Manualshelf

Operation Manual

ManualsBrandsAVM ManualsComputersAccess Server
919293949596979899100
Sicherheit
AVM Access Server – 5 Konzepte und Funktionsweisen des AVM Access Servers 93
Sicherheit
Durch die Verbindung über das Internet besteht die Gefahr, dass unbe-
rechtigte Dritte auf die Verbindung zugreifen. Durch entsprechende Si-
cherheitsmechanismen müssen die folgenden drei Sicherheitskriterien
gewährleistet werden:
! Vertraulichkeit: Der Datenaustausch muss verschlüsselt stattfin-
den, so dass kein Dritter mithören kann.
! Authentizität: Vor dem Verbindungsaufbau muss eine Authenti-
sierung stattfinden, um sicherzustellen, dass die Daten nur von
berechtigten Personen kommen (Anti-Replay).
! Integrität: Es muss sichergestellt werden, dass die Daten auf ih-
rem Weg durch das Internet nicht von Dritten verändert werden
können (Man-in-the-Middle-Attacken).
IPSec als VPN-Protokoll
Für den Aufbau von VPN-Verbindungen ist ein Protokoll mit den folgen-
den Eigenschaften erforderlich:
! Die Unterstützung von Sicherheitsmechanismen, so dass die drei
oben genannten Sicherheitskriterien gewährleistet sind.
! Die Fähigkeit, eine Verbindung zu tunneln.
IPSec erfüllt diese beiden Forderungen und wird deshalb im AVM
Access Server als VPN-Protokoll eingesetzt.
IPSec arbeitet auf der Netzwerkebene (Layer 3) und ist somit unabhän-
gig von der benutzten Infrastruktur. Allerdings ist IPSec dadurch auf IP
beschränkt, das heißt, es können nur IP-Daten getunnelt werden.
IPSec kann in zwei unterschiedlichen Modi betrieben werden: dem
Tunnelmodus und dem Transportmodus. Im Transportmodus wird kein
Tunnel aufgebaut und somit kein virtuelles privates Netz hergestellt.
Für VPN-Verbindungen ist nur der Tunnelmodus interessant.
Im Tunnelmodus wird ein öffentliches Netz durchtunnelt, das heißt, die
IP-Datenpakete werden nochmals verpackt und erst dann übertragen.
Jedes IP-Paket einschließlich dem IP-Header wird in ein neues IPSec-
Paket verpackt. Das neue Paket erhält einen neuen IP-Header. Auf die-
se Weise lassen sich Einzelplatz-Computer und ganze Netze mit
IP-Adressen aus privaten Adressräumen koppeln.
Die folgende Abbildung zeigt das Originalpaket und das Tunnel-Paket
mit neuem IP-Header.