|
|
 |
 |
|
 Sicherheit in den OSI - Schichten
| PAP, MS-CHAP, etc.
|
Tunneling |
| |
|
|
|
Unter Tunneling ist grundsätzlich der Transport von Paketen eines Protokolls über andere Transportprotokolle mittels Kapselung zu verstehen. Heute wird diese Technik vor allem in Verbindung mit Kryptographie zur Sicherung von Netzwerkverbindungen verwendet.
Bei der Sicherung von Netzwerkverbindungen geht es um die Etablierung eines Secure Channel den, in der Netzwerkschicht darüber liegende, Protokolle nutzen können um sensitive Informationen austauschen zu können. Im Grunde existiert mit TLS bzw. SSL schon ein weit verbreitetes Protokoll, welches diese Funktion unterstützt. Nachteil von SSL ist, dass auf Socket bzw. Session-Ebene gearbeitet wird, und nur für ein darüber liegendes Anwendungsprotokoll dieser sichere Punkt zu Punkt Tunnel geschaffen wird. Dennoch lässt sich auch SSL für Tunneling einsetzen - am Markt werden SSL-VPN Produkte angeboten, die dieses unterstützen. VPNs werden aber meist auf einer tieferen Netzwerkschicht realisiert.
|
|
 |
|
Prinzip eines VPN Tunnel |
|
PPTP |
Das Point-to-Point-Tunneling Protokoll (RFC 2637) kapselt PPP Pakete in IP-Paketen und erlaubt so verschiedene Protokolle über IP-Verbindungen zu tunneln. Da PPP dahinter steht sind auch EAP
Authentifizierungsmethoden zu nutzen. Mit der Nutzung von EAP-TLS ist auch die Verwendung von Zertifikaten möglich. Zusätzlich fällt auch gleich Schlüsselmaterial, welches für das bei PPP bzw. PPTP verwendbare MPPE (Microsoft Point to Point Encryption - RFC 3078) verwendet werden kann. MPPE basiert auf RC4 (40, 56, 128 Bit).
PPTP verwendet eine TCP Verbindung zur Erfüllung der notwendigen "Verwaltungssaufgaben" für einen sicheren Tunnel. Generic Routing Encapsulation (GRE) wird verwendet, um PPP-Pakete zu kapseln und zu transportieren.
|
|
 |
|
PPTP - Paket |
|
L2TP |
Das von Cisco stammende Layer 2 Tunneling Protokoll (RFC 2661) stellt eine Kombination aus PPTP und Layer 2 Forwarding (L2F) beschrieben in RFC 2341 dar. L2TP funktioniert auch über X.25, Frame Relay und ATM.
L2TP über IP verwendet UDP und eine Reihe von L2TP Nachrichten für die Verwaltungsaufgaben zum Tunnel. L2TP verwendet zudem UDP um L2TP-gekapselte PPP Pakete als getunnelte Daten zu versenden. Natürlich können die Daten wie bei PPTP verschlüsselt werden. Microsoft unterstützt allerdings kein MPPE bei PPTP und verwendet deshalb L2TP mit IPsec.
|
|
 |
|
L2TP - Paket |
|
L2TP / IPSEC |
Microsofts Implementierung von L2TP unterstützt nur IPSec, wobei IPSec Encapsulating Security Payload (ESP) verwendet wird, L2TP zu verschlüsseln. Die Kombination von L2TP als Tunnel-Protokoll und IPSec als Verschlüsselungsmethode ist als L2TP/IPSec in RFC 3193 beschrieben.
|
|
 |
|
L2TP mit IPSEC ESP |
|
IPsec Tunnel Mode |
IPSec im Tunnel mode erlaubt ganze IP packets zu verschlüsseln und mit einem neuen IP-Header über IP-Netzwerk zu senden.
|
Linktipps |
|
|
|
|
|
|
 |
|
|
|
|
|
|
|
|
|
|
Impressum