Sektionen
Sie sind hier: Institut → IT Services → Dienste → VPN → Technik

VPN Technik

Infrastruktur

Zunächst ein Überblick über die Netzinfrastruktur des VPN und WLAN Netzes.
Schematisierte VPN-Netzsstruktur

Zu erkennen ist der VPN-Server ("VPN Concentrator"). Die beiden "Enden" des VPN-Tunnels sind der VPN-Server und der Laptop. Wenn der Tunnel aufgebaut ist, hat der Laptop eine Adresse aus dem Bereich 131.220.243.0/24. Mit dieser Adresse kann man die meisten Dienste in der Informatik nutzen und ist etwa einem Pool-Rechner gleichgestellt. So kann man z.B die Drucker benutzen oder Netzwerkshares der "Servers" mounten, auch Internetzugang ist möglich.
Die "Management Servers" sind für die Authentifizierung und das Accounting zuständig.
Der Zugang zum VPN-Server ist auch vom Altbau möglich.



Im VPN des Instituts kommen die beiden Protokolle IKE und IPSec zum Einsatz.

IKE

IKE steht für Internet Key Exchange und beschreibt ein Verfahren zum Schlüsselaustausch. Diesen Schlüssel verwendet man später für den IPSec-Tunnel. IKE ist aber nicht an IPSec gebunden.
Beim Austausch darf der Schlüssel selbst nicht übertragen werden, sonst könnte ein Angreifer mitlauschen und den Schlüssel später selbst verwenden.
IKE sichert die Authentizität seiner Pakete mit einem Hashverfahren. D.h der Schlüsselaustausch ist gegen Manipulationen und Hijacking geschützt. Dazu müssen aber erst Parameter ausgehandet werden um von Implementierungen unabhängig Schlüssel austauschen zu können. Zu Beginn handelt IKE das für den Schlüsselaustausch verwendete Verschlüsselungsverfahren und die verwendete Integritätsprüfung aus. Die sog. IKE-Proposals sind Vorschäge der Verbindungspartner, wie eine solche Kombination von Verfahren aussehen könnte. Wenn beide Parteien sich auf eine Konfiguration einigen können ist die IKE Phase 1 abgeschlossen. Jetzt kann der eigentliche Schlüsseltausch beginnen und der Benutzer wird nach dem Passwort gefragt. Wenn die Passwortprüfung erfolgreich war, haben jetzt beide Partner einen gemeinsamen Schlüssel ausgetauscht und die IKE Phase 2 ist erfolgreich beendet.

IPSec

Beim Zugang zum Netz der Informatik kommt der sog. Tunnelmodus zum Einsatz. Dabei werden IP-Pakete in ein zusätzlichen IP-Paket "eingepackt" (encapsulation). Der Header dieses neuen IP Paketes enthält die Adressen des Tunneleintritts- und Tunnelaustrittspunktes. Das so eingepackte Paket wird in unserem Fall mit dem fortschrittlichen Algorithmus AES (oder Rijndael) mit einer effektiven Schlüssellänge von 128 Bit verschlüsselt (Der Schlüssel selbst stammt aus dem IKE). Außerdem wird die Authentizität mit dem Hashverfahren SHA-1 sichergestellt. Nach einer Zeitspanne von etwa drei Stunden, bzw. Datenvolumen von 10MB ändert sich der Schlüssel (perfect forward secrecy) um es potentiellen Angreifern noch schwerer zu machen.  

Institutsverweise