SlideShare una empresa de Scribd logo

VPN&Verschlüsselung

Westermo Network Technologies
Westermo Network Technologies

Verschlüsselungen sind in der heutigen Zeit nicht mehr weg zu denken. Für welche Anwendungsfälle ist man mit diesen Technik auf der sicheren Seite? Wieso braucht es heute um so mehr die Verwendung von VPN, den sogenannten Tunneln? All das ist wichtig um Daten sicher aufzubewahren und zu übertragen. Wir werden Ihnen gerne den aktuellen Stand der Technik und Beispiele aus der Praxis präsentieren.

Tecnología
1 de 32
Verschlüsselung und VPN Westermo Webinar Serdar Atasoy & Lucas Hauser 07. Februar 2023
2 Thema: Verschlüsselung & VPN Dauer: Ca. 45 Minuten Das Webinar wird aufgezeichnet und nach dem Vortrag entsprechend verteilt Lucas Hauser Technical Account Manager lucas.hauser@westermo.com +49 7254 95400 17 +49 160 97252672 Vortrag Moderation Serdar Atasoy Key Account Manager serdar.atasoy@westermo.com +49 7254 95400 20 +49 160 90570283
3 Fragen ▪ Verwenden Sie das Chatfenster ▪ Stellen Sie Ihre Frage ▪ Alle Fragen werden am Ende der Präsentation entsprechend beantwortet
4 Live Stream ▪ Sie können den Live Stream auch entsprechend stoppen und wieder starten ▪ Dazu verwenden Sie am besten den Pause / Play Button an der linken unteren Ecke
5 ▪ Westermo ist auch auf LinkedIn zu finden! ▪ Bekommen Sie regelmäßig Updates zu den Produkten und Themen rund um Westermo ▪ Folgen Sie uns einfach! https://www.linkedin.com/company/westermo https://instagram.com/westermo https://www.youtube.com/c/WestermoPlay LinkedIn
Verschlüsselung
7 Was ist eine Verschlüsselung? ▪ Grundsätzlich ist eine Verschlüsselung erstmal die Transformation von Klartext in Geheimtext. ▪ Man benötigt 2 Verfahren: ▪ 1. Die Wandelung in den Geheimtext (Verschlüsselung) ▪ 2. die Wandlung von Geheimtext in Klartext (Entschlüsselung) ▪ Man verwendet einen Schlüssel für Ver- und Entschlüsseln. Somit braucht man immer das Wissen um den Schlüssel oder die Information bleibt verborgen. ▪ Diese Kryptografie hat eine lange Geschichte. Die alten Ägypter hatten schon Texte verschlüsselt. Verschlüsselung Theorie Klartext Klartext Geheim text Geheim text Verschlüsselung Entschlüsselung
8 Verschlüsselung ▪ Aktuell gibt es 2 Hauptverfahren ▪ Symmetrische Verschlüsselungsverfahren ▪ Dort wird ein Schlüssel verwendet, der beiden Seiten bekannt sein muss. ▪ Asymmetrische Verschlüsselungsverfahren ▪ Hier werden 2 Schlüssel verwendet. Ein „öffentlicher“ Schlüssel und ein „privater“ Schlüssel. Mit dem öffentlichen Schlüssel wird verschlüsselt und der Private wird zum Entschlüsseln verwendet. ▪ Beide Schlüssel sind mathematisch verknüpft. Somit wird sichergestellt, dass Sender und Empfänger die richtigen Schlüssel verwenden.
9 ▪ Symmetrische Verschlüsselung ▪ Vorteil: ▪ eine schnelle Verschlüsselung ▪ Nachteil: ▪ Der Schlüssel muss auf einem sicheren Weg zum Empfänger kommen. Das bedeutet man braucht weitere Verfahren um den Schlüssel sicher zu übertragen. Früher wurde das durch eine persönliche Übergabe erreicht (Bote). Heute gibt es diverse andere Ansätze. ▪ Bekannte Verfahren sind z.B. AES (Advanced Encryption Standard), DES (Data Encryption Standard) oder Blowfish. Verschlüsselung Quelle: Wikipedia
10 ▪ Asymmetrische Verschlüsselung ▪ Vorteil: ▪ Es gibt 2 getrennte Schlüssel. Jeder kann mit dem öffentlichen Schlüssel Daten verschlüsseln, aber nur der Besitzer des privaten Schlüssel kann diese entschlüsseln. Somit kann er sich auch authentisieren oder digital signieren. ▪ Das Geheimnis ist möglichst klein, obwohl viele den gleichen öffentlichen Schlüssel nutzen. ▪ Nachteil: ▪ Es ist ein sehr langsames Verschlüsselungssystem. Es braucht viel Zeit mit diesem Verfahren Daten zu ver- und entschlüsseln ▪ Dieses System wird z.B. bei SSH, SSL/TLS oder auch bei https verwendet Verschlüsselung Quelle: Wikipedia
11 Verschlüsselung Fazit: Beide Systeme haben Vor- und Nachteile. Heute meistens ein Hybrid Verfahren aus beiden verwendet. Der symmetrische Schlüssel wird mit einem asymmetrischen Verfahren übertragen und die eigentliche Verschlüsselung erfolgt dann mit dem symmetrischen Verfahren. Dies hat den Vorteil, dass über die sicherere (asymmetrische) Variante der symmetrische Schlüssel übertragen wird, während die eigentlichen Nutzdaten mit dem schnelleren symmetrischen Verfahren ver- und entschlüsselt werden.
VPN Virtual Private Network
13 ▪ Virtual Private Network oder kurz VPN ist eigentlich ein Netzwerk das von „außen“ nicht eingesehen werden kann. Man sagt virtuelles Netzwerk, da es sich nicht wie beim „normalen“ Netzwerk, um eine physikalische Verbindung handelt. ▪ Es ermöglicht eine sichere Verbindung von verschiedenen Netzwerkteilen untereinander. Dabei ist es egal welche physikalische Verbindung die Netze haben. ▪ Heutzutage wird es häufig für eine Verbindung über das Internet verwendet, das man immer als unsicher betrachten muss. VPN Theorie
14 VPN Theorie Weitere Verwendungsbeispiele: ▪ Anonymisieren des Surf Verhaltens. ▪ Hier wird man per VPN über mehrere Server hinweg geleitet und die angesurfte Webseite kann den Ursprung der Anfrage nicht mehr zurück verfolgen. ▪ Die Anbieter mieten auf der Welt VPN Server an und stellen die Verbindungen zur Verfügung. ▪ Es gibt sowohl kostenlose Anbieter als auch kostenpflichtige.
VPN Technik: IPSec
17 VPN Technik: IPSec Verschlüsselung mit IPSec: ▪ IPSec arbeitet direkt auf der Vermittlungsschicht, was bedeutet es ist eine Erweiterung der IP Protokolle ▪ IPSec verwendet für die Verschlüsselung das IKEv1/2 ▪ IKE bedeutet Internet Key Exchange und beschreibt den Vorgang wie die Schlüssel ausgetauscht werden. ▪ Zum Austausch der Schlüssel wird Diffie-Hellman verwendet, während für die eigentlichen Schlüssel verschiedene Varianten angeboten werden (AES etc.) ▪ Es werden inzwischen PSK (Pre Shared Key) oder auch Zertifikate für die Authentifizierung verwendet. ▪ Es verwendet standardmäßig den UDP Port 500, aber um mit Firewalls umgehen zu können wird meist noch Port UDP 4500 verwendet.
18 Verschlüsselung mit IPSec: Die 2 Phasen der Verschlüsselung sind: ▪ Phase 1 ▪ Entweder per Main Mode oder per Aggressive Mode eine sichere Verbindung (SA – Security Association) aufbauen. ▪ Eine SA läuft ab: 1. Identifikation (entweder per PSK oder Zertifikat) 2. Festlegung des zu verwendenden Schlüsselalgorithmus für die IPsec-Verbindung 3. von welchem (IP-)Netz die IPSec-Verbindung erfolgt 4. zu welchem (IP-)Netz die Verbindung bestehen soll 5. Zeiträume, in denen eine erneute Authentisierung erforderlich ist 6. Zeitraum, nach dem der IPSec-Schlüssel erneuert werden muss VPN Technik: IPSec
19 VPN Technik: IPSec Verschlüsselung mit IPSec: ▪ Unterschied Main Mode und Aggressive Mode: ▪ Der Main Mode ist die ausführliche Variante der ersten Phase der Verschlüsselung. ▪ Im Prinzip unterhalten sich die beiden Gegenstellen und wählen aus welche Verfahren Sie verwenden werden. ▪ Dann tauschen sie ihre Schlüssel aus und erstellen den Schlüssel für die Authentisierung ▪ Die Authentisierung erfolgt dann mit Hilfe des PSK oder einem Zertifikat ▪ Der Aggressive Mode ist die zusammengefasste Variante der ersten Phase der Verschlüsselung. ▪ Ist im Prinzip die Zusammenfassung der Main Mode Schritte in 1 einzigen Schritt. ▪ Nachteil ist hierbei der HASH-Wert des Schlüssel (PSK) wird im Klartext übertragen. ▪ Vorteil ein viel schnellerer Verbindungsaufbau
20 VPN Technik: IPSec Verschlüsselung mit IPSec: Die 2 Phasen der Verschlüsselung sind: ▪ Phase 2 (Quick Mode) ▪ Hier wird die eigentliche Datenverschlüsselung durchgeführt. ▪ Es werden keine Schlüssel aus der Phase 1 verwendet, damit es keine Rückschlüsse geben kann. ▪ Sobald die Daten übertragen wurden, werden die Schlüssel verworfen und es muss eine neuer Schlüssel für die nächste Datenübertragung wieder ausgehandelt werden ▪ Es können mehrere Quick Modes parallel laufen.
21 VPN Technik: IPSec Verschlüsselung mit IPSec: Noch ein paar kleine Hinweise und Tipps zu IPSec bei Westermo: ▪ Bitte verwenden Sie immer hohe Verschlüsselungen wie AES256 und SHA256 ▪ Wenn möglich immer ein Zertifikat verwenden. Wenn nicht möglich, ein möglichst komplexen Pre-Shared- Key verwenden. Besonders beim Aggressive Mode ▪ Immer die Schlüssel Laufzeiten auf beiden Seiten überprüfen. ▪ Auf richtige Lokal ID und Remote ID achten auf beiden Seiten
VPN Technik: OpenVPN (SSL)
23 VPN Technik: OpenSSL/LibreSSL ▪ Aufbau von Tunnel mit SSL Verschlüsselung (Secure Sockets Layer) ▪ Westermo verwendet LibreSSL (ein Fork von OpenSSL) ▪ Verwendet Zertifikate für die Verschlüsselung (SSL Verschlüsselung) ▪ Keine festgelegten Ports, aber Port 1194 bzw. 443 werden gerne verwendet. Daher auch keine Probleme bei Firewalls. Sowohl UDP oder TCP verwendbar. ▪ Kein Main- oder Aggressive- Mode nötig, da die Verbindung mit SSL verschlüsselt ist ▪ TLS (Key mehr erklären!) wird auch unterstützt ▪ Der Tunnel wird in WeOS wie ein Interface betrachtet. ▪ Keine Probleme mit Routing etc. dadurch ▪ Feste IP Adressen für die Tunnel möglich ▪ Clients können untereinander kommunizieren, da es ein Server gibt mit dem sich die Clients verbinden
24 VPN Technik: OpenSSL/LibreSSL Es gibt 2 Typen von Verbindungen: ▪ Layer2 (net-net Verbindung) Bridged machen muss bei uns ▪ Hier werden 2 Netze über ein Medium verschlüsselt verknüpft ▪ Benötigt meist ein extra Routing (Statisch, RIP, OSPF, etc.) ▪ Feste IPs werden hier zumeist verwendet ▪ Layer3 (net-end Verbindung) Routed machen muss bei uns ▪ Hier wird ein Netzwerk mit einem Client (meistens ein PC oder ähnliches) verknüpft ▪ Das Routing wird direkt vom SSL Tunnel übergeben. (statisches Routing) ▪ Der Client bekommt eine Dynamische IP zugewiesen aus einem extra DHCP Pool Es sind auch transparente Verbindungen mit dieser Technik möglich (Layer 2 Verschlüsselung)
25 ▪ Verschlüsselung mit OpenSSL ▪ Tipps und Tricks ▪ Was für eine Verbindung soll geschaffen werden (net-net oder net-end) ▪ Routing nicht vergessen und am einfachsten ein dynamisches Verfahren verwenden ▪ Den verwendeten Port auch in externen Firewalls freigeben ▪ Auch hier immer auf beste Verschlüsselung achten und diese noch dazu mit TLS kombinieren ▪ Zertifikate nach Anleitung erstellen und testen auf Funktion VPN Technik: OpenSSL
VPN Technik: Beispiele
27 Beispiel für VPN Tunnel IPSec mit GRE
28 Beispiel für eine VPN Tunnel Redundanz Lösung mit OpenVPN
29 Open VPN Layer 2 Verschlüsselung: Aufbau Hier mal ein Beispiel wie eine Verbindung per Layer 2 VPN Verschlüsselung aussehen könnte. Ansicht im WeConfig
30 Zusammenfassung ▪ Verschlüsselung: ▪ Verschlüsselung sowohl von Datenverkehr als auch von Daten an sich. ▪ 2 Verfahren: Asymmetrisch und Symmetrisch ▪ VPN Tunnel ▪ Verwendung von Tunnel um Daten sicher zu transportieren ▪ IP-Sec ▪ OpenVPN ▪ Beispiele für Tunnel Anwendungen
31 Fragen?
32 Weitere Webinare ▪ Alle Webinare / Aufzeichnungen finden Sie unter: ▪ https://www.westermo.de/news-and-events/webinars ▪ Weitere Webinare: ▪ Geroutete Redundanzen – 28.02.2023 ▪ PoE & Lösungen – 04.04.2023 ▪ Konfiguration WeOS – 09.05.2023 ▪ Einladungen werden über Newsletter verteilt: ▪ https://www.westermo.de/news-and- events/newsletters/newsletter ▪ https://www.westermo.de/news-and- events/newsletters/wesecure
33

Recomendados

Transportsicherheit - SSL und HTTPS
Transportsicherheit - SSL und HTTPSTransportsicherheit - SSL und HTTPS
Transportsicherheit - SSL und HTTPS
Markus Groß
 
Domino HTTP Security - Neuerungen
Domino HTTP Security - NeuerungenDomino HTTP Security - Neuerungen
Domino HTTP Security - Neuerungen
Belsoft
 
WeOS 4.29.0 & WeConfig 1.13.1
WeOS 4.29.0 & WeConfig 1.13.1WeOS 4.29.0 & WeConfig 1.13.1
WeOS 4.29.0 & WeConfig 1.13.1
Westermo Network Technologies
 
Kryptografie und Zertifikate (Cryptoparty)
Kryptografie und Zertifikate (Cryptoparty)Kryptografie und Zertifikate (Cryptoparty)
Kryptografie und Zertifikate (Cryptoparty)
tschikarski
 
Netzwerkmonitoring.pdf
Netzwerkmonitoring.pdfNetzwerkmonitoring.pdf
Netzwerkmonitoring.pdf
Westermo Network Technologies
 
Port Security - Industrieller Cyber Security
Port Security - Industrieller Cyber SecurityPort Security - Industrieller Cyber Security
Port Security - Industrieller Cyber Security
Westermo Network Technologies
 
2004 | Kryptographie in Theorie und Praxis: Only the Paranoids Survive
2004 | Kryptographie in Theorie und Praxis: Only the Paranoids Survive2004 | Kryptographie in Theorie und Praxis: Only the Paranoids Survive
2004 | Kryptographie in Theorie und Praxis: Only the Paranoids Survive
Jutta Horstmann
 
We os 4.31.0 und weconfig 1.14.0
We os 4.31.0 und weconfig 1.14.0We os 4.31.0 und weconfig 1.14.0
We os 4.31.0 und weconfig 1.14.0
Westermo Network Technologies
 

Recomendados

Transportsicherheit - SSL und HTTPS
Transportsicherheit - SSL und HTTPSTransportsicherheit - SSL und HTTPS
Transportsicherheit - SSL und HTTPS
Markus Groß
 
Domino HTTP Security - Neuerungen
Domino HTTP Security - NeuerungenDomino HTTP Security - Neuerungen
Domino HTTP Security - Neuerungen
Belsoft
 
WeOS 4.29.0 & WeConfig 1.13.1
WeOS 4.29.0 & WeConfig 1.13.1WeOS 4.29.0 & WeConfig 1.13.1
WeOS 4.29.0 & WeConfig 1.13.1
Westermo Network Technologies
 
Kryptografie und Zertifikate (Cryptoparty)
Kryptografie und Zertifikate (Cryptoparty)Kryptografie und Zertifikate (Cryptoparty)
Kryptografie und Zertifikate (Cryptoparty)
tschikarski
 
Netzwerkmonitoring.pdf
Netzwerkmonitoring.pdfNetzwerkmonitoring.pdf
Netzwerkmonitoring.pdf
Westermo Network Technologies
 
Port Security - Industrieller Cyber Security
Port Security - Industrieller Cyber SecurityPort Security - Industrieller Cyber Security
Port Security - Industrieller Cyber Security
Westermo Network Technologies
 
2004 | Kryptographie in Theorie und Praxis: Only the Paranoids Survive
2004 | Kryptographie in Theorie und Praxis: Only the Paranoids Survive2004 | Kryptographie in Theorie und Praxis: Only the Paranoids Survive
2004 | Kryptographie in Theorie und Praxis: Only the Paranoids Survive
Jutta Horstmann
 
We os 4.31.0 und weconfig 1.14.0
We os 4.31.0 und weconfig 1.14.0We os 4.31.0 und weconfig 1.14.0
We os 4.31.0 und weconfig 1.14.0
Westermo Network Technologies
 
Sicheres Netzwerkmanagement - Industrieller Cyber Security
Sicheres Netzwerkmanagement - Industrieller Cyber SecuritySicheres Netzwerkmanagement - Industrieller Cyber Security
Sicheres Netzwerkmanagement - Industrieller Cyber Security
Westermo Network Technologies
 
Switchkonfiguration
SwitchkonfigurationSwitchkonfiguration
Switchkonfiguration
Westermo Network Technologies
 
Beginnr Betakonzept 1
Beginnr Betakonzept 1Beginnr Betakonzept 1
Beginnr Betakonzept 1
blockbuster_aa
 
BetterCrypto: Applied Crypto Hardening
BetterCrypto: Applied Crypto HardeningBetterCrypto: Applied Crypto Hardening
BetterCrypto: Applied Crypto Hardening
Aaron Zauner
 
cirosec TrendTage März 2015 - Das SSL Dilemma
cirosec TrendTage März 2015 - Das SSL Dilemmacirosec TrendTage März 2015 - Das SSL Dilemma
cirosec TrendTage März 2015 - Das SSL Dilemma
Christopher Bleckmann-Dreher
 
EN 6.3: 4 Kryptographie
EN 6.3: 4 KryptographieEN 6.3: 4 Kryptographie
EN 6.3: 4 Kryptographie
Sven Wohlgemuth
 
Internet Information Services (deutsch)
Internet Information Services (deutsch)Internet Information Services (deutsch)
Internet Information Services (deutsch)
Joerg Krause
 
WLAN
WLANWLAN
WLAN
Westermo Network Technologies
 
Anbindung einer externen pfSense Firewall - Webinar 2016, deutsch
Anbindung einer externen pfSense Firewall - Webinar 2016, deutschAnbindung einer externen pfSense Firewall - Webinar 2016, deutsch
Anbindung einer externen pfSense Firewall - Webinar 2016, deutsch
Askozia
 
SNMP Applied - Sicheres Monitoring mit SNMP
SNMP Applied - Sicheres Monitoring mit SNMPSNMP Applied - Sicheres Monitoring mit SNMP
SNMP Applied - Sicheres Monitoring mit SNMP
Gerrit Beine
 
OpenWRT - Überblick
OpenWRT - ÜberblickOpenWRT - Überblick
OpenWRT - Überblick
Westermo Network Technologies
 
Firewall.pdf
Firewall.pdfFirewall.pdf
Firewall.pdf
Westermo Network Technologies
 
Verschluesselung E-Postbrief
Verschluesselung E-PostbriefVerschluesselung E-Postbrief
Verschluesselung E-Postbrief
E-Postbrief
 
Mobilfunkanbindungen
MobilfunkanbindungenMobilfunkanbindungen
Mobilfunkanbindungen
Westermo Network Technologies
 
WeOS 4.32.0 und WeConfig 1.15.pdf
WeOS 4.32.0 und WeConfig 1.15.pdfWeOS 4.32.0 und WeConfig 1.15.pdf
WeOS 4.32.0 und WeConfig 1.15.pdf
Westermo Network Technologies
 
WeOS 4.30.0
WeOS 4.30.0WeOS 4.30.0
WeOS 4.30.0
Westermo Network Technologies
 
Heise Security - Scheunentor Bluetooth
Heise Security - Scheunentor BluetoothHeise Security - Scheunentor Bluetooth
Heise Security - Scheunentor Bluetooth
Thierry Zoller
 
Einführung in die VPN Standortvernetzung
Einführung in die VPN StandortvernetzungEinführung in die VPN Standortvernetzung
Einführung in die VPN Standortvernetzung
fbeisel
 
Neuigkeiten von Westermos MRD Mobilfunkroutern
Neuigkeiten von Westermos MRD MobilfunkrouternNeuigkeiten von Westermos MRD Mobilfunkroutern
Neuigkeiten von Westermos MRD Mobilfunkroutern
Westermo Network Technologies
 
Verschlüsselung in Theorie und Praxis
Verschlüsselung in Theorie und PraxisVerschlüsselung in Theorie und Praxis
Verschlüsselung in Theorie und Praxis
Peter Tröger
 
Westermo Technologie Webinar WeOS4 und WeOS5
Westermo Technologie Webinar WeOS4 und WeOS5Westermo Technologie Webinar WeOS4 und WeOS5
Westermo Technologie Webinar WeOS4 und WeOS5
Westermo Network Technologies
 
Westermo Webinar - Geroutete Redundanzen
Westermo Webinar - Geroutete RedundanzenWestermo Webinar - Geroutete Redundanzen
Westermo Webinar - Geroutete Redundanzen
Westermo Network Technologies
 

Más contenido relacionado

Similar a VPN&Verschlüsselung

BetterCrypto: Applied Crypto Hardening
BetterCrypto: Applied Crypto HardeningBetterCrypto: Applied Crypto Hardening
BetterCrypto: Applied Crypto Hardening
Aaron Zauner
 
WLAN
WLANWLAN
WLAN
Westermo Network Technologies
 

Similar a VPN&Verschlüsselung (20)

Sicheres Netzwerkmanagement - Industrieller Cyber Security
Sicheres Netzwerkmanagement - Industrieller Cyber SecuritySicheres Netzwerkmanagement - Industrieller Cyber Security
Sicheres Netzwerkmanagement - Industrieller Cyber Security
 
Switchkonfiguration
SwitchkonfigurationSwitchkonfiguration
Switchkonfiguration
 
Beginnr Betakonzept 1
Beginnr Betakonzept 1Beginnr Betakonzept 1
Beginnr Betakonzept 1
 
BetterCrypto: Applied Crypto Hardening
BetterCrypto: Applied Crypto HardeningBetterCrypto: Applied Crypto Hardening
BetterCrypto: Applied Crypto Hardening
 
cirosec TrendTage März 2015 - Das SSL Dilemma
cirosec TrendTage März 2015 - Das SSL Dilemmacirosec TrendTage März 2015 - Das SSL Dilemma
cirosec TrendTage März 2015 - Das SSL Dilemma
 
EN 6.3: 4 Kryptographie
EN 6.3: 4 KryptographieEN 6.3: 4 Kryptographie
EN 6.3: 4 Kryptographie
 
Internet Information Services (deutsch)
Internet Information Services (deutsch)Internet Information Services (deutsch)
Internet Information Services (deutsch)
 
WLAN
WLANWLAN
WLAN
 
Anbindung einer externen pfSense Firewall - Webinar 2016, deutsch
Anbindung einer externen pfSense Firewall - Webinar 2016, deutschAnbindung einer externen pfSense Firewall - Webinar 2016, deutsch
Anbindung einer externen pfSense Firewall - Webinar 2016, deutsch
 
SNMP Applied - Sicheres Monitoring mit SNMP
SNMP Applied - Sicheres Monitoring mit SNMPSNMP Applied - Sicheres Monitoring mit SNMP
SNMP Applied - Sicheres Monitoring mit SNMP
 
OpenWRT - Überblick
OpenWRT - ÜberblickOpenWRT - Überblick
OpenWRT - Überblick
 
Firewall.pdf
Firewall.pdfFirewall.pdf
Firewall.pdf
 
Verschluesselung E-Postbrief
Verschluesselung E-PostbriefVerschluesselung E-Postbrief
Verschluesselung E-Postbrief
 
Mobilfunkanbindungen
MobilfunkanbindungenMobilfunkanbindungen
Mobilfunkanbindungen
 
WeOS 4.32.0 und WeConfig 1.15.pdf
WeOS 4.32.0 und WeConfig 1.15.pdfWeOS 4.32.0 und WeConfig 1.15.pdf
WeOS 4.32.0 und WeConfig 1.15.pdf
 
WeOS 4.30.0
WeOS 4.30.0WeOS 4.30.0
WeOS 4.30.0
 
Heise Security - Scheunentor Bluetooth
Heise Security - Scheunentor BluetoothHeise Security - Scheunentor Bluetooth
Heise Security - Scheunentor Bluetooth
 
Einführung in die VPN Standortvernetzung
Einführung in die VPN StandortvernetzungEinführung in die VPN Standortvernetzung
Einführung in die VPN Standortvernetzung
 
Neuigkeiten von Westermos MRD Mobilfunkroutern
Neuigkeiten von Westermos MRD MobilfunkrouternNeuigkeiten von Westermos MRD Mobilfunkroutern
Neuigkeiten von Westermos MRD Mobilfunkroutern
 
Verschlüsselung in Theorie und Praxis
Verschlüsselung in Theorie und PraxisVerschlüsselung in Theorie und Praxis
Verschlüsselung in Theorie und Praxis
 

Más de Westermo Network Technologies

Westermo Technologie Webinar WeOS4 und WeOS5
Westermo Technologie Webinar WeOS4 und WeOS5Westermo Technologie Webinar WeOS4 und WeOS5
Westermo Technologie Webinar WeOS4 und WeOS5
Westermo Network Technologies
 
Westermo Webinar - Geroutete Redundanzen
Westermo Webinar - Geroutete RedundanzenWestermo Webinar - Geroutete Redundanzen
Westermo Webinar - Geroutete Redundanzen
Westermo Network Technologies
 
Build Redundant and Resilient Networks with Micro-Segmentation
Build Redundant and Resilient Networks with Micro-SegmentationBuild Redundant and Resilient Networks with Micro-Segmentation
Build Redundant and Resilient Networks with Micro-Segmentation
Westermo Network Technologies
 

Más de Westermo Network Technologies (20)

Westermo Technologie Webinar WeOS4 und WeOS5
Westermo Technologie Webinar WeOS4 und WeOS5Westermo Technologie Webinar WeOS4 und WeOS5
Westermo Technologie Webinar WeOS4 und WeOS5
 
Westermo Webinar - Geroutete Redundanzen
Westermo Webinar - Geroutete RedundanzenWestermo Webinar - Geroutete Redundanzen
Westermo Webinar - Geroutete Redundanzen
 
Webinar - WeOS 4.33.0 und WeConfig 1.19.0.pdf
Webinar - WeOS 4.33.0 und WeConfig 1.19.0.pdfWebinar - WeOS 4.33.0 und WeConfig 1.19.0.pdf
Webinar - WeOS 4.33.0 und WeConfig 1.19.0.pdf
 
Webinar WeConfig - State of the Art NCM
Webinar WeConfig - State of the Art NCMWebinar WeConfig - State of the Art NCM
Webinar WeConfig - State of the Art NCM
 
Webinar Serial-over-IP
Webinar Serial-over-IPWebinar Serial-over-IP
Webinar Serial-over-IP
 
Webinar - Protokollkonvertierung
Webinar - ProtokollkonvertierungWebinar - Protokollkonvertierung
Webinar - Protokollkonvertierung
 
DHCP
DHCPDHCP
DHCP
 
PoE & Lösungen.pdf
PoE & Lösungen.pdfPoE & Lösungen.pdf
PoE & Lösungen.pdf
 
450 MHz – Das neue Medium in OT-Netzwerken der Energiewirtschaft
450 MHz – Das neue Medium in OT-Netzwerken der Energiewirtschaft450 MHz – Das neue Medium in OT-Netzwerken der Energiewirtschaft
450 MHz – Das neue Medium in OT-Netzwerken der Energiewirtschaft
 
Merlin - Die neue Mobilfunkrouterserie
Merlin - Die neue MobilfunkrouterserieMerlin - Die neue Mobilfunkrouterserie
Merlin - Die neue Mobilfunkrouterserie
 
Layer 2 Redundanzen
Layer 2 RedundanzenLayer 2 Redundanzen
Layer 2 Redundanzen
 
Build Redundant and Resilient Networks with Micro-Segmentation
Build Redundant and Resilient Networks with Micro-SegmentationBuild Redundant and Resilient Networks with Micro-Segmentation
Build Redundant and Resilient Networks with Micro-Segmentation
 
SHDSL & Glasfaser
SHDSL & GlasfaserSHDSL & Glasfaser
SHDSL & Glasfaser
 
Webinar how to prepare for the sunset of 2G and 3G cellular communications
Webinar how to prepare for the sunset of 2G and 3G cellular communicationsWebinar how to prepare for the sunset of 2G and 3G cellular communications
Webinar how to prepare for the sunset of 2G and 3G cellular communications
 
Westermo webinar: Learning the Basics of Ethernet Networking
Westermo webinar: Learning the Basics of Ethernet NetworkingWestermo webinar: Learning the Basics of Ethernet Networking
Westermo webinar: Learning the Basics of Ethernet Networking
 
450MHz LTE als der neue Standard für Mobilfunk und kritische Infrastruktur
450MHz LTE als der neue Standard für Mobilfunk und kritische Infrastruktur450MHz LTE als der neue Standard für Mobilfunk und kritische Infrastruktur
450MHz LTE als der neue Standard für Mobilfunk und kritische Infrastruktur
 
How to build resilient industrial networks
How to build resilient industrial networksHow to build resilient industrial networks
How to build resilient industrial networks
 
Westermo solutions for trackside networks
Westermo solutions for trackside networksWestermo solutions for trackside networks
Westermo solutions for trackside networks
 
Westermo solutions for onboard rail networks
Westermo solutions for onboard rail networksWestermo solutions for onboard rail networks
Westermo solutions for onboard rail networks
 
Zonierung und firewalling - Industrieller Cyber Security
Zonierung und firewalling - Industrieller Cyber SecurityZonierung und firewalling - Industrieller Cyber Security
Zonierung und firewalling - Industrieller Cyber Security
 

VPN&Verschlüsselung

  • 1. Verschlüsselung und VPN Westermo Webinar Serdar Atasoy & Lucas Hauser 07. Februar 2023
  • 2. 2 Thema: Verschlüsselung & VPN Dauer: Ca. 45 Minuten Das Webinar wird aufgezeichnet und nach dem Vortrag entsprechend verteilt Lucas Hauser Technical Account Manager lucas.hauser@westermo.com +49 7254 95400 17 +49 160 97252672 Vortrag Moderation Serdar Atasoy Key Account Manager serdar.atasoy@westermo.com +49 7254 95400 20 +49 160 90570283
  • 3. 3 Fragen ▪ Verwenden Sie das Chatfenster ▪ Stellen Sie Ihre Frage ▪ Alle Fragen werden am Ende der Präsentation entsprechend beantwortet
  • 4. 4 Live Stream ▪ Sie können den Live Stream auch entsprechend stoppen und wieder starten ▪ Dazu verwenden Sie am besten den Pause / Play Button an der linken unteren Ecke
  • 5. 5 ▪ Westermo ist auch auf LinkedIn zu finden! ▪ Bekommen Sie regelmäßig Updates zu den Produkten und Themen rund um Westermo ▪ Folgen Sie uns einfach! https://www.linkedin.com/company/westermo https://instagram.com/westermo https://www.youtube.com/c/WestermoPlay LinkedIn
  • 7. 7 Was ist eine Verschlüsselung? ▪ Grundsätzlich ist eine Verschlüsselung erstmal die Transformation von Klartext in Geheimtext. ▪ Man benötigt 2 Verfahren: ▪ 1. Die Wandelung in den Geheimtext (Verschlüsselung) ▪ 2. die Wandlung von Geheimtext in Klartext (Entschlüsselung) ▪ Man verwendet einen Schlüssel für Ver- und Entschlüsseln. Somit braucht man immer das Wissen um den Schlüssel oder die Information bleibt verborgen. ▪ Diese Kryptografie hat eine lange Geschichte. Die alten Ägypter hatten schon Texte verschlüsselt. Verschlüsselung Theorie Klartext Klartext Geheim text Geheim text Verschlüsselung Entschlüsselung
  • 8. 8 Verschlüsselung ▪ Aktuell gibt es 2 Hauptverfahren ▪ Symmetrische Verschlüsselungsverfahren ▪ Dort wird ein Schlüssel verwendet, der beiden Seiten bekannt sein muss. ▪ Asymmetrische Verschlüsselungsverfahren ▪ Hier werden 2 Schlüssel verwendet. Ein „öffentlicher“ Schlüssel und ein „privater“ Schlüssel. Mit dem öffentlichen Schlüssel wird verschlüsselt und der Private wird zum Entschlüsseln verwendet. ▪ Beide Schlüssel sind mathematisch verknüpft. Somit wird sichergestellt, dass Sender und Empfänger die richtigen Schlüssel verwenden.
  • 9. 9 ▪ Symmetrische Verschlüsselung ▪ Vorteil: ▪ eine schnelle Verschlüsselung ▪ Nachteil: ▪ Der Schlüssel muss auf einem sicheren Weg zum Empfänger kommen. Das bedeutet man braucht weitere Verfahren um den Schlüssel sicher zu übertragen. Früher wurde das durch eine persönliche Übergabe erreicht (Bote). Heute gibt es diverse andere Ansätze. ▪ Bekannte Verfahren sind z.B. AES (Advanced Encryption Standard), DES (Data Encryption Standard) oder Blowfish. Verschlüsselung Quelle: Wikipedia
  • 10. 10 ▪ Asymmetrische Verschlüsselung ▪ Vorteil: ▪ Es gibt 2 getrennte Schlüssel. Jeder kann mit dem öffentlichen Schlüssel Daten verschlüsseln, aber nur der Besitzer des privaten Schlüssel kann diese entschlüsseln. Somit kann er sich auch authentisieren oder digital signieren. ▪ Das Geheimnis ist möglichst klein, obwohl viele den gleichen öffentlichen Schlüssel nutzen. ▪ Nachteil: ▪ Es ist ein sehr langsames Verschlüsselungssystem. Es braucht viel Zeit mit diesem Verfahren Daten zu ver- und entschlüsseln ▪ Dieses System wird z.B. bei SSH, SSL/TLS oder auch bei https verwendet Verschlüsselung Quelle: Wikipedia
  • 11. 11 Verschlüsselung Fazit: Beide Systeme haben Vor- und Nachteile. Heute meistens ein Hybrid Verfahren aus beiden verwendet. Der symmetrische Schlüssel wird mit einem asymmetrischen Verfahren übertragen und die eigentliche Verschlüsselung erfolgt dann mit dem symmetrischen Verfahren. Dies hat den Vorteil, dass über die sicherere (asymmetrische) Variante der symmetrische Schlüssel übertragen wird, während die eigentlichen Nutzdaten mit dem schnelleren symmetrischen Verfahren ver- und entschlüsselt werden.
  • 13. 13 ▪ Virtual Private Network oder kurz VPN ist eigentlich ein Netzwerk das von „außen“ nicht eingesehen werden kann. Man sagt virtuelles Netzwerk, da es sich nicht wie beim „normalen“ Netzwerk, um eine physikalische Verbindung handelt. ▪ Es ermöglicht eine sichere Verbindung von verschiedenen Netzwerkteilen untereinander. Dabei ist es egal welche physikalische Verbindung die Netze haben. ▪ Heutzutage wird es häufig für eine Verbindung über das Internet verwendet, das man immer als unsicher betrachten muss. VPN Theorie
  • 14. 14 VPN Theorie Weitere Verwendungsbeispiele: ▪ Anonymisieren des Surf Verhaltens. ▪ Hier wird man per VPN über mehrere Server hinweg geleitet und die angesurfte Webseite kann den Ursprung der Anfrage nicht mehr zurück verfolgen. ▪ Die Anbieter mieten auf der Welt VPN Server an und stellen die Verbindungen zur Verfügung. ▪ Es gibt sowohl kostenlose Anbieter als auch kostenpflichtige.
  • 16. 17 VPN Technik: IPSec Verschlüsselung mit IPSec: ▪ IPSec arbeitet direkt auf der Vermittlungsschicht, was bedeutet es ist eine Erweiterung der IP Protokolle ▪ IPSec verwendet für die Verschlüsselung das IKEv1/2 ▪ IKE bedeutet Internet Key Exchange und beschreibt den Vorgang wie die Schlüssel ausgetauscht werden. ▪ Zum Austausch der Schlüssel wird Diffie-Hellman verwendet, während für die eigentlichen Schlüssel verschiedene Varianten angeboten werden (AES etc.) ▪ Es werden inzwischen PSK (Pre Shared Key) oder auch Zertifikate für die Authentifizierung verwendet. ▪ Es verwendet standardmäßig den UDP Port 500, aber um mit Firewalls umgehen zu können wird meist noch Port UDP 4500 verwendet.
  • 17. 18 Verschlüsselung mit IPSec: Die 2 Phasen der Verschlüsselung sind: ▪ Phase 1 ▪ Entweder per Main Mode oder per Aggressive Mode eine sichere Verbindung (SA – Security Association) aufbauen. ▪ Eine SA läuft ab: 1. Identifikation (entweder per PSK oder Zertifikat) 2. Festlegung des zu verwendenden Schlüsselalgorithmus für die IPsec-Verbindung 3. von welchem (IP-)Netz die IPSec-Verbindung erfolgt 4. zu welchem (IP-)Netz die Verbindung bestehen soll 5. Zeiträume, in denen eine erneute Authentisierung erforderlich ist 6. Zeitraum, nach dem der IPSec-Schlüssel erneuert werden muss VPN Technik: IPSec
  • 18. 19 VPN Technik: IPSec Verschlüsselung mit IPSec: ▪ Unterschied Main Mode und Aggressive Mode: ▪ Der Main Mode ist die ausführliche Variante der ersten Phase der Verschlüsselung. ▪ Im Prinzip unterhalten sich die beiden Gegenstellen und wählen aus welche Verfahren Sie verwenden werden. ▪ Dann tauschen sie ihre Schlüssel aus und erstellen den Schlüssel für die Authentisierung ▪ Die Authentisierung erfolgt dann mit Hilfe des PSK oder einem Zertifikat ▪ Der Aggressive Mode ist die zusammengefasste Variante der ersten Phase der Verschlüsselung. ▪ Ist im Prinzip die Zusammenfassung der Main Mode Schritte in 1 einzigen Schritt. ▪ Nachteil ist hierbei der HASH-Wert des Schlüssel (PSK) wird im Klartext übertragen. ▪ Vorteil ein viel schnellerer Verbindungsaufbau
  • 19. 20 VPN Technik: IPSec Verschlüsselung mit IPSec: Die 2 Phasen der Verschlüsselung sind: ▪ Phase 2 (Quick Mode) ▪ Hier wird die eigentliche Datenverschlüsselung durchgeführt. ▪ Es werden keine Schlüssel aus der Phase 1 verwendet, damit es keine Rückschlüsse geben kann. ▪ Sobald die Daten übertragen wurden, werden die Schlüssel verworfen und es muss eine neuer Schlüssel für die nächste Datenübertragung wieder ausgehandelt werden ▪ Es können mehrere Quick Modes parallel laufen.
  • 20. 21 VPN Technik: IPSec Verschlüsselung mit IPSec: Noch ein paar kleine Hinweise und Tipps zu IPSec bei Westermo: ▪ Bitte verwenden Sie immer hohe Verschlüsselungen wie AES256 und SHA256 ▪ Wenn möglich immer ein Zertifikat verwenden. Wenn nicht möglich, ein möglichst komplexen Pre-Shared- Key verwenden. Besonders beim Aggressive Mode ▪ Immer die Schlüssel Laufzeiten auf beiden Seiten überprüfen. ▪ Auf richtige Lokal ID und Remote ID achten auf beiden Seiten
  • 22. 23 VPN Technik: OpenSSL/LibreSSL ▪ Aufbau von Tunnel mit SSL Verschlüsselung (Secure Sockets Layer) ▪ Westermo verwendet LibreSSL (ein Fork von OpenSSL) ▪ Verwendet Zertifikate für die Verschlüsselung (SSL Verschlüsselung) ▪ Keine festgelegten Ports, aber Port 1194 bzw. 443 werden gerne verwendet. Daher auch keine Probleme bei Firewalls. Sowohl UDP oder TCP verwendbar. ▪ Kein Main- oder Aggressive- Mode nötig, da die Verbindung mit SSL verschlüsselt ist ▪ TLS (Key mehr erklären!) wird auch unterstützt ▪ Der Tunnel wird in WeOS wie ein Interface betrachtet. ▪ Keine Probleme mit Routing etc. dadurch ▪ Feste IP Adressen für die Tunnel möglich ▪ Clients können untereinander kommunizieren, da es ein Server gibt mit dem sich die Clients verbinden
  • 23. 24 VPN Technik: OpenSSL/LibreSSL Es gibt 2 Typen von Verbindungen: ▪ Layer2 (net-net Verbindung) Bridged machen muss bei uns ▪ Hier werden 2 Netze über ein Medium verschlüsselt verknüpft ▪ Benötigt meist ein extra Routing (Statisch, RIP, OSPF, etc.) ▪ Feste IPs werden hier zumeist verwendet ▪ Layer3 (net-end Verbindung) Routed machen muss bei uns ▪ Hier wird ein Netzwerk mit einem Client (meistens ein PC oder ähnliches) verknüpft ▪ Das Routing wird direkt vom SSL Tunnel übergeben. (statisches Routing) ▪ Der Client bekommt eine Dynamische IP zugewiesen aus einem extra DHCP Pool Es sind auch transparente Verbindungen mit dieser Technik möglich (Layer 2 Verschlüsselung)
  • 24. 25 ▪ Verschlüsselung mit OpenSSL ▪ Tipps und Tricks ▪ Was für eine Verbindung soll geschaffen werden (net-net oder net-end) ▪ Routing nicht vergessen und am einfachsten ein dynamisches Verfahren verwenden ▪ Den verwendeten Port auch in externen Firewalls freigeben ▪ Auch hier immer auf beste Verschlüsselung achten und diese noch dazu mit TLS kombinieren ▪ Zertifikate nach Anleitung erstellen und testen auf Funktion VPN Technik: OpenSSL
  • 26. 27 Beispiel für VPN Tunnel IPSec mit GRE
  • 27. 28 Beispiel für eine VPN Tunnel Redundanz Lösung mit OpenVPN
  • 28. 29 Open VPN Layer 2 Verschlüsselung: Aufbau Hier mal ein Beispiel wie eine Verbindung per Layer 2 VPN Verschlüsselung aussehen könnte. Ansicht im WeConfig
  • 29. 30 Zusammenfassung ▪ Verschlüsselung: ▪ Verschlüsselung sowohl von Datenverkehr als auch von Daten an sich. ▪ 2 Verfahren: Asymmetrisch und Symmetrisch ▪ VPN Tunnel ▪ Verwendung von Tunnel um Daten sicher zu transportieren ▪ IP-Sec ▪ OpenVPN ▪ Beispiele für Tunnel Anwendungen
  • 31. 32 Weitere Webinare ▪ Alle Webinare / Aufzeichnungen finden Sie unter: ▪ https://www.westermo.de/news-and-events/webinars ▪ Weitere Webinare: ▪ Geroutete Redundanzen – 28.02.2023 ▪ PoE & Lösungen – 04.04.2023 ▪ Konfiguration WeOS – 09.05.2023 ▪ Einladungen werden über Newsletter verteilt: ▪ https://www.westermo.de/news-and- events/newsletters/newsletter ▪ https://www.westermo.de/news-and- events/newsletters/wesecure
  • 32. 33