IP VPN Seminar

VPN-Technologien – eine Einführung

• Die Umsetzung von VPNs
• Providerlösungen
• MPLS VPNs
• SD-WAN
• VPNs in Eigenregie
• VPNs als Anonymisierungs-Dienstleistung
• IP-VPN-Technologien in Enterprise Netzwerken
• IP Tunnel
• Site to Site VPNs
• Remote Access VPNs
• VPNs und Sicherheit
• Sicherheit von Provider-VPNs
• Sicherheit von Kunden-VPNs
• VPNs im Netzdesign
• Router Based VPNs
• Firewalls als VPN Gateway
• VPNs und Cloud Lösungen

Layer 3 – Site to Site VPNs

• Standortverknüpfung
• Full Meshed
• Hub and Spoke
• VPN Routing
• Layer-3-Tunneling
• Tunnelinterfaces
• Routing im Tunnel
• VPN-Technologien in Dual-Stack-Netzen
• Multiprotocol VPNs
• GRE in Dual Stack Netzen
• GRE – Die Optionen
• GRE sichern

Layer 2 – RA VPNs

• Layer-2-Tunnel für Einwahlclients
• Historisch – Die Einwahl
• VPDN – Compulsory oder Voluntary Tunneling
• Layer-2-Tunnelprotokolle
• PPTP in Microsoft Netzen
• L2TP – Der IETF Standard
• Sicherheit bei Layer 2 VPNs
• Split Tunneling
• Layer 2 VPNs und IPsec
• Secure Socket Tunneling Protocol (SSTP)

Sicherheit für VPNs

• Symmetrische Verschlüsselung
• Lebensdauer der Schlüssel
• Schlüsselverteilung
• Datenintegrität durch Hash-Werte
• Typische Eigenschaften
• Bekannte Verfahren
• Authentisierung und Authentizität
• Pre-Shared Key
• Public Key Verfahren
• Zertifikate
• Zertifikate beantragen
• Zertifikate ausstellen
• Authentisierung
• Certificate Revocation List
• Infrastruktur

IPSec für Site-to-Site-VPNs

• IPSec – Sicherheit für IP
• Die IPsec-Modi
• Domain Based vs. Route Based
• Sicherung des privaten IP-Pakets
• GRE-Tunnel mit IPsec sichern
• Die IPsec-Header
• Der Authentication Header (AH)
• Die Encapsulating Security Payload (ESP)
• Tunnel-Aufbau mit IPsec
• ISAKMP der Transport
• Internet Key Exchange
• Der Security Parameter Index (SPI)
• IKEv1
• Der Main Mode
• Der Quick Mode
• Internet Key Exchange v2
• Kryptographie bei IKEv2
• Tunnelaufbau
• IKEv2 SA_Init
•  IKE_Auth
• Authentisierungsmöglichkeiten bei IPsec

IPsec RA VPNs

• Erweiterungen für IKEv1
• Der Aggressive Mode
• XAUTH – Erweitere Authentisierung
• Hybrid Authentication
• IPsec und dynamische IP-Adresszuweisung
• IKEv2 in RA VPNs
• Authentisierung mit EAP
• Zuweisung interner Adressen
• Probleme mit NAT bzw. PAT
• AH verboten
• Probleme mit dem Pseudoheader
• IP-Adresse als Identifikator
• NAT Traversal – NAT-T

SSL/TLS VPNs

• TLS VPNs im Einsatz
• TLS für RA VPNs
• Site to Site VPNs mit TLS
• SSL/TLS – Applikations-Sicherheit
• Der TLS Protokollstapel
• TLS-Versionen und SSL
• Der Verbindungsaufbau bis TLS 1.2
• Phase 1 – Say Hello
• Phase 2 und 3 – Zertifikate
• Key Exchange
• Phase 4 – Authentisierung und Abschluss
• Der Verbindungsaufbau bei TLS 1.3
• Cipher Suites bei TLS 1.3
• Schlüsselaustausch bei TLS 1.3
• Sitzungs-Wiederaufnahme mit 0-RTT
• Sichere Datenübertragung bei TLS
• Keys und MACs
• DTLS
• Die Möglichkeiten bei TLS VPNs
• Clientless TLS VPN
• Application Proxy
• Nativer Applikations-Zugriff
• Full Tunnel Lösung
• OpenVPN
• OpenVPN Server
• OpenVPN Client

Wireguard

• Wireguard – Das Konzept
• Betriebssysteme für Wireguard
• Vorteile von Wireguard
• Einschränkungen
• Hintergründe zu Wireguard
• Wireguard Tunnel
• Cryptokey Routing
• Protokollabläufe bei Wireguard
• Handshake
• DoS Mitigation
• Einsatzgebiete
• Wireguard RA VPNs
• Wireguard in mobilen Netzen

Lab-Übungen und Lösungen

• Lab Übungen im Kurs
• Die Labor-Umgebung
• Grundkonfiguration der Router
• Klassische Site to Site VPNs
• IPv4 in IPv4-Tunneling
• IPv6 in IPv4-Tunneling
• Multiprotokoll-Tunnel
• Layer2-Tunneling
• PPTP – Der Protokollablauf
• L2TP – Der Protokollablauf
• IPsec-VPN
• ESP-Tunnel
• GRE Tunnel mit IPsec sichern
• Tunnelaufbau mit IKEv1
• Debugging IKEv1
• Tunnelaufbau mit IKEv2
• IKEv2 – Der Protokollablauf
• Debugging IKEv2
• TLS/DTLS RA-VPN – Verbindungsaufbau