-Verbindungen.
· Immer mehr Unternehmen bieten ihre Produkte auch auf elektronischem
Weg zum Verkauf an und öffnen ihre Firmennetze auch für Zulieferer,
Partner oder Kunden. Dafür werden sowohl nationale als auch
internationale Verbindungen notwendig. Der Aufbau bzw. das Anmieten
eines eigenen Leistungsnetzes ist jedoch für die wenigsten Firmen
rentabel. Deshalb werden für diese Anwendungen vermehrt öffentliche
Netze wie das Internet als virtuelle private Netzwerke genutzt.
· Das Netz hat für den wirtschaftlichen Erfolg von Unternehmen mittlerweile
einen weitaus höheren Stellenwert als in der Vergangenheit, denn je mehr
1
Erwin u. a., a. a. o., S. 4
2
vgl. ebenda

Diplomarbeit: Authentifizierungsverfahren als Sicherheitsaspekt für Virtuelle Private Netzwerke
Dirk Umlauf
WWI 01 G
Seite
13
unternehmenskritische Ressourcen daran angeschlossen werden und je
mehr Anwendungen darüber miteinander kommunizieren, desto stärker
wird das Netz zum geschäftsbestimmenden Faktor.
Da jedoch einige oder sogar viele Daten vertraulich sind, müssen diese vor
Ausspähung und unerlaubten Veränderungen geschützt werden, während sie
gleichzeitig aber auch noch verfügbar sein müssen. Die Problematik liegt nun
darin, dass 100% sichere Daten nicht mehr verfügbar und umgekehrt 100%
verfügbare Daten nicht mehr sicher sind. Aus diesem Grund bleibt zur
praktikablen Umsetzung nur der Kompromiss zwischen Verfügbarkeit und
Sicherheit.
Um die Entscheidung über einzusetzende Sicherheitstechniken zu erleichtern,
sollte eine Datenanalyse vorausgehen, um folgende Fragen zu beantworten:
· Welche Arten von Daten sind im Unternehmen vorhanden?
· Wie sicher müssen diese Daten sein?
· Vor wem müssen sie sicher sein?
· Wie hoch sind Sicherheitsverletzungen zu bewerten?
· Über welche Dauer müssen Sicherheit und vor allem Vertraulichkeit
gewährleistet
sein?
· Zu welchem Preis (Kosten, Verfügbarkeit, Benutzbarkeit) dürfen diese
Ziele erreicht werden?
Weiterhin hat die Analyse, vom wem ein Unternehmen womöglich bedroht wird,
Auswirkung auf die einzusetzenden Sicherheitstechnologien. Wird eine Firma nur
von einer Privatperson angegriffen, ist in der Regel weniger Schutz notwendig,
als wenn sie befürchten muss, von Konkurrenzunternehmen oder sogar
Geheimdiensten ausgespäht zu werden. Denn hierdurch unterscheiden sich
auch die zur Verfügung stehenden finanziellen und daraus resultierenden
technischen Mittel auf Seiten des Angreifers, welche bei einer Privatperson meist
nicht besonders hoch sind. Im anderen Fall muss entsprechend mehr Sicherheit
zu höheren Kosten implementiert werden. Jedoch gibt es auch professionell
arbeitende Hacker, die als "Einzelperson" mehr Schaden anrichten können als so
manches Konkurrenzunternehmen oder andere Institutionen mit entsprechend
größerem Budget.
1
An dieser Stelle sollte auch erwähnt werden, dass es oftmals, wenn nicht sogar
meistens, sehr schwer ist, die möglichen Bedrohungen eines Unternehmens im
Voraus abzuschätzen.
1
vgl. Lipp, a. a. o., S. 87ff
Ende der Leseprobe aus 91 Seiten

Details

Titel
Authentifizierungsverfahren als Sicherheitsaspekt für Virtuelle Private Netzwerke
Hochschule
Duale Hochschule Baden-Württemberg Mannheim, früher: Berufsakademie Mannheim
Note
1.2
Autor
Jahr
2004
Seiten
91
Katalognummer
V185980
ISBN (eBook)
9783656980575
ISBN (Buch)
9783867466042
Dateigröße
5664 KB
Sprache
Deutsch
Schlagworte
authentifizierungsverfahren, sicherheitsaspekt, virtuelle, private, netzwerke
Arbeit zitieren
Dirk Umlauf (Autor), 2004, Authentifizierungsverfahren als Sicherheitsaspekt für Virtuelle Private Netzwerke, München, GRIN Verlag, https://www.grin.com/document/185980

Kommentare

  • Noch keine Kommentare.
Im eBook lesen
Titel: Authentifizierungsverfahren als Sicherheitsaspekt für Virtuelle Private Netzwerke


Ihre Arbeit hochladen

Ihre Hausarbeit / Abschlussarbeit:

- Publikation als eBook und Buch
- Hohes Honorar auf die Verkäufe
- Für Sie komplett kostenlos – mit ISBN
- Es dauert nur 5 Minuten
- Jede Arbeit findet Leser

Kostenlos Autor werden