VPN: Virtual Private Network

1
VPN Virtual Private Network

• Präsentiert von
• Abouchdak und Ben Guirat

2
DEFINITION

• Was ist eigentlich ein Virtual Private Network
  (VPN)?

3
Definition Was ist eigentlich ein VPN?

• Laut dem deutschen Duden
• Virtual - dem Wesen nach geltend, möglich,
  scheinbar
• Private - nicht öffentlich, persönlich,
  vertraulich
• Network - Datenkommunikationssystem für
  Übermittlung und Übertragung von Signalen

4
Definition Was ist eigentlich ein VPN?

• Übliche Bezeichnung
• Virtual Virtuelles
• Private Privates
• Network - Netz

5
Definition Was ist eigentlich ein VPN?

• Der Begriff VPN ist in der Fachpresse weit
  verbreitet.
• Es existiert eine Vielzahl von unterschiedlichen
  Definitionen.

6
Definition Was ist eigentlich ein VPN?

• Mögliche Definition
• Ein Virtual Private Network ist ein Netzwerk, das
  aus mindestens zwei Teilnetzwerken (bzw.
  Teilnehmern) besteht, die über öffentliche
  Leitungen (z.B. dem Internet) miteinander
  verbunden sind und bei dem die Vertraulichkeit,
  Integrität und Authentizität der Daten bei der
  Datenkommunikation gewährleistet werden soll.

7
VPN Anforderungen

• Welche Anforderungen werden an das VPN gestellt?

8
VPN Anforderungen

• Durch Einsatz bestimmter VPN-Technologien sollen
  folgende Anforderungen erfüllt werden
• Sicherheit
• Performance
• Migrationsfähigkeit und Skalierbarkeit
• Integration in existierende Netze
• Verfügbarkeit

9
VPN Anforderungen Sicherheit

• Zentrale Bedeutung hat Sicherheit
• weil Kommunikation durch öffentlicher Netwerke
  bedeutet die Möglichkeit für den Angreifer, den
  Datenstrom abzuhören und sogar zu verändern
• deshalb Einsatz der Mechanismen die den
  Datentransport sicher machen

10
VPN Anforderungen Performance

• Einsatz aufwendiger Verschlüsselungsmechanismen
  bei breitbandiger Strecken in Echtzeit zur
  Gewährleistung der Sicherheit kann problematisch
  sein und stellt hohe Anforderungen an die Hardware

11
VPN Anforderungen Migrationsfähigkeit und
Skalierbarkeit

• Einsatz der offenen Standards zur Meidung der
  Bindung an einen einzigen Hersteller
• ? freie Produktwahl für eventuelle Erweiterungen
  des VPNs
• VPN-Lösung und deren einzelner Komponenten
  sollen zu späteren Zeitpunkten erweiterbar sein
  (Updates, usw.)

12
VPN Anforderungen Integration in existierende
Netze

• VPN-Lösung muss sich in die vorhandene
  Netzwerk-Infrastruktur integrieren lassen
• Einfache Eingliederung in das
  Sicherheitskonzept des vorhandenen Netzwerkes um
  somit die Authentifizierung und Verschlüsselung
  zu gewährleisten

13
VPN Anforderungen Verfügbarkeit

• Um keine Nachteile im Datenverkehr zu erlangen,
  sollte die Verfügbarkeit eines VPNs mit der einer
  herkömmlichen und zu ersetzenden
  WAN-Infrastruktur gleichgesetzt werden können.

14
Sicherheitsproblematik

• Welche Bedrohungen gibt es?
• Welche Sicherheit garantiert VPN?

15
Sicherheitsproblematik Bedrohungen

• Abhören von Daten
• Datengewinnung durch das Belauschen des Netzwerks
  (sniffen)
• Der Angreifer kann so unverschlüsselte Daten im
  Klartext lesen und somit Passwörter oder
  Dokumente herausfiltern und rekonstruieren.
• physikalischer Zugang zum Netzwerk notwendig
  (WLAN, Hub.).

16
Sicherheitsproblematik Bedrohungen

• Datenmanipulation
• Angreifer ist gewillt, Daten des Netzwerkverkehrs
  zu löschen, zu verändern oder falsche
  Informationen in den Verkehr einzuspielen.

17
Sicherheitsproblematik Bedrohungen

• Datenmanipulation
• Einige dieser Bedrohungen für Datenmanipulation
  sind
• IP-Spoofing
• Man-in-the-Middle-Angriff
• Session Hijacking
• Missbrauch des Source-Routing
• Missbrauch der Routing-Protokolle

18
Sicherheitsproblematik Bedrohungen

• Verhindern von Diensten
• auch als "Denial of Service" ( DoS ) bezeichnet.
  
• Störung und das Verhindern des
  Informationsflusses im ausgewählten System.
  (mittels Überlastung des Systems oder über
  Abtrennung einzelner Netzwerkkomponenten).
• Systeme können übernommen oder sogar zum Absturz
  gebracht werden.

19
Sicherheitsproblematik VPN-Sicherheit

• Funktionen
• Datenvertraulichkeit
• Datenintegrität
• Schlüsselmanagement
• Paket-Authentifizierung
• Benutzer-Authentifizierung
• Benutzer-Authorisierung

20
Sicherheitsproblematik VPN-Sicherheit

• Funktionen gt Datenvertraulichkeit
• Unbefugten wird der Zugang zu den versendeten
  Daten verwehrt wird
• Einsatz der Verschlüsselung der zu sendenden
  Datenpakete (Verfahren wie DES oder 3DES)

21
Sicherheitsproblematik VPN-Sicherheit

• Funktionen gt Datenintegrität
• Sichergestellung, dass keine Veränderungen der
  Daten auf deren Transportwegen erfolgen
• Die Datenintegrität und die Paket-Authentifizieru
  ng werden oftmals mittels ein und dem selben
  Verfahren realisiert.

22
Sicherheitsproblematik VPN-Sicherheit

• Funktionen gt Schlüsselmanagement
• Prüfung und rechtzeitige Erneuerung der
  Schlüssel
• Die Schlüssel für die Datenverschlüsselung
  müssen oft erzeugt werden

23
Sicherheitsproblematik VPN-Sicherheit

• Funktionen gt Paket-Authentifizierung
• Jedes einzeln eintreffende Datenpaket muss
  authentifiziert werden zur Sicherstellung, dass
• ?ankommendes Datenpaket unverfälscht vom
  authentischen Absender übersendet wurde
• ?Einsatz spezielle symmetrische
  Verschlüsselungsverfahren, so genannte
  Keyed-Hash-Algorithmen (MD5 SHA)

24
Sicherheitsproblematik VPN-Sicherheit

• Funktionen gt Benutzerauthentifizierung
• Identitätsfeststellung mittels Authentifizierung
  der Kommunikationspartner.
• Einsatz von Kern-Mechanismen in VPNs -
  Authentifizierung (Authentication) -
  Verschlüsselung (Encryption)

25
Sicherheitsproblematik VPN-Sicherheit

• Authentifizierung
• Paketauthentifizierung
• IPSec ( durch AH und ESP )
• Email-Verschlüsselungsverfahren mittels
  Einweg-Hash-Funktionen ( MD5, SHA,... )
• User-Authentifizierung
• Passwort-Verfahren wie PAP und CHAP

26
Sicherheitsproblematik VPN-Sicherheit

• Verschlüsselung
• Wegen ihrer hohen Geschwindigkeit werden in der
  Praxis für die Verschlüsselungen symmetrische
  Verschlüsselungsverfahren eingesetzt, z.B.
• IPSec (kommt ESP zum Einsatz, realisiert durch (
  DES, 3DES, IDEA, Cast, Blowfish )
• Das PPTP ( Layer-2 ) definiert durch MPPE

27
VPN Typen

• Welche VPN Typen gibt es?

28
VPN Typen

• Vier Kategorien
• Remote - Access VPN
• Intranet VPN
• Branch-Office VPN
• Extranet VPN

29
VPN TypenKategorien

• Remote - Access VPN
• auch als End-to-Site oder Host-to-Network
  bezeichnet
• Bei dieser Topologie wird gewährleistet, dass
  sich Mitarbeiter, die zuhause arbeiten (
  Home-Office ) oder als Außendienstmitarbeiter
  tätig sind, über einen Internet Service Provider
  (ISP) in das Firmennetzwerk einwählen können.
  Somit hat der Remote-Access User von seinem
  lokalen System Zugriff auf das Netzwerk.

30
VPN TypenKategorien

• Intranet VPN
• Einsatz des VPN auch in einem lokalen
  "öffentlichen" Netz ?Intranet
• Vermeidung der Betriebsspionage
• ?Schutz hochempfindlicher Daten und ganzer
  Teilnetze vor unautorisiertem Zugriff (VLAN).

31
VPN TypenKategorien

• Branch-Office VPN
• auch als Network-to-Network oder
• Site-to-Site bezeichnet
• Verbindung zwei Intranets (firmenintern, d.h.
  Anbindung einzelner Firmenstandorte.)
• Zur Kostenreduzierung werden die einzelnen
  Teilnetze eines Unternehmens mittels VPN-Gateways
  über das Internet verbunden.

32
VPN TypenKategorien

• Extranet VPN
• ähnelt der Branch-Office VPN
• Der Unterschied liegt im Teilnehmerumfeld
  externe Teilnehmer ( Teilnetze ) sind
  Bestandteile dieser Topologie.
• Gewährung ausgewählten Geschäftspartnern,
  Zulieferern oder Kunden Zugriffs auf bestimmte
  Bereiche des unternehmensinternen Netzwerkes.

33
VPN - Technologie

• Welche Technologie kommt zum Einsatz?

34
VPN Technologie

• Tunneling
• Sicherheits-Protokolle

35
VPN TechnologieTunneling

• Ist ein Konzept, mit dem Beliebige Datenpakete
  über ein ( unsicheres ) Transitnetz im
  Huckepackverfahren sicher weitergeleitet werden
  können.

36
VPN TechnologieTunneling

• Ist ein Konzept, mit dem Beliebige Datenpakete
  über ein ( unsicheres ) Transitnetz im
  Huckepackverfahren sicher weitergeleitet werden
  können.
• Modelle
• Provider-Enterprise-Modell
• Ende-zu-Ende-Modell

37
VPN TechnologieTunneling

• Modelle gt Provider-Enterprise-Modell
• sowohl die Service Provider als auch Endkunden
  in das Tunneling sind involviert
• Das primäre Einsatzgebiet sind
  Remote-Access-VPNs aber auch in
  Branch-Office-VPNs.

38
VPN TechnologieTunneling

• Modelle gt Ende-zu-Ende-Modell
• Der Tunnel wird hier ausschließlich vom Kunden
  aufgebaut
• Der Remote-Access-Client wählt sich in POPs der
  Service Provider ein und eine spezielle
  VPN-Clientsoftware im Endgerät des Kunden baut
  dann den Tunnel zum gewünschten VPN-Gateway im
  Firmennetzwerk auf.

39
VPN TechnologieSicherheits-Protokolle

• Übersicht
• Sicherheitsansprüche an zu übersendende Daten
  immer weiter angewachsen.
• Da das TCP/IP-Protokoll keine Sicherheit im
  internetbezogenen Datenverkehr bietet, wurde das
  OSI Referenzmodell um weitere Sicherheitsprotokoll
  e erweitert.

40
VPN TechnologieSicherheits-Protokolle

• Typen
• Layer 2 Technik
• Layer 3 Technik
• IPSec
• Internet Key Exchange (IKE)

41
VPN in der Praxis

• Welche VPN-Lösungen werden angeboten?

42
VPN in der Praxis

• Für die Implementierung der VPN stehen
  verschiedene Varianten zur Verfügung
• Hardware Based VPN
• Router Based VPN
• Software Based VPN
• Firewall Based VPN

43
VPN in der PraxisVarianten

• Hardware Based VPN
• hohe Bandbreiten
• Komponenten Router mit ganz speziell für die
  Verschlüsselung optimierten Prozessoren und
  Hardware
• Anwendungsbereich der Hardwarelösung liegt eher
  im Network-to-Network Bereich

44
VPN in der PraxisVarianten

• Router Based VPN
• Router sind in vielen Unternehmen die
  Schnittstelle zum Internet.
• Viele Hersteller von Routern haben deshalb meist
  schon VPN-Funktionen in das Betriebssystem
  implementiert.
• Die Software und das Betriebssystem Routers sind
  vom selben Hersteller.

45
VPN in der PraxisVarianten

• Software Based VPN
• Diese Lösungen arbeiten zusätzlich zu anderen
  Diensten auf dafür bereitgestellten Servern
• Softwarelösung als Unterstützung für die
  gängigen Standards
• Die Sicherheit und Qualität einer solchen
  Software hängt oft vom darunter liegenden
  Betriebssystem ab.

46
VPN in der PraxisVarianten

• Firewall Based VPN
• Viele Unternehmen leiten ihren gesamten externen
  Datenverkehr zu einer Firewall, mit der diese
  VPN-Lösung demzufolge arbeitet.
• Die Konfiguration erfolgt mittels dem Management
  der Firewall ( weitere VPN-Funktionen installiert
  ).
• Die bestehende Netzwerkstruktur bleibt in der
  Regel unverändert.

47
VPN Fazit und Ausblick

• Wie sieht die Zukunft von VPN aus?

48
VPN Fazit und Ausblick

• im Laufe der letzten Jahre die Anzahl von VPNs
  hat sich enorm erhöht.
• Die Gründe
• Unternehmen arbeiten global mit vielen
  Außendienstmitarbeitern/Tochterfirmen/Lieferanten
  zusammen
• Sicherheit der Datenkommunikation.
• Kosteneffektivität

49
VPN Fazit und Ausblick

• Die Zukunft von Virtual Private Networks sieht
  sehr gut aus.
• Wirtschafts-Institute prognostizieren für VPNs
  große Wachstumsraten in der Zukunft

50
VPN Fazit und AusblickFirmen und VPN
51
Future of VPN Companies with VPN
52

• Vielen Dank für Ihre Aufmerksamkeit!