Modul 145
Test 2, VPN
Test 2, VPN
Set of flashcards Details
| Flashcards | 14 |
|---|---|
| Students | 13 |
| Language | Deutsch |
| Category | Computer Science |
| Level | Primary School |
| Created / Updated | 28.02.2013 / 01.12.2020 |
| Weblink |
https://card2brain.ch/box/modul_145_
|
| Embed |
<iframe src="https://card2brain.ch/box/modul_145_/embed" width="780" height="150" scrolling="no" frameborder="0"></iframe>
|
Was bedeutet VPN?
Virtual Private Network
Welchen nutzen hat VPN? Wofür wird es eingesetzt?
- Mehrere Standorte miteinander Verbinden (sichere Verbindung)
- Verschlüsselte Kommunikation über das Netz
- LANs koppeln
- Mehrere Rechner über das Internet zu einem Netzwerk verbinden.
Welche VPN Technologien kennen Sie?
- PPTP
- IPSec
- SSL-VPNs
- OVPN
-Hamachi
Welche VPN Technologien gehören eher zu den klassischen?
Welche VPN Technologien gehören eher zu den neueren?
Erklären Sie die Site-to-Site Topologie.
Bei einem Site-to-Site VPN werden üblicherweise zwei VPN-Appliances (z.B. eine Firewall) des
gleichen Herstellers über einen IPSec VPN Tunnel miteinander verbunden.
Es entsteht eine für den Benutzer unsichtbare Verbindung zwischen mehreren, physikalisch
unabhängigen Netzen
Erklären Sie die End-to-Site Topologie.
Bei einem End-to-Site VPN wird eine Verbindung von einem Computer in ein Netzwerk aufgebaut.
Diese Ermöglicht einem externen Arbeiter so zu arbeiten als ob er in der Firma sitzt.
Erklären Sie die End-to-End Topologie.
Dabei wird ein VPN zwischen zwei Hosts hergestellt. Bei dieser VPN-Topologie, muss auf beiden
Seiten keine VPN-Appliance zum Einsatz kommen, die Verbindung kann auch mittels Softwareclients
aufgebaut werden. Bei dieser VPN-Topologie ist openVPN, welches auf dem openSSL Standard
aufbaut, der Spitzenreiter. Ebenfalls verbreitet bei dieser Methode ist Hamachi.
Erklären sie den Authentication Header (AH vs. ESP)
Der Authentication Header (AH) ist eine Art Prüfsumme (Hashcode) über ein Datenpaket und alle Felder des Headers, die nicht von einem Router geändert werden. Man kann damit den richtigen Absender des Pakets sicherstellen. Damit wird aber keine Verschlüsselung der Daten durchgeführt. Ein Problem sind jedoch NAT Router, da sie die Adressen der Datenpakete ändern müssen um zu funktionieren.
Erklären sie Encapsulating Security Payload (AH vs. ESP)
Um dem Problem der NAT Router entgegenzuwirken (siehe AH), wird Encapsulating Security Payload (ESP) eingesetzt. ESP packt das eigentliche Datenframe nochmals ein ein Paket ein. Somit wird die Prüfsumme des AHs nicht verändert und ESP kann auch zusammen mit NAT-Routern funktionieren.
Erklären Sie die 5 Phasen des Main Modes:
1. Verbindungsinitiator sendet Vorschläge mit Verschlüsselungsalgorithmen.
2. Die Gegenstelle wählt aus diesen die sicherste Methode aus.
3. Der Initiator sendet seinen öffentlichen Schlüssel und einen Zufälligen Wert an die Gegenstelle.
4. Die Gegenstelle sendet dieselben Angaben an den Initiator. Dieser Schritt dient in der fünften
Phase als Vorbereitung für die Authentifizierung.
5. Der PSK oder ein Zertifikat werden ausgetauscht und die Phase 2 wird “eingeläutet”.
Erklären Sie die 3 Phasen des Aggresive Modes
1. Verbindungsinitiator sendet Vorschläge mit Verschlüsselungsalgorithmen.
2. Die Gegenstelle wählt aus diesen die sicherste Methode aus.
3. Der PSK oder ein Zertifikat wird augetauscht.
Was ist PFS?
Perfect forward Security - (dt. Folgenlosigkeit), bezeichnet ein Verfahren, bei dem beim Erbeuten eines Schlüssels nicht festgestellt werden kann, wie der nächste aussieht. Daher ist der Schlüssel absolut unabhängig von seinen Vorgängern oder Nachfolgern. Diese Variante erzeugt aber bei der Generierung von Sitzungsschlüsseln einen massiv höheren Rechenaufwand. Daher kann PFS z.B. bei IPSec-VPNs ausgeschaltet werden.
x.509 vs. PSK
Bei x.509 werden zur Verbindungsauthentifizierung Zertifikate und eine vertrauenswürdige Zertifizierungsstelle verwendet, während bei PSK ein im Vorraus definierter Schlüssel die Verbindung absichert. X.509 stellt hier die sicherere Methode dar, da z.B. bei einem Mitarbeiterwechsel nicht alle Geräte auf den neuen PSK eingestellt werden müssen, sondern nur das Zertifikat von User XY als ungültig erklärt werden kann.
