Vertrauenswürdige Informationen, durch die andere auch profitieren könnten, gilt es besonders zu schützen, da nicht nur wirtschaftlicher Schaden entstehen könnte, sondern auch Prestigeverlust.
Dabei gilt es sowohl die Industriespionage zu verhindern, aber auch Computerhackern das Handwerk zu legen.
In der heutigen Zeit, in der die Flexibilität des Arbeitnehmers gefordert wird, muss dieser von überall auf seine Daten zugreifen können. Dabei hat der Benutzer zwei Möglichkeiten, um auf den Firmen-Server zu gelangen: zum einen die Einwahl über eine Telefonverbindung per Remote Access und zum anderen über öffentliche
Netze, z.B. das Internet durch einen Internet Service Provider (ISP)(1).
Im Internet werden aber auch die Programme2 angeboten, durch die das
Ausspionieren von IP-Paketen erst möglich wird. Dadurch steigt die Anzahl der möglichen Computerhacker ständig an, da sich jeder Internetbenutzer diese Programme relativ einfach besorgen kann.
Netzwerksicherheit gewinnt für Unternehmen unterschiedlichster Größe zunehmend an Bedeutung.
Um die Datenübertragung zu schützen, benötigt man zum einen eine verschlüsselte Authentifizierung des Anwenders. Realisierte man früher die Anmeldung über einfache Telnetfunktionen, d.h. Login und Passwort wurden im Klartext über die Leitung übertragen, bedient man sich heute anderer Methoden, die das Abfangen der Login-nformationen schwieriger gestalten.
Weiterhin wird zusätzlich noch der Datenverkehr verschlüsselt, d.h. es werden die einzelnen Pakete verschlüsselt und mit einen neuen IP-Rahmen verpackt. Dadurch sind die Pakete vor dem Einsatz von Sniffer-Programmen(2) geschützt.
[...]
______
1 z.B.: AOL, T-Online oder Internet-by-Call-Anbieter (z.B. Mobilcom)
2 z.B. Sniffer-Programme, die IP-Pakete nach speziellen Schlüsselwörtern scannen
Inhaltsverzeichnis
1 Einleitung
2 Grundlagen
2.1 Zugriffsszenarien für Remote Access
2.2 Verschlüsselungsverfahren
2.3 Public Key Infrastructure
2.3.1 Aufbau der Hierarchie
2.4 Kerberos
2.5 Virtual Private Network
2.5.1 Funktionsweise eines Tunnels
2.5.1.1 Transport Modus
2.5.1.2 Tunnel Modus
2.5.2 IPSec (IP Security)
2.5.3 PPTP (Point-to-Point Tunneling Protocol)
2.5.4 L2TP (Layer 2 Tunneling Protocol)
2.5.4.3 L2TP/IPSec (Layer 2 Tunneling Protocol over IPSec)
2.5.5 Vergleich L2TP mit PPTP
2.5.6 Client-to-Client-Kommunikation
2.5.7 Gateway-to-Gateway-Kommunikation
2.5.8 Client-to-Gateway-Kommunikation
2.6 Routing and Remote Access (RRAS)
2.7 Remote Authentication Dial-In User Service (RADIUS)
3 Untersuchung der Funktionalitäten in Windows 2000
3.1 RAS
3.2 VPN
3.3 Active Directory
3.4 PKI
4 Beschreibung der Testumgebung
4.1 Router als VPN-Endpunkt
4.2 Aufbau mit Cisco VPN Concentrator
5 Ergebnis
5.1 Windows 2000
5.2 VPN mit Cisco/Altiga VPN 3000 Concentrator
5.3 VPN mit Cisco 2600 VPN-Router
5.3.1 Fehlerbeschreibung
5.3.2 Fehlerdiagnose
5.4 Gesamtergebnis
6 Aufbau eines Prototypen mit Beschreibung der Installation
6.1 Installation des Laptops
6.2 Einrichten von Group Policies für IPSec-Verbindungen
6.3 Einrichten der CA für Server, Client und Cisco-VPN-Router
6.4 Verwendung des Verbindungsmanagers des Servers
6.5 Verwendung des Verbindungsmanagers des Client
6.6 Konfiguration des Altiga/Cisco VPN 3000 Concentrators
7 Weitere Funktionen von Windows 2000 für mobile Benutzer
7.1 Synchronisation von Daten
7.2 Lokale Verschlüsselung
7.3 ACPI
8 Fazit
Zielsetzung & Themen
Die Diplomarbeit untersucht die Möglichkeiten zur Implementierung eines sicheren Remote Access mittels Virtual Private Network (VPN) unter Windows 2000 in einem industriellen Umfeld. Das Hauptziel ist die Analyse der vorhandenen Dienste und Protokolle, um eine sichere, authentifizierte Datenübertragung zwischen mobilen Anwendern und dem Firmennetzwerk zu gewährleisten.
- Untersuchung von VPN-Protokollen wie PPTP und L2TP/IPSec unter Windows 2000
- Aufbau und Konfiguration einer Public Key Infrastructure (PKI) und Zertifikatsverwaltung
- Analyse der Netzwerksicherheitsfunktionen von Windows 2000 und Active Directory
- Praktische Erprobung der VPN-Szenarien in unterschiedlichen Testumgebungen mit Cisco-Hardware
- Evaluation neuer Funktionalitäten für mobile Benutzer, wie Synchronisation und lokale EFS-Verschlüsselung
Auszug aus dem Buch
2.5.3 PPTP (Point-to-Point Tunneling Protocol)
PPTP und L2TP sind zwei Netzwerkprotokolle, die zum Aufbau eines VPN benötigt werden. Dabei wird zusätzlich zur bestehenden Verbindung eine zusätzliche Verbindung erstellt, der eigentliche Tunnel.
Bei PPTP handelt es sich um ein Netzwerkprotokoll, das im Juni 1996 von Firmen des PPTP-Forums, dem u.a. 3Com, Microsoft und US Robotics angehörten, der Internet Engineering Task Force (IETF) vorgelegt wurde.
Dieses Netzwerkprotokoll verschachtelt PPP-Rahmen in IP-Rahmen und überträgt diese über das Internet oder andere öffentliche Netze. PPTP verwendet dieselben Authentifikationsformen, z.B. Extensible Authentication Protocol (EAP), Microsoft Challenge-Handshake Authentication Protocol (MS-CHAP), CHAP oder Password Authentication Protocol (PAP), wie PPP-Verbindungen. Beim Einsatz unter Windows 2000 steht entweder nur EAP-Transport Level Security (EAP-TLS), d.h. Einsatz von Smartcards oder Zertifikaten oder MS-CHAP zur Verfügung, falls Microsoft Point-to-Point Encryption (MPPE) als Verschlüsselung der PPP-Verbindung zum Einsatz kommen soll. MPPE verwendet den Rivest-Shamir-Adleman (RSA)-Verschlüsselungsalgorithmus und kann damit 40-Bit-, 56-Bit- oder 168-Bit-Schlüssel verwenden. Wenn der VPN-Endpunkt allerdings eine höhere Verschlüsselung als der Client verlangt, so wird der Verbindungswunsch abgelehnt. Dabei muss man allerdings feststellen, dass MPPE nur für eine reine Kanalverschlüsselung definiert wurde. Sie unterstützt keine End-to-End-Verschlüsselung. Dafür muss man auf IPSec zurückgreifen, das die IP-Rahmen verschlüsselt, nachdem der PPTP-Tunnel aufgebaut ist.
Die PPTP-Verbindung wird zwischen einem dynamisch zugeteilten TCP-Port des VPN-Clients, und dem reservierten TCP-Port 1723 des VPN-Servers aufgebaut. Danach werden über diese Verbindung die unterschiedlichen Steuerungs- und Verwaltungsnachrichten ausgetauscht, die zum Aufbau und Erhalt eines PPTP-Tunnels nötig sind.
Zusammenfassung der Kapitel
1 Einleitung: Beschreibt die Bedeutung von Netzwerksicherheit in Industrieunternehmen und definiert das Ziel der Arbeit: die Untersuchung sicherer VPN-Verbindungen unter Windows 2000.
2 Grundlagen: Erläutert kryptographische Konzepte, PKI, das Kerberos-Authentifizierungsprotokoll sowie VPN-Technologien wie PPTP und L2TP/IPSec.
3 Untersuchung der Funktionalitäten in Windows 2000: Analysiert die Sicherheitsdienste von Windows 2000, insbesondere RAS, VPN-Optionen, Active Directory und PKI-Implementierung.
4 Beschreibung der Testumgebung: Dokumentiert den Aufbau der Testnetzwerke mit Routern und VPN-Concentratoren zur Simulation einer Firmen-DMZ.
5 Ergebnis: Präsentiert die Resultate der praktischen Tests, einschließlich der Fehleranalyse bei der Verbindung zwischen Windows 2000 und Cisco-VPN-Routern.
6 Aufbau eines Prototypen mit Beschreibung der Installation: Bietet eine detaillierte Anleitung zur Konfiguration der beteiligten Komponenten, inklusive Group Policies und CA-Einrichtung.
7 Weitere Funktionen von Windows 2000 für mobile Benutzer: Stellt zusätzliche Features für mobile Anwender vor, wie Datensynchronisation, EFS und Energieverwaltung via ACPI.
8 Fazit: Fasst zusammen, dass VPN-Lösungen unter Windows 2000 in homogenen Umgebungen stabil arbeiten, jedoch in heterogenen Umgebungen Drittanbieterlösungen erfordern können.
Schlüsselwörter
Remote Access, VPN, Windows 2000, Netzwerksicherheit, PPTP, L2TP, IPSec, PKI, Zertifikate, Active Directory, RAS, Authentifizierung, Verschlüsselung, Cisco, Remote Authentication Dial-In User Service.
Häufig gestellte Fragen
Worum geht es in der Arbeit primär?
Die Arbeit befasst sich mit der Implementierung und Analyse von sicheren Remote-Zugriffslösungen mittels VPN in einem industriellen Windows 2000-Netzwerk.
Welche zentralen Themenfelder werden bearbeitet?
Die Arbeit behandelt VPN-Tunneling-Protokolle, Public Key Infrastructure (PKI), Netzwerksicherheitsdienste von Windows 2000 sowie die praktische Integration von Cisco-Netzwerkhardware.
Was ist das primäre Ziel oder die Forschungsfrage?
Das Ziel ist die Untersuchung der Funktionalität und der Einsatzmöglichkeiten von Windows 2000 als VPN-Endpunkt für mobile Anwender unter Berücksichtigung hoher Sicherheitsstandards.
Welche wissenschaftliche Methode wurde verwendet?
Es wurde eine praxisorientierte Untersuchungsmethode angewandt, bei der spezifische Testumgebungen aufgebaut und die Leistungsfähigkeit sowie Kompatibilität der verschiedenen VPN-Optionen unter Windows 2000 evaluiert wurden.
Was wird im Hauptteil behandelt?
Der Hauptteil gliedert sich in theoretische Grundlagen, eine detaillierte Analyse der Windows 2000-Dienste, den Aufbau von Testumgebungen sowie die Auswertung der Ergebnisse und eine Schritt-für-Schritt-Anleitung für Prototypen.
Welche Schlüsselwörter charakterisieren die Arbeit?
Die Arbeit lässt sich durch Begriffe wie Remote Access, VPN, Windows 2000, PKI, L2TP/IPSec und Netzwerksicherheit beschreiben.
Warum scheiterte der Verbindungsaufbau zum Cisco 2600 Router?
Das Problem lag im ISAKMP/Oakley-Dienst, bei dem die SA-Verhandlung zwischen dem Windows 2000-VPN-Client und dem Cisco-Router aufgrund von Inkompatibilitäten bei den ISAKMP-Attributen nicht erfolgreich war.
Welche Rolle spielt Active Directory bei der VPN-Implementierung?
Active Directory dient als zentrale Verwaltungsinstanz für Sicherheitsrichtlinien, Gruppenrichtlinien und die PKI-Integration, was für die Authentifizierung von VPN-Clients essenziell ist.
- Citar trabajo
- Sebastian Wagner (Autor), 2000, Sicherer Remote Access unter Windows 2000 in einem Industrieunternehmen, Múnich, GRIN Verlag, https://www.grin.com/document/222
