Forum zu unserer Umschulung im Informatikbereich - Win 2000 Server

Win2000Server

 Win2000Server

Wie kommt man von außen übers Internet an unseren Server?(IP-Adresse)

Re: Win2000Server

VPN (Virtual Private Networks) mit IPsec
Was ist ein VPN
Ein VPN dient dem Geldsparen!
Statt der Nutzung teurer Modemstrecken oder angemieteter Kanäle in z.B. Framerelay-Netzwerken setzt die VPN-Technik das Internet als "Trägermedium" ein.
Durch den Einsatz eines VPN ist es möglich, dass sich ein Dienstreisender (aber auch ein Mitarbeiter am Tele-Arbeitsplatz bzw. im Home Office) unter Nutzung des Internets in sein Firmennetzwerk einwählt. Ein VPN ist hier(mit) die günstige Alternative zu klassischen Dial-In-/ Remote Access-Lösungen.
Darüberhinaus können VPN aber auch zur Kopplung zweier Unternehmensstandorte (anstelle der von Standleitungen) eingesetzt werden (sog. Site To Site oder Branch To Branch Verbindung).
Nachfolgend wird die Arbeitsweise eines VPN, das das IPsec-Protokoll nutzt, beschrieben.


Funktionsweise von VPN
Wie in der Animation zu sehen ist, findet zunächst eine Einwahl ins Internet statt (bei einem Zugang per Notebook z.B. mittels PPP). Hierzu kann ein beliebiger Provider und eine jede verfügbare Zugangstechnik (z.B. also auch DSL, HSCSD etc.) verwendet werden! Anschließend erfolgt der Aufbau eines sicheren "Tunnel" zwischen dem VPN-Client und dem VPN-Server. Hierbei muss sich der VPN-Client gegenüber dem VPN-Server authentisieren. Das erfolgt im einfachsten Fall per Username/ Password (bei einer Site To Site Verbindung Shared Secret genannt), bei höheren Sicherheitsanforderungen mittels Token-Card oder öffentlichem Schlüssel/ Zertifikat. Erst nach erfolgreicher Authentisierung wird der verschlüsselte IPsec-Tunnel aufgebaut, über den dann ein absolut abhörfreier Datenverkehr ins Unternehmensnetz hinein (bzw. von Standort zu Standort) erfolgen kann. Hierbei ist der VPN-Client im allgemeinen so konfiguriert, dass er nach dem Aufbau des Tunnels keine Verbindung zum Internet mehr besitzt und von dort auch nicht mehr angesprochen werden kann (Unterbinden des sog. Split-Tunnel). Gleichzeitig bekommt der Client eine IP-Adresse aus dem Firmennetzwerk (Intranet) zugewiesen (z.B. eine private Adresse), die bei Remote Access eineindeutig mit dem Usernamen des Anwenders gekoppelt ist. Auf diese Weise ist es möglich, bei Bedarf das firmenseitige Ende des Tunnels noch durch eine Firewall zu sichern.


Sicherheitsbetrachtungen
Authentisierung
Der VPN-Server befindet sich ¨mitten im Internet¨ und ist prinzipiell über jeden IPsec-Client direkt erreichbar. VPN-Clients sind Bestandteil vieler Sicherheitsprodukte (wie z.B. F-Secure VPN+ und PGP Desktop Security) bzw. sind im Betriebssystem (z.B. Windows 2000) direkt enthalten. Hierdurch ist ein VPN-Server natürlich ein potentielles Ziel für Eindringversuche aus dem Internet. Aufgrund der weltweiten Verfügbarkeit und der Anonymität ist diese Gefahr hier ungleich höher, als bei ¨klassischen¨ Dial-In-/ Remote Access Lösungen. Deswegen sollte die Zugangskontrolle eines interaktiven Users nicht auf Username und Password beschränkt bleiben. Es empfiehlt sich dringend, sog. Token- oder Smart-Cards einzusetzen, wie sie z.B. SecurId (RSA Security), ActivCard (ActivCard) oder i-key (Rainbow Technologies).
Die Gefährdung ist im Umfeld von Site To Site Verbindungen als weniger kritisch anzusehen, da hier das Shared Secret in den Systemen selbst gespeichert ist und daher - im Gegensatz zu ¨normalen¨ Passwords - beliebig lang und kompliziert gewählt werden kann. Trotzdem empfiehlt sich auch hier - zumindest langfristig - der Einsatz von digitalen Zertifikaten!


Angreifbarkeit/ Split Tunnel
Wenn es bei der Installation der Client-Software nicht explizit gewünscht/ konfiguriert wird (das sog. Split Tunneling erlaubt wird), ist ein Rechner nach dem Aufbau des IPsec Tunnels vom Internet aus nicht mehr sichtbar. Man spricht dann auch von einem gehärteten Protokoll-Stack. Auf dieses Weise ist der PC geschützt vor Trojaner Angriffen oder Denial Of Service Attacks aus dem Internet. Es wird hierfür also keine Desktop-Firewall benötigt.
Hier gilt - wie auch für die Verschlüsselung:


Angriffe aus dem Intranet sind weiterhin möglich!
Verschlüsselung
Da bei/ für IPsec starke Verschlüsselungsalgorithmen (z.B. Triple DES) verfügbar sind, ist der Tunnel - nach dem heutigen Stand der Kryptologie - als absolut sicher zu betrachten (vgl. auch Schlüssellängen). Dies gilt natürlich nur für die Strecke vom Client bis zum VPN-Server. Die Daten im Intranet sind - wenn keine zusätzlichen Maßnahmen getroffen wurden - auch weiterhin nicht geschützt (s.o.)!

Sicherung des VPN-Servers durch eine Firewall
Zumindest bei dedizierten VPN-Servern (z.B. von CISCO oder Nortel) existieren zum Internet hin keinerlei (offenen) Ports (mit Ausnahme des für den Schlüssaustausch [IKE] benötigten UDP-Port 500), so dass hier durch eine Firewall kein zusätzlicher Schutz geboten werden kann. Dies umso mehr, als auf den mit IPsec verschlüsselten Datenverkehr logischer Weise noch nicht einmal eine Content-Check angewendet kann. Eine Firewall würde hier also nur die Performance reduzieren - und würde zusätzlich Geld kosten!
Soll aus einem durch Firewall geschützten Netz eine VPN-Verbindung aufgebaut werden, dann müssen - neben dem oben bereits erwähnten UDP-Port 500 (in beiden Richtungen!) - auf IP-Ebene noch die Protokolle 50 (ESP) und 51 (AH) freigegeben werden (vgl. auch IPsec).

Alternativen zu IPsec
Es gibt - neben IPsec - auch andere Protokolle, mit denen ein VPN aufgebaut werden kann.
Eine weitere beliebte Methode ist die Nutzung des von Microsoft entwickelten PPTP. Dieses ist jedoch, wie man der Presse entnehmen kann - aufgrund seiner Implementierungsschwächen bei der zur Encryption notwendigen Schlüsselverwaltung als wesentlich unsicherer einzustufen und nicht zu empfehlen! Darüberhinaus verfügt es über keine Paket-Integritätsrüfung!
Eine Gegenüberstellung und Beschreibung der wichtigsten Tunneling-Protokolle finden sie hier!

Also bis denne
Ralf