WCM Forum - Einzelnen Beitrag anzeigen

Atlan · 08.08.2002, 21:12

was hat den dein Schulserver für ne VPN Software oben ?

Ich verwende in der Firma auch VPN. Ich habe ca 50 Partnerfirmen die sich über VPN bei uns Files / Mails und SQL Daten holen. Es verwenden eigentlich fast alle FWZ. Bei mir ist die Firewall (Checkpoint NG) der VPN Server.

Hier ein Auszug aus dem Technischen Anforderungsblatt das wir den ISPs unserer Partner schicken:

Notwendige IP Services und Protokolle, die für ein einwandfreies Funktionieren benötigt werden:

Es stehen drei verschiedene VPN Schemata zur Verfügung:
· FWZ (CheckPoint)
· IKE (IPSec DES/3DES/AES)
· PPTP

FWZ

Firewall: CheckPoint NG FP-1, 3DES/AES128-256
Verschlüsselung: FWZ Verschlüsselung, FZW-1 Alg, RC5
Client: CheckPoint SecuRemote Client, NG FP-1, Build 51057
3DES or AES128-256, for Win2K
Windows 2000 Professional, SP2, SRP-1 inkl. akt. HotFixes

Der von CheckPoint verwendete Verschlüsselungsalg. FWZ-1 ist ein von CheckPoint selbstentwickelter proprietärer symmetrischer Algorithmus, der das Reliable Datagram Protocol (UDP Port 259) verwendet, um das VPN Session Key Management abzuwickeln. Es ist eine sog. In-Place Encryption, d.h., es wird nur der Datenanteil in den IP-Paketen verschlüsselt, nicht der Header (im Gegensatz zu AH bzw ESP); der Header bleibt unverändert. Da jedoch das Paket auch encapsulated wird und der Header authentifiziert, ist es somit auch über NAT und andere Adress-Translation-Mechanismen bzw. in reserved IP Ranges nicht verwendbar. Diese FWZ-Encapsulation verwendet Pakete mit der GRE (Generic Routing Encapsulation) - Generic Type Definition (Pre Match Code: ip_p=0x5e (= dez. 94)).

Um ein VPN über FWZ zu ermöglichen, müssten sowohl RDP Pakete (UDP Port 259) als auch Generic IP Packages mit dem Pre Match Code: ip_p=0x5e (= dez. 94) transportierbar sein. Ohne dies funktioniert ein VPN-Tunnel mit einer CheckPoint FireWall-1 auf Basis von FWZ nicht. Der Kunde wird zwar auch wahlweise IKE mit 3DES und in näherer Zukunft AES verwenden, dies kann momentan aber noch nicht verwendet bzw. getestet werden, weswegen die VPN-Variante über FWZ momentan unabdingbar ist.

IKE (IPSec) – Variante 1

Firewall: CheckPoint NG FP-1
Verschlüsselung: IKE (ISAKMP/Oakley)
Encryption: CAST, DES, 3DES, AES-128, AES-256
Data Integrity: MD5, SHA-1
Client: CheckPoint SecuRemote Client, NG FP-1, Build 51057
for Windows 2000 Professional, SP2, SRP-1 inkl. HotFixes

IKE (IPSec) – Variante 2

Firewall: F-Secure Distributed FireWall
Verschlüsselung: IKE (ISAKMP/Oakley)
Encryption: CAST, DES, 3DES, Blowfish-128
Data Integrity: MD5, SHA-1
Client: F-Secure Distributed FW Client, for Win2K
Windows 2000 Professional, SP2, SRP-1 inkl. HotFixes

IKE steht für das Verschlüsselungsschema ISAKMP/Oakley, wobei ISAKMP für den Schlüssel- und Security-Association-Austausch zuständig ist; Oakley ist der verschlüsselnde Teil des Protokolles. Es gibt zwei Möglichkeiten: nur Header Verschlüsselung (AH) und Header und Daten Verschlüsselung (ESP). Es ist eine sog. Tunneling-Encryption, bei der auch der Header mit einem Hash im verschlüsselten Paket integriert wird, wodurch ein Einsatz über eine Strecke, auf welcher Adressübersetzungstechnologien wie Proxiing oder NAT verwendet werden, nicht einsetzbar ist. Rein theoretisch könnten ESP-Pakete übersetzt werden, AH jedoch nicht – undalle gängigen IPSec –Implementationen verwenden sowohl AH als auch ESP. IPSec kann daher nur geroutet werden, benötigt clientseitig offizielle IP-Adressen. IPSEC verwendet für AH den Generic Type Pre Match Code: ip_p=0x33 (= dez. 51) und für ESP den Pre Match Code: ip_p=0x32 (= dez. 50). Diese generic IP Services müssen freigeschalten sein. Zusätzlich wird der Port 500 für UDP und TCP in beide Richtungen benötigt (für ISAKMP/Oakley = IKE).

PPTP

Das Point to Point Tunneling Protocol ist durch Micrsoft populär geworden, verwenden nicht die Algorithmen DES/3DES/AES zur Verschlüsselung, sondern RC4 von Ron Rivest. Die verwendete Schlüsselstärke ist 128bit, was ab dem Service Pack 2 von Windows 2000 obligat ist. Es verwendet das TCP Service 1723 und das Generic IP Service ip_p=47 (GRE = Generic Routing Encapsulation), jeweils in beide Richtungen. Eine Adressübersetzungstechnologie zwischen den beiden Verschlüsselungspartnern ist nicht möglich, da zwar ein Portforwarding des TCP Services möglich ist, aber ein Forwarding der GRE Pakete wird zur Zeit von Windows 2000 nicht unterstützt.

Zusammenfassung der benötigten Services:

FWZ: UDP Port 259
gen. IP Services ip_p = 94

IKE: UDP/TCP Port 500
gen. IP Services ESP (ip_p =50)
gen. IP Service AH (ip_p=51)

PPTP: TCP Port 1723
gen. IP Services GRE (ip_p =47)

Um ein ordnungsgemässes Funktionieren zu gewährleisten, müssen von Seiten des ISP offizielle IP Adrressen zugewiesen werden und es düefen keine Portfilter bzgl. der oben verwendeten Protokolle bestehen. Es versteht sich von selbst, dass die im allgemeinen Internet-Usus verwendeten L3-Protokolle ebenfalls uneingeschränkt verwendet werden können.

Um jetzt mit ADSL arbeiten zu können musst du das L3 Paket in ein UDP Paket einkapseln, damit dir der 2. Tunnnel nicht das Paket zerstört.

Ich hoffe das war jetzt nicht zu viel auf einmal

Atlan

08.08.2002, 21:12	#9
Atlan Master Registriert seit: 20.12.1999 Beiträge: 636	was hat den dein Schulserver für ne VPN Software oben ? Ich verwende in der Firma auch VPN. Ich habe ca 50 Partnerfirmen die sich über VPN bei uns Files / Mails und SQL Daten holen. Es verwenden eigentlich fast alle FWZ. Bei mir ist die Firewall (Checkpoint NG) der VPN Server. Hier ein Auszug aus dem Technischen Anforderungsblatt das wir den ISPs unserer Partner schicken: Notwendige IP Services und Protokolle, die für ein einwandfreies Funktionieren benötigt werden: Es stehen drei verschiedene VPN Schemata zur Verfügung: · FWZ (CheckPoint) · IKE (IPSec DES/3DES/AES) · PPTP FWZ Firewall: CheckPoint NG FP-1, 3DES/AES128-256 Verschlüsselung: FWZ Verschlüsselung, FZW-1 Alg, RC5 Client: CheckPoint SecuRemote Client, NG FP-1, Build 51057 3DES or AES128-256, for Win2K Windows 2000 Professional, SP2, SRP-1 inkl. akt. HotFixes Der von CheckPoint verwendete Verschlüsselungsalg. FWZ-1 ist ein von CheckPoint selbstentwickelter proprietärer symmetrischer Algorithmus, der das Reliable Datagram Protocol (UDP Port 259) verwendet, um das VPN Session Key Management abzuwickeln. Es ist eine sog. In-Place Encryption, d.h., es wird nur der Datenanteil in den IP-Paketen verschlüsselt, nicht der Header (im Gegensatz zu AH bzw ESP); der Header bleibt unverändert. Da jedoch das Paket auch encapsulated wird und der Header authentifiziert, ist es somit auch über NAT und andere Adress-Translation-Mechanismen bzw. in reserved IP Ranges nicht verwendbar. Diese FWZ-Encapsulation verwendet Pakete mit der GRE (Generic Routing Encapsulation) - Generic Type Definition (Pre Match Code: ip_p=0x5e (= dez. 94)). Um ein VPN über FWZ zu ermöglichen, müssten sowohl RDP Pakete (UDP Port 259) als auch Generic IP Packages mit dem Pre Match Code: ip_p=0x5e (= dez. 94) transportierbar sein. Ohne dies funktioniert ein VPN-Tunnel mit einer CheckPoint FireWall-1 auf Basis von FWZ nicht. Der Kunde wird zwar auch wahlweise IKE mit 3DES und in näherer Zukunft AES verwenden, dies kann momentan aber noch nicht verwendet bzw. getestet werden, weswegen die VPN-Variante über FWZ momentan unabdingbar ist. IKE (IPSec) – Variante 1 Firewall: CheckPoint NG FP-1 Verschlüsselung: IKE (ISAKMP/Oakley) Encryption: CAST, DES, 3DES, AES-128, AES-256 Data Integrity: MD5, SHA-1 Client: CheckPoint SecuRemote Client, NG FP-1, Build 51057 for Windows 2000 Professional, SP2, SRP-1 inkl. HotFixes IKE (IPSec) – Variante 2 Firewall: F-Secure Distributed FireWall Verschlüsselung: IKE (ISAKMP/Oakley) Encryption: CAST, DES, 3DES, Blowfish-128 Data Integrity: MD5, SHA-1 Client: F-Secure Distributed FW Client, for Win2K Windows 2000 Professional, SP2, SRP-1 inkl. HotFixes IKE steht für das Verschlüsselungsschema ISAKMP/Oakley, wobei ISAKMP für den Schlüssel- und Security-Association-Austausch zuständig ist; Oakley ist der verschlüsselnde Teil des Protokolles. Es gibt zwei Möglichkeiten: nur Header Verschlüsselung (AH) und Header und Daten Verschlüsselung (ESP). Es ist eine sog. Tunneling-Encryption, bei der auch der Header mit einem Hash im verschlüsselten Paket integriert wird, wodurch ein Einsatz über eine Strecke, auf welcher Adressübersetzungstechnologien wie Proxiing oder NAT verwendet werden, nicht einsetzbar ist. Rein theoretisch könnten ESP-Pakete übersetzt werden, AH jedoch nicht – undalle gängigen IPSec –Implementationen verwenden sowohl AH als auch ESP. IPSec kann daher nur geroutet werden, benötigt clientseitig offizielle IP-Adressen. IPSEC verwendet für AH den Generic Type Pre Match Code: ip_p=0x33 (= dez. 51) und für ESP den Pre Match Code: ip_p=0x32 (= dez. 50). Diese generic IP Services müssen freigeschalten sein. Zusätzlich wird der Port 500 für UDP und TCP in beide Richtungen benötigt (für ISAKMP/Oakley = IKE). PPTP Das Point to Point Tunneling Protocol ist durch Micrsoft populär geworden, verwenden nicht die Algorithmen DES/3DES/AES zur Verschlüsselung, sondern RC4 von Ron Rivest. Die verwendete Schlüsselstärke ist 128bit, was ab dem Service Pack 2 von Windows 2000 obligat ist. Es verwendet das TCP Service 1723 und das Generic IP Service ip_p=47 (GRE = Generic Routing Encapsulation), jeweils in beide Richtungen. Eine Adressübersetzungstechnologie zwischen den beiden Verschlüsselungspartnern ist nicht möglich, da zwar ein Portforwarding des TCP Services möglich ist, aber ein Forwarding der GRE Pakete wird zur Zeit von Windows 2000 nicht unterstützt. Zusammenfassung der benötigten Services: FWZ: UDP Port 259 gen. IP Services ip_p = 94 IKE: UDP/TCP Port 500 gen. IP Services ESP (ip_p =50) gen. IP Service AH (ip_p=51) PPTP: TCP Port 1723 gen. IP Services GRE (ip_p =47) Um ein ordnungsgemässes Funktionieren zu gewährleisten, müssen von Seiten des ISP offizielle IP Adrressen zugewiesen werden und es düefen keine Portfilter bzgl. der oben verwendeten Protokolle bestehen. Es versteht sich von selbst, dass die im allgemeinen Internet-Usus verwendeten L3-Protokolle ebenfalls uneingeschränkt verwendet werden können. Um jetzt mit ADSL arbeiten zu können musst du das L3 Paket in ein UDP Paket einkapseln, damit dir der 2. Tunnnel nicht das Paket zerstört. Ich hoffe das war jetzt nicht zu viel auf einmal Atlan