Das Magazin für Netze, Daten- und Telekommunikation - ITwelzel.biz

Weitere Magazine

Empfehlungen

Info

wird bei der Zugangskontrolle, bei der Festlegung, wer Informationen erhalten oder verändern darf und wer die Kostenverantwortung trägt. Authentisierung steht ebenfalls am Anfang beim Aufbau eines sicheren Kommunikationstunnels. “Datenintegrität” verhindert die unerlaubte Änderung von Daten und Informationen. Sie wird durch das Verbinden von Einweg-Hashalgorithmen mit dem privaten Schlüssel erreicht. “Vertraulichkeit” macht unautorisierten Dritten das Lesen und die Interpretation des Inhalts von Daten unmöglich. Dazu kommt Kryptographie zum Einsatz. Die “Nicht-Bestreitbarkeit” von Kommunikation oder IT-Aktivitäten verhindert schließlich Fälle, in denen Personen oder Systeme den Versand oder Empfang einer Nachricht oder den Zugang auf bestimmte Netzwerkressourcen leugnen. Deshalb sollten die Logging-Daten bei Transaktionen in einem VPN-Server überwacht und www.lanline.de SCHWERPUNKT: VIRTUAL PRIVATE NETWORKS Bild 4. Blockdiagramm Crypto IP gesichert werden, um die Bestreitbarkeit von Zugriffen auf das Netz unmöglich zu machen. SICHERE PROTOKOLLE Im Wesentlichen bilden vier Protokolle die Basis für den Aufbau eines Internet-VPNs. Diese vier Protokolle lassen sich unterscheiden in Protokolle der Schicht 2 und 3 des OSI-Modells. SSL-basierte Verschlüsselung (wie HTTPS oder SSH) sind keine VPN-Protokolle, da mit ihnen Anwendungen sicher miteinander kommunizieren und nicht – wie für VPNs definiert – Netze. In der Schicht 2 ist zunächst das PPTP (Point to Point Tunneling Protocol) zu nennen, welches als eine Art Erweiterung des PPP (Point to Point Protocol) eine erste Re- LANline 12/2000 199
SCHWERPUNKT: VIRTUAL PRIVATE NETWORKS alisierung eines VPN-Tunnelings darstellt. Im Rahmen der IETF (Internet Engineering Task Force) wurde das L2TP (Layer 2 Tunneling Protocol) entwickelt, welches auf Eigenschaften des PPTP und des L2F (Layer 2 Forwarding Protocol der Firma Cisco) aufbaut. PPTP und L2TP können als Layer-2- Protokolle verschiedenste Layer-3-Protokolle wie IP, IPX oder NetBEUI übertra- gen. So lassen sich beispielsweise auch Unternehmensinseln, die ausschließlich auf Novells IPX/SPX basieren, über das Internet miteinander verbinden. Das Internet bildet in diesem Fall ein reines Transportnetz. Layer-2-Tunneling-Protokolle besitzen allerdings nicht alle Verschlüsselungsmechanismen und die verwendeten Methoden zur Anwenderauthentisierung genügen auch nicht mehr unbedingt heutigen Anforderungen. Mit der Entwicklung des bislang einzigen sicheren Layer-3-Protokolls IPSec steht erstmals ein standardisiertes Verfahren zur umfassenden Sicherheit für Authentisierung und Datenintegrität für das Internet bereit. Die IPSec-Spezifikationen wurden von der IETF inzwischen weltweit standardisiert. Das IPSec-Protokoll ist unabhängig von aktuellen Verschlüsselungsverfahren, was bedeutet, dass ständig ak- 200 LANline 12/2000 tuellste Algorithmen eingesetzt werden können. IPSec besteht nicht nur aus einem Protokoll, sondern umfasst mehrere Protokolle. So besitzt es neben Protokollen zur Verschlüsselung auch das IKE (Internet Key Exchange Protokoll) zur Verwaltung und zum Austausch von Schlüsselinformationen zwischen den Tunnel-Endpunkten. Diese Entwicklung führt vermutlich dazu, dass sich IP als dominantes Protokoll auch Bild 5. Typischer Einsatz eines VPNs mit mobilen Anwendern, Zweigstellen und Subuntenehmern in den Unternehmensnetzwerken durchsetzen wird, sodass sich das IPSec-Protokoll immer mehr zum Standard entwickelt. TRANSPARENZ DES SYSTEMS Ein VPN arbeitet also auf Ebene 2 beziehungsweise Ebene 3 des Protokoll-Stacks. Das hat im Vergleich zu Lösungen, die auf einem höheren Protokoll-Level agieren (wie zum Beispiel SSL) den Vorteil, dass es für die Anwendung transparent ist. Das bedeutet, dass Änderungen bei bestehenden Anwendungen entfallen und verschiedene Anwendungen ein und dieselbe Sicherheitslösung benutzen können. Darüber hinaus stellen Applikation und VPN eigenständige, getrennte Systeme dar. SMARTCARDS Im Rahmen der PKI besteht auch die Möglichkeit, Smartcards einzusetzen. Dabei landet der private Schlüssel in einem geschützten Speicherbereich auf der Karte. Dieser Bereich lässt sich von außen nicht auslesen, es ist lediglich möglich, dem Krypto-Chip auf der Karte Daten zu schicken, die dieser dann mit dem privaten Schlüssel ver- oder entschlüsselt. Die Smartcard selbst wird durch eine PIN gesichert, die der Anwender vor der Benutzung eingeben muss, was durch die Bedingungen “Besitz” und “Wissen” ein doppeltes Sicherheitskonzept realisiert. Sicherheitsfunktionen in den Betriebssystemen der Smartcards bestimmen die Anzahl der Versuche bei der Eingabe einer falschen PIN. Die Karten bringen Vorteile gegenüber dem Ablegen des privaten Schlüssels in einer passwortgeschützten Datei, da bei der Dateilösung die Berechnungen mit dem Schlüssel auf dem Rechner ablaufen und deshalb ausgespäht werden könnten. Die Integration der Smartcards in die Anwendungen erfolgt über standardisierte Schnittstellen wie PKCS 11 oder bei neuesten Entwicklungen PKCS 15. So definiert PKCS 11 eine API, mit der eine Anwendung die kryptographischen Funktionen einer Smartcard nutzen kann. Bei PKCS 15 umfasst die Standardisierung auch die Speicherverfahren und Ablaufprozesse des Smartcard-Betriebssystems. Über reine Krypto-Funktionalitäten hinaus können die Smartcards auch weitere Features enthalten wie beispielsweise das Speichern der User-IDs oder der Passwörter. USER ACCESS CONTROL Die Kombination eines VPNs mit User Profiling ermöglicht das effiziente Einbinden von Kunden, Geschäftspartnern und Remote-Mitarbeitern in das eigene Unternehmensnetz. Der Zugriff auf Ressourcen des Unternehmensnetzwerks lässt sich über User-Profile für jede Gruppe individuell gestalten. Einem einzelnen User oder einer Gruppe von Usern können mit dieser Methode spezifische Ressourcen im Unternehmensnetz entsprechend ihren User-Rechten zugewiesen werden. Das Profiling basiert auf den empfangenen Zertifikaten und der Information der sie ausstellenden CA. Bild 4 stellt den Sec-Go-Crypto-IP-Server dar, der diese Advanced-VPN-Technologie repräsentiert. www.lanline.de
Seite 1 und 2:
12 Storage Area Networks/Virtual Pr
Seite 3 und 4:
INHALT netzMARKT Internet im Mittel
Seite 5 und 6:
netzMARKT INTERNET IM MITTELPUNKT L
Seite 7 und 8:
netzMARKT Lotus-Hosting-Management-
Seite 9 und 10:
netzMARKT wir von High-speed-Verkab
Seite 11 und 12:
netzMARKT DURCHBLICK AUF ALLEN EBEN
Seite 13 und 14:
netzMARKT NEUAUSRICHTUNG BEI ATI IP
Seite 15 und 16:
netzMARKT SIEMENS ICN: STÄRKER RIC
Seite 17 und 18:
PERSONALKARUSSELL netzMARKT stützu
Seite 19 und 20:
netzMARKT EXPONET 2000 IN KÖLN Net
Seite 21 und 22:
Firma Halle Stand Fiberlan GmbH 2.2
Seite 23 und 24:
Firma Halle Stand Scientific Comput
Seite 25 und 26:
netzPRODUKTE/SERVICES dungen und -A
Seite 27 und 28:
Web-Servern erfolgt. Das bedeutet,
Seite 29 und 30:
netzPRODUKTE/SERVICES ADAPTEC USB-X
Seite 31 und 32:
netzPRODUKTE/SERVICES D ie GLOBAL T
Seite 33 und 34:
netzPRODUKTE/SERVICES SPEICHERSYSTE
Seite 35 und 36:
62 LANline 12/2000 netzPRODUKTE/SER
Seite 37 und 38:
netzPRODUKTE/SERVICES AKTIVE KOMPON
Seite 39 und 40:
netzPRODUKTE/SERVICES MANAGEMENT id
Seite 41 und 42:
netzPRODUKTE/SERVICES SCHUTZ/SICHER
Seite 43 und 44:
70 LANline 12/2000 netzPRODUKTE/SER
Seite 45 und 46:
netzPRODUKTE/SERVICES MESSTECHNIK Q
Seite 47 und 48:
netzPRODUKTE/SERVICES MESSAGING UND
Seite 49 und 50:
Automatische Anrufverteilung Als Er
Seite 51 und 52:
Wer bereits über getrennte Kommuni
Seite 53 und 54:
netzTECHNIK wesentlich beeinträcht
Seite 55 und 56:
netzTECHNIK die alten 10-MBit/s-Eth
Seite 57 und 58:
netzTECHNIK Netzbetreibers, die Ele
Seite 59 und 60:
netzTECHNIK KOMMERZIELLES PEERING D
Seite 61 und 62:
netzTECHNIK DHCP UND WINDOWS 2000 S
Seite 63 und 64:
netzTECHNIK Die DHCP-Server-Version
Seite 65 und 66:
netzTECHNIK BUCHBESPRECHUNGEN WINDO
Seite 67 und 68:
netzTOOLBOX IM TEST: DRIVE IMAGE, V
Seite 69 und 70:
netzTOOLBOX Image-Dateien. Der Edit
Seite 71 und 72:
netzTOOLBOX PERFORMANCE IM WEB Schn
Seite 73 und 74:
netzTOOLBOX - der Web-Server, - der
Seite 75 und 76:
netzTOOLBOX de Jobs eines Druckers
Seite 77 und 78:
ist. Befindet sich Rendezvous auf b
Seite 79 und 80:
netzTOOLBOX Tipps &Tricks In der Ru
Seite 81 und 82:
In den Dateien ARCHIVE.DIR sind all
Seite 83 und 84: Produktpaletten. Vor allem die Gese
Seite 85 und 86: Die Serie Netzwerkdienstleister in
Seite 87 und 88: Die drei Anschlusstechniken DASD, N
Seite 89 und 90: SCHWERPUNKT: STORAGE AREA NETWORKS
Seite 95 und 96: 142 LANline 12/2000 SCHWERPUNKT: ST
Seite 101 und 102: gist bei EMC erläuterte die Rolle
Seite 127 und 128: Anbieter: Fibre-Channel-Switches He
Seite 129 und 130: Channel-Switches Switch-Bandbreite
Seite 131 und 132: Das “virtuell” in Virtual Priva
Seite 133: SCHWERPUNKT: VIRTUAL PRIVATE NETWOR
Seite 137 und 138: SCHWERPUNKT: VIRTUAL PRIVATE NETWOR
Seite 147 und 148: ein Paket von Protokollen, deren Im
Seite 151 und 152: 224 LANline 12/2000 www.lanline.de
Seite 159 und 160: fokusE-COMMERCE unter Umständen se
Seite 161 und 162: fokusE-COMMERCE tem werden weltweit
Seite 163 und 164: 240 LANline 12/2000 fokusE-COMMERCE
Seite 165 und 166: fokusE-COMMERCE che-Web-Server, der
Seite 167 und 168: fokusE-COMMERCE OBJEKT-BROKER FÜR
Seite 169 und 170: fokusECOMMERCE tion. Corba-2.0-komp
Seite 171 und 172: fokusE-COMMERCE den umgekehrten Pro
Seite 173 und 174: Info-Fax oder Internet Der moderne
Alle anzeigen

Das Magazin für Netze, Daten- und Telekommunikation - ITwelzel.biz

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?