In dieser Diplomarbeit werden die Migrationsmöglichkeiten der Umstellung einer bestehenden Virtual Private Network (VPN)-Installation am Beispiel der Universität Regensburg auf Authentisierung anhand von digitalen X.509-Zertifikaten untersucht. Dabei werden allgemeine Einführungen in die Internet Protocol Security (IPsec)-Suite, Public-Key-Kryptographie und eine Public-Key-Infrastruktur (PKI) sowie deren Beziehungen untereinander gegeben.
Inhaltsverzeichnis
1 Hintergrund und Ausgangssituation
1.1 Virtual Private Networks
1.2 IPsec-Protokoll-Suite
1.2.1 Authentication-Header-Verfahren
1.2.2 Encapsulating-Security-Payload-Verfahren
1.2.3 Security Associations
1.2.4 Internet Key Exchange
1.3 Ausgangssituation: VPN der Universität Regensburg
1.3.1 Technische Daten und Leistungsmerkmale der Cisco VPN Hard und Software
1.3.2 VPN-Topologie an der Universität Regensburg
1.3.3 Nutzung des VPN aus Benutzersicht
1.3.4 Nutzung des VPN aus technischer Sicht
1.4 VPN an der Fachhochschule Regensburg
2 Authentisierung mit X.509-Zertifikaten
2.1 Motivation und Hintergrund
2.2 Public-Key-Kryptographie
2.2.1 RSA
2.2.2 Public-Key-Infrastruktur
2.2.3 X.509-Zertifikate
2.2.4 Erzeugen und Signieren von X.509-Zertifikaten mit OpenSSL
2.3 Symmetrische Authentisierung mit X.509-Zertifikaten im VPN
2.3.1 Konfiguration
2.3.2 Funktionsweise
2.3.3 CGI-Skript für die Ausstellung von X.509-Zertifikaten
2.4 Hybrid Authentication mit X.509-Zertifikaten im VPN
2.4.1 Konfiguration
2.4.2 Funktionsweise
3 Schlussfolgerung
Zielsetzung & Themen
Die Diplomarbeit untersucht die Tauglichkeit von X.509-Zertifikaten als sichere Alternative zur bestehenden, mit Sicherheitsmängeln behafteten XAUTH-Authentifizierung im Virtual Private Network (VPN) der Universität Regensburg.
- Analyse der Sicherheitsrisiken von XAUTH in der aktuellen VPN-Umgebung.
- Grundlagen und Implementierung von Public-Key-Kryptographie und X.509-Zertifikaten.
- Konfiguration und Praxiserprobung symmetrischer Authentisierung mit X.509-Zertifikaten.
- Untersuchung der "Hybrid Authentication" als alternatives Sicherheitsmodell.
- Automatisierung der Zertifikatsausstellung mittels CGI-Skripten.
Auszug aus dem Buch
1.1 Virtual Private Networks
Ein Virtual Private Network (VPN) dient der Übertragung privater Daten zwischen Endpunkten, auch VPN-Peers genannt, in einem öffentlichen Netzwerk wie dem Kundennetzwerk eines Telekommunikationsanbieters oder dem Internet. Die Übertragung der Nutzdaten zwischen den Endpunkten findet dabei über einen so genannten VPN-Tunnel statt. Dadurch entsteht ein virtuelles Netzwerk, in dem die Endpunkte wie in einem lokalen Netzwerk miteinander kommunizieren können. Im einfachsten Fall ist daher ein mit dem Generic Routing Encapsulation (GRE)-Protokoll realisierter und über ein öffentliches Netzwerk verlaufender Tunnel ein VPN. Damit lassen sich beispielsweise nicht-routbare Transportprotokolle wie das Local Area Transport (LAT)- Protokoll der Digital Equipment Corporation über das Internet hinweg benutzen. Die privaten Daten werden dabei nicht durch das VPN geschützt, das heißt sie können beim Transport über das öffentliche Netzwerk potentiell durch Dritte manipuliert und abgehört werden. Ein VPN, bei dem auf die Sicherheit der privaten Daten beim Transport über das öffentliche Netzwerk vertraut wird, wird als ein Trusted VPN bezeichnet.
Durch Verwendung eines kryptographisch sicheren Kommunikationskanals (siehe „The Secure Channel“ [8, S. 111 ff.]) für den VPN-Tunnel können die Manipulation und das Abhören der privaten Daten durch Dritte im öffentlichen Transportnetz unterbunden werden. Die privaten Daten werden dabei zur Verhinderung von Manipulation authentisiert und zur Verhinderung von Abhören verschlüsselt. Ein derart geschütztes VPN wird als ein Secure VPN bezeichnet.
Werden die Endpunkte vor dem Aufbau des VPN-Tunnels zusätzlich gegenseitig authentifiziert, lässt sich die Nutzung des VPN durch Dritte und damit der unbefugte Zugriff auf das lokale Netzwerk verhindern. Durch die Authentifizierung der Endpunkte lässt sich ein VPN auch dazu benutzen, um bei Anwendungsprotokollen, die selbst keine Authentifizierungsmechanismen bereitstellen, dennoch eine Nutzungsberechtigung sicherzustellen.
Zusammenfassung der Kapitel
1 Hintergrund und Ausgangssituation: Einführung in VPN-Technologien, IPsec und eine detaillierte Beschreibung der spezifischen VPN-Umgebung an der Universität Regensburg sowie deren Hardware- und Softwarekomponenten.
2 Authentisierung mit X.509-Zertifikaten: Theoretische Grundlagen zu Public-Key-Kryptographie, PKI und X.509-Zertifikaten sowie die praktische Implementierung symmetrischer und hybrider Authentisierungsmethoden im VPN.
3 Schlussfolgerung: Zusammenfassende Bewertung der untersuchten Authentisierungsmethoden hinsichtlich ihrer Eignung für das VPN der Universität Regensburg unter Berücksichtigung von Sicherheitsaspekten und administrativem Aufwand.
Schlüsselwörter
VPN, IPsec, X.509-Zertifikate, XAUTH, Public-Key-Kryptographie, Authentisierung, Hybrid Authentication, Cisco VPN Concentrator, Netzwerksicherheit, Public-Key-Infrastruktur, PKI, Man-in-the-Middle-Angriff, OpenSSL, Zertifizierungsstelle, NDS-Account.
Häufig gestellte Fragen
Was ist der Kern dieser Diplomarbeit?
Die Arbeit analysiert die Sicherheit der bestehenden XAUTH-basierten Benutzerauthentisierung im VPN der Universität Regensburg und evaluiert X.509-Zertifikate als sichere Alternative.
Welche zentralen Themenfelder deckt die Arbeit ab?
Neben den Grundlagen von VPN-Technologien und IPsec behandelt die Arbeit ausführlich Public-Key-Infrastrukturen (PKI), das Erzeugen von X.509-Zertifikaten mit OpenSSL sowie deren Integration in bestehende Cisco VPN-Lösungen.
Was ist die Forschungsfrage?
Das primäre Ziel ist es, zu überprüfen, ob die Authentisierung mit X.509-Zertifikaten und damit verbundene Methoden eine taugliche und sichere Alternative zur derzeit verwendeten XAUTH-Methode darstellen.
Welche wissenschaftliche Methode wird eingesetzt?
Die Arbeit kombiniert theoretische Analysen technischer Spezifikationen (RFCs) mit einem praktischen Teil, in dem verschiedene Authentisierungsszenarien in einer Testumgebung konfiguriert und mittels Netzwerkanalyse (Ethereal) untersucht wurden.
Was wird im Hauptteil behandelt?
Der Hauptteil gliedert sich in eine Bestandsaufnahme der VPN-Infrastruktur der Universität Regensburg, eine fundierte Einführung in die Public-Key-Kryptographie sowie detaillierte Anleitungen zur Konfiguration von symmetrischer Authentisierung und "Hybrid Authentication".
Welche Schlüsselbegriffe prägen die Arbeit?
Zentrale Begriffe sind Virtual Private Network (VPN), IPsec, X.509-Zertifikate, Public-Key-Infrastruktur (PKI) und XAUTH.
Warum wird die bestehende XAUTH-Methode kritisiert?
Die Arbeit zeigt auf, dass XAUTH in der aktuellen Konfiguration Sicherheitsmängel aufweist, die Angreifern bei Kenntnis des Gruppenpassworts Man-in-the-Middle-Angriffe ermöglichen können.
Welche Rolle spielt das CGI-Skript im praktischen Teil?
Das entwickelte CGI-Skript "cert.pl" automatisiert die Ausstellung von Zertifikaten für NDS-Benutzer und senkt so den administrativen Aufwand für das Rechenzentrum bei der Implementierung einer zertifikatsbasierten Authentisierung.
- Arbeit zitieren
- Marius Strobl (Autor:in), 2006, Authentisierung mit X.509-Zertifikaten in einem Virtual Private Network, München, GRIN Verlag, https://www.grin.com/document/232802
