1 / 50

RAS - Server

RAS - Server. Christiane Bär 02INF2 09971. Inhalt. RAS RAS (Service) RAS (Server) Verbindungsmedien Protokolle Sicherheitsprotokolle DHCP Sicherheitsziele Anwendungsbeispiele. Inhalt. VPN Grundlagen Tunneling Tunnel – Protokolle Anwendungen RADIUS Grundlagen Praxis.

jubal
Download Presentation

RAS - Server

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. RAS - Server Christiane Bär 02INF2 09971

  2. Inhalt • RAS • RAS (Service) • RAS (Server) • Verbindungsmedien • Protokolle • Sicherheitsprotokolle • DHCP • Sicherheitsziele • Anwendungsbeispiele RAS - Server Christiane Bär 11.1.2006

  3. Inhalt • VPN • Grundlagen • Tunneling • Tunnel – Protokolle • Anwendungen • RADIUS • Grundlagen • Praxis RAS - Server Christiane Bär 11.1.2006

  4. RAS – Remote Access Service • Begriffe • Remote – Entfernung • Access – Zugang • Service – Dienst • Beschreibung • Anwendungsdienst • Verbindung lokaler mit entfernten Computern • „transparente“ Nutzung von Netzwerken RAS - Server Christiane Bär 11.1.2006

  5. RAS – Remote Access Server • Begriffe • Remote – Entfernung • Access – Zugang • Server – Dienstanbieter • Beschreibung • Zugangssteuerung für Remote – User • Zugang zum Unternehmensnetz / -Ressourcen / -Diensten • Verbindungsaufbau über Wählnetze • Authentifizierung des Anrufenden RAS - Server Christiane Bär 11.1.2006

  6. RAS – Remote Access Server • Verringert Abhängigkeit zu den Leistungsschwankungen des Internets • Eingehende Verbindungen über DFÜ – Netzwerk oder andere PPP – DFÜ – Software • Gleichzeitig mehrere Wählverbindungen • Modem-, ISDN- oder X.25 Verbindungen • kostenintensiv RAS - Server Christiane Bär 11.1.2006

  7. RAS - Verbindungsmedien • Server: Wählleitungen für die Erreichbarkeit • Clients: Einwählverbindungen • Nachteil: geringe Übertragungsrate • 56 kBit/s (Modem) • 64 kBit/s (ISDN, ein B – Kanal) • 128 kBit/s (ISDN, zwei B – Kanäle) • DFÜ – Netzwerk • Bietet Verbindungen mit niedriger Übertragungsrate zum Internet RAS - Server Christiane Bär 11.1.2006

  8. RAS – Verbindungsmedien • Modem • Modulator / Demodulator • Übertragungsrate max. 56 kBit/s (7 kByte/s) • gleichen Modemtyp verwenden • X.25 • In paketvermittelnden Netzen • Vermittlungs- und Leitungswege ständig angepasst • Direkte Verbindung (von Windows unterstützt) oder asynchrone Verbindung RAS - Server Christiane Bär 11.1.2006

  9. RAS – Verbindungsmedien • ISDN • Integrated Services Digital Network • Schnellere Übertragung als bei analogen Verbindungen • Wird Modem bevorzugt • Zwei B – Kanäle • Je 64 kBit/s Übertragungsrate • Getrennt oder zusammen genutzt • Nutzung der Kanalbündelung abhängig von den ausgeführten Arbeiten RAS - Server Christiane Bär 11.1.2006

  10. RAS - Protokolle • Verwendung des PPP – Protokolls • Transportprotokolle unter PPP: • TCP / IP • Novell NetWare IPX / SPX • Microsoft NetBEUI • AppleTalk • SLIP RAS - Server Christiane Bär 11.1.2006

  11. RAS – Protokolle – PPP • Point – to – Point – Protokoll • Gewährleistet Interoperabilität • Flexibilität in der Auswahl von Hard- und Software • Unterstützt Kennwort – Verschlüsselung, automatische Fehlerbehandlung und Komprimierungsfunktionen • Für die Verkapselung von Datagrammen über serielle Leitungen verwendet RAS - Server Christiane Bär 11.1.2006

  12. RAS – Protokolle – PPP • Verbindungssequenz • Datenblockregeln werden erstellt und ermöglichen eine kontinuierliche Kommunikation • Authentifizierung des Remote – Users durch Authentifizierungsprotokolle • Bei aktivierten Rückruf – beenden der Verbindung und Rückruf durch den Server • Datenübertragung bei erfolgreicher Verbindung RAS - Server Christiane Bär 11.1.2006

  13. RAS – Protokolle – PPP • LCP – Link Control Protocol • Überprüft die Qualität der Verbindung • Bei Bedarf Authentifizierung der Gegenstellen • NCP – Network Control Protocol • Kontrollprotokoll • Konfiguration des zu übertragenden Protokolls • IPCP – IP Control Protocol • Art von DHCP • Wird IP über PPP getunnelt => NCP RAS - Server Christiane Bär 11.1.2006

  14. RAS – Protokolle – TCP / IP • Unterstützt Kommunikation zwischen unterschiedlichen Hardware – Architekturen und Betriebssystemen • IP (Internet Protocol)– Adressierung • Sorgt dafür, dass das Ziel erreicht wird • TCP (Transmission Control Protocol) – Datenübertragung • Stellt Datenstrom zur Anwendung • Im LAN und WAN anwendbar RAS - Server Christiane Bär 11.1.2006

  15. RAS – Protokolle – IPX / SPX • Protokollfamilie für lokale Novell - Netzwerke • IPX: internetworking packet exchange • Verbindungsloses Übertragungsprotokoll • Adressierung • SPX: sequence packet exchange • Verbindungsorientiertes Transportprotokoll • Sicheres Ankommen durch Prüfsumme • In Windows durch NWLink implementiert • Heute auch bei Novell von TCP / IP abgelöst RAS - Server Christiane Bär 11.1.2006

  16. RAS – Protokoll - SLIP • Serial line internet protocol • Gewährleistet Interoperabilität • Keine eindeutige Paketlänge • 2 Steuerzeichen: ESC und END • ESC – IP – Daten – END • Hauptsächlich in UNIX – RAS – Servern eingesetzt • Wird noch von RAS – Clients unter Windows unterstützt, nicht aber von RAS - Servern RAS - Server Christiane Bär 11.1.2006

  17. RAS – Protokolle – NetBEUI • Ursprünglich: Network Basic Extended User Interface von IBM • Später: NetBIOS Extended User Interface von Microsoft und anderen • Umgebung für Kommunikationsdienste: • NetBIOS als Schnittstelle für Anwendungen • NetBEUI als Transportprotokoll • NDIS als Schnittstelle zum Netzwerkadapter • Heute kaum noch verwendet RAS - Server Christiane Bär 11.1.2006

  18. RAS – Protokolle – AppleTalk • Implementiert den Zugriff auf Netzwerke mit Apple – Macintosh – Computer • ATCP (AppleTalk Control Protocol) unterstützt Remotezugriff unter AppleTalk RAS - Server Christiane Bär 11.1.2006

  19. RAS - Sicherheitsprotokolle • Authentifizierung und Datenverschlüsselung • Authentifizierungsverfahren • MS – CHAP (v2) • CHAP • EAP – TLS • SPAP • PAP • Verschlüsselungsverfahren • MPPE RAS - Server Christiane Bär 11.1.2006

  20. RAS – Sicherheitsprotokolle • MS – CHAP (v2) • Microsoft Challenge Handshake Authentification Protocol • Erhöhung der Sicherheit bei • der Übertragung von Sicherheitsinformationen • dem Erstellen von Schlüsseln für die Datenverschlüsselung • v2 für VPN – Verbindungen entwickelt RAS - Server Christiane Bär 11.1.2006

  21. RAS – Sicherheitsprotokolle • CHAP • Challenge Handshake Authentification Protocol • Server sendet challenge mit Sitzungskennung und einer zufälligen Buchstabenfolge • Client antwortet mit Benutzernamen (Klartext) und einer Passwortkombination aus Sitzungskennung, challenge string und Passwort RAS - Server Christiane Bär 11.1.2006

  22. RAS – Sicherheitsprotokolle • PAP • Password Authentification Protocol • Server verlangt Passwort und Benutzername • Übermittlung im Klartext • Unsicher • Dritte können Daten abhören RAS - Server Christiane Bär 11.1.2006

  23. RAS – Sicherheitsprotokolle • EAP - TLS • Extensible Authentification – Protocol – Transport – Layer Security • TLS als Weiterentwicklung des SSL • Unterstützt viele Authentifizierungsmechanismen • Aushandlung des konkret eingesetzten Mechanismus erfolgt erst während der Authentifizierungsphase RAS - Server Christiane Bär 11.1.2006

  24. RAS - Datenverschlüsselung • MPPE • Microsoft Point – to – Point Encryption • Chiffrierschlüssel • 40 – Bit (Basisverschlüsselung) • 56 – Bit (starke Verschlüsselung • 128 – Bit (stärkste Verschlüsselung) • Benötigt als Authentifizierungsprotokoll MS – CHAP oder EAP - TLS RAS - Server Christiane Bär 11.1.2006

  25. RAS – DHCP • Dynamic Host Configuration Protocol • Dynamische Zuweisung von IP – Adressen • Grundprinzip • Server verteilt automatisch IP – Adressen • Client muss automatischen Bezug akzeptieren • Nach Trennung: Freigabe und Neuverteilung • Vorteil: • Keine Umkonfigurieren an allen Computern • Vermeiden fehlerhafter Konfiguration RAS - Server Christiane Bär 11.1.2006

  26. RAS – DHCP • IP – Adressen Verteilung • Automatische Zuordnung • Manuelle Zuordnung • Dynamische Zuordnung • Zusätzliche Informationen für die Verteilung, Angabe über: • Adresspool • Subnetzmaske • DNS – Domäne • Gateway RAS - Server Christiane Bär 11.1.2006

  27. RAS – DHCP • Kommunikation • Client schickt „DHCP – discover“ • Server antwortet mit „DHCP – offer“ • Client entscheidet und schickt „DHCP – request“ • Server übersendet IP – Konfigurationsdaten mit „DHCP – acknowledge“ RAS - Server Christiane Bär 11.1.2006

  28. RAS - Sicherheitsziele • Zugangssicherheit • Eindeutige Identifikation des Benutzers • Zugriffskontrolle • Berechtigungen und Einschränkungen • Verfügbarkeit • Ob und wie ein RAS – Server erreichbar ist • Kommunikationssicherheit • Authentizität und Vertraulichkeit RAS - Server Christiane Bär 11.1.2006

  29. RAS - Anwendungsbeispiele • Anbindung einzelner Arbeitsstationen • HomeOffice • Anbindung mobiler Rechner • Mobile Office • Anbindung ganzer LANs • Filialen und Außenstellen • Management – Zugriff • Fernwartung RAS - Server Christiane Bär 11.1.2006

  30. VPN – Virtual Private Network • Begriffe • Virtual – nicht wirklich existent • Private – nicht für die Öffentlichkeit bestimmt • Network – Netzwerk • Beschreibung • Ähnlich dem RAS – Server • Verbindung über das Internet • Tunnelverbindung für sichere Datenübertragung RAS - Server Christiane Bär 11.1.2006

  31. VPN - Tunneling • Verschlüsselte Datenverbindung zwischen zwei Kommunikationspartnern • Layer – 3 – Tunneling • Layer – 2 – Tunneling RAS - Server Christiane Bär 11.1.2006

  32. VPN - Layer - 3 - Tunneling • Zur Adressierung des Datenpaketes wird IP (Internet Protocol) genutzt • Realisierung mit IPsec • sichere Verbindung zu einem privaten Netzwerk • Teilnehmer authentifizieren sich gegenseitig und verschlüsseln die über VPN übertragenen Daten • IPsec legt eigene Sicherheitsverfahren und -mechanismen fest RAS - Server Christiane Bär 11.1.2006

  33. VPN – Layer – 2 – Tunneling • Datenpaket der Schicht 3 verschlüsselt und mit einer physikalischen Adresse versehen. • Tunnelprotokolle PPTP oder L2TP verwendet • unterstützen sowohl verschlüsselte als auch unverschlüsselte Authentifizierung • Stellen Zugriffskontrollmechanismen bereit, die eine Sicherung des Datenverkehrs in einem VPN ermöglichen • machen von den Sicherheitsmechanismen des PPP - Protokolls gebrauch RAS - Server Christiane Bär 11.1.2006

  34. VPN - Tunneling • Obligatorische Tunnel • Initiierung der Tunnelverbindung und Unterstützung des Tunnelprotokolls durch den Server • Client muss keine Extraunterstützung für das Tunneling besitzen • Freiwilliger Tunnel • Client übernimmt Initiierung der Tunnelverbindung und Unterstützung der Tunnelprotokolle RAS - Server Christiane Bär 11.1.2006

  35. VPN – Tunnel - Protokolle • Verwaltet Verbindung und übertragt verschlüsselte Daten • Nutzen kryptografische Verfahren für eine gesicherte Verbindung • Auch mehrere Tunnel möglich RAS - Server Christiane Bär 11.1.2006

  36. VPN – Tunnel - Protokolle • Aufgaben von Tunnel – Protokollen • Aufbau, Aufrechterhaltung und Abbau des bzw. der Tunnel • kryptographisches Verfahren zur Realisierung des Tunnels ausgehandeln • Schlüsselaustausch-, Verschlüsselungs- und Signaturverfahren • Ver- und Entpacken der Datenpakete der durch den Tunnel übertragbaren Protokolle • Ver- und Entschlüsselung der Datenpakete RAS - Server Christiane Bär 11.1.2006

  37. VPN – Tunnel – Protokolle - PPTP • Point – to – Point – Tunneling Protocol • Erlaubt gegenseitige Authentifizierung • Erweiterung von PPP, verbessert jedoch: • Authentifizierungsmechanismen • Komprimierungsmechanismen • Verschlüsselungsmechanismen RAS - Server Christiane Bär 11.1.2006

  38. VPN – Tunnel – Protokolle - PPTP • Einkapselung • PPTP – Frame aus PPP – Frame mit verschlüsseltem Inhalt entstanden • Zusätzlich noch mit einem GRE- und einem IP – Header versehen • (GRE – Generic Routing Encapsulation – enthält Angaben über das Tunnelprotokoll und die Authentifizierungsmechanismen) RAS - Server Christiane Bär 11.1.2006

  39. VPN – Tunnel – Protokolle - L2TP • Layer – 2 – Tunneling Protocol • Weiterentwicklung des PPTP und L2F • unterstützt verschiedene Protokolle und mehrere parallele Tunnel • Wird hauptsächlich mit IPsec verwendet • VPN – Authentifizierung basiert auf einem Austausch von Zertifikaten, der den unberechtigten Zugriff auf Ressourcen und Daten verhindert • Bieten Weg Schlüssel zur Datenverschlüsselung auszutauschen RAS - Server Christiane Bär 11.1.2006

  40. VPN – Tunnel – Protokolle - L2TP • Einkapselung • L2TP: PPP – Frame wird mit L2TP- und UDP- Header versehen • IPsec: Es wird zusätzlich noch ESP- und IP- Header. Und ein Authentifizierungs – Trailer für IPsec angehangen RAS - Server Christiane Bär 11.1.2006

  41. VPN – Tunnel – Protokolle - IPsec • Allgemein • IP Security Protocol • Layer – 3 – Tunneling • Nur in IP – Netzwerken • Herstellerübergreifender sicherer Datenaustausch • 2 Betriebsmodi • Transportmodus • Tunnelmodus RAS - Server Christiane Bär 11.1.2006

  42. VPN – Tunnel – Protokolle - IPsec • Innerhalb sicherer interner Netzwerke • Datenteil des IP – Paketes wird verschlüsselt • IP – Kopf bleibt erhalten • Zusätzlicher IPsec – Kopf • Verschlüsselung: AH oder ESP RAS - Server Christiane Bär 11.1.2006

  43. VPN – Tunnel – Protokolle - IPsec • Verbindungen über öffentliches Netz • Gesamte IP – Paket wird verschlüsselt • Zusätzlich neuer IP- und IPsec – Kopf • Verschlüsselung: ESP RAS - Server Christiane Bär 11.1.2006

  44. VPN – AH • Authentification Header • Auch IPsec – Header • Enthält alle Informationen, die für eine Authentifikation notwendig sind • Deckt Sicherheitsanforderungen ab • Empfangene Paket vom richtigen Sender • Datenintegrität sicherstellen • Schutz gegen Replay - Angriffe RAS - Server Christiane Bär 11.1.2006

  45. VPN - ESP • Encapsulating Security Payload • IPsec - Header • Wie AH, nur kommt noch eine Verschlüsselungskomponente hinzu, z.B.: • DESC CBC – Data Encryption Standard Cypher Block Chaining • 3DES – Triple Data Encryption Standard • Zusätzliche Sicherheitsanforderung abgedeckt: • Vertraulichkeit der gesendeten Daten RAS - Server Christiane Bär 11.1.2006

  46. VPN - Anwendungen • End – to – Site VPN (Remote Access VPN) • Verbindung eines Einzelnen mit einem Netzwerk • Z.B. Außendienstmitarbeiter RAS - Server Christiane Bär 11.1.2006

  47. VPN - Anwendungen • Site – to – Site VPN • Verbindung eines Netzwerkes mit einem anderen • Benutzer nehmen den firmeneigenen Gateway, um Daten zu übertragen • Extranet und Intranet - VPNs RAS - Server Christiane Bär 11.1.2006

  48. VPN - Anwendungen • End – to – End • Direkte Verbindung zwischen Arbeitsrechnern • Tunnel deckt Verbindung zwischen den Hosts vollständig ab • Z.B. für Bankkunden auf einem Buchungsrechner RAS - Server Christiane Bär 11.1.2006

  49. RADIUS • Remote Authentification Dial – In User Service • Stellt gesicherte Benutzerauthentifizierung, Autorisierungs- und Kontoführungsdienste zur Verfügung • Accounting- und Authentifizierungsprotokoll • Zentrale Administration von Benutzerdaten, wie Benutzerkennung, Passwörter, Rufnummer, Zugriffsrechte RAS - Server Christiane Bär 11.1.2006

  50. Praxis • Ethereal - Mitschnitte • Windows 2003 Server (RAS) • Windows XP Professional (VPN) • RAS – Server HS – Merseburg RAS - Server Christiane Bär 11.1.2006

More Related