1 Einführung
1.1 Motivation
1.1.1 Begriff und Definition
1.1.2 Der klassische Lösungsansatz
1.1.3 Grundsätzliche Anforderungen
1.2 Internet-Kommunikation
1.2.1 Internet-Zugangstechniken
1.2.1.1 Analoganschluss
1.2.1.2 Basis-ISDN-Anschluss
1.2.1.3 GSM, GPRS und HSCSD
1.2.1.4 UMTS
1.2.1.5 ADSL
1.2.1.6 ISDN-Festverbindung
1.2.2 VPN-Grundidee
1.2.3 Architektur
1.3 VPN-Mehrwertdienste
1.3.1 VPN-Provider
1.3.2 Der "Managed Service"
1.4 Service Level Agreements (SLA)
1.4.1 Begriff
1.4.2 SLA-Management
1.4.3 Kennzahlen (VPN-SLA)
1.4.3.1 Sicherheitsstandard
1.4.3.2 Verfügbarkeit:
1.4.3.3 Problemmanagement
1.4.3.4 Berichte
1.4.3.5 Kosten
1.4.4 Praxisbeispiel: AlarmCenter der Firma INTEGRALIS
1.4.4.1 Voraussetzungen
1.4.4.2 Leistungs- und Reaktionsstufen
1.4.4.3 Alarme
1.4.4.4 Alarmklassifizierung
1.4.4.5 Berichte (Reports)
1.4.4.6 Weitere Vereinbarungen
1.5 VPN-Typen
1.5.1 Client- VPNs
1.5.1.1 Kommunikationsarchitektur
1.5.1.2 Sicherheitsrisiken
1.5.2 Office-VPNs
1.5.2.1 Kommunikationsarchitektur
1.5.2.2 Sicherheitsrisiken
1.5.3 Netzwerk-VPNs
1.5.3.1 Bandbreitenplanung
1.5.3.2 Kommunikationsarchitektur
1.5.3.3 Sicherheitsrisiken
1.5.4 VPNs im Intranet
1.5.5 Extranet-VPNs
1.5.5.1 Warum Extranet-VPNs?
1.5.5.2 Kommunikationsarchitektur

2 Technische Grundlagen
2.1 Verschlüsselung
2.1.1 Geheime Schlüssel (secret key)
2.1.1.1 Mathematische Einfuhrung
2.1.1.2 Data Encryption Standard (DES)
2.1.1.3 3DES (Triple DES)
2.1.1.4 Advanced Encryption Standard (AES)
2.1.1.5 Weitere Verfahren
2.1.2 Öffentliche Schlüssel (public key)
2.1.2.1 Problem: Schlüsselaustausch
2.1.2.2 Schlüsselgenerierung
2.1.2.3 RSA-Verschlüsselung und -Entschlüsselung
2.1.2.4 Diffie-Hellmann-Schlüsselaustausch
2.1.3 Man-In-The-Middle-Problematik
2.2 Authentifizierung
2.2.1 Die drei "W"
2.2.2 Technische Verfahren
2.2.2.1 Biometrik
2.2.2.2 Passworte
2.2.2.3 Authentifizierungstoken und Smartcard
2.2.3 Digitale Signaturen und Zertifikate
2.2.3.1 Hashing
2.2.3.2 Digitale Signaturen
2.2.3.3 Digitale Zertifikate
2.2.3.4 Der X.509 Standard
2.3 Public Key Infrastructure (PKI)
2.3.1 PKI-Standardisierung
2.3.2 Trustcenter
2.3.3 Die eigene CA
2.3.3.1 CA-Architektur
2.4 Gesetzgebung
2.4.1 Das Deutsche Signaturgesetz
2.4.1.1 Erster Abschnitt: Allgemeine Bestimmungen
2.4.1.2 Zweiter Abschnitt: Zertifizierungsdiensteanbieter
2.4.1.3 Dritter Abschnitt: Freiwillige Akkreditierung
2.4.1.4 Vierter Abschnitt: Technische Sicherheit
2.4.1.5 Fünfter Abschnitt: Aufsicht
2.4.1.6 Sechster Abschnitt: Schlussbestimmungen
2.4.2 Die Deutsche Signaturverordnung
2.4.3 Die Europäische Richtlinie
2.5 IPsec
2.5.1 IP und IPsec
2.5.1.1 IPSec-Architektur
2.5.1.2 IP- und IPsec-Paketformate
2.5.2 Transport- und Tunnelmodus
2.5.2.1 Transportmodus
2.5.2.2 Tunnelmodus
2.5.3 IPsec-Protokolle
2.5.3.1 Authentication-Header-Protokoll
2.5.3.2 Encapsulating-Security-Payload-Protokoll
2.5.4 Security Associations (SA)
2.5.5 IPsec-RFCs
2.6 Internet Key Exchange (IKE)
2.6.1 Einführung
2.6.2 ISAKMP
2.6.2.1 Einführung
2.6.2.2 Negotiation
2.6.2.3 ISAKMP-SAs
2.6.2.4 Authentifizierung
2.6.2.5 Sicherheitsüberlegungen
2.6.2.6 ISAKMP-Paketformat
2.6.2.7 ISAKMP-Nutzdaten
2.6.2.8 ISAKMP-Austauschverfahren
2.6.3 Die IPsec Domain of Interpretation für ISAKMP
2.6.4 OAKLEY Key Determination Protocol
2.6.5 IKE-Modi
2.6.6 Perfect Forward Secrecy (PFS)
2.6.7 IKE-Authentifizierung
2.7 L2TP
2.7.1 PPP-Grundlagen
2.7.1.1 PPP-Protokolle
2.7.1.2 PPP-Charakteristika
2.7.1.3 PPP-Steuerung
2.7.2 LAC und LNS
2.7.3 Die Tunnelmodelle
2.7.4 L2TP-Paketformat
2.7.4.1 L2TP-Datenpaket
2.7.4.2 L2TP-Steuerungspakete
2.7.5 L2TP-Sicherheit
2.8 Multi Protocol Label Switching (MPLS)
2.8.1 Grundlagen
2.8.1.1 Dienste
2.8.1.2 Architektur und Protokollstack
2.8.1.3 Komponenten
2.8.1.4 Forward Equivalence Class (FEC)
2.8.1.5 MPLS-Header
2.8.2 Label Distribution Protocol (LDP)
2.8.3 MPLS basierte VPNs
2.8.3.1 Modelle
2.8.3.2 Routing und Forwarding
2.9 Quality of Service (QoS)
2.9.1 Integrated Services Architecture (IntServ)
2.9.2 Differentiated Services Architecture (DiffServ)
2.9.2.1 Expedited Forwarding Class (EF)
2.9.2.2 Assured Forwarding Class (AF)
2.9.2.3 Default Class - Best Effort
2.9.3 Queuing-Modelle
2.9.3.1 Priority Queuing
2.9.3.2 Class-Based- oder Custom-Queuing
2.9.3.3 Weighted Fair Queuing (WFQ)
2.9.3.4 Class Based Weighted Fair Queuing (CBWFQ)
2.9.4 MPLS-QoS

3 Implementierung
3.1 Firewall basierte VPNs
3.1.1 Einfuhrung
3.1.2 Konfiguration
3.1.2.1 Hardware und Betriebssystem
3.1.2.2 Softwareprodukte
3.1.2.3 Firewall Netz A
3.1.2.4 Firewall Netz B
3.1.2.5 Routing
3.1.3 Testbetrieb
3.1.3.1 Aufruf der HTML-Seite
3.1.3.2 Überprüfung der Firewall-Logdateien
3.1.4 Analyse des Datenverkehrs
3.1.4.1 Analyse am Messpunkt 1
3.1.4.2 Analyse am Messpunkt 2
3.1.4.3 Analyse am Messpunkt 3
3.2 Client-VPNs
3.2.1 Einfuhrung
3.2.2 Konfiguration
3.2.2.1 Hardware und Betriebssystem
3.2.2.2 Softwareprodukte
3.2.2.3 Firewall Netz A
3.2.2.4 Client M
3.2.3 Testbetrieb
3.2.3.1 FTP-Kommunikation
3.2.3.2 Überprüfung des Firewall-Logs
3.2.4 Analyse des Datenverkehrs
3.2.5 Besonderheit: PDA-VPNs
3.3 Windows 2000 IPsec-Kommunikation
3.3.1 Einfuhrung
3.3.2 Konfiguration
3.3.2.1 Hardware und Betriebssystem
3.3.2.2 Softwareprodukte
3.3.2.3 IP-Adressübersicht
3.3.2.4 Client
3.3.2.5 FTP-Server
3.3.3 Testbetrieb
3.3.4 Analyse des Datenverkehrs
3.4 Abschlussbetrachtung
3.4.1 Wirtschaftlicher Nutzen
3.4.1.1 Netzzugang für Reisende
3.4.1.2 Verbindung von Filialen
3.4.2 Wie sicher sind VPNs?

Anhang A: Literaturverzeichnis;
Anhang B: Kontaktliste VPN-Produkte
Anhang C: Kontaktliste VPN-Dienstleister
Anhang D: Glossar und Akronyme

Stichwortverzeichnis