Fragen zu VPN Verbindungen

Internet Internet Sicherheit
#1

Hallo,
sitze gerade während meinen Prüfungsvorbereitungen und bin am verzweifeln. Suche schon seit Ewigkeiten Antworten auf folgende Fragen. Die Fragen brauchen nicht ausführlich sein. sondern knappe Antworten reichen aus.

Hier meine Fragen, mit der großen Bitte und Hoffnung, dass diese auch beantwortet werden.

  • welche vpn arten gibt es eigentlich? (Überall steht was anderes… )
  • Auf welcher Ebene im ISO/OSI-Stack bewegt sich IPSec?
  • Wofür ist IPSec geeignet und wofür nicht?
  • Wie können Alice und Bob sicher sein, dass Mallory nicht in der Mitte hängt?
  • Wie werden die Schlüssel genau ermittelt?

Vielen herzlichen Dank für Anworten.

Viele Grüße
Liza

#2

Hallo Liza,

Da ich gerade mein „VPN-Theorie“-Handbuch verlegt habe, kann ich nur etwas wachsweich antworten.

(1) Arten von VPN
Da jeder was anderes darunter versteht, ist es kein Wunder, dass es viele „Meinungen“ gibt. VPN an sich beschreibt nur, dass es ein Mittel gibt, über öffentliche Übertragungswege private Netzwerke miteinander zu verbinden. Mehr nicht. D.h. es gibt pauschal keine Aussage über z.B. Verschlüsselung oder Authentifizierung / Authentizitätsprüfung.
Typische VPNs werden gebildet über PPTP und GRE (gehört zusammen), L2TP/IPsec (was eine Microsoft-Erfindung ist), IPSec, SSL.

(2) OSI-Stack
IPSec ist ein IP-Protokoll im IP-Protokoll. D.h. außen ist ein Standard-IP-Paket, und der Dateninhalt ist wieder ein IP-Paket, welches verschlüsselt, verhasht usw. sein kann. Damit ist streng genommen, IPSec ein Protokoll in und über Layer 5.

(3) IPSec-Eignung
IPSec ist geeignet für jede Form der verschlüsselten Übertragung über eine „längere“ Zeit. Für Kurzzeitübertragungen, d.h. z.B. Aufbau nur für eine EMail, dann wieder Abbau, ist IPSec nicht geeignet, da der Verbindungsaufbau ressourcenintensiv ist (und entspr. länger dauert). Wenn immer man einen Tunnel zwischen zwei Parteien braucht, kann IPSec eingesetzt werden. Die Parteien müssen nicht-öffentliche Daten ausgetauscht haben, um IPSec-Verbindungen aufbauen zu können.

(4) Man-in-the-Middle
Hier gibt es die Unterscheidung zwischen Angriff (Veränderung) und Lauschen. Beides soll verhindert werden durch automatisches und häufiges Wechseln des Schlüssels. Mallory kann den Verkehr auffangen und weiterleiten, aber nicht verändern, und den Inhalt bei korrekter Verschlüsselung nicht lesen.

(5) Schlüssel-Ermittlung
Das ist ein seeeeeehr kompliziertes Thema. Ohne meinen Anwalt sage ich dazu nichts.

Gruß
Clemens

#3

Hallo Liza,

ich habe 2010 mal eine Abhandlung über VPN geschrieben und als Präsentation gehalten.

Die Zielgruppe waren Systemadminstratoren und Sicherheitschef´s.

Die Abhandlung habe ich noch hier und kann diese Dir zur Verfügung stellen wenn Du magst.
Es werden darin auf alle Deine Fragen eingegangen, implizit auch zu Deiner Frage:

  • Wie können Alice und Bob sicher sein, dass Mallory nicht in der Mitte hängt?

Da ich hier keine PDF anhängen kann und ich zu faul bin alles einzufügen…
Bitte kontaktiere mich unter meiner E-Mailadresse
ilkka (at) online (punkt) de

Grüßle
Ilkka

#4

Hi Liza,

  • welche vpn arten gibt es eigentlich? (Überall steht was
    anderes… )

Die gängigsten und als sicher geltenden Varianten sind IPSec und SSL-VPN.
Beim SSLVPN wird in der Regel eher für Mobile User eingesetzt und bietet zum Beispiel auch Möglichkeiten für Client-Less Zugriff über Webportale

  • Auf welcher Ebene im ISO/OSI-Stack bewegt sich IPSec?

hier passe ich leiber mal um nicht falsches zu schreiben :wink:

  • Wofür ist IPSec geeignet und wofür nicht?

für Site2Site Verbindungen und mobile User via VPN-Client.
Probleme gibt es u.U. wenn Firewalls dazwischen sind auf die man keinen Einfluss hat, da ESP und UDP-Port 800 frei geschaltet sein müssen. Hier ist SSL flexibler, da es den meist offenen Port 443 nutzt und auch über Webproxys läuft.

  • Wie können Alice und Bob sicher sein, dass Mallory nicht in
    der Mitte hängt?

Stichwort: Authentifizierung (über PSK oder Zertifikate)

  • Wie werden die Schlüssel genau ermittelt?

komplexes Thema, ganz grob:
IPSec: Diffie-Hellman-Verfahren (googlen)
SSL: Zertifikat und Asynchrones Schlüssel-Paar des Servers (Der client verschlüsselt seine Anfrage mit dem public key des servers, der im zertifikat steht und nur der server kann die daten mit seinem private key entschlüsseln, über diesen weg wird ein synchroner schlüssel ausgehandelt, details googlen)

Hoffe ich konnte wein wenig helfen.

Gruß Tobi

#5

Hallo L.izzy,

Nun das ist sehr umfangreich, Es gibt PPTP, L2TP, IPsec und wahrscheinlich noch andere.

Aber IPsec hier ausgiebig zu erklären, würde den Rahmen sprengen.

Für meine Prüfung hat mir folgendes geholfen:
http://www.elektronik-kompendium.de/sites/net/090619…

Außerdem kannst Du Dich mal bei Microsoft umsehen.
http://www.microsoft.com/germany/technet/itsolutions…

Gruß

Dirk

Ich habe IPsec-Tunnel in meiner Prüfung zur Absicherung einer WLAN-Verbindung genutzt.

#6

Achso, nochwas:

IPsec arbeitet auf der Vermittlungsschicht. Man beginnt von unten zu zählen! Also Schicht 3 nicht wie oben steht 5.

Gruß nochmal

Dirk

#7

Da ist jemand aber ganz bequem!
Ich versuchs aber trotzdem - wenn auch nur kurz

  • welche vpn arten gibt es eigentlich?

Sito-To-Site, Client-To-Site, Client-To-Client

  • Auf welcher Ebene im ISO/OSI-Stack bewegt sich IPSec?

Layer 3 (wie IP

  • Wofür ist IPSec geeignet und wofür nicht?

Um VPNs aufzubauen, die ausschließlich IP Traffic tunneln. Andere Protokolle (z.B. IPX, AppleTalk) können nicht getunnelt werden. Es verschlüsselt auch nicht auf Applikationsebene (dazu würde man SSL verwenden)

  • Wie können Alice und Bob sicher sein, dass Mallory nicht in der Mitte hängt?

Weil die Daten verschlüsselt werden und der Schlüssel ebenfalls verschlüsselt (asymmetrisch) wird.

  • Wie werden die Schlüssel genau ermittelt?

Welcher? Der symmetrische, der asymmetrisch?

Du scheinst sehr wenig keine Ahnung zu haben. Schaue Dir das nochmals genauer an!

GG

#8

Hallo, das überfordert mein kleines Hirn…

Gruß

Phoenix