Sichere Kommunikation und Authentifizierung in einem Hochschulnetz
- Art: Diplomarbeit
- Autor: Gerd Kuchelmeister
- Abgabedatum: Januar 2002
- Umfang: 189 Seiten
- Dateigröße: 19,6 MB
- Note: 1,2
- Institution / Hochschule: Fachhochschule Ravensburg-Weingarten Deutschland
- ISBN (eBook): 978-3-8324-6551-3
-
ISBN (Paperback) :
978-3-8324-6551-3 P - ISBN (CD) :978-3-8324-6551-3 CD
- Sprache: Deutsch
- Prämierung:
- Arbeit zitieren: Kuchelmeister, Gerd Januar 2002: Sichere Kommunikation und Authentifizierung in einem Hochschulnetz, Hamburg: Diplomica Verlag
- Schlagworte: VPN, Security, CA, Verschlüsselung, IPSec
In den Warenkorb
48,00 €
Diplomarbeit von Gerd Kuchelmeister
Einleitung:
Bis zum Jahr 1993 war das Internet ein fast reines Forschungsnetz.
Aber in den letzten Jahren hat sich dieses Netz rasant zu einem weltweiten Informations- und Kommunikationsmedium entwickelt, dass Unternehmen, Behörden und Privatpersonen gleichermaßen nutzen.
Die Zahl der Internetanwender steigt expotentiell, wobei das Medium immer mehr gesellschaftliche Bedeutung bekommt.
Alleine in Deutschland sind derzeit 30 Mio. Menschen online.
Das Handelsvolumen betrug 2001 alleine in den USA 170.000.000.000 $.
2002 wird sich laut Voraussagen von Forrester Research diese Volumen verdoppeln.
Bei den meisten, die über einen Zugang zu diesem Netz verfügen, beschränken sich die Kenntnisse über die Anwendungsmöglichkeiten auf Electronic Mail und Informationssuche. Selbst mehr oder weniger erfahrenen Nutzern bis hin zu Informatikern fehlen zum Teil das Hintergrundswissen und die genaue Funktionsweise des neuen Mediums.
Da das Internet ein öffentliches Medium wie das Telefonnetz ist, birgt es gewisse Gefahren des Missbrauchs, speziell auch der Wirtschaftsspionage, die die Unternehmen weltweit im Jahr mehrere Millionen Euro kosten.
Um dieser neuen Form der Kriminalität entgegen zu wirken, wird der Schrei der Nutzer, egal ob private Anwender oder Firmen, nach Sicherheit immer lauter.
Viele Internet-Produkt-Hersteller haben den Markt erkannt und maßgeschneiderte Lösungen auf ihre Produkte aufgesetzt, die dann aber gar nicht oder nur teilweise untereinander kompatibel waren.
Daher hat die Internet Society ihrer Internet Engineering Task Force IETF den Auftrag gegeben, ein Sicherheits-Protokoll zu entwickeln, auf der die Hersteller mit ihren Produkten aufsetzen können, sodass die Kunden auf herstellerspezifischen Lösungen nicht mehr angewiesen sind.
Es entstand IPSec, das in dieser Diplomarbeit noch ausführlich erklärt wird.
Inhaltsverzeichnis:
| 1. | EINLEITUNG | 5 |
| 1.1 | EINFÜHRUNG | 5 |
| 1.2 | AUFGABENSTELLUNG | 6 |
| 1.3 | TESTNETZTOPOLOGIE UND ARBEITSMITTEL | 7 |
| 1.3.1 | Testnetz | 7 |
| 1.3.2 | Arbeitsmittel | 8 |
| 1.3.3 | Installation des Test Netz | 8 |
| 2. | GRUNDLAGEN UND GLOSSAR | 11 |
| 2.1 | VERSCHLÜSSELUNG | 11 |
| 2.2 | VERSCHLÜSSELUNGSARTEN | 12 |
| 2.3 | SYMMETRISCHE VERSCHLÜSSELUNG | 13 |
| 2.3.1 | DES und 3DES | 14 |
| 2.3.2 | AES | 16 |
| 2.4 | ASYMMETRISCHE VERSCHLÜSSELUNG | 17 |
| 2.4.1 | RSA | 18 |
| 2.5 | HASHING UND HASHFUNKTIONEN | 19 |
| 2.6 | DIGITALE SIGNATUREN | 22 |
| 2.7 | DIFFIE-HELLMAN | 22 |
| 2.8 | PUBLIC-KEY-SYSTEME | 24 |
| 2.9 | SECURITY ASSOCIATION SA | 24 |
| 2.10 | ARTEN VON NETZANGRIFFEN | 25 |
| 2.10.1 | Replay Angriffe | 25 |
| 2.10.2 | Man in the Middle: | 25 |
| 2.10.3 | Denial of Service | 25 |
| 3. | VIRTUAL PRIVATE NETWORK | 26 |
| 3.1 | EINLEITUNG IN VPN | 26 |
| 3.2 | VPN ARCHITEKTUREN | 29 |
| 3.2.1 | End to End | 29 |
| 3.2.2 | Site to Site | 30 |
| 3.2.3 | End to Site | 31 |
| 3.3 | VPN PROTOKOLLE | 32 |
| 4. | VPN MIT IPSEC | 33 |
| 4.1 | WAS IST IPSEC? | 33 |
| 4.2 | IPSEC KOMPONENTEN | 33 |
| 4.3 | SECURITY ASSOCIATION (SA) | 34 |
| 4.3.1 | Security Parameter Index (SPI) | 35 |
| 4.3.2 | Transportmodus und Tunnelmodus | 36 |
| 4.3.3 | Authentication Header | 37 |
| 4.3.4 | Encapsulated Security Payload (ESP) | 40 |
| 4.3.5 | Kombinationen mit AH und ESP | 43 |
| 4.4 | INTERNET KEY EXCHANGE (IKE) | 45 |
| 4.4.1 | Internet Security Association and Key Management Protocol (ISAKMP) | 46 |
| 4.4.2 | Die IKE Phase 1: Main Mode | 48 |
| 4.4.3 | Aggressiv Mode | 52 |
| 4.4.4 | IKE Phase 2 Quick Mode | 53 |
| 5. | ZERTIFIKATE UND TRUSTCENTER | 56 |
| 5.1 | ZERTIFIKATE | 56 |
| 5.2 | VERTEILUNG ÖFFENTLICHER SCHLÜSSEL MIT HILFE VON CERTIFICATION AUTHORITY (CA) | 59 |
| 5.2.1 | Hierarchische Zertifizierungsstellen | 59 |
| 5.2.2 | Web of Trust | 61 |
| 5.2.3 | Registrierung eines Zertifikates | 61 |
| 5.2.4 | Zertifikatssperrung und Sperrlisten | 61 |
| 5.2.5 | Public Key Cryptography Standards | 62 |
| 5.3 | CA MIT WINDOWS 2000 SERVER AUFBAUEN UND VERWALTEN | 63 |
| 5.3.1 | CA installieren | 63 |
| 5.3.2 | Beantragen eines Zertifikates mit dem Internet Explorer | 67 |
| 6. | E-MAIL VERSCHLÜSSELUNG MIT SMARTCARD | 75 |
| 6.1 | E-MAIL SICHERHEIT | 75 |
| 7. | REMOTE ZUGRIFF | 76 |
| 7.1 | RAS SERVER | 76 |
| 7.1.1 | Beispiel: | 76 |
| 7.1.2 | RAS mit NAT (Network Address Translation) | 77 |
| 7.2 | RADIUS SERVER | 78 |
| 7.3 | AUTHENTIFIZIERUNG MIT DYNAMISCHEN PASSWORT | 79 |
| 8. | ZEITPLAN | 81 |
| 9. | AUSBLICK | 82 |
| 9.1 | ZUSAMMENFASSUNG | 82 |
| 9.2 | SCHLUSSWORT | 83 |
| 10. | QUELLEN | 85 |
| 10.1 | LITERATUR: | 85 |
| 10.2 | INTERNETSEITEN | 86 |
| 10.3 | RFC'S | 87 |
| 11. | INSTALLATIONEN UND KONFIGURATIONEN VON WINDOWS 2000 | 88 |
| 11.1 | IPSEC TUNNEL MIT WINDOWS 2000 | 88 |
| 11.1.1 | Snap-In hinzufügen | 89 |
| 11.1.2 | Sicherheitsrichtlinie für Tunnel Asterix zu Obelix erstellen (Richtung 1) | 92 |
| 11.1.3 | Sicherheitsrichtlinie für Tunnel Asterix zu Obelix erstellen (Richtung 2) | 104 |
| 11.1.4 | IP Sicherheitsrichtlinie dem Computer zuweisen | 113 |
| 11.1.5 | Testen der Verbindung ohne IPSec | 114 |
| 11.1.6 | Testen der Verbindung mit IPSec | 115 |
| 11.1.7 | Microsoft IP Sicherheitsüberwachung | 117 |
| 11.2 | KONFIGURATION VON OUTLOOK MIT SMARTCARD | 118 |
| 11.2.1 | Zertifikat auf der Smartcard installieren | 118 |
| 11.2.2 | Outlook konfigurieren | 134 |
| 11.2.3 | Beispiel zur Verschlüsselung und Signierung eines E-Mails mit Outlook | 138 |
| 11.3 | RAS- UND RADIUS SERVER KONFIGURIEREN | 152 |
| 11.3.1 | RAS Server unter Windows 2000 mit Windows Authentifizierung konfigurieren. | 152 |
| 11.3.2 | RAS Server Steel Belted Radius Server Authentifikation | 162 |
| 11.3.3 | RAS Server mit Vasco Radius Server Authentifikation | 176 |
Diese Datenpakete senden sich Hashwerte zur Authentifizierung. Asterix schickt den Haschwert HASH_I zu Obelix. Dieser wiederum berechnet seinen Hashwert HASH_R und vergleicht die beiden. Sind die Werte gleich ist die ISAKMP SA gültig, falls nicht kommt keine Verbindung zustande. Da der 1. Schlüssel mit dem Parameter Pre-Shared Key generiert wurde, hängt die Sicherheit dieses Protokoll von diesem Schlüssel ab. Wenn also der „Man in the Middle“ nicht an diesen Schlüssel kommt, hat er keine Chance auf einen Angriff, d.h. wieder hängt die Sicherheit an einem Schlüssel und nicht an dem Algorithmus, so muss es ja auch sein. Noch kurz was zu IDi Data und IDr Data. Dieses sind eindeutige Werte zur Identifizierung der Rechner. Es kann hier die IP Adresse, der DNS Name, eine E-Mail Adresse oder eine IP Adresse mit ihrer Subnetzmaske genommen werden. Main Mode (Phase 1) mit Digitaler Signatur. Bei der Authentifizierung mit digitaler Signatur ist der einzige Unterschied, dass die beiden Haschwerte von einem Zertifikat signiert werden und diese Signaturen dann, anstatt HASH_I und HASH_R gesendet werden. Bei Windows 2000 muss man den Pre-Shared Key durch ein Zertifikat von einem Trustcenter ersetzten. Im lokalen Computerkonto muss dann ein Zertifikat liegen, dass von der CA signiert wurde. Für dieses Zertifikat muss man außerdem einen privaten Schlüssel besitzen. [...]
Nach den ersten vier Datenpaketen werden 4 Schlüssel generiert, die dann die Nutzdaten verschlüsseln. Alle Schlüssel werden mit HMAC-MD5 mit den ausgetauschten Parametern generiert. Die vier Schlüssel: • SKEYID= HMAC_MD5 (Ni, Nr, Pre-Shared Key) Dieser Schlüssel ist abhängig von der Authentifikation, die man gewählt hat. Dieser erste Schlüssel wird wieder als Parameter der drei weiteren verwendet. Er hat somit indirekt Einfluss auf die Verschlüsselung der Daten. • SKEYID_d= HMAC_MD5 (SKEYID, gxy, CI, CR) Dieser Schlüssel dient wieder als Input des Schlüssels 3. Er wird auch zur späteren Erzeugung von Schlüsseln, die für Nutzdaten bestimmt sind, verwendet. • SKEYID_a= HMAC_MD5 (SKEYID, SKEYID_d, gxy, CI, CR, 1) Dient als Input für Schlüssel 4.Er ist auch zur Authentifikation für die Nachrichten. • SKEYID_e= HMAC_MD5 (SKEYID, SKEYID_a, gxy, CI, CR, 2) Endlich, oder? Mit diesem Schlüssel werden ab jetzt die restlichen ISAKMP Datenpakete verschlüsselt. [...]
Initiator Cookie (8 Byte): Cookie des Computers, der den Aufbau der Verbindung einer SA initialisiert. Responder Cookie (8Byte): Cookie des Computers, der auf den Verbindungsaufbau antwortet. Next Payload (1Byte): Zeigt die Art der Daten an, die das ISAKMP Packet enthält, z.B. Key Exchange oder SA. Major Version (4 Bit): Zeigt die Hauptversion von ISAKMP an. Alte Version 0, neue Version 1 Minor Version (4 Bit): Zeigt die Unterversion von ISAKMP an. Exchange Type (1Byte): Hier ist die Art des Nachrichtentausches festgelegt. Es gibt Modi Identity Protection und Aggressive. In IKE von IPSec ist der Modi Identity Protection der Main Mode und der Aggressive der Aggressive Mode. Flags (1Byte): Es gibt 3 Flags, das Encryption, Commit und Authentifikation Only. Das Bit Encryption zeigt an, ob die Daten die nach dem Header kommen, verschlüsselt sind. Das Bit Commit stellt sicher, dass keine Daten verschlüsselt werden, solange die SA nicht ausgehandelt ist und das Bit –Authentication Only zeigt an, dass der Payload durch Authentifikation geschützt ist, aber nicht verschlüsselt. Message ID (4 Byte): Eindeutige Identifizierung der Nachricht. Length (4 Byte): Länge der gesamten Nachricht im Header und allen Payloads in Byte. [...]
In den Warenkorb
48,00 €
Link zur Arbeit:
http://www.diplom.de/ean/9783832465513
Arbeit zitieren:
Kuchelmeister, Gerd Januar 2002: Sichere Kommunikation und Authentifizierung in einem Hochschulnetz, Hamburg: Diplomica Verlag
Schlagworte:
VPN, Security, CA, Verschlüsselung, IPSec
Entdecken Sie mehr zum Thema
