29,99 €
Diplomarbeit aus dem Jahr 2000 im Fachbereich Informatik - Technische Informatik, Note: 1,0, Fachhochschule Gießen-Friedberg; Standort Gießen (MNI), Sprache: Deutsch, Abstract: Vertrauenswürdige Informationen, durch die andere auch profitieren könnten, gilt es besonders zu schützen, da nicht nur wirtschaftlicher Schaden entstehen könnte, sondern auch Prestigeverlust. Dabei gilt es sowohl die Industriespionage zu verhindern, aber auch Computerhackern das Handwerk zu legen. In der heutigen Zeit, in der die Flexibilität des Arbeitnehmers gefordert wird, muss dieser von überall auf seine Daten zugreifen können. Dabei hat der Benutzer zwei Möglichkeiten, um auf den Firmen-Server zu gelangen: zum einen die Einwahl über eine Telefonverbindung per Remote Access und zum anderen über öffentliche Netze, z.B. das Internet durch einen Internet Service Provider (ISP)(1). Im Internet werden aber auch die Programme2 angeboten, durch die das Ausspionieren von IP-Paketen erst möglich wird. Dadurch steigt die Anzahl der möglichen Computerhacker ständig an, da sich jeder Internetbenutzer diese Programme relativ einfach besorgen kann. Netzwerksicherheit gewinnt für Unternehmen unterschiedlichster Größe zunehmend an Bedeutung. Um die Datenübertragung zu schützen, benötigt man zum einen eine verschlüsselte Authentifizierung des Anwenders. Realisierte man früher die Anmeldung über einfache Telnetfunktionen, d.h. Login und Passwort wurden im Klartext über die Leitung übertragen, bedient man sich heute anderer Methoden, die das Abfangen der Login-nformationen schwieriger gestalten. Weiterhin wird zusätzlich noch der Datenverkehr verschlüsselt, d.h. es werden die einzelnen Pakete verschlüsselt und mit einen neuen IP-Rahmen verpackt. Dadurch sind die Pakete vor dem Einsatz von Sniffer-Programmen(2) geschützt. [...] ______ 1 z.B.: AOL, T-Online oder Internet-by-Call-Anbieter (z.B. Mobilcom) 2 z.B. Sniffer-Programme, die IP-Pakete nach speziellen Schlüsselwörtern scannen
Das E-Book können Sie in Legimi-Apps oder einer beliebigen App lesen, die das folgende Format unterstützen:
Page 1
Fachbereich
Mathematik, Naturwissenschaften und Informatik(Department of Computer Science, Mathematics and Natural Sciences)
DIPLOMARBEITZURERLANGUNGDESGRADES
DIPLOM-INFORMATIKER (FH)
Sicherer Remote Access mit Windows 2000
in einem Industrieunternehmen
Vorgelegt von: Sebastian Wagner
Referent: Prof. Dr. Letschert Koreferent: Prof. Dr. Eichner
Abgabetermin: 08. September 2000
Page 2
DANKSAGUNG
Bedanken möchte ich mich besonders bei Herrn Professor Dr. Letschert für die sehr gute Betreuung während meiner Diplomarbeit. Er gab mir die nötige Unterstützung nicht nur in Gießen an der FH Giessen-Friedberg, sondern auch vor Ort bei der Degussa-Hüls AG in Frankfurt. Auch möchte ich mich bei Herrn Professor Dr. Eichner bedanken, da er sofort bereit war, die Aufgabe des Koreferenten zu übernehmen.
Mein besonderer Dank geht an Herrn Dr. Kollmar, Herrn Blumöhr und Herrn Schneider, die mir die Chance gaben, diese Diplomarbeit im Auftrag der Degussa-Hüls AG durchzuführen und mir stets hilfreich zur Seite standen. Ich bedanke mich bei Herrn Hermeyer von der Microsoft GmbH und bei Herrn Harengel und Herrn Launspach von der Cisco Systems GmbH, die mir jederzeit mit Rat und Tat zur Verfügung standen.
Ein herzliches Dankeschön geht auch an meine Schwägerin Marthe Thamer, die mir geholfen hat, dass Rechtschreibung und Zeichensetzung der Diplomarbeit korrekt sind.
Page 3
Page 6
Page 7
Dabei gilt es sowohl die Industriespionage zu verhindern, aber auch Computerhackern das Handwerk zu legen.
In der heutigen Zeit, in der die Flexibilität des Arbeitnehmers gefordert wird, muss dieser von überall auf seine Daten zugreifen können. Dabei hat der Benutzer zwei Möglichkeiten, um auf den Firmen-Server zu gelangen: zum einen die Einwahl über eine Telefonverbindung per Remote Access und zum anderen über öffentliche
1Netze, z.B. das Internet durch einen Internet Service Provider (ISP) .
2angeboten, durch die das Im Internet werden aber auch die Programme
Ausspionieren von IP-Paketen erst möglich wird. Dadurch steigt die Anzahl der möglichen Computerhacker ständig an, da sich jeder Internetbenutzer diese Programme relativ einfach besorgen kann.
Netzwerksicherheit gewinnt für Unternehmen unterschiedlichster Größe zunehmend an Bedeutung.
Um die Datenübertragung zu schützen, benötigt man zum einen eine verschlüsselte Authentifizierung des Anwenders. Realisierte man früher die Anmeldung über einfache Telnetfunktionen, d.h. Login und Passwort wurden im Klartext über die Leitung übertragen, bedient man sich heute anderer Methoden, die das Abfangen der Login-Informationen schwieriger gestalten.
Weiterhin wird zusätzlich noch der Datenverkehr verschlüsselt, d.h. es werden die einzelnen Pakete verschlüsselt und mit einen neuen IP-Rahmen verpackt. Dadurch
2geschützt. sind die Pakete vor dem Einsatz von Sniffer-Programmen
1z.B.: AOL, T-Online oder Internet-by-Call-Anbieter (z.B. Mobilcom)2z.B. Sniffer-Programme, die IP-Pakete nach speziellen Schlüsselwörtern scannen
Page 8
Das Ziel der Diplomarbeit ist die Untersuchung eines Verbindungsaufbaus eines
3zwischen einem Virtual Private Network (VPN) über ein Wide Area Network (WAN) mobilen Windows 2000-Anwender und einem privaten Netzwerk. Es werden die unter Microsoft Windows 2000 zur Verfügung stehenden Programme, Dienste und Funktionen, die für einen sicheren Verbindungsaufbau sowohl über das Telefonnetz als auch durch öffentliche Netze nötig sind, untersucht. Dabei werden u.a. die verschiedenen Techniken aufgezeigt, die zur Authentifizierung des Client notwendig sind.
Neben der VPN-Technik wird der Aufbau und die Durchführung einer Certificate Authority (CA) unter Windows 2000 vorgestellt. Nachdem die Theorie abgeschlossen ist, wird das Zusammenspiel aller zur Verschlüsselung entscheidenden Komponenten (Active Directory, Remote Access Service, VPN und CA) in einem dafür speziell aufgebauten Umfeld, das in einem eigenen Kapitel beschrieben wird, getestet.
Während der Diplomarbeit werden die von Windows 2000 für mobile Benutzer gebotenen neuen Möglichkeiten im Einzelnen untersucht und aufgeführt.
3Fernnetz, das große Entfernungen abdeckt und über Vermittlungseinrichtungen zugänglich ist
Page 9
Page 10
Bei dem Einsatz von Remote Access (RAS) macht es keinen Unterschied, ob es sich um einen Mitarbeiter mit einem Laptop in einem Hotelzimmer oder um einen Desktop-Rechner zu Hause handelt. Nur die verwendeten Methoden, die einen Anwender Zugriff auf das Netzwerk ermöglichen, sind zu unterscheiden. Dabei handelte es sich bei RAS ursprünglich um ein proprietäres Protokoll, das von der4Firma Microsoft entwickelt wurde.
Windows 2000 ServerAbbildung 2-1: RAS
Bei RAS wird eine Verbindung zwischen einem Client und einem Server oder Router hergestellt. Dieser Vorgang wird auch als »Native RAS« bezeichnet. Die Authentifizierung des Client wird mit einer Kombination von Usernamen und Passwort auf dem Endgerät verglichen. Diese Informationen werden im Klartext übertragen, d.h. es findet zu diesem Zeitpunkt keine Verschlüsselung statt. Diese Art der Authentifizierung wird bei Mailboxen oder ISPs verwendet und wird als »Dial-In« bezeichnet.
Werden nach der Authentifizierung des Client noch zusätzlich Zugriffsberechtigungen auf Netzwerkressourcen erteilt, d.h. es findet eine Autorisation des Client statt, bezeichnet man dieses als RAS. Die Authentifizierung und Autorisation des Client kann auch von einem Remote Authentication Dial-In User Service (RADIUS)-Server übernommen werden.
Für den Aufbau eines Virtual Private Networks (VPN) wird eine schon bestehende RAS-Verbindung zwischen dem VPN-Client und dem VPN-Server verlangt, da der Tunnel zwischen den beiden Geräten zusätzlich zu der bestehenden Verbindung erstellt wird.
4[4], Seite 419