Analyse und Vergleich von VPN-Protokollen
- Art: Diplomarbeit
- Autor: Ronny Kämpfe
- Abgabedatum: Mai 2005
- Umfang: 118 Seiten
- Dateigröße: 4,3 MB
- Note: 2,0
- Institution / Hochschule: Hochschule Mittweida (FH) Deutschland
- ISBN (eBook): 978-3-8324-9692-0
-
ISBN (Paperback) :
978-3-8324-9692-0 P - ISBN (CD) :978-3-8324-9692-0 CD
- Sprache: Deutsch
- Prämierung:
- Arbeit zitieren: Kämpfe, Ronny Mai 2005: Analyse und Vergleich von VPN-Protokollen, Hamburg: Diplomica Verlag
- Schlagworte: IPSec, OpenVPN, PPTP, L2TP, Netzwerk
In den Warenkorb
48,00 €
Diplomarbeit von Ronny Kämpfe
Einleitung:
SomSoft ist an der Entwicklung eines Service-Management-Systems beteiligt, dessen Komponenten per TCP/IP über das Internet miteinander kommunizieren und vertrauliche Daten austauschen. Da diese Daten bisher ungeschützt übertragen und die Komponenten je nach Anwendungsfall in unterschiedlichen Netzstrukturen verbunden werden, soll ermittelt werden, welche VPN-Lösung zum Schutz der Daten in den verschiedenen Fällen geeignet ist.
Dabei ist es Aufgabe der Diplomarbeit eine Übersicht über am Markt vorhandene VPNLösungen zu schaffen. Die Funktionsweise einiger ausgewählter Lösungen soll analysiert werden und in Tests die Implementierbarkeit verschiedener Infrastrukturszenarien ermittelt werden. Anschließend sollen die Ergebnisse miteinander verglichen und ausgewertet werden.
Gang der Untersuchung:
Diese Diplomarbeit beschäftigt sich mit der Analyse und dem Vergleich ausgewählter am Markt erhältlicher VPN-Lösungen.
Zu Beginn wird die Motivation der Durchführung dieser Analyse durch SomSoft erläutert. Auf die Ziele und Anforderungen der Arbeit wird dabei eingegangen.
Kapitel zwei stellt die ausgewählten VPN-Lösungen vor und erklärt deren Funktionsweise und sicherheitsrelevante Aspekte. Dabei werden Schwachstellen aufgezeigt und erläutert und es wird auf die Interoperabilität zwischen verschiedenen Betriebssystemen oder Hardwareimplementierungen eingegangen.
Im dritten Kapitel wird die Installation, Konfiguration und Wartung der Lösungen erläutert. Von Interesse ist der Ablauf dieser Schritte sowie der Aufwand der Administration der VPNs. Dabei werden mögliche Szenarien für VPNs aufgezeigt und die Implementierung dieser mit jeder der ausgewählten VPN-Lösungen getestet. Auf die notwendige Konfiguration wird dabei eingegangen sowie Probleme und Schwierigkeiten erfasst.
In Kapitel vier werden die Tests ausgewertet und die Vor- und Nachteile der Lösungen in verschiedenen Einsatzgebieten diskutiert.
Inhaltsverzeichnis:
| 1. | Motivation und Ziele | 1 |
| 1.1 | Einleitung | 1 |
| 1.2 | Ziele | 1 |
| 2. | VPN-Technologien | 2 |
| 2.1 | PPTP - Point-to-Point-Tunneling-Protokoll | 3 |
| 2.1.1 | Einleitung | 3 |
| 2.1.2 | Funktionsweise | 3 |
| 2.1.3 | Sicherheit | |
| 2.1.4 | Schwachstellen | 6 |
| 2.1.5 | Interoperabilität | 8 |
| 2.2 | IPSec | 8 |
| 2.2.1 | Einleitung | 8 |
| 2.2.2 | Funktionsweise | 8 |
| 2.2.3 | Sicherheit | 14 |
| 2.2.4 | Schwachstellen | 15 |
| 2.2.5 | Interoperabilität | 16 |
| 2.3 | L2TP | 16 |
| 2.3.1 | Einleitung | 16 |
| 2.3.2 | Funktionsweise | 17 |
| 2.3.3 | Sicherheit | 20 |
| 2.3.4 | Schwachstellen | 20 |
| 2.3.5 | Interoperabilität | 20 |
| 2.4 | Tinc | 21 |
| 2.4.1 | Einleitung | 21 |
| 2.4.2 | Funktionsweise | 21 |
| 2.4.3 | Sicherheit | 22 |
| 2.4.4 | Schwachstellen | 22 |
| 2.4.5 | Interoperabilität | 23 |
| 2.5 | OpenVPN | 23 |
| 2.5.1 | Einleitung | 23 |
| 2.5.2 | Funktionsweise | 24 |
| 2.5.3 | Sicherheit | 26 |
| 2.5.4 | Schwachstellen | 26 |
| 2.5.5 | Interoperabilität | 27 |
| 2.6 | Weitere Lösungen | 27 |
| 2.6.1 | SSL VPNs | 27 |
| 2.6.2 | SSH Secure Shell | 27 |
| 2.6.3 | GNU Virtual Private Ethernet | 28 |
| 2.6.4 | Sonstige | 28 |
| 3. | Gegenüberstellung – Vergleich | 30 |
| 3.1 | Installation | 30 |
| 3.1.1 | PPTP | 31 |
| 3.1.2 | IPSec | 31 |
| 3.1.3 | L2TP | 33 |
| 3.1.4 | Tinc | 33 |
| 3.1.5 | OpenVPN | 34 |
| 3.1.6 | Zusammenfassung | 34 |
| 3.2 | Konfiguration | 34 |
| 3.2.1 | PPTP | 34 |
| 3.2.2 | IPSec | 35 |
| 3.2.3 | L2TP | 37 |
| 3.2.4 | Tinc | 38 |
| 3.2.5 | OpenVPN | 40 |
| 3.2.6 | Zusammenfassung | 40 |
| 3.3 | Infrastrukturszenarien | 41 |
| 3.3.1 | Einleitung | 41 |
| 3.3.2 | PPTP | 46 |
| 3.3.3 | IPSec | 49 |
| 3.3.4 | L2TP | 62 |
| 3.3.5 | Tinc | 65 |
| 3.3.6 | OpenVPN | 69 |
| 3.4 | Wartung | 77 |
| 3.4.1 | PPTP | 77 |
| 3.4.2 | IPSec | 78 |
| 3.4.3 | L2TP | 78 |
| 3.4.4 | Tinc | 79 |
| 3.4.5 | OpenVPN | 79 |
| 3.4.6 | Zusammenfassung | 80 |
| 4. | Ergebnisanalyse | 82 |
| 4.1 | Zielgruppen | 83 |
| 4.1.1 | Privatanwender | 83 |
| 4.1.2 | Mittelstandsgewerbe | 84 |
| 4.1.3 | Gewerbliche Großunternehmen | 86 |
| 4.1.4 | Industrie | 87 |
| 4.1.5 | Zusammenfassung | 88 |
| 4.2 | VPN-Übersicht | 88 |
| 4.2.1 | PPTP | 89 |
| 4.2.2 | IPSec | 89 |
| 4.2.3 | L2TP | 89 |
| 4.2.4 | Tinc | 89 |
| 4.2.5 | OpenVPN | 90 |
| 4.3 | Zusammenfassung | 90 |
| 4.3.1 | Fazit | 90 |
| 4.3.2 | Prognose | 90 |
| Glossar | 94 | |
| Abkürzungsverzeichnis | 104 | |
| Literaturverzeichnis | 107 | |
| Internetquellen | 107 | |
| Abbildungsverzeichnis | 112 | |
| Tabellenverzeichnis | 113 | |
| Danksagung | 114 |
3 Gegenüberstellung - Vergleich er besitzt nicht die zugehörige SA, so wird racoon aufgefordert diese auszuhandeln und bereitzustellen. Racoon ist in der Lage mit Zertifikaten und Preshared Keys für die Authentifizierung zu arbeiten. Das Problem dynamischer IP-Adressen besteht bei racoon ebenso wie bei Windows. Sofern der VPN-Server eine feste IP besitzt und sich Clients mit dynamischer IP-Adresse einwählen, stellt dies noch kein Problem dar, haben beide Seiten eine dynamische Adresse, so ist die Verwendung eines Skripts nötig, welches diese über den DynDNS-Namen ermittelt und die Konfigurationsdatei für racoon anhand derer erzeugt. Bei isakmpd besteht im übrigen ebenfalls dieses Problem, lediglich FreeS/WAN beherrscht die Verwendung von Domainnamen. [...]
Linux 2.6 Da für Linux die Möglichkeiten FreeS/WAN, isakmpd und racoon für IPSec zu Wahl stehen, eine komplette Beschreibung dieser drei Möglichkeiten jedoch zu komplex wäre, soll in den Tests racoon mit setkey zum Einsatz kommen. Für Beispiele und Dokumentationen mit FreeS/WAN und isakmpd empfiehlt sich [2]. Das Programm setkey dient der Konfiguration von IPSec im 2.6er Linux Kernel, indem damit die Security Association Datenbank und die Security Policy Datenbank bearbeitet werden. Die Parameter erhält es entweder über die Standardeingabe oder eine Datei. Prinzipiell ist eine IPSec-Verbindung bereits mit setkey auch ohne racoon möglich, dabei werden aber die benötigten Schlüssel manuell erzeugt und ausgetauscht. Racoon ist ein IKEDaemon, der sich um diese Aufgabe automatisch kümmert. Er nutzt das IKE-Protokoll zur Aushandlung der ISAKMP-SA und der darauf folgenden Erzeugung der IPSec-SAs. Muss ein Paket vom Kernel entsprechend der SPD verschlüsselt oder authentifiziert werden und [...]
3 Gegenüberstellung - Vergleich Windows 2000/XP Die IPSec-Konfiguration von Windows 2000 und XP geschieht auf identische Weise. In den Sicherheitsrichtlinien von Windows ist ein Punkt namens IP-Sicherheitsrichtlinien existent, hinter dem sich die IPSec-Konfiguration verbirgt. An dieser Stelle werden einzelne Richtlinien angelegt, wobei nur jeweils eine aktiv sein darf. Dementsprechend müssen in einer solchen Richtlinie die Parameter aller aufzubauenden VPN-Verbindungen definiert werden, indem jeder Tunnel als eine sogenannte IP-Filterliste definiert wird. In dieser werden die kommunizierenden Rechner oder -netze definiert, ob es sich um einen Tunnel handelt, in welcher Kombination und mit welchen Hash- und Verschlüsselungsalgorithmen ESP oder AH genutzt werden und ob Preshared Keys, Zertifikate oder Kerberos als Authentifizierungsmethode eingesetzt wird. Ein Problem bei der IPSec-Konfiguration mit Windows besteht darin, dass keine Domainnamen für die Kommunikationspartner angegeben werden können, sondern nur IP-Adressen. Besitzt nun die Gegenstellen keine festen IPAdressen sondern bekommen bei jeder Einwahl beim ISP eine neue IP, so gestaltet sich die statische Konfiguration über die Sicherheitsrichtlinien recht schwierig bzw. ist unmöglich. Eine Alternative ist die Nutzung von ipsecpol.exe bzw. ipseccmd.exe aus den SupportTools von Windows 2000 bzw. XP. Damit können die Sicherheitsrichtlinien dynamisch erzeugt werden und dementsprechend ist ein Aufruf über ein Skript vorteilhaft, welches vorher die aktuelle IP-Adresse auflösen kann, die sich hinter dem Domainnamen verbirgt. [...]
In den Warenkorb
48,00 €
Entdecken Sie mehr zum Thema
