VPN & IPSec Flashcards
VPN Sicherheitsmechanismen (5)
- Verschlüsselung
- Authentikatio
- MAC-Funktionen
- Tunneling
- Firewalling
Was bezweckt Verschlüsselung?
Schützt Vertraulichkeit
Was bezweckt Authentikation?
Gewährleistet Eindeutigkeit des Benutzers
Was bezwecken MAC-Funktionen?
Sorgen für die Unversehrtheit der Daten
Was bezweckt Tunneling?
Verschleiert Datentransfer
Was bezweckt Firewalling?
Schützt Netzwerkressourcen
VPN als Gateway (5)
- Unabhängig von Workstation und Betriebssystem
- Sicherheitsfunktionen für Endsysteme, welche sonst keine bekommen könnten (z.B. Terminals)
- Gleiche Gateways bei heterogenen Systemen (Versch. HW/SW/OS/..)
- Gateway leichter sicher zu realisieren als Softwarelösung
- Sicherheit ist anwendungsunabhängig
VPN als Client (3)
- Kostengünstiger als ein Gateway
- Ende-zu-Ende Sicherheit
- Authentisierung einer Person
IPSec
Sicherheitsstandard für den geschützten IP-Datentransfer.
Entwickelt von der Internet Engineering Task Force (IETF)
IPSec ergänzt ..
.. das bestehende IPv4 um Fähigkeiten
IPSec ergänzt IPv4 um folgende Fähigkeiten (5)
- Kommunikationspartner authentisieren
- gegen Verkehrsflussanalyse schützen
- jedes Paket kann gegen Manipulation und Wiedereinspielung geschützt werden
- Jedes Packet kann verschlüsselt werden
Wieviele und welche Modis gibt es für IPSec?
Zwei verfügbare Modis 1. Transport Mode 2. Tunnel-Mode
Was macht der Transport-Mode?
Verschlüsselung der Daten
Was macht der Tunnel-Mode?
Verschlüsselung des IP-Headers und der Nutzdaten (Sandwichartig)
Kürzel “AH”
Authentication Header
Was bringt der AH?
Integrität und Authentizität der IP-Pakete durch HMAC
Kürzel “HMAC”?
Keyed Hash Message Authentication Code
Was wird durch den AH ermöglicht? (3)
- Datenunversehrtheit
- Authentisierung
- Anti-Replay-Schutz (optional)
Kürzel “ESP”
Encapsulated Security Payload
Was bringt die ESP?
Verschlüsselung des IP-Pakets durch sym. Verschlüsselung
Was wird durch die ESP ermöglicht? (4)
- Datenunversehrtheit (optional)
- Authentisierung (optional)
- Anti-Replay Schutz (optional)
- Verschlüsselung (optional)
Vorteile bei Verwendung von AH und ESP? (3)
- Authentisierung von AH bezieht sich auch auf IP-Header
- Kombination bietet Vorteile im Sicherheitsbereich
- Allerdings benötigt mehr Ressourcen auf beteiligten Systemen
Transport Modus (VPN) wird eingesetzt bei ..
… 1:n oder M.N-VPN’s (z.B. Host-to-Host)
Was geschieht beim Transport Modus? (3)
- Es wird ein IPSec-Header zwischen Originalem IP-Header und Nutzlast eingefügt.
- Nur Payload des Pakets verschlüsselt
- IP-Header weiterhin fürs Routing verwendet
Struktur beim Transport Modus?
Original IP-Header -|- IPSec-Header -|- Nutzlast
Tunnel Modus (VPN) wird eingesetzt bei ..
1:1-VPNs z.B. bei zwei Gateways
Was geschieht beim Tunnel Modus?
- Ursprüngliches IP-Paket komplett verschlüsselt als Nutzlast des IPSec-Pakets
- Neuer IP-Header addressiert die Tunnelenden statt das eigentliche Ziel
- Original IP-Header erst nach dem auspacken am Tunnelende verwendet
Wer muss “IPSec” sprechen können?
Die Tunnelenden
Was bleibt einem Angreifer im Tunnelmodus verborgen?
Wenn aktiviert, die “echte” IP-Adresse
Struktur Tunnel-Modus
Neuer IP-Header -|- IPSec Header -|- Original IP-Header -|- Nutzlast
Aufbau VPN als Gateway (Bild)
Aufbau VPN als Client (Bild)
Aufbau des IP-Pakets mit AH Header im Tunnel (Bild)
Aufbau des IP Pakets mit ESP im Tunnel (Bild)
Aufbau eines IP Pakets mit Ah header und ESP im Tunnel (Bild)
Def. VPN
Ein VPN versucht, private und öffentliche Netzwerke zu kombinieren,
indem das
öffentliche Netzwerk als Trägernetzwerk für die private Kommunikation
benutzt wird
Kürzel IPSec
Internet Protocol Security
Transport Mode =
= Verschlüsselung der Nutzdaten
Tunnel Mode =
Verschlüsselung des IP-Headers und der Nutzdaten
Kürzel SA
Security Association
Wofür sind SA’s verantwortlich?
Policy
Algorithmen
Mechanismen
Key Management
Kriterien für die Auswahl von VPN-Lösungen
Vertrauenswürdigkeit
Offenheit und Transparenz der Sicherheit
Nachweis geprüfter Sicherheit
Ohne staatliche Restriktionen
Was sind staatliche Restriktionen?
Reduzierte Schlüssellängen
Key Recovery
Key Escrow
Trapdoors
SPI ist ein …
… beliebiger 32-Bit Wert, der in Kombination mit Ziel IP-Adresse
und dem
Security Protocol eindeutig die SA für dieses Paket definiert
Die Sequence Number ist ..
… ein 32-Bit Feld und beinhaltet einen Zähler (Replay-Angriff)
Payload Data ist ein …
… Feld variabler Länge, dass das originale IP-Paket beinhaltet
Padding wird zum …
… Auffüllen genutzt (0-255 Bit), falls der Verschl. Mode dies erfordert
Pad Length beschreibt …
… die Länge des Feldes Padding
Authentication Data beinhaltet den ..
… ICV,
berechnet über das ESP ohne den Authentication Data Anteil
Kürzel ICV
Integritiy Check Value
Wie kommt die Herstellung zur SA zustande?
wer enthält Informationen
wer nicht
Header enthalten selbst keine Information
Verweis ist in der SPI - auf eine Datenstruktur mit den Informationen
Die SA legt welche Informationen fest?
Alle Informationen
die für die
Verbindung zwischen zwei Security Gateway
benötigt werden
Informationen die in einer SA enthalten sind (9)
- SPI
- IPSec-Service (AH oder ESP oder beide)
- Modus (Tunnel, Transport)
- Quell- & Ziel-IP-Adresse, evtl. Adresse Gateway
- evtl. genutzte Protokolle, Quell & Zielportnummer
- Algorithmen und Schlüssel für die SA
- Sequenznummer
- Dauer und Gültigkeit der SA
- Statusinformation der Anti-Replay-Windows
