Ruediger weblog » ipsec http://www.all-your-base.de/blog ALL YOUR BASE ARE BELONG TO US Sun, 19 Feb 2012 19:27:31 +0000 en hourly 1 http://wordpress.org/?v=3.2.1 SSL-VPN @ home, Teil 1 http://www.all-your-base.de/blog/2007/11/07/ssl-vpn-home-teil-1/ http://www.all-your-base.de/blog/2007/11/07/ssl-vpn-home-teil-1/#comments Tue, 06 Nov 2007 23:18:53 +0000 Ruediger http://www.uname-a.net/blog/index.php/2007/11/07/ssl-vpn-home-teil-1/ Gesicherter Zugriff ins heimische Netzwerk oder ins Firmen-LAN von jedem Punkt der Welt aus, von jedem PC, egal wo er steht... DAS ist SSL-VPN. Eine kurze Einführung am Beispiel der Sonicwall SSL-VPN 200 Appliance.

]]> Nach langem Überlegen habe ich sie mir endlich gekauft: Die SSL-VPN-Appliance für Zuhause. Was bringt es? Sicherer, verschlüsselter Zugriff von extern auf die Ressourcen (z. B. NAS) im privaten LAN- von überall, von jedem PC. Keine Fast keine Software-Installation (sprich: keinen IPSec-Client), etc. Braucht man es unbedingt? Nein, aber es vereinfacht sehr vieles… Grund genug, mir in meinem Urlaub das Thema SSL-VPN genauer anzusehen.

Grundsätzlich: Was ist ein VPN? Ein VPN (Virtual Private Network) ist ein Netzwerk, um private Daten SICHER über ein öffentliches Netz (z. B. Internet) zu übertragen. Mit “sicher” ist hier der Schutz vor Mitlesen und/oder Ändern der Daten durch Dritte gemeint, nicht sicher im Sinne von garantierter Zustellung (so wird “sicher” im Zusammenhang mit TCP interpretiert). VPNs kann man grundsätzlich in die drei Arten Site-to-Site, End-to-Site und End-to-End unterteilen. Ein Site-to-Site-Tunnel wird meist zwischen 2 Firmenfirewalls aufgebaut, ein End-to-Site, oder auch Mobile-Tunnel, wird von einem mobilen Endgerät zu einem festen Endgerät (Initiator ist zwingend der Mobile User) aufgebaut. Einfaches Beispiel für einen End-to-End-Tunnel ist SSH.

Die Grafik zeigt ein Site-to-Site-VPN zwischen 2 Firmen und deren Kommunikation:

vpn2.gif

 

Die folgende Grafik zeigt einen Mobile-User, der sich mit dem Firmennetz oder einem Heimnetzwerk mit einem Mobile-Client verbindet:

vpn3.gif

IPSec ist Stand der Dinge, wenn es um VPN geht. Ursprünglich (vor mittlerweile fast 8 Jahren) entwickelt mit den Hauptzielen Vertraulichkeit, Authentizität und Integrität, ist es seit Jahren der De facto-Standart für Site-to-Site-Tunnel. IPSec hat allerdings Schwächen im Hinblick auf Mobile-User (Benutzer, die mithilfe von VPN-Clients arbeiten), die ins Netz möchten. Um als Mobile-user eine Verbindung ins Firmen-/Home-LAN zu bekommen, sind mehrere Dinge erforderlich:

  1. Auf dem Mobilen Gerät muss ein VPN-Client installiert sein bzw. der Benutzer benötigt Admin-Rechte, um ihn selbst zu installieren.
  2. Die Personal Firewall auf dem Client muss IPSec-Pakete durchlassen (z. B. UDP 500, ESP, AH), bzw. der Benutzer hat wiederum das Recht, diese Regeln anzupassen.
  3. Jegliche sonstige Firewall (z. B. Firmefirewall oder Internet-Cafe) zwischen Mobile-User und Ziel-Firewall lässt die soeben genannten Protokolle und Ports ebenfalls durch.

Wenn diese Voraussetzungen alle erfüllt sind, kann der Mobile User einen transparenten Tunnel aufbauen und kann somit Vollzugriff auf das LAN (fast ohne Einschränkungen) bekommen. Aufgrund dieser notwendigen Voraussetzungen kommt seit einiger Zeit SSL-VPN immer mehr ins Gespräch. Auch SSL-VPN baut einen Tunnel zwischen 2 Kommunikationspartnern auf, der verschlüsselt wird. Ein großer Vorteil von SSL-VPN liegt in der Verwendung von TCP Port 443 (HTTPS) zur Kommunikation. Port 443 wird auch bei vielen Webseiten verwendet, ist ein gängiges Protokoll und ist daher auf den meisten Firewalls erlaubt (Personal Firewalls wie auch Firmenfirewalls). Alleine aus diesem Grund ist Punkt 2 und Punkt 3 der oben genannten Liste weitgehendst hinfällig.

Details zu SSL-VPN und der Sonicwall im nächsten Teil.

Technorati Tags: , , , ,

]]> http://www.all-your-base.de/blog/2007/11/07/ssl-vpn-home-teil-1/feed/ 1