M 5.76 Einsatz geeigneter Tunnel-Protokolle für die RAS-Kommunikation
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement-Team
Verantwortlich für Umsetzung: Administrator
Wird über Remote Access auf ein LAN zugegriffen, so geschieht dies über eine Datenverbindung, an deren Bereitstellung meist externe Dritte beteiligt sind. So wird beispielsweise bei der Nutzung der direkten Einwahl (Direct Dial-In) das Netz des Telekommunikationsanbieters benutzt. Geschieht der Verbindungsaufbau über das Internet, so werden die Daten über die Netze der beteiligten Internetdienstanbieter (und ggf. deren Kooperationspartner) geleitet. Da über eine RAS-Verbindung (Remote Access Service) die direkte Anbindung des RAS-Clients in ein LAN erfolgt, muss der zur Datenübertragung benutzte Netzpfad so abgesichert werden, dass die Sicherheit der Daten (Vertraulichkeit, Integrität, Authentizität) gewährleistet ist. Die Absicherung wird durch das Verschlüsseln und das Signieren der ausgetauschten Datenpakete erreicht, nachdem die Kommunikationspartner authentisiert wurden (siehe auch M 4.34 Einsatz von Verschlüsselung, Checksummen oder Digitalen Signaturen). Im RAS-Umfeld haben sich verschiedene Verfahren und Mechanismen zur Absicherung der Kommunikationsverbindung (z. B. Tunneling, siehe unten) herausgebildet.
Die Wahl des Verfahrens, das zur Absicherung einer RAS-Verbindung zu benutzen ist, hängt von verschiedenen Faktoren ab, u. A.
- von den Sicherheitsanforderungen an die Stärke der Verfahren (hierdurch werden beispielsweise die Schlüssellängen bestimmt),
- von den auf Protokollebene einsetzbaren Verfahren (siehe unten),
- von den durch die RAS-Hard- und Software unterstützten Verfahren.
Generell gilt:
- Das RAS-Produkt bietet in der Regel eine Auswahl von unterstützten Standardverfahren zur Kommunikationsabsicherung an. Hier sollte eine möglichst breite Unterstützung von Verfahren angestrebt werden.
- Die zum Datentransport benutzten Protokolle bieten selbst schon Sicherheitsmechanismen an. Diese können vom RAS-Produkt genutzt werden. Alternativ kann das RAS-Produkt auch eigene Verfahren anbieten.
Die Sicherheitsmechanismen basieren auf unterschiedlichen kryptographischen Verfahren. Die Maßnahme M 3.23 Einführung in kryptographische Grundbegriffe enthält eine kurze Einführung in kryptographische Grundbegriffe.
Verschlüsseln von Protokollverbindungen: Tunneling
Wird eine verschlüsselte Datenverbindung zwischen zwei Kommunikationspartnern aufgebaut, so realisiert diese Verbindung einen "sicheren Kanal". Durch diesen Kanal können beliebige Daten sicher mit dem zugrunde liegenden Kommunikationsprotokoll (beispielsweise IP) übertragen werden. Stellen die übertragenen Daten selbst die Datenpakete eines Kommunikationsproto
kolls dar, so spricht man auch von einem "Tunnel". Das Protokoll, das verwendet wird, um die Daten zu verschlüsseln, durch den Tunnel zu übertragen und die Verbindung zu verwalten, wird auch als Tunnel-Protokoll bezeichnet. Bei Tunnel-Protokollen kann unterschieden werden,
- auf welchem Transport-Protokoll sie aufbauen und welcher Protokoll-Schicht (OSI-Layer) sie zuzuordnen sind (siehe auch M 4.90 Einsatz von kryptographischen Verfahren auf den verschiedenen Schichten des ISO/OSI-Referenzmodells),
- welche Protokolle über die Tunnel-Verbindung übertragen werden können,
- welche kryptographischen Verfahren zur Realisierung des Tunnels unterstützt werden,
- ob die Endpunkte des Tunnels authentisiert werden und
- ob über eine Verbindung des benutzten Transport-Protokolls der Aufbau mehrerer paralleler Tunnel möglich ist.
Das Tunnel-Protokoll ist im Wesentlichen zuständig für
- Verwaltung des bzw. der Tunnel: Aufbau, Aufrechterhaltung und Abbau,
- Aushandeln der zu verwendenden kryptographischen Verfahren für die Realisierung des Tunnels: Schlüsselaustauschverfahren, Verschlüsselungsverfahren und Signaturverfahren,
- Ver- und Entpacken der Datenpakete der durch den Tunnel übertragbaren Protokolle sowie
- Ver- und Entschlüsseln der Datenpakete.
Im RAS-Umfeld haben sich folgende Tunnel-Protokolle etabliert:
- die Schicht-2-Protokolle:
- PPTP (Point to Point Tunneling Protocol) und
- L2TP (Layer 2 Tunneling Protocol: Das L2TP ist eine Kombination von PPTP und dem von der Firma Cisco entworfenen Protokoll L2F (Layer 2 Forwarding), welches PPP-Pakete (Point to Point Protocol) von einem PPP-Server über eine WAN-Verbindung an einen L2F-fähigen Router weiterleitet, der diese dann entpackt und in ein Netz einspeist.
- die Schicht-3-Spezifikation IPsec (Internet Protocol Security).
Die Protokolle besitzen die aus der folgenden Tabelle ersichtlichen Charakteristika.
Tunnel-Protokoll | Schicht | Transportierte Protokolle | Benötigtes darunter liegendes Protokoll | Anzahl der unterstützten Tunnel | Tunnel Authentisierung |
---|---|---|---|---|---|
PPTP | 2 | IP, IPX, NetBEUI | IP | 1 | Nein |
L2TP | 2 | IP, IPX, NetBEUI | IP, X.25, Frame Relay, ATM | mehrere | Ja |
IPsec | 3 | IP | IP | 1 | Ja |
Tabelle: Protokolle
Alle Protokolle sind durch die Verwendung von kryptographischen Verfahren in der Lage, gesicherte Verbindungen in ein LAN über ein unsicheres Vermittlungsnetz herzustellen. Dabei werden die Vertraulichkeit und die Integrität der Daten geschützt. Je nach Protokoll ist der Aufbau von einer oder mehreren Tunnel-Verbindungen möglich.
Tunneling auf Schicht 2: PPTP und L2TP
Die Tunnel-Protokolle der Schicht 2 können beide die gebräuchlichsten Protokolle tunneln, unterscheiden sich aber darin, über welche darunter liegenden Protokolle das Tunneling möglich ist: PPTP kann nur über ein IP-basiertes Netz übertragen werden, wohingegen L2TP auch über verschiedene WAN-Protokolle übertragen werden kann und somit eine größere Flexibilität bietet. Die nachfolgende Abbildung veranschaulicht, wie Pakete einer Applikation von PPTP über eine PPP-Verbindung verpackt werden. Wie aus obiger Tabelle zu ersehen ist, können über das modernere L2TP-Protokoll auch mehrere unabhängige Tunnel (z. B. mit unterschiedlichen Qualitätszusicherungen) erzeugt werden. Bei der Authentisierung von Benutzern und bei der Verschlüsselung kommen bei beiden Protokollen die Sicherheitsmechanismen der darunter liegenden PPP-Verbindung zum Tragen.

Abbildung: Verpackung von Applikationsdaten beim Protokoll PPTP
Sicherheitsmechanismen des PPP-Protokolls
-
Benutzer-Authentisierung
Die meisten Implementierungen des PPP-Protokolls unterstützen die folgenden Standardverfahren zur Authentisierung von Benutzern (siehe auch M 5.50 Authentisierung mittels PAP/CHAP):- Password Authentication Protocol (PAP): Der PPP-Server verlangt vom PPP-Client die Übertragung eines Benutzernamens und eines Passwortes. Beide Informationen werden hier im Klartext übertragen. Dieser Mechanismus ist unsicher, und kann auch nicht gegen so genannte "Replay"-Attacken schützen, bei der ein Unberechtigter die abgehörten Daten später noch einmal sendet. Von der Verwendung des PAP-Authentisierungsprotokolls muss daher abgeraten werden.
- Challenge-Handshake Authentication Protocol (CHAP): der PPP-Server sendet an den PPP-Client eine so genannte "challenge", bestehend aus einer Sitzungskennung und einer zufälligen Buchstabenfolge, dem "challenge string". Der Client sendet als Antwort den Benutzernamen im Klartext, sowie den MD5-Hashwert der Kombination aus Sitzungskennung, "challenge string", Benutzerpasswort. Hier wird insbesondere das Passwort nicht im Klartext übertragen. Durch die Verwendung der zufälligen Buchstabenfolge kann das Protokoll vor "Replay"-Attacken schützen.
- Datenverschlüsselung und Schlüsselmanagement
In der Initialisierungsphase des PPP-Protokolls werden zwischen Client und Server die zu verwendenden Verfahren zur Datenverschlüsselung (und Kompression) ausgehandelt. Generell kann hier jedes Verfahren zum Einsatz kommen, solange Client und Server über eine entsprechende Implementation verfügen. Beim Aushandeln der Verfahren ist darauf zu achten, dass Client und Server jeweils so konfiguriert sind, dass nur die in den IT-Sicherheitsrichtlinien vorgesehenen Verfahren akzeptiert werden. Ebenso ist auszuschließen, dass die unverschlüsselte Kommunikation als Rückfallvariante gewählt wird, wenn zwischen Client und Server kein kompatibles Verfahren ausgehandelt werden konnte. Auch das explizite Aushandeln der unverschlüsselten Kommunikation muss unterbunden werden.
Tunneling auf Schicht 3: IPsec
Während die Schicht-2-Protokolle von den Sicherheitsmechanismen des zugrunde liegenden PPP-Protokolls Gebrauch machen, werden durch die Schicht-3-Spezifikation IPsec eigene Sicherheitsverfahren und -mechanismen festgelegt. Eine Einschränkung von IPsec ist, dass lediglich IP-basierte Kommunikation unterstützt wird. Dies ist jedoch in den meisten Fällen kein starker Nachteil, da heute die meisten Betriebssysteme und Anwendungen auf IP-basierte Kommunikation zurückgreifen.
In Bezug auf die Sicherheitsanforderungen stellt sich IPsec wie folgt dar:
-
Benutzer-Authentisierung
Tunnel-Protokolle auf Schicht 3 gehen davon aus, dass die Authentisierung der Tunnel-Endpunkte schon vor Aufbau des Tunnels durchgeführt wurde und bieten keine eigenen Mechanismen an. Die einzige Ausnahme bildet hier das IPsec IKE-Verfahren (Internet Key Exchange, früher ISAKMP/Oakley), dass eine gegenseitige Authentisierung der Tunnel-Endpunkte auf Applikationsebene erlaubt. Eine Authentisierung auf Benutzer-Ebene ist damit jedoch nicht möglich. Da ein Schicht-3-Protokoll aber seinerseits über ein Schicht-2-Protokoll übertragen wird, kann hier grundsätzlich von den Sicherheitsmechanismen beider Protokollschichten Gebrauch gemacht werden. Im RAS-Einsatz müssen sogar die Mechanismen zur Benutzer-Authentisierung des darunter liegenden Schicht-2-Protokolls genutzt werden, da sonst ein unberechtigter Dritter den Sicherheitsmechanismus - zum Beispiel durch physikalischen Zugriff auf den Client - unterlaufen kann. - Datenverschlüsselung
Der Standard IPsec schreibt vor, dass IPsec-konforme Implementationen mindestens die Verschlüsselungsverfahren DES und Tripel-DES, sowie die Hashfunktionen MD5 und SHA-1 zur Verfügung stellen müssen. Es spricht jedoch nichts dagegen, dass hier andere Verfahren zum Einsatz kommen können. Allerdings ist man in diesem Fall darauf angewiesen, dass das gleiche Verfahren auch dem Kommunikationspartner zur Verfügung steht. Generell sollten nur allgemein anerkannte und etablierte Verfahren eingesetzt werden. Die Schlüssellänge für symmetrische Verschlüsselungsverfahren sollte mindestens 80 Bit betragen. - Schlüsselmanagement
IPsec kennt mehrere Verfahren zum Generieren, Austauschen und Verwalten von Schlüsseln. Beim "Manual IPsec" Verfahren erfolgt kein automatisches Schlüsselmanagement. In der Regel wird hier der Schlüssel von den Kommunikationspartnern über einen gesicherten Kanal (z. B. Kurier, verschlüsselte E-Mail) ausgetauscht. Das Intervall für das regelmäßige Wechseln des Schlüssels ist hier weitaus größer als bei den automatischen Verfahren, wie das schon erwähnte IKE (ISAKMP/Oakley), oder das von der Firma Sun Microsystems stammende SKIP. Beide letztgenannten Verfahren verwalten die zertifizierten Schlüssel automatisch.
Bei der Wahl der eingesetzten RAS-Hard- und Software sollte darauf geachtet werden, dass möglichst mehrere verschiedene und etablierte Verschlüsselungsverfahren unterstützt werden. Dadurch erhöht sich die Wahrscheinlichkeit, dass zwischen Client und Server geeignete Verfahren ausgehandelt werden können.
Beispiele:
- Zur Verwendung der MPPE-Datenverschlüsselung unter Windows NT ist beim RAS-Client die Option "Nur Microsoft-verschlüsselte Echtheitsbestätigungen annehmen" bei den Eigenschaften einer DFÜ-Netzwerk-Verbindung unter der Registrierkarte "Sicherheit" einzustellen und die Option "Datenverschlüsselung erforderlich" zu aktivieren. Von der Nutzung der Option "Aktuellen Benutzernamen und Kennwort verwenden" wird abgeraten.
- Unter Windows NT ist zum Aufbau einer PPTP-Verbindung über eine Internetverbindung auf dem RAS-Client das Protokoll VPN-Adapter (RASPPTPM) zu installieren. Dies geschieht über den Dialog Systemsteuerung, Netzwerk, Protokolle. Für die VPN-Verbindung muss ein eigener Eintrag im DFÜ-Netzwerk angelegt werden. Dabei wird, anstelle einer Telefonnummer, die IP-Adresse des entfernten RAS-Servers eingetragen. Im Feld "wählen mit" ist der VPN-Adapter auszuwählen. Nach dem erfolgreichen Verbindungsaufbau mit einem ISP wird danach die VPN-Verbindung über diese bestehende Internetverbindung aufgebaut. Der Aufbau kann auch automatisiert durch ein Skript erfolgen, welches dann für die ISP-Verbindung eingerichtet wird.
- Unter Windows 2000 kann die Nutzung der IPsec-basierten Datenverschlüsselung in den Eigenschaften des TCP/IP-Protokolls (unter Netzwerkeigenschaften, Adapter-Eigenschaften, Protokolle) aktiviert werden. Hierzu sind auf der Karte "Optionen" die Eigenschaften des Eintrags "IP-Sicherheit" zu verändern. Die Option "IP-Sicherheitsrichtlinien verwenden" muss aktiviert und die gewünschte Sicherheitsrichtlinie auswählt werden.
Ergänzende Kontrollfragen:
- Auf welcher Protokollebene soll das Tunneln ermöglicht werden?
- Über welche Protokolle muss das Tunnel-Protokoll abgewickelt werden?
- Welche Protokolle müssen durch den Tunnel transportiert werden?
- Ist eine Authentisierung der Tunnelendpunkte notwendig?