1.
Verschlüsselung und VPN
Westermo Webinar
Serdar Atasoy & Lucas Hauser
07. Februar 2023

2.
2
Thema:
Verschlüsselung & VPN
Dauer:
Ca. 45 Minuten
Das Webinar wird aufgezeichnet
und nach dem Vortrag
entsprechend verteilt
Lucas Hauser
Technical Account Manager
lucas.hauser@westermo.com
+49 7254 95400 17
+49 160 97252672
Vortrag
Moderation
Serdar Atasoy
Key Account Manager
serdar.atasoy@westermo.com
+49 7254 95400 20
+49 160 90570283

3.
3
Fragen
▪ Verwenden Sie das Chatfenster
▪ Stellen Sie Ihre Frage
▪ Alle Fragen werden am Ende der Präsentation entsprechend beantwortet

4.
4
Live Stream
▪ Sie können den Live Stream auch entsprechend stoppen und wieder starten
▪ Dazu verwenden Sie am besten den Pause / Play Button an der linken unteren Ecke

5.
5
▪ Westermo ist auch auf LinkedIn zu
finden!
▪ Bekommen Sie regelmäßig Updates zu
den Produkten und Themen rund um
Westermo
▪ Folgen Sie uns einfach!
https://www.linkedin.com/company/westermo
https://instagram.com/westermo
https://www.youtube.com/c/WestermoPlay
LinkedIn

6.
Verschlüsselung

7.
7
Was ist eine Verschlüsselung?
▪ Grundsätzlich ist eine Verschlüsselung erstmal
die Transformation von Klartext in Geheimtext.
▪ Man benötigt 2 Verfahren:
▪ 1. Die Wandelung in den Geheimtext
(Verschlüsselung)
▪ 2. die Wandlung von Geheimtext in Klartext
(Entschlüsselung)
▪ Man verwendet einen Schlüssel für Ver- und
Entschlüsseln. Somit braucht man immer das
Wissen um den Schlüssel oder die Information
bleibt verborgen.
▪ Diese Kryptografie hat eine lange Geschichte. Die
alten Ägypter hatten schon Texte verschlüsselt.
Verschlüsselung Theorie
Klartext
Klartext
Geheim
text
Geheim
text
Verschlüsselung
Entschlüsselung

8.
8
Verschlüsselung
▪ Aktuell gibt es 2 Hauptverfahren
▪ Symmetrische Verschlüsselungsverfahren
▪ Dort wird ein Schlüssel verwendet, der beiden Seiten
bekannt sein muss.
▪ Asymmetrische Verschlüsselungsverfahren
▪ Hier werden 2 Schlüssel verwendet. Ein „öffentlicher“
Schlüssel und ein „privater“ Schlüssel. Mit dem
öffentlichen Schlüssel wird verschlüsselt und der Private
wird zum Entschlüsseln verwendet.
▪ Beide Schlüssel sind mathematisch verknüpft. Somit wird
sichergestellt, dass Sender und Empfänger die richtigen
Schlüssel verwenden.

9.
9
▪ Symmetrische Verschlüsselung
▪ Vorteil:
▪ eine schnelle Verschlüsselung
▪ Nachteil:
▪ Der Schlüssel muss auf einem sicheren
Weg zum Empfänger kommen. Das
bedeutet man braucht weitere Verfahren
um den Schlüssel sicher zu übertragen.
Früher wurde das durch eine persönliche
Übergabe erreicht (Bote). Heute gibt es
diverse andere Ansätze.
▪ Bekannte Verfahren sind z.B. AES (Advanced
Encryption Standard), DES (Data Encryption
Standard) oder Blowfish.
Verschlüsselung
Quelle: Wikipedia

10.
10
▪ Asymmetrische Verschlüsselung
▪ Vorteil:
▪ Es gibt 2 getrennte Schlüssel. Jeder kann mit
dem öffentlichen Schlüssel Daten verschlüsseln,
aber nur der Besitzer des privaten Schlüssel kann
diese entschlüsseln. Somit kann er sich auch
authentisieren oder digital signieren.
▪ Das Geheimnis ist möglichst klein, obwohl viele
den gleichen öffentlichen Schlüssel nutzen.
▪ Nachteil:
▪ Es ist ein sehr langsames
Verschlüsselungssystem. Es braucht viel Zeit mit
diesem Verfahren Daten zu ver- und
entschlüsseln
▪ Dieses System wird z.B. bei SSH, SSL/TLS oder
auch bei https verwendet
Verschlüsselung
Quelle: Wikipedia

11.
11
Verschlüsselung
Fazit: Beide Systeme haben Vor- und Nachteile.
Heute meistens ein Hybrid Verfahren aus beiden
verwendet. Der symmetrische Schlüssel wird mit einem
asymmetrischen Verfahren übertragen und die eigentliche
Verschlüsselung erfolgt dann mit dem symmetrischen
Verfahren.
Dies hat den Vorteil, dass über die sicherere
(asymmetrische) Variante der symmetrische Schlüssel
übertragen wird, während die eigentlichen Nutzdaten mit
dem schnelleren symmetrischen Verfahren ver- und
entschlüsselt werden.

12.
VPN
Virtual Private Network

13.
13
▪ Virtual Private Network oder kurz VPN ist
eigentlich ein Netzwerk das von „außen“ nicht
eingesehen werden kann. Man sagt virtuelles
Netzwerk, da es sich nicht wie beim „normalen“
Netzwerk, um eine physikalische Verbindung
handelt.
▪ Es ermöglicht eine sichere Verbindung von
verschiedenen Netzwerkteilen untereinander.
Dabei ist es egal welche physikalische
Verbindung die Netze haben.
▪ Heutzutage wird es häufig für eine Verbindung
über das Internet verwendet, das man immer als
unsicher betrachten muss.
VPN Theorie

14.
14
VPN Theorie
Weitere Verwendungsbeispiele:
▪ Anonymisieren des Surf Verhaltens.
▪ Hier wird man per VPN über mehrere
Server hinweg geleitet und die angesurfte
Webseite kann den Ursprung der Anfrage
nicht mehr zurück verfolgen.
▪ Die Anbieter mieten auf der Welt VPN
Server an und stellen die Verbindungen
zur Verfügung.
▪ Es gibt sowohl kostenlose Anbieter als
auch kostenpflichtige.

15.
VPN Technik: IPSec

16.
17
VPN Technik: IPSec
Verschlüsselung mit IPSec:
▪ IPSec arbeitet direkt auf der Vermittlungsschicht, was bedeutet
es ist eine Erweiterung der IP Protokolle
▪ IPSec verwendet für die Verschlüsselung das IKEv1/2
▪ IKE bedeutet Internet Key Exchange und beschreibt den
Vorgang wie die Schlüssel ausgetauscht werden.
▪ Zum Austausch der Schlüssel wird Diffie-Hellman verwendet,
während für die eigentlichen Schlüssel verschiedene
Varianten angeboten werden (AES etc.)
▪ Es werden inzwischen PSK (Pre Shared Key) oder auch
Zertifikate für die Authentifizierung verwendet.
▪ Es verwendet standardmäßig den UDP Port 500, aber um mit
Firewalls umgehen zu können wird meist noch Port UDP 4500
verwendet.

17.
18
Verschlüsselung mit IPSec:
Die 2 Phasen der Verschlüsselung sind:
▪ Phase 1
▪ Entweder per Main Mode oder per Aggressive Mode eine sichere Verbindung (SA –
Security Association) aufbauen.
▪ Eine SA läuft ab:
1. Identifikation (entweder per PSK oder Zertifikat)
2. Festlegung des zu verwendenden Schlüsselalgorithmus für die IPsec-Verbindung
3. von welchem (IP-)Netz die IPSec-Verbindung erfolgt
4. zu welchem (IP-)Netz die Verbindung bestehen soll
5. Zeiträume, in denen eine erneute Authentisierung erforderlich ist
6. Zeitraum, nach dem der IPSec-Schlüssel erneuert werden muss
VPN Technik: IPSec

18.
19
VPN Technik: IPSec
Verschlüsselung mit IPSec:
▪ Unterschied Main Mode und Aggressive Mode:
▪ Der Main Mode ist die ausführliche Variante der ersten Phase der Verschlüsselung.
▪ Im Prinzip unterhalten sich die beiden Gegenstellen und wählen aus welche Verfahren Sie
verwenden werden.
▪ Dann tauschen sie ihre Schlüssel aus und erstellen den Schlüssel für die Authentisierung
▪ Die Authentisierung erfolgt dann mit Hilfe des PSK oder einem Zertifikat
▪ Der Aggressive Mode ist die zusammengefasste Variante der ersten Phase der Verschlüsselung.
▪ Ist im Prinzip die Zusammenfassung der Main Mode Schritte in 1 einzigen Schritt.
▪ Nachteil ist hierbei der HASH-Wert des Schlüssel (PSK) wird im Klartext übertragen.
▪ Vorteil ein viel schnellerer Verbindungsaufbau

19.
20
VPN Technik: IPSec
Verschlüsselung mit IPSec:
Die 2 Phasen der Verschlüsselung sind:
▪ Phase 2 (Quick Mode)
▪ Hier wird die eigentliche Datenverschlüsselung
durchgeführt.
▪ Es werden keine Schlüssel aus der Phase 1
verwendet, damit es keine Rückschlüsse geben
kann.
▪ Sobald die Daten übertragen wurden, werden die
Schlüssel verworfen und es muss eine neuer
Schlüssel für die nächste Datenübertragung wieder
ausgehandelt werden
▪ Es können mehrere Quick Modes parallel laufen.

20.
21
VPN Technik: IPSec
Verschlüsselung mit IPSec:
Noch ein paar kleine Hinweise und Tipps zu IPSec bei
Westermo:
▪ Bitte verwenden Sie immer hohe Verschlüsselungen
wie AES256 und SHA256
▪ Wenn möglich immer ein Zertifikat verwenden. Wenn
nicht möglich, ein möglichst komplexen Pre-Shared-
Key verwenden. Besonders beim Aggressive Mode
▪ Immer die Schlüssel Laufzeiten auf beiden Seiten
überprüfen.
▪ Auf richtige Lokal ID und Remote ID achten auf beiden
Seiten

21.
VPN Technik: OpenVPN (SSL)

22.
23
VPN Technik: OpenSSL/LibreSSL
▪ Aufbau von Tunnel mit SSL Verschlüsselung (Secure Sockets Layer)
▪ Westermo verwendet LibreSSL (ein Fork von OpenSSL)
▪ Verwendet Zertifikate für die Verschlüsselung (SSL Verschlüsselung)
▪ Keine festgelegten Ports, aber Port 1194 bzw. 443 werden gerne verwendet. Daher auch keine
Probleme bei Firewalls. Sowohl UDP oder TCP verwendbar.
▪ Kein Main- oder Aggressive- Mode nötig, da die Verbindung mit SSL verschlüsselt ist
▪ TLS (Key mehr erklären!) wird auch unterstützt
▪ Der Tunnel wird in WeOS wie ein Interface betrachtet.
▪ Keine Probleme mit Routing etc. dadurch
▪ Feste IP Adressen für die Tunnel möglich
▪ Clients können untereinander kommunizieren, da es ein Server gibt mit dem sich die Clients
verbinden

23.
24
VPN Technik: OpenSSL/LibreSSL
Es gibt 2 Typen von Verbindungen:
▪ Layer2 (net-net Verbindung) Bridged machen muss bei uns
▪ Hier werden 2 Netze über ein Medium verschlüsselt verknüpft
▪ Benötigt meist ein extra Routing (Statisch, RIP, OSPF, etc.)
▪ Feste IPs werden hier zumeist verwendet
▪ Layer3 (net-end Verbindung) Routed machen muss bei uns
▪ Hier wird ein Netzwerk mit einem Client (meistens ein PC oder ähnliches) verknüpft
▪ Das Routing wird direkt vom SSL Tunnel übergeben. (statisches Routing)
▪ Der Client bekommt eine Dynamische IP zugewiesen aus einem extra DHCP Pool
Es sind auch transparente Verbindungen mit dieser Technik möglich (Layer 2 Verschlüsselung)

24.
25
▪ Verschlüsselung mit OpenSSL
▪ Tipps und Tricks
▪ Was für eine Verbindung soll geschaffen
werden (net-net oder net-end)
▪ Routing nicht vergessen und am einfachsten ein
dynamisches Verfahren verwenden
▪ Den verwendeten Port auch in externen
Firewalls freigeben
▪ Auch hier immer auf beste Verschlüsselung
achten und diese noch dazu mit TLS
kombinieren
▪ Zertifikate nach Anleitung erstellen und testen
auf Funktion
VPN Technik: OpenSSL

25.
VPN Technik: Beispiele

26.
27
Beispiel für VPN Tunnel IPSec mit GRE

27.
28
Beispiel für eine VPN Tunnel Redundanz Lösung mit OpenVPN

28.
29
Open VPN Layer 2 Verschlüsselung: Aufbau
Hier mal ein Beispiel wie eine Verbindung per Layer 2 VPN Verschlüsselung aussehen könnte.
Ansicht im WeConfig

29.
30
Zusammenfassung
▪ Verschlüsselung:
▪ Verschlüsselung sowohl von Datenverkehr als auch von Daten
an sich.
▪ 2 Verfahren: Asymmetrisch und Symmetrisch
▪ VPN Tunnel
▪ Verwendung von Tunnel um Daten sicher zu transportieren
▪ IP-Sec
▪ OpenVPN
▪ Beispiele für Tunnel Anwendungen

30.
31
Fragen?

31.
32
Weitere Webinare
▪ Alle Webinare / Aufzeichnungen finden Sie unter:
▪ https://www.westermo.de/news-and-events/webinars
▪ Weitere Webinare:
▪ Geroutete Redundanzen – 28.02.2023
▪ PoE & Lösungen – 04.04.2023
▪ Konfiguration WeOS – 09.05.2023
▪ Einladungen werden über Newsletter verteilt:
▪ https://www.westermo.de/news-and-
events/newsletters/newsletter
▪ https://www.westermo.de/news-and-
events/newsletters/wesecure

32.
33