Das Magazin für Netze, Daten- und Telekommunikation - ITwelzel.biz

Weitere Magazine

Empfehlungen

Info

SCHWERPUNKT: VIRTUAL PRIVATE NETWORKS kontrollierten und sicheren Zugang zu den internen Netzwerkressourcen erhalten, die sie zum Erfüllen ihrer Aufgaben benötigen. Ähnliches gilt für den Zugang von Geschäftspartnern oder Kunden zu vorgegebenen Diensten und Daten. Das Netz ermöglicht bessere Dienstleistungen und eröffnet neue Geschäftsfelder. Moderne “Advanced-VPN-Technologie” kann die Rechte einzelner Anwender detailliert fest- Bild 1. Weltweites Unternehmensnetz via VPN legen und bei Bedarf sogar zeitlich begrenzen. Es spricht aber auch ein wirtschaftlicher Aspekt für VPNs: Standleitungen und Ferngesprächsverbindungen sind nach wie vor teuer. Über ein VPN kommt für die Kommunikation das Internet zum Einsatz, auf das fast an jedem Ort der Welt verhältnismäßig kostengünstig zugegriffen werden kann, da nur Gebühren für die Verbindung mit dem nächsten Internet- Provider anfallen. Der Preisvorteil hängt natürlich von den Entfernungen ab. Untersuchungen der Infonetics Research Inc. ergaben einen geschätzten Kostenvorteil von 20 bis 47 Prozent bei der Nutzung der VPN-Technologie im Gegensatz zu Wählleitungen. Bei Remote- und Heimarbeitsszenarien errechnete sich sogar ein Kostenvorteil von 60 bis 80 Prozent. Neben den hier aufgeführten Vorteilen und Einsatzbereichen stellt die Sicherheit nicht nur eine Anforderung an das VPN dar, sondern ist selbst eine Funktion, die für die Nutzung der VPN-Technologie spricht. Ein VPN lässt sich dazu einsetzen, 196 LANline 12/2000 ein Unternehmen gegen Angriffe zu schützen. Advanced-VPN-Technologie basiert auf starker Verschlüsselung und User-Authentisierung. Zur Zeit gilt bei asymmetrischer Verschlüsselung eine Schlüssellänge von 1024 Bit als stark, bei symmetrischer Verschlüsselung liegt der entsprechende Wert bei 128 Bit. Das Kompromittieren solcher Schlüssel kann bei der heutigen Rechnertechnik und den heutigen Ressourcen einige Jahrzehnte in Anspruch nehmen. VPN-Technologie lässt sich auch dazu nutzen, die Kommunikation über Wähl- oder Standleitungen absichern. Das bringt Vorteile, wenn etwa eine Organisation den Staaten oder Telefongesellschaften, durch deren Verantwortungsbereich ihre Kommunikation abläuft, misstraut. Zusätzlich zu der Absicherung der Kommunikation bietet die Advanced-VPN- Technologie auch User-Authentisierung und Zugangskontrolle mittels Public-Key- Infrastruktur (PKI) und Smartcard-Technologie. Advanced-VPN bringt also bei sorgfältiger Planung und Implementierung mit starker Verschlüsselung und sicherem Schlüsselmanagement mehr Sicherheit als herkömmliche Methoden. Eine Public-Key-Infrastruktur besteht aus einer Reihe von Sicherheitsdiensten, die in einem verteilten Computersystem den Einsatz der Public-Key-Kryptographie in Verbindung mit Zertifikaten ermöglichen. Die einzelnen Sicherheitsdienste einer PKI sind das Schlüsselmanagement (Schlüssel-Update, Schlüssel-Recovery), das Zertifikatsmanagement (Generierung von Zertifikaten und Revokationslisten) und das Policy-Management. Die Public-Key-Kryptographie erzeugt zwei verschiedene Schlüssel, einen privaten und einen öffentlichen. Der private Schlüssel muss sicher aufbewahrt und vor fremdem Zugriff geschützt werden, während der öffentliche Schlüssel jedem zur Verfügung steht. Der private Schlüssel lässt sich nicht vom öffentlichen ableiten. Eine mit dem privaten Schlüssel chiffrierte Nachricht, kann nur mit dem entsprechenden öffentlichen Schlüssel dechiffriert werden oder umgekehrt. Diese Technik kommt beispielsweise zur User-Authentisierung oder zum Erzeugen digitaler Signaturen zum Einsatz. Die Arbeit mit asymmetrischen Algorithmen ist sehr rechenintensiv und wird deshalb nur beim Aufbau einer sicheren Kommunikation und für die Übertragung des symmetrischen Schlüssels zum Verschlüsseln der Kommunikation verwendet. Ein digitales Zertifikat bildet das elektronische Äquivalent zu einem Personalausweis. Die wichtigste Aufgabe des Zertifikats liegt darin, den Usernamen unzweifelhaft und in standardisierter Form mit dem öffentlichen Schlüssel zu verbinden, um damit eine effiziente und sichere Verteilung der öffentlichen Schlüssel zu realisieren. Eine “Certificate Authority” (CA) generiert die Zertifikate und sichert die darin enthaltenen Daten über eine digitale Signatur. Zertifikate kommen mittlerweile weitläufig in Security-Lösungen zum Einsatz, wie etwa im sicheren E-Mail- Verkehr und eben auch in VPN-Lösungen. Bild 2 zeigt ein solches Zertifikat. Es kann den Public Key des Inhabers, den Namen des Inhabers, den Namen der CA, die Gültigkeitsperiode des Zertifikats, das Format des Zertifikats sowie weitere Attribute enthalten. Wichtig ist auf jeden Fall, dass das Zertifikat nur die Identität des Inhabers sicherstellt. Die Unternehmenssicherheits- Policy hat festzulegen, welche Zugriffsrechte der jeweilige Zertifikatsinhaber letztendlich erhält. Die CA muss eine vertrauenswürdige Institution sein. Sie übernimmt die Verantwortung für das Administrieren der www.lanline.de
SCHWERPUNKT: VIRTUAL PRIVATE NETWORKS Bild 2. Prinzip eines digitalen Zertifikats Zertifikate, für das Erstellen der Sicherheits-Policy in Bezug auf die Zertifikate, für das sichere Verteilen des eigenen öffentlichen Schlüssels (Public-Key) an andere und für das Bereitstellen von Zertifikats-Revokationslisten (CRLs). Eine CA signiert die von ihr ausgestellten Zertifikate mit ihrem eigenen privaten Schlüssel. Personen, Anwendungen und Systeme, die Zertifikate nutzen, bestätigen deren Gültigkeit, in dem sie die Signatur des Zertifikats mit dem öffentlichen Schlüssel der CA verifizieren. CAs sind hierarchisch organisiert, das heißt, der Root-CA an der Spitze vertrauen alle. Sie zertifiziert dann die CAs unter sich und schafft somit für diese die Vertrauensgrundlage. Bild 3 zeigt das Generieren der Schlüssel und Zertifikate. Nach dem Erzeugen der Schlüssel wird in diesem Beispiel der private Schlüssel sicher an den Anwender “Bob” übertragen. Es wäre auch möglich, dass Bob die Schlüssel selbst generiert, das hängt letztlich von der Security-Policy der CA ab. Diese Policy legt ebenfalls fest, wie Bobs Identität überprüft wird, wenn er ein Zertifikat anfordert. Bobs Public Key landet sowohl in seinem Zertifikat, als auch in einem für jedermann öffentlich zugänglichen Directory. Wenn nun Anwenderin “Alice” oder die von ihr eingesetzte Applikation Bobs Zertifikat nutzen will, kann sie dieses von dem öffentlichen Verzeichnis herunterladen. 198 LANline 12/2000 Sie hat dabei allerdings zu prüfen, ob das Zertifikat noch gültig ist. Um sicherzustellen, dass Bob und Alice mit der CA kommunizieren können, müssen sie Zugriff auf das Zertifikat der CA erhalten, welches den Public-Key der CA enthält. Als CA kommen beispielsweise Abteilungen innerhalb einer Organisation, Behörden oder “Trusted Third Parties” zum Einsatz. Zu den weltweit operierenden Third Party CAs gehören Verisign, Entrust, D-TRUST und TC-Trust-Center. Für Anwendungen, bei denen die User Mitglieder einer fest eingrenzbaren Gruppe sind, bringt der Aufbau einer internen PKI mit CA-Diensten wegen des geringeren Verwaltungsaufwands Vorteile. Zum Authentisieren vieler Anwender, die unter Umständen keine Beziehung mit dem Unternehmen haben, bietet im Gegensatz dazu eine öffentliche PKI den größeren Nutzen. Ein solches Szenario kommt beispielsweise zustande, wenn Kunden oder Subunternehmer in der Lage sind, auf Teile eines Unternehmensnetzes zuzugreifen. Der größte “Feind” der Systemsicherheit ist die Komplexität. Je komplexer das System wird, desto schwieriger lässt es sich absichern und verwalten. In komplexen Systemen mit umfassenden Konfigurationsmöglichkeiten besteht große Gefahr für menschliche Fehler und Pro- Bild 3. Der Umgang mit den Diensten einer CA grammfehler, was letztendlich zu erheblichen Sicherheitsrisiken führt. Integriert ein Hersteller, wie zum Beispiel bei Windows 2000, Sicherheitskomponenten in Betriebssysteme, so wächst mit dem Grad der Komplexität und der Quantität des Programmcodes das Risikopotenzial, das aus Bugs und undokumentierten Features herrührt. Gleiches gilt, wenn Sicherheitslösungen in Anwendungen integriert werden, da die Sicherheit ein hohes Maß an Kompetenz erfordert. Deshalb lässt sich ein hoher Sicherheitsgrad besser erreichen, wenn die Systeme einfach aufgebaut, gut dokumentiert und unabhängig von den Anwendungen entworfen und implementiert sind. Den gleichen Anspruch sollte die Security Policy erfüllen. So gilt die Grundregel, dass kein Sicherheitssystem zum Einsatz kommen darf, wenn die Mitarbeiter die Sicherheits-Policy nicht verstehen oder die eingesetzten Lösungen zu komplex sind. VPN-Lösungen umfassen in der Regel die Nutzung unsicherer Netze für eine sichere Kommunikation. Um die damit verbundenen Risiken abzufedern, sind folgende Sicherheitsanforderungen zu erfüllen: Die “Authentisierung” vermeidet, dass jemand vorgibt ein anderer zu sein als er ist. Authentisierung ist ein wichtiger Bestandteil der IT-Sicherheit, die benötigt www.lanline.de
Seite 1 und 2:
12 Storage Area Networks/Virtual Pr
Seite 3 und 4:
INHALT netzMARKT Internet im Mittel
Seite 5 und 6:
netzMARKT INTERNET IM MITTELPUNKT L
Seite 7 und 8:
netzMARKT Lotus-Hosting-Management-
Seite 9 und 10:
netzMARKT wir von High-speed-Verkab
Seite 11 und 12:
netzMARKT DURCHBLICK AUF ALLEN EBEN
Seite 13 und 14:
netzMARKT NEUAUSRICHTUNG BEI ATI IP
Seite 15 und 16:
netzMARKT SIEMENS ICN: STÄRKER RIC
Seite 17 und 18:
PERSONALKARUSSELL netzMARKT stützu
Seite 19 und 20:
netzMARKT EXPONET 2000 IN KÖLN Net
Seite 21 und 22:
Firma Halle Stand Fiberlan GmbH 2.2
Seite 23 und 24:
Firma Halle Stand Scientific Comput
Seite 25 und 26:
netzPRODUKTE/SERVICES dungen und -A
Seite 27 und 28:
Web-Servern erfolgt. Das bedeutet,
Seite 29 und 30:
netzPRODUKTE/SERVICES ADAPTEC USB-X
Seite 31 und 32:
netzPRODUKTE/SERVICES D ie GLOBAL T
Seite 33 und 34:
netzPRODUKTE/SERVICES SPEICHERSYSTE
Seite 35 und 36:
62 LANline 12/2000 netzPRODUKTE/SER
Seite 37 und 38:
netzPRODUKTE/SERVICES AKTIVE KOMPON
Seite 39 und 40:
netzPRODUKTE/SERVICES MANAGEMENT id
Seite 41 und 42:
netzPRODUKTE/SERVICES SCHUTZ/SICHER
Seite 43 und 44:
70 LANline 12/2000 netzPRODUKTE/SER
Seite 45 und 46:
netzPRODUKTE/SERVICES MESSTECHNIK Q
Seite 47 und 48:
netzPRODUKTE/SERVICES MESSAGING UND
Seite 49 und 50:
Automatische Anrufverteilung Als Er
Seite 51 und 52:
Wer bereits über getrennte Kommuni
Seite 53 und 54:
netzTECHNIK wesentlich beeinträcht
Seite 55 und 56:
netzTECHNIK die alten 10-MBit/s-Eth
Seite 57 und 58:
netzTECHNIK Netzbetreibers, die Ele
Seite 59 und 60:
netzTECHNIK KOMMERZIELLES PEERING D
Seite 61 und 62:
netzTECHNIK DHCP UND WINDOWS 2000 S
Seite 63 und 64:
netzTECHNIK Die DHCP-Server-Version
Seite 65 und 66:
netzTECHNIK BUCHBESPRECHUNGEN WINDO
Seite 67 und 68:
netzTOOLBOX IM TEST: DRIVE IMAGE, V
Seite 69 und 70:
netzTOOLBOX Image-Dateien. Der Edit
Seite 71 und 72:
netzTOOLBOX PERFORMANCE IM WEB Schn
Seite 73 und 74:
netzTOOLBOX - der Web-Server, - der
Seite 75 und 76:
netzTOOLBOX de Jobs eines Druckers
Seite 77 und 78:
ist. Befindet sich Rendezvous auf b
Seite 79 und 80:
netzTOOLBOX Tipps &Tricks In der Ru
Seite 81 und 82: In den Dateien ARCHIVE.DIR sind all
Seite 83 und 84: Produktpaletten. Vor allem die Gese
Seite 85 und 86: Die Serie Netzwerkdienstleister in
Seite 87 und 88: Die drei Anschlusstechniken DASD, N
Seite 89 und 90: SCHWERPUNKT: STORAGE AREA NETWORKS
Seite 95 und 96: 142 LANline 12/2000 SCHWERPUNKT: ST
Seite 101 und 102: gist bei EMC erläuterte die Rolle
Seite 127 und 128: Anbieter: Fibre-Channel-Switches He
Seite 129 und 130: Channel-Switches Switch-Bandbreite
Seite 131: Das “virtuell” in Virtual Priva
Seite 135 und 136: SCHWERPUNKT: VIRTUAL PRIVATE NETWOR
Seite 147 und 148: ein Paket von Protokollen, deren Im
Seite 151 und 152: 224 LANline 12/2000 www.lanline.de
Seite 159 und 160: fokusE-COMMERCE unter Umständen se
Seite 161 und 162: fokusE-COMMERCE tem werden weltweit
Seite 163 und 164: 240 LANline 12/2000 fokusE-COMMERCE
Seite 165 und 166: fokusE-COMMERCE che-Web-Server, der
Seite 167 und 168: fokusE-COMMERCE OBJEKT-BROKER FÜR
Seite 169 und 170: fokusECOMMERCE tion. Corba-2.0-komp
Seite 171 und 172: fokusE-COMMERCE den umgekehrten Pro
Seite 173 und 174: Info-Fax oder Internet Der moderne
Alle anzeigen

Das Magazin für Netze, Daten- und Telekommunikation - ITwelzel.biz

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?