Das Magazin für Netze, Daten- und Telekommunikation - ITwelzel.biz

Weitere Magazine

Empfehlungen

Info

SCHWERPUNKT: VIRTUAL PRIVATE NETWORKS DAS ENDE DER PROPRIETÄREN PROTOKOLLE Sicher durch den Tunnel Theoretisch eignet sich das Internet in Verbindung mit Tunneling- Techniken schon lange für die gesicherte Kommunikation zwischen zwei Endgeräten oder Netzen. Allerdings waren diese “Virtuellen Privaten Netze” bisher in der Praxis noch wenig zu finden. Mit IPSec könnte sich das ändern. Der mittlerweile auch von der Industrie adaptierte Standard bietet die besten Voraussetzungen, die Mankos der Vergangenheit aus dem Weg zu räumen. Virtuelle Private Netze (VPNs) geraten zunehmend als kostengünstige Alternative zur Festverbindung ins Blickfeld der Unternehmen. Anstelle dedizierter Mietleitungen werden beim Virtuellen Privaten Netz die Kommunikationsverbindungen des Internets benutzt, IPSec-Protokolle im Tunnel- und Transportmodus um Niederlassungen, Teleworker oder Partner ans interne LAN anzubinden – entweder von Endgerät zu Endgerät, von Endgerät zu Gateway oder von Gateway zu Gateway. Experten schätzen, dass der Einsatz von VPNs gegenüber klassischen 218 LANline 12/2000 Lösungen eine Kostenersparnis von 20 bis 60 Prozent zur Folge hat. Darüber hinaus sind VPNs verglichen mit einer Mietleitung flexibler und ermöglichen auch das Anbinden externer Mitarbeiter, die über wechselnde Standorte auf das Netzwerk zugreifen. VPNs nutzen das Tunneling-Verfahren, um vertrauliche Daten sicher über öffentliche Netze zu transportieren. Die Methode an sich ist nicht neu. Doch vor allem die früheren Tunneling-Protokolle wie das Point-to-Poin-Tunneling-Proto- col (PPTP) haben ihre Schwachstellen. PPTP verwendet für die Authentisierung das Password Authentification Protocol (PAP) sowie das Challenge Handshake Protocol (CHAP) und verschlüsselt mittels RC4 und DES, wobei Schlüssel zwischen 40 und 128 Bit verwendet werden. Zudem waren es vor allem proprietäre Protokolle wie FWZ1 von Checkpoint oder das frühere CET von Cisco, mit denen sich VPN-Lösungen realisieren ließen – mit dem Nachteil, dass eine Kommunikation meist nur zwischen den Produkten des jeweiligen Herstellers möglich war. Kurzfristige verschlüsselte Verbindungen sind damit unmöglich, wenn nicht beide Partner zufällig die gleichen Produkte verwenden. Diese Mankos haben den VPNs bislang nicht gerade zu großer Verbreitung verholfen. Mit IP Security (IPSec) der ”IP Security Working Group“ ist ein großer Schritt nach vorne gelungen. Damit geht das Zeitalter der proprietären Protokolle vorüber. Viele Hersteller wie Checkpoint oder Cisco unterstützen den Standard und ermöglichen so den Aufbau heterogener VPNs. Auch auf europäischer Ebene gibt es bereits erste große IPSec-Projekte, etwa das European Network Exchange (ENX) in der Automobilindustrie. Einen Nachteil hat die vielgelobte Entwicklung allerdings: IPSec eignet sich nur für reine IP-Umgebungen. Die Möglichkeit von PPTP, auch andere Protokolle wie IPX oder NetBEUI direkt in einen IP-Mantel einzuschließen, bietet IPSec nicht. Dennoch ist davon auszugehen, dass IPSec langfristig PPTP ablösen wird, da es eine höhere Sicherheit realisiert und die Firmen ihre Netzwerkinfrastruktur immer mehr auf TCP/IP ausrichten. Zudem unterstützt IPSec neben IPv4 auch das kommende IPv6. Das gewährleistet den Schutz der Investitionen. Während das PPTP unterhalb der Transportschicht (TCP/IP, IPX/SPX, NetBEUI, also auf Layer 2) läuft, integriert sich IPSec auf der Netzwerkebene, also Layer 3. Darüber hinaus sind Authentifizierung und Verschlüsselung getrennt, beides kann aber muss nicht kombiniert werden. Es handelt sich hier um www.lanline.de
ein Paket von Protokollen, deren Implementierung entweder direkt in den IP- Stack oder auch zwischen IP-Stack und Netzwerktreiber erfolgt. Für den Benutzer ist der Transfer transparent – er erkennt nicht, ob der Datentransfer über ein VPN oder eine normale IP-Verbindung erfolgt. Im Zusammenhang mit VPNs wird IP- Sec vermutlich immer im Tunnelmodus betrieben, aber auch eine normale Transportverbindung ist möglich. Der Unterschied besteht darin, dass die Datagramme bei Ersterem komplett verschlüsselt und in ein neues Paket gepackt werden. Der zweite Weg verschlüsselt nur den Datenteil, also die Nutzlast. Der originäre IP-Header bleibt erhalten, es kommt nur ein zweiter IPSec-Header hinzu. Die Unterschiede liegen in der Praxis im Bandbreitenbedarf, da im Transportmodus wesentlich weniger Overhead über die Leitung geht. www.lanline.de SCHWERPUNKT: VIRTUAL PRIVATE NETWORKS Die Sicherheit von IPSec beruht auf den Sicherheitsprotokollen Authentication Header (AH) und Encapsulating Security Payload (ESP), die innerhalb des IP-Datagramms untergebracht sind. AH umfasst Integritäts- und Anti-Replay- Möglichkeiten. Die Basis dafür bilden Prüfsummen, etwa mit MD5-Hash-Algorithmen beziehungsweise dem stärkeren SHA-1. Sie berechnen sich zum einen über die Daten des Pakets, zum anderen über die Quell- und Zieladresse und sorgen so dafür, dass sich die Adressen auf dem Transport nicht mehr unbemerkt verändern lassen. Damit wird vor allem dem gefährlichen IP-Spoofing, also dem Vortäuschen falscher Adressen beziehungsweise Identitäten ein Riegel vorgeschoben. Hauptsächlich zur Verschlüsselung der Paketinhalte, also der Nutzdaten, dient ESP. Es bietet in der aktuellen Implementierung auch Anti-Replay-Dienste Security Association Database Einträge bestehen aus: Sequence Number Counter Sequence Counter Overflow Anti-Replay-Window AH Information ESP Information Gültigkeitsangabe der SA IPSec Protocol Mode MTU Pfad Einträge sind indiziert mit: Security Parameter Index (SPI) Ziel-IP-Adresse des äußeren Headers IPSec Protokoll (AH oder ESP) sowie den Selektoren aus der Security Policy Database und Integritätssicherheit. Aus diesem Grund empfehlen manche wie Bruce Schneider in dem Beitrag “Cryptographic evaluation of IPSec” (Bruce Schnei- LANline 12/2000 219
Seite 1 und 2:
12 Storage Area Networks/Virtual Pr
Seite 3 und 4:
INHALT netzMARKT Internet im Mittel
Seite 5 und 6:
netzMARKT INTERNET IM MITTELPUNKT L
Seite 7 und 8:
netzMARKT Lotus-Hosting-Management-
Seite 9 und 10:
netzMARKT wir von High-speed-Verkab
Seite 11 und 12:
netzMARKT DURCHBLICK AUF ALLEN EBEN
Seite 13 und 14:
netzMARKT NEUAUSRICHTUNG BEI ATI IP
Seite 15 und 16:
netzMARKT SIEMENS ICN: STÄRKER RIC
Seite 17 und 18:
PERSONALKARUSSELL netzMARKT stützu
Seite 19 und 20:
netzMARKT EXPONET 2000 IN KÖLN Net
Seite 21 und 22:
Firma Halle Stand Fiberlan GmbH 2.2
Seite 23 und 24:
Firma Halle Stand Scientific Comput
Seite 25 und 26:
netzPRODUKTE/SERVICES dungen und -A
Seite 27 und 28:
Web-Servern erfolgt. Das bedeutet,
Seite 29 und 30:
netzPRODUKTE/SERVICES ADAPTEC USB-X
Seite 31 und 32:
netzPRODUKTE/SERVICES D ie GLOBAL T
Seite 33 und 34:
netzPRODUKTE/SERVICES SPEICHERSYSTE
Seite 35 und 36:
62 LANline 12/2000 netzPRODUKTE/SER
Seite 37 und 38:
netzPRODUKTE/SERVICES AKTIVE KOMPON
Seite 39 und 40:
netzPRODUKTE/SERVICES MANAGEMENT id
Seite 41 und 42:
netzPRODUKTE/SERVICES SCHUTZ/SICHER
Seite 43 und 44:
70 LANline 12/2000 netzPRODUKTE/SER
Seite 45 und 46:
netzPRODUKTE/SERVICES MESSTECHNIK Q
Seite 47 und 48:
netzPRODUKTE/SERVICES MESSAGING UND
Seite 49 und 50:
Automatische Anrufverteilung Als Er
Seite 51 und 52:
Wer bereits über getrennte Kommuni
Seite 53 und 54:
netzTECHNIK wesentlich beeinträcht
Seite 55 und 56:
netzTECHNIK die alten 10-MBit/s-Eth
Seite 57 und 58:
netzTECHNIK Netzbetreibers, die Ele
Seite 59 und 60:
netzTECHNIK KOMMERZIELLES PEERING D
Seite 61 und 62:
netzTECHNIK DHCP UND WINDOWS 2000 S
Seite 63 und 64:
netzTECHNIK Die DHCP-Server-Version
Seite 65 und 66:
netzTECHNIK BUCHBESPRECHUNGEN WINDO
Seite 67 und 68:
netzTOOLBOX IM TEST: DRIVE IMAGE, V
Seite 69 und 70:
netzTOOLBOX Image-Dateien. Der Edit
Seite 71 und 72:
netzTOOLBOX PERFORMANCE IM WEB Schn
Seite 73 und 74:
netzTOOLBOX - der Web-Server, - der
Seite 75 und 76:
netzTOOLBOX de Jobs eines Druckers
Seite 77 und 78:
ist. Befindet sich Rendezvous auf b
Seite 79 und 80:
netzTOOLBOX Tipps &Tricks In der Ru
Seite 81 und 82:
In den Dateien ARCHIVE.DIR sind all
Seite 83 und 84:
Produktpaletten. Vor allem die Gese
Seite 85 und 86:
Die Serie Netzwerkdienstleister in
Seite 87 und 88:
Die drei Anschlusstechniken DASD, N
Seite 89 und 90:
SCHWERPUNKT: STORAGE AREA NETWORKS
Seite 91 und 92:
Seite 93 und 94:
Seite 95 und 96: 142 LANline 12/2000 SCHWERPUNKT: ST
Seite 97 und 98: SCHWERPUNKT: STORAGE AREA NETWORKS
Seite 101 und 102: gist bei EMC erläuterte die Rolle
Seite 127 und 128: Anbieter: Fibre-Channel-Switches He
Seite 129 und 130: Channel-Switches Switch-Bandbreite
Seite 131 und 132: Das “virtuell” in Virtual Priva
Seite 133 und 134: SCHWERPUNKT: VIRTUAL PRIVATE NETWOR
Seite 145: SCHWERPUNKT: VIRTUAL PRIVATE NETWOR
Seite 151 und 152: 224 LANline 12/2000 www.lanline.de
Seite 159 und 160: fokusE-COMMERCE unter Umständen se
Seite 161 und 162: fokusE-COMMERCE tem werden weltweit
Seite 163 und 164: 240 LANline 12/2000 fokusE-COMMERCE
Seite 165 und 166: fokusE-COMMERCE che-Web-Server, der
Seite 167 und 168: fokusE-COMMERCE OBJEKT-BROKER FÜR
Seite 169 und 170: fokusECOMMERCE tion. Corba-2.0-komp
Seite 171 und 172: fokusE-COMMERCE den umgekehrten Pro
Seite 173 und 174: Info-Fax oder Internet Der moderne
Alle anzeigen

Das Magazin für Netze, Daten- und Telekommunikation - ITwelzel.biz

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?