Samstag, 1. September 2012


Topthema

Donnerstag, 5. April 2007 | Topthema

About Security #99: Virtuelle Private Netze — Fazit

(Link zum Artikel: http://www.entwickler.de/php/kolumnen/035193)
  • Teilen
  • kommentieren
  • empfehlen
  • Bookmark and Share

Wie angek�ndigt, wird in dieser Folge das Thema "Virtuelle Private Netze" abgeschlossen. Vor dem Vergleich der vorgestellten Verfahren soll noch das bereits im About-Security- CeBIT-Bericht angesprochene MVCN (Manageable Virtual Closed Network) von Navayo Technologies etwas n�her vorgestellt werden. In einem MVCN bilden die Endger�te, z.B. die im CeBIT-Bericht erw�hnte SecBox, ein virtuell abgeschlossenes logisches Netzwerk, das von einem oder mehreren Servern �berwacht wird. F�r die Verschl�sselung der zwischen den Endger�ten und Servern aufgebauten Punkt-zu-Punkt-Verbindungen wird RSA eingesetzt.

N E U ! Security aktuell
T�glich aktuelle Security-Infos!

F�r jedes Endger�t und jeden Server wird bei der Produktion ein RSA-Schl�sselpaar erzeugt. Der (�ffentliche) Kodierungsschl�ssel des Endger�ts wird im zentralen MVCN-Server gespeichert, der (private) Dekodierungsschl�ssel im jeweiligen Endger�t. Analog wird f�r die Server vorgegangen: Ihr Kodierungsschl�ssel wird in den Endger�ten gespeichert, ihr Dekodierungsschl�ssel im jeweiligen Server. Die Dekodierungsschl�ssel werden in speziell daf�r entwickelten Bausteinen gespeichert und k�nnen nicht ver�ndert oder ausgelesen werden. Bereits im Ausgangszustand eines MVCNs, bevor gesicherte Verbindungen zwischen Endger�ten aufgebaut werden, erfolgt die gesamte Kommunikation verschl�sselt: Die Endger�te verschl�sseln die f�r den Server bestimmten Daten mit dessen Kodierungsschl�ssel, der Server verschl�sselt die f�r ein bestimmtes Endger�t bestimmten Daten mit dessen Kodierungsschl�ssel. Die Entschl�sselung erfolgt mit dem jeweiligen individuellen Dekodierungsschl�ssel.

Um eine Verbindung zu einem anderen Endger�t aufzubauen, muss ein Endger�t dessen Kodierungsschl�ssel vom Server anfordern. Nur wenn die jeweiligen Endger�te miteinander kommunizieren d�rfen, erhalten sie den angeforderten Schl�ssel. Damit k�nnen sie die Verbindung zum gew�nschten Endger�t aufbauen. Dieses ben�tigt f�r die Antwort seinerseits den Kodierungsschl�ssel des Kommunikationspartners, den es ebenfalls vom Server anfordern muss. Nach Abschluss der Kommunikation l�schen beide Endger�te den Kodierungsschl�ssel des jeweiligen Kommunikationspartners. Eine Wiederaufnahme der Verbindung ist so nur �ber den Server m�glich, ohne dessen Freigabe keine Verbindung aufgebaut werden kann. Der Server ist nur f�r die Verwaltung zust�ndig, die verschl�sselte Kommunikation zwischen Endger�ten erfolgt �ber Punkt-zu-Punkt-Verbindungen zwischen diesen. Die SecBox-Endger�te besitzen zwei Ethernetanschl�sse, je einen f�r den Internetzugang und das lokale Netz bzw. den lokalen Rechner. Au�erdem enthalten sie einen Fingerabdruck-Sensor zur Identifikation berechtigter Benutzer. Ein USB-Anschluss erm�glicht den Anschluss von z.B. Massenspeichern, auf die dann ebenfalls �ber das MVCN zugegriffen werden kann.

Vergleich der vorgestellten Systeme
  IPsec
(About Security #89 ff)
PPTP
(About Security #96)
Clientless TLS-VPN (�ber Webbrowser)
(About Security #97)
TSL-Tunnel, speziell OpenVPN
(About Security #98)
MVCN
Offizieller Standard ja - RFC 4301 nein - informelle Beschreibung in RFC 2637 ja - RFC 4346 nein, nutzt aber TLS nein
Kryptografische Algorithmen variabel, z.B. DES, 3DES, AES, MD5, SHA1 RC4, MD5 variabel, z.B. DES, 3DES, AES, RSA, MD5, SHA1 variabel, z.B. DES, 3DES, AES, RSA, MD5, SHA1 RSA, feste Schl�ssel
Nutzung von Zertifikaten m�glich ja ja ja ja nein (*)
Geeignet f�r
Site-to-Site
Site-to-End
Host-to-Host
 
ja
ja
ja
 
ja
ja
ja
 
-
ja
-
 
ja
ja
ja
 
ja
ja
ja
Unterst�tzte Systeme Windows, Unix, Linux, *BSD, Mac OS X Windows, Unix, Linux, *BSD, Mac OS X systemunabh�ngig Windows, Unix, Linux, *BSD, Mac OS X systemunabh�ngige Hardwarel�sung

(*) Die Authentifizierung erfolgt �ber die in manipulationssicherer Hardware gespeicherten individuellen Kodierungsschl�ssel

About Security: Die komplette Serie
Wahl des geeigneten Systems

Mit Ausnahme des nur f�r Site-to-End-VPNs geeigneten Clientless TLS-VPN eignen sich alle Systeme f�r alle Anwendungsf�lle. Daher wird man sich bei der Auswahl eines Systems meist an der vorhandenen Systemumgebung orientieren. Bei einem nur aus Unix-basierten Systemen bestehenden Netzwerk wird man kaum das aus der Windows-Welt stammende PPTP einsetzen, sondern stattdessen IPsec oder eine TLS-basierte L�sung w�hlen. Gegen diese L�sung spricht auch in einem reinen Windows-Umfeld nichts, da das PPTP doch etwas in die Jahre gekommen ist. Am einfachsten f�llt die Wahl, wenn nur einzelne Rechner an ein System angebunden werden sollen, das sich �ber eine Weboberfl�che bedienen l�sst: Der Zugriff auf ein Clientless TLS-VPN ist auch aus einem Internetcaf� oder von einem fremdem Rechner m�glich, da keine zus�tzliche Software au�er des sowieso vorhandenen Webbrowsers erforderlich ist. Auf USB-Tokens gespeicherte Zertifikate erlauben auch in diesem Fall eine zertifikatbasierte Authentifikation, ben�tigen aber meist zus�tzliche Treibersoftware.

Die n�chste Folge ist die 100. Folge von About Security. Zu diesem Anlass wird es einen zusammenfassenden �berblick �ber die bisher erschienenen Folgen geben.

Wenn Sie Fragen oder Themenvorschl�ge haben, k�nnen Sie diese gerne an die angegebene E-Mail-Adresse senden oder im Security-Forum einbringen!

Carsten Eilers

About Security � �bersicht zum aktuellen Thema "VPN - Virtuelle Private Netze"

Kommentare

Folgende Links könnten Sie auch interessieren