Mobile Systems III INFORMATIK
Mobile Systems III INFORMATIK
Mobile Systems III INFORMATIK
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
38 Neue VPN-Lösungen<br />
2.3.1 Authentifizierung<br />
Man kann die Authentifizierung in zwei verschiedene Klassen unterteilen [2]:<br />
ˆ Die Authentifizierung einer natürlichen Person<br />
Hier wird die Identität einer nicht persönlich anwesenden Person geprüft. Wenn<br />
beispielsweise ein Benutzer auf ein Unternehmensnetzwerk über ein Remote-Access-<br />
VPN Zugriff haben möchte, muss er einem Zugangs-Kontrollsystem nachweisen, dass<br />
er tatsächlich der Berechtigte ist.<br />
ˆ Die Authentifizierung von Übertragungseinheiten eines Netzwerkprotokolls,<br />
um bestimmte Angriffe wie Spoofing oder Man-in-the-Middle abzuwehren<br />
Der Absender (ein VPN-Gateway oder ein Router) eines Pakets soll identifiziert<br />
werden. Diese Authentifizierung lässt sich in 2 Phasen aufbauen. Die erste Phase<br />
ist der Verbindungsaufbau, wobei der Absender und der Empfänger sich gegenseitig<br />
identifizieren. Die zweite Phase ist die Übertragungsphase, hier werden die Pakete<br />
überprüft, ob sie wirklich alle vom selben Absender kommen.<br />
Authentifizierungssysteme und -protokolle<br />
Die folgenden Verfahren und Technologien werden in verschiedenen Authentifizierungssystemen<br />
eingesetzt.<br />
ˆ Password Authentication Protocol (PAP)<br />
PAP ist ein standardisiertes Protokoll für Point-to-Point-(PPP)-Verbindungen. Das<br />
PAP ist ein einfaches Protokoll zum Austausch von Passwörtern. Die User-ID und<br />
das Passwort werden im Klartext zu einem zentralen Server übertragen, deswegen<br />
bietet das PAP-Protokoll nur geringen Schutz.[8]<br />
ˆ Challenge Handshake Authentication Protocol (CHAP)<br />
CHAP ist auch ein standardisiertes Protokoll für PPP-Verbindungen wie PAP und<br />
es ist eine Drei-Phasen-Handshake-Prozedur, in der das Kennwort nicht explizit wie<br />
beim PAP übertragen wird. Dabei überträgt der Server einen zufällig generierten<br />
Schlüssel zum Anwender. Das Passwort des Anwenders wird mit diesem Schlüssel<br />
verschlüsselt und es wird an den Server zurückgesendet. Der Server entschlüsselt<br />
nun das Passwort mit seinem Schlüssel und überprüft es.[9]<br />
ˆ RADIUS<br />
RADIUS (Remote Authentication Dial in User Service ) ist ein Protokoll zur Authentifizierung<br />
von Remote-Nutzern. Es arbeitet mit einer Client-Server-Architektur.<br />
RADIUS stellt Mechanismen zur Benutzeridentifizierung über PAP und CHAP, zur<br />
Zugriffskontrolle über eine eigene RADIUS-Datenbank und zur Verwaltung von dynamischen<br />
IP-Adressen bereit. Die Passwörter werden im Klartext gespeichert, aber<br />
es gibt auch RADIUS-Server, die Passwörter verschlüsseln und wieder entschlüsseln<br />
können.