RAS - Server

1
RAS - Server

• Christiane Bär
• 02INF2
• 09971

2
Inhalt

• RAS
• RAS (Service)
• RAS (Server)
• Verbindungsmedien
• Protokolle
• Sicherheitsprotokolle
• DHCP
• Sicherheitsziele
• Anwendungsbeispiele

3
Inhalt

• VPN
• Grundlagen
• Tunneling
• Tunnel Protokolle
• Anwendungen
• RADIUS
• Grundlagen
• Praxis

4
RAS Remote Access Service

• Begriffe
• Remote Entfernung
• Access Zugang
• Service Dienst
• Beschreibung
• Anwendungsdienst
• Verbindung lokaler mit entfernten Computern
• transparente Nutzung von Netzwerken

5
RAS Remote Access Server

• Begriffe
• Remote Entfernung
• Access Zugang
• Server Dienstanbieter
• Beschreibung
• Zugangssteuerung für Remote User
• Zugang zum Unternehmensnetz / -Ressourcen /
  -Diensten
• Verbindungsaufbau über Wählnetze
• Authentifizierung des Anrufenden

6
RAS Remote Access Server

• Verringert Abhängigkeit zu den Leistungsschwankung
  en des Internets
• Eingehende Verbindungen über DFÜ Netzwerk oder
  andere PPP DFÜ Software
• Gleichzeitig mehrere Wählverbindungen
• Modem-, ISDN- oder X.25 Verbindungen
• kostenintensiv

7
RAS - Verbindungsmedien

• Server Wählleitungen für die Erreichbarkeit
• Clients Einwählverbindungen
• Nachteil geringe Übertragungsrate
• 56 kBit/s (Modem)
• 64 kBit/s (ISDN, ein B Kanal)
• 128 kBit/s (ISDN, zwei B Kanäle)
• DFÜ Netzwerk
• Bietet Verbindungen mit niedriger
  Übertragungsrate zum Internet

8
RAS Verbindungsmedien

• Modem
• Modulator / Demodulator
• Übertragungsrate max. 56 kBit/s (7 kByte/s)
• gleichen Modemtyp verwenden
• X.25
• In paketvermittelnden Netzen
• Vermittlungs- und Leitungswege ständig angepasst
• Direkte Verbindung (von Windows unterstützt) oder
  asynchrone Verbindung

9
RAS Verbindungsmedien

• ISDN
• Integrated Services Digital Network
• Schnellere Übertragung als bei analogen
  Verbindungen
• Wird Modem bevorzugt
• Zwei B Kanäle
• Je 64 kBit/s Übertragungsrate
• Getrennt oder zusammen genutzt
• Nutzung der Kanalbündelung abhängig von den
  ausgeführten Arbeiten

10
RAS - Protokolle

• Verwendung des PPP Protokolls
• Transportprotokolle unter PPP
• TCP / IP
• Novell NetWare IPX / SPX
• Microsoft NetBEUI
• AppleTalk
• SLIP

11
RAS Protokolle PPP

• Point to Point Protokoll
• Gewährleistet Interoperabilität
• Flexibilität in der Auswahl von Hard- und
  Software
• Unterstützt Kennwort Verschlüsselung,
  automatische Fehlerbehandlung und
  Komprimierungsfunktionen
• Für die Verkapselung von Datagrammen über
  serielle Leitungen verwendet

12
RAS Protokolle PPP

• Verbindungssequenz
• Datenblockregeln werden erstellt und ermöglichen
  eine kontinuierliche Kommunikation
• Authentifizierung des Remote Users durch
  Authentifizierungsprotokolle
• Bei aktivierten Rückruf beenden der Verbindung
  und Rückruf durch den Server
• Datenübertragung bei erfolgreicher Verbindung

13
RAS Protokolle PPP

• LCP Link Control Protocol
• Überprüft die Qualität der Verbindung
• Bei Bedarf Authentifizierung der Gegenstellen
• NCP Network Control Protocol
• Kontrollprotokoll
• Konfiguration des zu übertragenden Protokolls
• IPCP IP Control Protocol
• Art von DHCP
• Wird IP über PPP getunnelt gt NCP

14
RAS Protokolle TCP / IP

• Unterstützt Kommunikation zwischen
  unterschiedlichen Hardware Architekturen und
  Betriebssystemen
• IP (Internet Protocol) Adressierung
• Sorgt dafür, dass das Ziel erreicht wird
• TCP (Transmission Control Protocol)
  Datenübertragung
• Stellt Datenstrom zur Anwendung
• Im LAN und WAN anwendbar

15
RAS Protokolle IPX / SPX

• Protokollfamilie für lokale Novell - Netzwerke
• IPX internetworking packet exchange
• Verbindungsloses Übertragungsprotokoll
• Adressierung
• SPX sequence packet exchange
• Verbindungsorientiertes Transportprotokoll
• Sicheres Ankommen durch Prüfsumme
• In Windows durch NWLink implementiert
• Heute auch bei Novell von TCP / IP abgelöst

16
RAS Protokoll - SLIP

• Serial line internet protocol
• Gewährleistet Interoperabilität
• Keine eindeutige Paketlänge
• 2 Steuerzeichen ESC und END
• ESC IP Daten END
• Hauptsächlich in UNIX RAS Servern eingesetzt
• Wird noch von RAS Clients unter Windows
  unterstützt, nicht aber von RAS - Servern

17
RAS Protokolle NetBEUI

• Ursprünglich Network Basic Extended User
  Interface von IBM
• Später NetBIOS Extended User Interface von
  Microsoft und anderen
• Umgebung für Kommunikationsdienste
• NetBIOS als Schnittstelle für Anwendungen
• NetBEUI als Transportprotokoll
• NDIS als Schnittstelle zum Netzwerkadapter
• Heute kaum noch verwendet

18
RAS Protokolle AppleTalk

• Implementiert den Zugriff auf Netzwerke mit Apple
  Macintosh Computer
• ATCP (AppleTalk Control Protocol) unterstützt
  Remotezugriff unter AppleTalk

19
RAS - Sicherheitsprotokolle

• Authentifizierung und Datenverschlüsselung
• Authentifizierungsverfahren
• MS CHAP (v2)
• CHAP
• EAP TLS
• SPAP
• PAP
• Verschlüsselungsverfahren
• MPPE

20
RAS Sicherheitsprotokolle

• MS CHAP (v2)
• Microsoft Challenge Handshake Authentification
  Protocol
• Erhöhung der Sicherheit bei
• der Übertragung von Sicherheitsinformationen
• dem Erstellen von Schlüsseln für die
  Datenverschlüsselung
• v2 für VPN Verbindungen entwickelt

21
RAS Sicherheitsprotokolle

• CHAP
• Challenge Handshake Authentification Protocol
• Server sendet challenge mit Sitzungskennung und
  einer zufälligen Buchstabenfolge
• Client antwortet mit Benutzernamen (Klartext) und
  einer Passwortkombination aus Sitzungskennung,
  challenge string und Passwort

22
RAS Sicherheitsprotokolle

• PAP
• Password Authentification Protocol
• Server verlangt Passwort und Benutzername
• Übermittlung im Klartext
• Unsicher
• Dritte können Daten abhören

23
RAS Sicherheitsprotokolle

• EAP - TLS
• Extensible Authentification Protocol
  Transport Layer Security
• TLS als Weiterentwicklung des SSL
• Unterstützt viele Authentifizierungsmechanismen
• Aushandlung des konkret eingesetzten Mechanismus
  erfolgt erst während der Authentifizierungsphase

24
RAS - Datenverschlüsselung

• MPPE
• Microsoft Point to Point Encryption
• Chiffrierschlüssel
• 40 Bit (Basisverschlüsselung)
• 56 Bit (starke Verschlüsselung
• 128 Bit (stärkste Verschlüsselung)
• Benötigt als Authentifizierungsprotokoll MS
  CHAP oder EAP - TLS

25
RAS DHCP

• Dynamic Host Configuration Protocol
• Dynamische Zuweisung von IP Adressen
• Grundprinzip
• Server verteilt automatisch IP Adressen
• Client muss automatischen Bezug akzeptieren
• Nach Trennung Freigabe und Neuverteilung
• Vorteil
• Keine Umkonfigurieren an allen Computern
• Vermeiden fehlerhafter Konfiguration

26
RAS DHCP

• IP Adressen Verteilung
• Automatische Zuordnung
• Manuelle Zuordnung
• Dynamische Zuordnung
• Zusätzliche Informationen für die Verteilung,
  Angabe über
• Adresspool
• Subnetzmaske
• DNS Domäne
• Gateway

27
RAS DHCP

• Kommunikation
• Client schickt DHCP discover
• Server antwortet mit DHCP offer

• Client entscheidet und schickt DHCP request
• Server übersendet IP Konfigurationsdaten mit
  DHCP acknowledge

28
RAS - Sicherheitsziele

• Zugangssicherheit
• Eindeutige Identifikation des Benutzers
• Zugriffskontrolle
• Berechtigungen und Einschränkungen
• Verfügbarkeit
• Ob und wie ein RAS Server erreichbar ist
• Kommunikationssicherheit
• Authentizität und Vertraulichkeit

29
RAS - Anwendungsbeispiele

• Anbindung einzelner Arbeitsstationen
• HomeOffice
• Anbindung mobiler Rechner
• Mobile Office
• Anbindung ganzer LANs
• Filialen und Außenstellen
• Management Zugriff
• Fernwartung

30
VPN Virtual Private Network

• Begriffe
• Virtual nicht wirklich existent
• Private nicht für die Öffentlichkeit bestimmt
• Network Netzwerk
• Beschreibung
• Ähnlich dem RAS Server
• Verbindung über das Internet
• Tunnelverbindung für sichere Datenübertragung

31
VPN - Tunneling

• Verschlüsselte Datenverbindung zwischen zwei
  Kommunikationspartnern
• Layer 3 Tunneling
• Layer 2 Tunneling

32
VPN - Layer - 3 - Tunneling

• Zur Adressierung des Datenpaketes wird IP
  (Internet Protocol) genutzt
• Realisierung mit IPsec
• sichere Verbindung zu einem privaten Netzwerk
• Teilnehmer authentifizieren sich gegenseitig und
  verschlüsseln die über VPN übertragenen Daten
• IPsec legt eigene Sicherheitsverfahren und
  -mechanismen fest

33
VPN Layer 2 Tunneling

• Datenpaket der Schicht 3 verschlüsselt und mit
  einer physikalischen Adresse versehen.
• Tunnelprotokolle PPTP oder L2TP verwendet
• unterstützen sowohl verschlüsselte als auch
  unverschlüsselte Authentifizierung
• Stellen Zugriffskontrollmechanismen bereit, die
  eine Sicherung des Datenverkehrs in einem VPN
  ermöglichen
• machen von den Sicherheitsmechanismen des PPP -
  Protokolls gebrauch

34
VPN - Tunneling

• Obligatorische Tunnel
• Initiierung der Tunnelverbindung und
  Unterstützung des Tunnelprotokolls durch den
  Server
• Client muss keine Extraunterstützung für das
  Tunneling besitzen
• Freiwilliger Tunnel
• Client übernimmt Initiierung der Tunnelverbindung
  und Unterstützung der Tunnelprotokolle

35
VPN Tunnel - Protokolle

• Verwaltet Verbindung und übertragt verschlüsselte
  Daten
• Nutzen kryptografische Verfahren für eine
  gesicherte Verbindung
• Auch mehrere Tunnel möglich

36
VPN Tunnel - Protokolle

• Aufgaben von Tunnel Protokollen
• Aufbau, Aufrechterhaltung und Abbau des bzw. der
  Tunnel
• kryptographisches Verfahren zur Realisierung des
  Tunnels ausgehandeln
• Schlüsselaustausch-, Verschlüsselungs- und
  Signaturverfahren
• Ver- und Entpacken der Datenpakete der durch den
  Tunnel übertragbaren Protokolle
• Ver- und Entschlüsselung der Datenpakete

37
VPN Tunnel Protokolle - PPTP

• Point to Point Tunneling Protocol
• Erlaubt gegenseitige Authentifizierung
• Erweiterung von PPP, verbessert jedoch
• Authentifizierungsmechanismen
• Komprimierungsmechanismen
• Verschlüsselungsmechanismen

38
VPN Tunnel Protokolle - PPTP

• Einkapselung
• PPTP Frame aus PPP Frame mit verschlüsseltem
  Inhalt entstanden
• Zusätzlich noch mit einem GRE- und einem IP
  Header versehen
• (GRE Generic Routing Encapsulation enthält
  Angaben über das Tunnelprotokoll und die
  Authentifizierungsmechanismen)

39
VPN Tunnel Protokolle - L2TP

• Layer 2 Tunneling Protocol
• Weiterentwicklung des PPTP und L2F
• unterstützt verschiedene Protokolle und mehrere
  parallele Tunnel
• Wird hauptsächlich mit IPsec verwendet
• VPN Authentifizierung basiert auf einem
  Austausch von Zertifikaten, der den
  unberechtigten Zugriff auf Ressourcen und Daten
  verhindert
• Bieten Weg Schlüssel zur Datenverschlüsselung
  auszutauschen

40
VPN Tunnel Protokolle - L2TP

• Einkapselung
• L2TP PPP Frame wird mit L2TP- und UDP- Header
  versehen
• IPsec Es wird zusätzlich noch ESP- und IP-
  Header. Und ein Authentifizierungs Trailer für
  IPsec angehangen

41
VPN Tunnel Protokolle - IPsec

• Allgemein
• IP Security Protocol
• Layer 3 Tunneling
• Nur in IP Netzwerken
• Herstellerübergreifender sicherer Datenaustausch
• 2 Betriebsmodi
• Transportmodus
• Tunnelmodus

42
VPN Tunnel Protokolle - IPsec

• Innerhalb sicherer interner Netzwerke
• Datenteil des IP Paketes wird verschlüsselt
• IP Kopf bleibt erhalten
• Zusätzlicher IPsec Kopf
• Verschlüsselung AH oder ESP

43
VPN Tunnel Protokolle - IPsec

• Verbindungen über öffentliches Netz
• Gesamte IP Paket wird verschlüsselt
• Zusätzlich neuer IP- und IPsec Kopf
• Verschlüsselung ESP

44
VPN AH

• Authentification Header
• Auch IPsec Header
• Enthält alle Informationen, die für eine
  Authentifikation notwendig sind
• Deckt Sicherheitsanforderungen ab
• Empfangene Paket vom richtigen Sender
• Datenintegrität sicherstellen
• Schutz gegen Replay - Angriffe

45
VPN - ESP

• Encapsulating Security Payload
• IPsec - Header
• Wie AH, nur kommt noch eine Verschlüsselungskompon
  ente hinzu, z.B.
• DESC CBC Data Encryption Standard Cypher Block
  Chaining
• 3DES Triple Data Encryption Standard
• Zusätzliche Sicherheitsanforderung abgedeckt
• Vertraulichkeit der gesendeten Daten

46
VPN - Anwendungen

• End to Site VPN (Remote Access VPN)
• Verbindung eines Einzelnen mit einem Netzwerk
• Z.B. Außendienstmitarbeiter

47
VPN - Anwendungen

• Site to Site VPN
• Verbindung eines Netzwerkes mit einem anderen
• Benutzer nehmen den firmeneigenen Gateway, um
  Daten zu übertragen
• Extranet und Intranet - VPNs

48
VPN - Anwendungen

• End to End
• Direkte Verbindung zwischen Arbeitsrechnern
• Tunnel deckt Verbindung zwischen den Hosts
  vollständig ab
• Z.B. für Bankkunden auf einem Buchungsrechner

49
RADIUS

• Remote Authentification Dial In User Service
• Stellt gesicherte Benutzerauthentifizierung,
  Autorisierungs- und Kontoführungsdienste zur
  Verfügung
• Accounting- und Authentifizierungsprotokoll
• Zentrale Administration von Benutzerdaten, wie
  Benutzerkennung, Passwörter, Rufnummer,
  Zugriffsrechte

50
Praxis

• Ethereal - Mitschnitte
• Windows 2003 Server (RAS)
• Windows XP Professional (VPN)
• RAS Server HS Merseburg