Advanced VPN: Rund um IPSec- und SSL-VPNs mit Routern von Cisco
Von Rukhsar Khan
()
Über dieses E-Book
Diese Protokolle und Funktionen sind derzeit „State of the Art“, wenn es um VPNs geht. In diesem Lehrbuch stehen die Technologien im Vordergrund, und die praktische Anwendung wird am Beispiel der Umsetzung auf Routern von Cisco veranschaulicht. Dieser Titel eignet sich sehr gut zur Vorbereitung der Prüfung CCSP von Cisco.
Aus dem Inhalt:
• VPN-Übersicht
• Kryptographie und IPSec-VPNs
• GRE, OSPF und IPSec
• Dynamic-Multipoint-VPN
• IP-Fragmentierung, TCP-MSS, PMTUD und VPNs
• PKI und digitale Zertifikate
• Zertifikatsserver unter Windows 2003
• Cisco Easy VPN Server
• Cisco VPN Client
• NAT und NAT-T
• Beschreibung und Konfiguration von AAA
• SSL-VPNs und L2TP
Ähnlich wie Advanced VPN
Ähnliche E-Books
Advanced Routing: OSPF, EIGRP, IS-IS, BGP und Redistribution mit Routern von Cisco Bewertung: 0 von 5 Sternen0 BewertungenNetzwerktechnik, Band 3: Routerkonfigurationen für Fortgeschrittene Bewertung: 0 von 5 Sternen0 BewertungenAdvanced Switching: mit Layer-2- und Multilayer-Switches von Cisco Bewertung: 0 von 5 Sternen0 BewertungenAktive Netzkomponenten: Router und Switches von Cisco Bewertung: 0 von 5 Sternen0 BewertungenNetzwerktechnik, Band 2: Erweiterte Grundlagen Bewertung: 0 von 5 Sternen0 BewertungenNetzwerktechnik, Band 1: Grundlagen für Einsteiger Bewertung: 0 von 5 Sternen0 BewertungenIPv6 Grundlagen - Funktionalität - Integration Bewertung: 0 von 5 Sternen0 BewertungenAutomatisieren mit SIMATIC S7-300 im TIA Portal: Projektieren, Programmieren und Testen mit STEP 7 Professional Bewertung: 0 von 5 Sternen0 BewertungenMicrosoft Windows Server 2016 – Das Handbuch: Von der Planung und Migration bis zur Konfiguration und Verwaltung Bewertung: 0 von 5 Sternen0 BewertungenWindows Server 2012 R2 - Der schnelle Einstieg Bewertung: 0 von 5 Sternen0 BewertungenJava – die Neuerungen in Version 17 LTS, 18 und 19 Bewertung: 0 von 5 Sternen0 BewertungenIT-Performance richtig testen und optimieren Bewertung: 0 von 5 Sternen0 BewertungenZ-Wave: Die Funktechnologie für das Smart Home Bewertung: 0 von 5 Sternen0 BewertungenJavaFX Bewertung: 0 von 5 Sternen0 BewertungenHeimnetzwerke XL-Edition: DSL/WLAN/PC/Handy/Drucker & Co. Bewertung: 0 von 5 Sternen0 BewertungenWindows Server 2016: Der schnelle Einstieg Bewertung: 0 von 5 Sternen0 BewertungenHigh Performance LAMP: Lastsituationen großer Webseiten planen und meistern Bewertung: 0 von 5 Sternen0 BewertungenSAP Schnittstellen Programmierung mit RFC und VBA: SAP Daten mit MS Access bearbeiten Bewertung: 0 von 5 Sternen0 BewertungenMicrosoft AJAX: AJAX Libary, ASP .NET 2.0 Extensions, AJAX Control Toolkit Bewertung: 0 von 5 Sternen0 BewertungenSpring Boot 2: Moderne Softwareentwicklung mit Spring 5 Bewertung: 0 von 5 Sternen0 BewertungenDie Serverwelt von Node.js Bewertung: 0 von 5 Sternen0 BewertungenAutodesk Inventor 2020 - Aufbaukurs Konstruktion: Viele praktische Übungen am Konstruktionsobjekt Getriebe Bewertung: 0 von 5 Sternen0 BewertungenHandbuch Infrastructure as Code: Prinzipien, Praktiken und Patterns für eine cloudbasierte IT-Infrastruktur Bewertung: 0 von 5 Sternen0 BewertungenDer Weg zum eigenen Roboter: Tipps, Tricks und kleine Projekte Bewertung: 0 von 5 Sternen0 BewertungenNetzwerkinfrastruktur mit Windows Server 2016 implementieren: Original Microsoft Prüfungstraining 70-741 Bewertung: 0 von 5 Sternen0 BewertungenSpring: Vier Perspektiven auf Framework und Ökosystem Bewertung: 0 von 5 Sternen0 BewertungenAutodesk Inventor 2021 - Aufbaukurs Konstruktion: Viele praktische Übungen am Konstruktionsobjekt GETRIEBE Bewertung: 0 von 5 Sternen0 BewertungenWebentwicklung mit dem Play Framework Bewertung: 0 von 5 Sternen0 BewertungenSpring Praxishandbuch: Band 2: Dynamisierung, Verteilung und Sicherheit Bewertung: 0 von 5 Sternen0 BewertungenAutodesk Inventor 2019 - Dynamische Simulation: Viele praktische Übungen am Konstruktionsobjekt Radlader Bewertung: 0 von 5 Sternen0 Bewertungen
Systemadministration für Sie
Die Eignung Neuronaler Netze für die Mining-Funktionen Clustern und Vorhersage Bewertung: 0 von 5 Sternen0 BewertungenPhp E Mysql Bewertung: 0 von 5 Sternen0 BewertungenResilience: Wie Netflix sein System schützt Bewertung: 0 von 5 Sternen0 BewertungenBuilding Information Modeling (BIM) in der Planung von Bauleistungen Bewertung: 4 von 5 Sternen4/5Linux Befehlsreferenz: Schnelleinstieg in die Arbeit mit der Konsole, regulären Ausdrücken und Shellscripting Bewertung: 0 von 5 Sternen0 BewertungenNetzwerktechnik, Band 1: Grundlagen für Einsteiger Bewertung: 0 von 5 Sternen0 BewertungenDocker: Webseiten mittels Containerarchitektur erstellen Bewertung: 3 von 5 Sternen3/5
Rezensionen für Advanced VPN
0 Bewertungen0 Rezensionen
Buchvorschau
Advanced VPN - Airnet Technologie- und Bildungszentrum GmbH
Advanced VPN
Stand vom: 23.9.2010. Copyright: Airnet Technologie- und Bildungszentrum GmbH.
Verantwortliche Personen:
Overall: Rukhsar Khan, Airnet Technologie- und Bildungszentrum GmbH (Training)
This eBook has been created using the ePub-Converter of eLML (eLesson Markup Language). See www.eLML.org for more details about creating platform-independent online content.
Inhaltsverzeichnis
Cover
Inhaltsverzeichnis
1. Advanced VPN
1.1. Virtuelle Private Netze (Virtual Private Networks)
1.1.1. Packet-, Frame- und Cell-Switching-Netzwerke
1.1.2. Stand- und Wählleitungen
1.1.3. Internet und DSL
1.1.4. Privates Netz
1.1.5. Virtuelles Privates Netz (Virtual Private Network)
1.1.6. Charakteristik eines VPN
1.1.7. VPN-Klassen
1.1.8. Site-to-Site-VPN
1.1.9. Remote-Access-VPN
1.2. Kryptographie und IPSec-VPNs
1.2.1. Kryptographie per definitionem
1.2.2. Secret-Key-Kryptographie
1.2.3. Secret-Key-Kryptographie - Anforderung an Schlüsselverwaltung
1.2.4. Secret-Key-Kryptographie - Anforderung an Schlüsselverwaltung
1.2.5. Schlüsselverwaltung - Diffie-Hellman-Schlüsselaustausch
1.2.6. Diffie-Hellman-Schlüsselaustausch
1.2.7. Diffie-Hellman-Schlüsselaustausch – Anforderung der Authentifizierung
1.2.8. Authentifizierung/Datenintegrität
1.2.9. Public-Key-Verfahren
1.2.10. Public-Key-Infrastructure
1.2.11. Auszug aus dem IPSec-Framework
1.2.12. IPSec-Protokollimplementierung
1.2.13. IPSec-Modi
1.2.14. IPSec-Implementierung im Tunnel-Modus
1.2.15. IPSec-Implementierung im Transport-Modus
1.2.16. Aushandlung von Security-Parametern
1.2.17. Security-Association & Schlüsselverwaltung
1.2.18. Security-Associations (SAs)
1.2.19. IKE-Phase I
1.2.20. IKE-Phase II
1.2.21. IPSec-Tunnel
1.2.22. Fünf IPSec-Schritte
1.2.23. Layout Beispielnetzwerk
1.2.24. Konfiguration der IKE-Phase I - G1R1 und G1R2
1.2.25. Crypto-Access-Liste für IKE-Phase II - G1R1 und G1R2
1.2.26. Konfiguration der IKE-Phase II - G1R1 und G1R2
1.2.27. Verifizieren von IPSec
1.2.28. ISAKMP-Richtlinie
1.2.29. IPSec-Transform-Set
1.2.30. ISAKMP-SA
1.2.31. IPSec-SA
1.2.32. Crypto-Map
1.2.33. Access-Liste als Datenfilter
1.2.34. Aufbau von IPSec-Tunneln zwischen mehreren Routern
1.2.35. Erweiterte IPSec-Konfiguration
1.3. GRE, OSPF und IPSec
1.3.1. Layout Beispielnetzwerk
1.3.2. GRE-Protokollimplementierung
1.3.3. Client-Ping und GRE-Protokollimplementierung
1.3.4. OSPF über GRE-IP
1.3.5. Konfiguration OSPF über GRE - G1R1 und G1R2
1.3.6. Verifizieren von OSPF über GRE
1.3.7. GRE/OSPF/IPSec-Kombination
1.3.8. Konfiguration von GRE, IPSec und OSPF - G1R1 und G1R2
1.4. Dynamisches Mehrpunkt-VPN (Dynamic Multipoint VPN)
1.4.1. Eigenschaften eines DMVPN
1.4.2. DMVPN-Einsatzmodell Hub-and-Spoke
1.4.3. DMVPN-Einsatzmodell Spoke-to-Spoke
1.4.4. Funktion in einem DMVPN
1.4.5. Funktion in einem DMVPN
1.4.6. Funktion in einem DMVPN
1.4.7. Konfiguration des DMVPN-Hub
1.4.8. Konfiguration des DMVPN-Spoke
1.4.9. Verifizieren der Routing-Tabelle
1.4.10. Verifizieren der NHRP-Tabelle - G1R1
1.4.11. Verifizieren der NHRP-Tabelle - G2R1
1.5. IP-Fragmentierung, TCP-MSS, Path-MTU-Discovery und VPNs
1.5.1. IP-Fragmentierung
1.5.2. IP-Fragmentierung im Detail
1.5.3. Maximum-Segment-Size (MSS) des TCP-Protokolls
1.5.4. Festlegung der MSS
1.5.5. Path-MTU-Discovery (PMTUD)
1.5.6. Wireshark-Trace und Debugging von PMTUD)
1.5.7. Einfache PMTUD mit IPSec
1.5.8. Doppelte PMTUD mit IPSec
1.5.9. Verifizieren von PMTUD mit IPSec
1.5.10. Fazit
1.6. PKI und Digitale Zertifikate
1.6.1. Pre-Shared-Keys
1.6.2. Erzeugung von digitalen Zertifikaten
1.6.3. Authentifizierung durch digitale Zertifikate
1.6.4. Bestandteile einer PKI-Umgebung
1.6.5. PKI-Hierarchie
1.6.6. Format eines digitalen Zertifikats
1.6.7. Geräte-Information (Device Information)
1.6.8. Identitäts- und CA-Zertifikat
1.6.9. Signaturerstellung für ein Identitäts-Zertifikat
1.6.10. Austausch der Identitäts-Zertifikate
1.6.11. Authentifizierungsprozess
1.6.12. Zertifikats-Sperrliste (Certificate Revocation List (CRL))
1.6.13. PKCS#10-Format
1.6.14. PKCS#10-Zertifikatsanfrage
1.6.15. PKCS#7-Antwort
1.6.16. SCEP-Funktion
1.6.17. Layout Beispielnetzwerk
1.6.18. Zeitkonfiguration und -verifikation
1.6.19. Erzeugung des privaten/öffentlichen Schlüsselpaares
1.6.20. Vertrauensstellen-Konfiguration und Zertifikateserver-Authentifizierung
1.6.21. Einschreibungsprozess
1.6.22. Anpassen der ISAKMP-Richtlinie
1.6.23. PKI-Verifikationsbefehle
1.6.24. Verifikation der Vertrauensstelle
1.6.25. Verifikation der Zertifikate
1.6.26. Verifikation der Zertifikate-Sperrliste
1.6.27. Verifikation der lokalen öffentlichen Schlüssel
1.7. Zertifikatsserver unter Windows 2003
1.7.1. Start - Systemsteuerung - Software
1.7.2. Software - Windows Komponenten hinzufügen/entfernen
1.7.3. Anwendungsserver
1.7.4. Zertifikatsdienste
1.7.5. Meldung Zertifikatsdienste
1.7.6. Zertifikatsdienste
1.7.7. Zertifizierungsstellentyp
1.7.8. Privates/Öffentliches Schlüsselpaar
1.7.9. Informationen über die Zertifizierungsstelle
1.7.10. Erzeugung des kryptographischen Schlüssels
1.7.11. Einstellungen der Zertifikatdatenbank
1.7.12. Komponenten werden konfiguriert
1.7.13. Meldung Zertifikatsdienste
1.7.14. Fertigstellen des Assistenten
1.7.15. Ausführen
1.7.16. SCEP Add-On for Certificate Services
1.7.17. SCEP Setup Wizard
1.7.18. Application Identity Options
1.7.19. Challenge Phrase Options
1.7.20. SCEP RA Certificate Enrollment
1.7.21. Completing SCEP Setup Wizard
1.7.22. SCEP Setup Successful
1.7.23. Anmeldung am Zertifikatsserver
1.7.24. Webbrowser - Challenge-Passwort
1.7.25. Zertifizierungsstelle
1.7.26. Zertifizierungsstelle - Airnet-CA
1.7.27. Zertifizierungsstelle - Ausstehende Anforderungen
1.7.28. Aktion - Alle Tasks - Ausstellen
1.7.29. Zertifizierungsstelle - Ausgestellte Zertifikate
1.7.30. Aktion - Alle Tasks - Zertifikat sperren
1.7.31. Zertifikatsperrung
1.7.32. Zertifizierungsstelle - Gesperrte Zertifikate
1.7.33. Aktion - Eigenschaften
1.7.34. Parameter für Sperrlistenveröffentlichung
1.7.35. Zertifikatsperrliste anzeigen
1.8. Aufbau von Remote-Access-VPNs
1.8.1. Einsatz eines Easy-VPN-Servers
1.8.2. IKE-Phasen
1.8.3. IKE-Phasen im Detail
1.8.4. Layout Beispielnetzwerk
1.8.5. Konfiguration des Easy-VPN-Servers und Routing-Tabelle
1.8.6. Konfiguration des Easy-VPN-Remote-Routers und HTTP-Interception
1.8.7. HTTP-Interception
1.8.8. HTTP-Interception
1.8.9. Verifikation des Easy-VPN-Remote-Routers
1.8.10. Verifikation des Easy-VPN-Remote-Routers
1.8.11. Verifikation des Easy-VPN-Remote-Routers
1.9. Cisco VPN Client
1.9.1. Connection Entries
1.9.2. Connection Entries - New
1.9.3. Create New Connection Entry
1.9.4. Connection Entries - Not Connected und Benutzerauthentifizierung (XAUTH)
1.9.5. Connection Entries - Connected
1.9.6. Status und Statistics
1.9.7. Route Details
1.9.8. ipconfig -all
1.9.9. Connection Entries - Disconnect
1.9.10. Certificates
1.9.11. Certificates - Enroll
1.9.12. Certificate Enrollment
1.9.13. Certificate Enrollment
1.9.14. Certificate enrollment request message
1.9.15. Certificates
1.9.16. Certificates - Retrieve Approved Certificate
1.9.17. Certificate Password und Certificate enrollment message
1.9.18. Certificates
1.9.19. Connection Entries
1.9.20. Connection Entries - Modify und Properties
1.10. Adressübersetzung durch NAT und PAT
1.10.1. NAT-Terminologie
1.10.2. Private Adressbereiche
1.10.3. NAT-Funktion
1.10.4. NAT-Funktion
1.10.5. NAT-Funktion
1.10.6. NAT-Funktion
1.10.7. PAT-Funktion
1.10.8. PAT-Funktion
1.10.9. Statische NAT-Konfiguration
1.10.10. Dynamische NAT-Konfiguration
1.10.11. PAT-Konfiguration
1.10.12. Verifizieren von NAT und PAT
1.10.13. Debuggen von NAT und PAT
1.11. NAT-Erweiterungen für IPSec
1.11.1. IPSec-Protokollimplementierung
1.11.2. NAT und IPSec mit AH
1.11.3. NAT und IPSec mit ESP ohne AH
1.11.4. PAT und IPSec mit ESP ohne AH
1.11.5. Lösungen von Adress-Übersetzung
1.11.6. Funktion von NAT-T
1.11.7. NAT-T-Protokollimplementierung
1.12. Beschreibung und Konfiguration von AAA
1.12.1. AuthenticationAA
1.12.2. AAuthorizationA
1.12.3. AAAccounting
1.12.4. Warum AAA?
1.12.5. Roaming-Anforderung
1.12.6. Cisco Access Control Server (ACS)
1.12.7. ACS-Startfenster
1.12.8. Network Configuration
1.12.9. AAA Client Setup
1.12.10. AAA Server Setup
1.12.11. NAS-Grundkonfiguration
1.12.12. Authentifizierungsmodi
1.12.13. ACS - User Setup
1.12.14. Authentifizierung von Netzwerkbenutzern
1.12.15. Autorisierungsmodi
1.12.16. Group Setup
1.12.17. Adress-Pool
1.12.18. Zuweisung des Adress-Pools
1.12.19. Authorization-Konfiguration
1.12.20. Reports and Activity - Accounting
1.12.21. Passed Authentications
1.12.22. Accounting-Konfiguration
1.13. SSL-VPNs
1.13.1. Eigenschaften von SSL-VPNs
1.13.2. WebVPN-Login
1.13.3. WebVPN-Portal
1.13.4. Thin-Client und DOS-Box
1.13.5. Thin-Client DOS-Box
1.13.6. WebVPN-Portal
1.13.7. Full-Tunnel-Modus
1.13.8. AnyConnect-Client
1.13.9. AnyConnect-Client
1.13.10. AnyConnect-Client DOS-Box
1.13.11. Web-VPN-Konfiguration ohne SVC
1.13.12. SVC-Installation
1.13.13. SVC-Konfiguration
1.13.14. Verifikationsbefehle
1.13.15. Verifikation des WebVPN-Gateways
1.13.16. Verifikation des WebVPN-Kontextes
1.13.17. Verifikation der Richtliniengruppe WebVPN
1.13.18. Verifikation der WebVPN-Sitzungen
1.14. Remote-Access-VPN mit L2TP
1.14.1. L2TP-Terminologie
1.14.2. Verbindungsinitiierung von L2TP
1.14.3. L2TP-Implementierung
1.14.4. L2TP-Protokollimplementierung
1.14.5. Layout Beispielnetzwerk
1.14.6. Konfiguration des Remote-Systems
1.14.7. LAC-Konfiguration - unidirektional
1.14.8. LNS-Konfiguration – unidirektional
1.14.9. LAC- und LNS-Konfiguration - bidirektional
1.14.10. Verifizieren von L2TP
1.14.11. VPDN-Informationen
1.14.12. VPDN-Tunnelinformationen
1.14.13. VPDN-Sitzungsinformationen
1.14.14. Virtual-Access-Schnittstelle
1.14.15. Routing-Tabelle
1.15. Glossar
1.16. Stichwortverzeichnis
1.17. Metadaten Advanced VPN
1. Advanced VPN
1.1. Virtuelle Private Netze (Virtual Private Networks)
Lernziele
Herkömmliche WAN-Technik
VPN-Technik
1.1.1. Packet-, Frame- und Cell-Switching-Netzwerke
Die Abbildung zeigt die drei WAN-Switching-Techniken X.25, Frame-Relay und ATM. Genau genommen handelt es sich beim X.25 um eine Packet-Switching-Technik, beim Frame-Relay um eine Frame-Switching-Technik und beim ATM um eine Cell-Switching-Technik. Alle drei Techniken haben die Gemeinsamkeit, dass zuerst virtuelle Ende-zu-Ende-Verbindungen (Virtual-Circuits) aufgebaut werden, die anschließend das Übertragen von Daten ermöglichen. WAN-Switching-Netzwerke werden von Service-Providern wie zum Beispiel der Deutschen Telekom betrieben. Das Einsatzgebiet dieser Techniken erstreckt sich von nationalen und internationalen Zweigstellenanbindungen über Anbindungen externer Geschäftspartner bis hin zu Hochgeschwindigkeitsanbindungen zwischen Internet-Service-Providern.
1.1.2. Stand- und Wählleitungen
Weiterhin sind in dieser Abbildung einige Techniken und Schnittstellenspezifikationen für die Bereitstellung von Standleitungen aufgeführt. Diese sind unter anderem V.35, X.21, ISDN, G.703, G.704, Synchronous Optical Network (SONET) und Synchronous Digital Hierarchy (SDH). Auch Circuit-Switched-Netzwerke wie zum Beispiel das Public Switched Telephone Network (PSTN) sowie das ISDN sind abgebildet. Da die ISDN-Technik sowohl Standleitungen als auch Wählverbindungen unterstützt, ist sie doppelt aufgeführt. Auch ISDN-Netzwerke werden von Service-Providern betrieben. Das Einsatzgebiet von Standleitungen hat sich im Laufe der Jahre drastisch verändert. Vor Einführung der VPN-Technik wurden sie sehr häufig für die Anbindung von Zweigstellen bzw. für die Anbindung von Geschäftspartnern verwendet. Die VPN-Technik hat heute große Teile des Standleitungsmarktes abgelöst. Auch der Einsatz von Wählverbindungen hat sich stark verändert. Während früher noch große Entfernungen über eine ISDN-Einwahl überbrückt wurden, hat heute ebenfalls die VPN-Technik Einsatz gefunden. Das Hauptkriterium dieses neuen Trends ist die gewaltige Kostenreduzierung. Auch die Tatsache, dass Standleitungen und Wählverbindungen an die Erfordernisse des variablen Datenverkehrs nicht anpassungsfähig sind, ist ein weiterer Pluspunkt für die VPN-Technik.
1.1.3. Internet und DSL
Hier sind zusätzlich zu den bereits erwähnten Techniken auch Digital Subscriber Line (DSL) und das Internet als weitere WAN-Technik aufgeführt. DSL ist zwar im Zusammenhang mit dem Internet zum Vorschein gekommen, jedoch handelt es sich hierbei um eine eigenständige WAN-Technik. Es wird heute hauptsächlich eingesetzt, um den Bandbreiten-Anforderungen von Internetbenutzern gerecht zu werden. Beim Internet selbst handelt es sich jedoch nicht um eine eigenständige WAN-Technik. Es ist vielmehr ein globales Netzwerk, das durch den Zusammenschluss von vielen Teilstrecken gebildet ist. Die Techniken, die auf den einzelnen Teilstrecken verwendet werden, sind abgesehen vom X.25 und Frame-Relay oftmals jene, die wir in den beiden vorherigen Abbildungen gesehen haben. Auch Gigabit- und 10-Gigabit-Ethernet im Zusammenhang mit SDH werden von Internet-Service-Providern mittlerweile häufig verwendet, um Teilstrecken des Internets zu bilden. Man fragt sich vielleicht, warum das Internet überhaupt entstehen musste, wenn bereits ausreichende WAN-Techniken vorhanden waren. Hierfür gibt es zwar viele Gründe, jedoch war eine der Hauptursachen der hohe Preis vieler vorhandener WAN-Techniken.
1.1.4. Privates Netz
Auch ein virtuelles privates Netz (Virtual Private Network) ist keine eigenständige WAN-Technik. VPNs sind abhängig von einer darunter liegenden Übertragungstechnik. Ob es sich dabei um eine LAN- oder WAN-Technik handelt, ist unbedeutend. VPNs