Advanced VPN: Rund um IPSec- und SSL-VPNs mit Routern von Cisco

Von Rukhsar Khan

IPSec, GRE, mGRE, Dynamic-Multipoint-VPN, IP-Fragmentierung, TCP-MSS, Path-MTU-Discovery, PKI und digitale Zertifikate, Zertifikatsserver, Cisco Easy VPN Server und VPN Client, NAT-T, AAA, SSL-VPN und L2TP sind unter anderem Themen, die dieses Lehrbuch mit Leben füllen.

Diese Protokolle und Funktionen sind derzeit „State of the Art“, wenn es um VPNs geht. In diesem Lehrbuch stehen die Technologien im Vordergrund, und die praktische Anwendung wird am Beispiel der Umsetzung auf Routern von Cisco veranschaulicht. Dieser Titel eignet sich sehr gut zur Vorbereitung der Prüfung CCSP von Cisco.

Aus dem Inhalt:

• VPN-Übersicht
• Kryptographie und IPSec-VPNs
• GRE, OSPF und IPSec
• Dynamic-Multipoint-VPN
• IP-Fragmentierung, TCP-MSS, PMTUD und VPNs
• PKI und digitale Zertifikate
• Zertifikatsserver unter Windows 2003
• Cisco Easy VPN Server
• Cisco VPN Client
• NAT und NAT-T
• Beschreibung und Konfiguration von AAA
• SSL-VPNs und L2TP

• Sprache: Deutsch
• Herausgeber: Airnet
• Erscheinungsdatum: 31. Aug. 2010
• ISBN: 9783941723221

Buchvorschau

Advanced VPN

Stand vom: 23.9.2010. Copyright: Airnet Technologie- und Bildungszentrum GmbH.

Verantwortliche Personen:

Overall: Rukhsar Khan, Airnet Technologie- und Bildungszentrum GmbH (Training)

This eBook has been created using the ePub-Converter of eLML (eLesson Markup Language). See www.eLML.org for more details about creating platform-independent online content.

Inhaltsverzeichnis

Cover

Inhaltsverzeichnis

1. Advanced VPN

1.1. Virtuelle Private Netze (Virtual Private Networks)

1.1.1. Packet-, Frame- und Cell-Switching-Netzwerke

1.1.2. Stand- und Wählleitungen

1.1.3. Internet und DSL

1.1.4. Privates Netz

1.1.5. Virtuelles Privates Netz (Virtual Private Network)

1.1.6. Charakteristik eines VPN

1.1.7. VPN-Klassen

1.1.8. Site-to-Site-VPN

1.1.9. Remote-Access-VPN

1.2. Kryptographie und IPSec-VPNs

1.2.1. Kryptographie per definitionem

1.2.2. Secret-Key-Kryptographie

1.2.3. Secret-Key-Kryptographie - Anforderung an Schlüsselverwaltung

1.2.4. Secret-Key-Kryptographie - Anforderung an Schlüsselverwaltung

1.2.5. Schlüsselverwaltung - Diffie-Hellman-Schlüsselaustausch

1.2.6. Diffie-Hellman-Schlüsselaustausch

1.2.7. Diffie-Hellman-Schlüsselaustausch – Anforderung der Authentifizierung

1.2.8. Authentifizierung/Datenintegrität

1.2.9. Public-Key-Verfahren

1.2.10. Public-Key-Infrastructure

1.2.11. Auszug aus dem IPSec-Framework

1.2.12. IPSec-Protokollimplementierung

1.2.13. IPSec-Modi

1.2.14. IPSec-Implementierung im Tunnel-Modus

1.2.15. IPSec-Implementierung im Transport-Modus

1.2.16. Aushandlung von Security-Parametern

1.2.17. Security-Association & Schlüsselverwaltung

1.2.18. Security-Associations (SAs)

1.2.19. IKE-Phase I

1.2.20. IKE-Phase II

1.2.21. IPSec-Tunnel

1.2.22. Fünf IPSec-Schritte

1.2.23. Layout Beispielnetzwerk

1.2.24. Konfiguration der IKE-Phase I - G1R1 und G1R2

1.2.25. Crypto-Access-Liste für IKE-Phase II - G1R1 und G1R2

1.2.26. Konfiguration der IKE-Phase II - G1R1 und G1R2

1.2.27. Verifizieren von IPSec

1.2.28. ISAKMP-Richtlinie

1.2.29. IPSec-Transform-Set

1.2.30. ISAKMP-SA

1.2.31. IPSec-SA

1.2.32. Crypto-Map

1.2.33. Access-Liste als Datenfilter

1.2.34. Aufbau von IPSec-Tunneln zwischen mehreren Routern

1.2.35. Erweiterte IPSec-Konfiguration

1.3. GRE, OSPF und IPSec

1.3.1. Layout Beispielnetzwerk

1.3.2. GRE-Protokollimplementierung

1.3.3. Client-Ping und GRE-Protokollimplementierung

1.3.4. OSPF über GRE-IP

1.3.5. Konfiguration OSPF über GRE - G1R1 und G1R2

1.3.6. Verifizieren von OSPF über GRE

1.3.7. GRE/OSPF/IPSec-Kombination

1.3.8. Konfiguration von GRE, IPSec und OSPF - G1R1 und G1R2

1.4. Dynamisches Mehrpunkt-VPN (Dynamic Multipoint VPN)

1.4.1. Eigenschaften eines DMVPN

1.4.2. DMVPN-Einsatzmodell Hub-and-Spoke

1.4.3. DMVPN-Einsatzmodell Spoke-to-Spoke

1.4.4. Funktion in einem DMVPN

1.4.5. Funktion in einem DMVPN

1.4.6. Funktion in einem DMVPN

1.4.7. Konfiguration des DMVPN-Hub

1.4.8. Konfiguration des DMVPN-Spoke

1.4.9. Verifizieren der Routing-Tabelle

1.4.10. Verifizieren der NHRP-Tabelle - G1R1

1.4.11. Verifizieren der NHRP-Tabelle - G2R1

1.5. IP-Fragmentierung, TCP-MSS, Path-MTU-Discovery und VPNs

1.5.1. IP-Fragmentierung

1.5.2. IP-Fragmentierung im Detail

1.5.3. Maximum-Segment-Size (MSS) des TCP-Protokolls

1.5.4. Festlegung der MSS

1.5.5. Path-MTU-Discovery (PMTUD)

1.5.6. Wireshark-Trace und Debugging von PMTUD)

1.5.7. Einfache PMTUD mit IPSec

1.5.8. Doppelte PMTUD mit IPSec

1.5.9. Verifizieren von PMTUD mit IPSec

1.5.10. Fazit

1.6. PKI und Digitale Zertifikate

1.6.1. Pre-Shared-Keys

1.6.2. Erzeugung von digitalen Zertifikaten

1.6.3. Authentifizierung durch digitale Zertifikate

1.6.4. Bestandteile einer PKI-Umgebung

1.6.5. PKI-Hierarchie

1.6.6. Format eines digitalen Zertifikats

1.6.7. Geräte-Information (Device Information)

1.6.8. Identitäts- und CA-Zertifikat

1.6.9. Signaturerstellung für ein Identitäts-Zertifikat

1.6.10. Austausch der Identitäts-Zertifikate

1.6.11. Authentifizierungsprozess

1.6.12. Zertifikats-Sperrliste (Certificate Revocation List (CRL))

1.6.13. PKCS#10-Format

1.6.14. PKCS#10-Zertifikatsanfrage

1.6.15. PKCS#7-Antwort

1.6.16. SCEP-Funktion

1.6.17. Layout Beispielnetzwerk

1.6.18. Zeitkonfiguration und -verifikation

1.6.19. Erzeugung des privaten/öffentlichen Schlüsselpaares

1.6.20. Vertrauensstellen-Konfiguration und Zertifikateserver-Authentifizierung

1.6.21. Einschreibungsprozess

1.6.22. Anpassen der ISAKMP-Richtlinie

1.6.23. PKI-Verifikationsbefehle

1.6.24. Verifikation der Vertrauensstelle

1.6.25. Verifikation der Zertifikate

1.6.26. Verifikation der Zertifikate-Sperrliste

1.6.27. Verifikation der lokalen öffentlichen Schlüssel

1.7. Zertifikatsserver unter Windows 2003

1.7.1. Start - Systemsteuerung - Software

1.7.2. Software - Windows Komponenten hinzufügen/entfernen

1.7.3. Anwendungsserver

1.7.4. Zertifikatsdienste

1.7.5. Meldung Zertifikatsdienste

1.7.6. Zertifikatsdienste

1.7.7. Zertifizierungsstellentyp

1.7.8. Privates/Öffentliches Schlüsselpaar

1.7.9. Informationen über die Zertifizierungsstelle

1.7.10. Erzeugung des kryptographischen Schlüssels

1.7.11. Einstellungen der Zertifikatdatenbank

1.7.12. Komponenten werden konfiguriert

1.7.13. Meldung Zertifikatsdienste

1.7.14. Fertigstellen des Assistenten

1.7.15. Ausführen

1.7.16. SCEP Add-On for Certificate Services

1.7.17. SCEP Setup Wizard

1.7.18. Application Identity Options

1.7.19. Challenge Phrase Options

1.7.20. SCEP RA Certificate Enrollment

1.7.21. Completing SCEP Setup Wizard

1.7.22. SCEP Setup Successful

1.7.23. Anmeldung am Zertifikatsserver

1.7.24. Webbrowser - Challenge-Passwort

1.7.25. Zertifizierungsstelle

1.7.26. Zertifizierungsstelle - Airnet-CA

1.7.27. Zertifizierungsstelle - Ausstehende Anforderungen

1.7.28. Aktion - Alle Tasks - Ausstellen

1.7.29. Zertifizierungsstelle - Ausgestellte Zertifikate

1.7.30. Aktion - Alle Tasks - Zertifikat sperren

1.7.31. Zertifikatsperrung

1.7.32. Zertifizierungsstelle - Gesperrte Zertifikate

1.7.33. Aktion - Eigenschaften

1.7.34. Parameter für Sperrlistenveröffentlichung

1.7.35. Zertifikatsperrliste anzeigen

1.8. Aufbau von Remote-Access-VPNs

1.8.1. Einsatz eines Easy-VPN-Servers

1.8.2. IKE-Phasen

1.8.3. IKE-Phasen im Detail

1.8.4. Layout Beispielnetzwerk

1.8.5. Konfiguration des Easy-VPN-Servers und Routing-Tabelle

1.8.6. Konfiguration des Easy-VPN-Remote-Routers und HTTP-Interception

1.8.7. HTTP-Interception

1.8.8. HTTP-Interception

1.8.9. Verifikation des Easy-VPN-Remote-Routers

1.8.10. Verifikation des Easy-VPN-Remote-Routers

1.8.11. Verifikation des Easy-VPN-Remote-Routers

1.9. Cisco VPN Client

1.9.1. Connection Entries

1.9.2. Connection Entries - New

1.9.3. Create New Connection Entry

1.9.4. Connection Entries - Not Connected und Benutzerauthentifizierung (XAUTH)

1.9.5. Connection Entries - Connected

1.9.6. Status und Statistics

1.9.7. Route Details

1.9.8. ipconfig -all

1.9.9. Connection Entries - Disconnect

1.9.10. Certificates

1.9.11. Certificates - Enroll

1.9.12. Certificate Enrollment

1.9.13. Certificate Enrollment

1.9.14. Certificate enrollment request message

1.9.15. Certificates

1.9.16. Certificates - Retrieve Approved Certificate

1.9.17. Certificate Password und Certificate enrollment message

1.9.18. Certificates

1.9.19. Connection Entries

1.9.20. Connection Entries - Modify und Properties

1.10. Adressübersetzung durch NAT und PAT

1.10.1. NAT-Terminologie

1.10.2. Private Adressbereiche

1.10.3. NAT-Funktion

1.10.4. NAT-Funktion

1.10.5. NAT-Funktion

1.10.6. NAT-Funktion

1.10.7. PAT-Funktion

1.10.8. PAT-Funktion

1.10.9. Statische NAT-Konfiguration

1.10.10. Dynamische NAT-Konfiguration

1.10.11. PAT-Konfiguration

1.10.12. Verifizieren von NAT und PAT

1.10.13. Debuggen von NAT und PAT

1.11. NAT-Erweiterungen für IPSec

1.11.1. IPSec-Protokollimplementierung

1.11.2. NAT und IPSec mit AH

1.11.3. NAT und IPSec mit ESP ohne AH

1.11.4. PAT und IPSec mit ESP ohne AH

1.11.5. Lösungen von Adress-Übersetzung

1.11.6. Funktion von NAT-T

1.11.7. NAT-T-Protokollimplementierung

1.12. Beschreibung und Konfiguration von AAA

1.12.1. AuthenticationAA

1.12.2. AAuthorizationA

1.12.3. AAAccounting

1.12.4. Warum AAA?

1.12.5. Roaming-Anforderung

1.12.6. Cisco Access Control Server (ACS)

1.12.7. ACS-Startfenster

1.12.8. Network Configuration

1.12.9. AAA Client Setup

1.12.10. AAA Server Setup

1.12.11. NAS-Grundkonfiguration

1.12.12. Authentifizierungsmodi

1.12.13. ACS - User Setup

1.12.14. Authentifizierung von Netzwerkbenutzern

1.12.15. Autorisierungsmodi

1.12.16. Group Setup

1.12.17. Adress-Pool

1.12.18. Zuweisung des Adress-Pools

1.12.19. Authorization-Konfiguration

1.12.20. Reports and Activity - Accounting

1.12.21. Passed Authentications

1.12.22. Accounting-Konfiguration

1.13. SSL-VPNs

1.13.1. Eigenschaften von SSL-VPNs

1.13.2. WebVPN-Login

1.13.3. WebVPN-Portal

1.13.4. Thin-Client und DOS-Box

1.13.5. Thin-Client DOS-Box

1.13.6. WebVPN-Portal

1.13.7. Full-Tunnel-Modus

1.13.8. AnyConnect-Client

1.13.9. AnyConnect-Client

1.13.10. AnyConnect-Client DOS-Box

1.13.11. Web-VPN-Konfiguration ohne SVC

1.13.12. SVC-Installation

1.13.13. SVC-Konfiguration

1.13.14. Verifikationsbefehle

1.13.15. Verifikation des WebVPN-Gateways

1.13.16. Verifikation des WebVPN-Kontextes

1.13.17. Verifikation der Richtliniengruppe WebVPN

1.13.18. Verifikation der WebVPN-Sitzungen

1.14. Remote-Access-VPN mit L2TP

1.14.1. L2TP-Terminologie

1.14.2. Verbindungsinitiierung von L2TP

1.14.3. L2TP-Implementierung

1.14.4. L2TP-Protokollimplementierung

1.14.5. Layout Beispielnetzwerk

1.14.6. Konfiguration des Remote-Systems

1.14.7. LAC-Konfiguration - unidirektional

1.14.8. LNS-Konfiguration – unidirektional

1.14.9. LAC- und LNS-Konfiguration - bidirektional

1.14.10. Verifizieren von L2TP

1.14.11. VPDN-Informationen

1.14.12. VPDN-Tunnelinformationen

1.14.13. VPDN-Sitzungsinformationen

1.14.14. Virtual-Access-Schnittstelle

1.14.15. Routing-Tabelle

1.15. Glossar

1.16. Stichwortverzeichnis

1.17. Metadaten Advanced VPN

1. Advanced VPN

1.1. Virtuelle Private Netze (Virtual Private Networks)

Lernziele

Herkömmliche WAN-Technik

VPN-Technik

1.1.1. Packet-, Frame- und Cell-Switching-Netzwerke

Die Abbildung zeigt die drei WAN-Switching-Techniken X.25, Frame-Relay und ATM. Genau genommen handelt es sich beim X.25 um eine Packet-Switching-Technik, beim Frame-Relay um eine Frame-Switching-Technik und beim ATM um eine Cell-Switching-Technik. Alle drei Techniken haben die Gemeinsamkeit, dass zuerst virtuelle Ende-zu-Ende-Verbindungen (Virtual-Circuits) aufgebaut werden, die anschließend das Übertragen von Daten ermöglichen. WAN-Switching-Netzwerke werden von Service-Providern wie zum Beispiel der Deutschen Telekom betrieben. Das Einsatzgebiet dieser Techniken erstreckt sich von nationalen und internationalen Zweigstellenanbindungen über Anbindungen externer Geschäftspartner bis hin zu Hochgeschwindigkeitsanbindungen zwischen Internet-Service-Providern.

1.1.2. Stand- und Wählleitungen

Weiterhin sind in dieser Abbildung einige Techniken und Schnittstellenspezifikationen für die Bereitstellung von Standleitungen aufgeführt. Diese sind unter anderem V.35, X.21, ISDN, G.703, G.704, Synchronous Optical Network (SONET) und Synchronous Digital Hierarchy (SDH). Auch Circuit-Switched-Netzwerke wie zum Beispiel das Public Switched Telephone Network (PSTN) sowie das ISDN sind abgebildet. Da die ISDN-Technik sowohl Standleitungen als auch Wählverbindungen unterstützt, ist sie doppelt aufgeführt. Auch ISDN-Netzwerke werden von Service-Providern betrieben. Das Einsatzgebiet von Standleitungen hat sich im Laufe der Jahre drastisch verändert. Vor Einführung der VPN-Technik wurden sie sehr häufig für die Anbindung von Zweigstellen bzw. für die Anbindung von Geschäftspartnern verwendet. Die VPN-Technik hat heute große Teile des Standleitungsmarktes abgelöst. Auch der Einsatz von Wählverbindungen hat sich stark verändert. Während früher noch große Entfernungen über eine ISDN-Einwahl überbrückt wurden, hat heute ebenfalls die VPN-Technik Einsatz gefunden. Das Hauptkriterium dieses neuen Trends ist die gewaltige Kostenreduzierung. Auch die Tatsache, dass Standleitungen und Wählverbindungen an die Erfordernisse des variablen Datenverkehrs nicht anpassungsfähig sind, ist ein weiterer Pluspunkt für die VPN-Technik.

1.1.3. Internet und DSL

Hier sind zusätzlich zu den bereits erwähnten Techniken auch Digital Subscriber Line (DSL) und das Internet als weitere WAN-Technik aufgeführt. DSL ist zwar im Zusammenhang mit dem Internet zum Vorschein gekommen, jedoch handelt es sich hierbei um eine eigenständige WAN-Technik. Es wird heute hauptsächlich eingesetzt, um den Bandbreiten-Anforderungen von Internetbenutzern gerecht zu werden. Beim Internet selbst handelt es sich jedoch nicht um eine eigenständige WAN-Technik. Es ist vielmehr ein globales Netzwerk, das durch den Zusammenschluss von vielen Teilstrecken gebildet ist. Die Techniken, die auf den einzelnen Teilstrecken verwendet werden, sind abgesehen vom X.25 und Frame-Relay oftmals jene, die wir in den beiden vorherigen Abbildungen gesehen haben. Auch Gigabit- und 10-Gigabit-Ethernet im Zusammenhang mit SDH werden von Internet-Service-Providern mittlerweile häufig verwendet, um Teilstrecken des Internets zu bilden. Man fragt sich vielleicht, warum das Internet überhaupt entstehen musste, wenn bereits ausreichende WAN-Techniken vorhanden waren. Hierfür gibt es zwar viele Gründe, jedoch war eine der Hauptursachen der hohe Preis vieler vorhandener WAN-Techniken.

1.1.4. Privates Netz

Auch ein virtuelles privates Netz (Virtual Private Network) ist keine eigenständige WAN-Technik. VPNs sind abhängig von einer darunter liegenden Übertragungstechnik. Ob es sich dabei um eine LAN- oder WAN-Technik handelt, ist unbedeutend. VPNs