VPN (Virtual Private Network)

Was ist ein VPN

Bei aller Technikbegeisterung: Ein VPN (Virtual Private Network - dt.: virtuelles privates Netz) dient dem Geldsparen!
Statt der Nutzung teurer Modemstrecken oder angemieteter Kanäle in z.B. Framerelay-Netzwerken setzt die VPN-Technik das Internet als "Trägermedium" ein.
Durch den Einsatz eines VPN ist es möglich, dass sich ein Dienstreisender (aber auch ein Mitarbeiter am Tele-Arbeitsplatz bzw. im Home Office) unter Nutzung des Internets in sein Firmennetzwerk einwählt. Ein VPN ist hier(mit) die günstige Alternative zu klassischen Dial-In-/ Remote Access-Lösungen.
Darüberhinaus können VPN aber auch zur Kopplung zweier Unternehmensstandorte (anstelle der von Standleitungen) eingesetzt werden (sog. Site To Site oder Branch To Branch Verbindung).

Die wichtigste Technik nutzt das IPsec-Protokoll. Deshalb wird nachfolgend die Arbeitsweise eines VPN mit IPsec beschrieben.
 

Funktionsweise von VPN

Wie in der Animation zu sehen ist, findet zunächst eine Einwahl ins Internet statt (bei einem Zugang per Notebook z.B. mittels PPP). Hierzu kann ein beliebiger Provider und eine jede verfügbare Zugangstechnik (z.B. also auch DSL, HSCSD etc.) verwendet werden! Anschließend erfolgt der Aufbau eines sicheren "Tunnel" zwischen dem VPN-Client und dem VPN-Server. Hierbei muss sich der VPN-Client gegenüber dem VPN-Server authentisieren. Das erfolgt im einfachsten Fall per Username/ Password (bei einer Site To Site Verbindung Shared Secret genannt), bei höheren Sicherheitsanforderungen mittels Token-Card oder öffentlichem Schlüssel/ Zertifikat. Erst nach erfolgreicher Authentisierung wird der verschlüsselte IPsec-Tunnel aufgebaut, über den dann ein absolut abhörfreier Datenverkehr ins Unternehmensnetz hinein (bzw. von Standort zu Standort) erfolgen kann. Hierbei ist der VPN-Client im allgemeinen so konfiguriert, dass er nach dem Aufbau des Tunnels keine Verbindung zum Internet mehr besitzt und von dort auch nicht mehr angesprochen werden kann (Unterbinden des sog. Split-Tunnel). Gleichzeitig bekommt der Client eine IP-Adresse aus dem Firmennetzwerk (Intranet) zugewiesen (z.B. eine private Adresse), die bei Remote Access eineindeutig mit dem Usernamen des Anwenders gekoppelt ist. Auf diese Weise ist es möglich, bei Bedarf das firmenseitige Ende des Tunnels noch durch eine Firewall zu sichern.
Der Anwender kann nun von jedem Internetanschluss der Welt so arbeiten, als ob er direkt an Firmen-Netz (Intranet) angeschlossen wäre. Da er auch das Internet nicht mehr "sieht" ist das private Netz virtuell bis zu ihm verlängert - was den Namen VPN ("virtuelles privates Netz" - engl.: "virtual private network") erklärt

Animation: Funktionsweise VPN

Sicherheitsbetrachtungen

Authentisierung

Der VPN-Server befindet sich ¨mitten im Internet¨ und ist prinzipiell über jeden IPsec-Client direkt erreichbar. VPN-Clients sind Bestandteil vieler Sicherheitsprodukte (wie z.B. F-Secure VPN+ und PGP Desktop Security) bzw. sind im Betriebssystem (z.B. Windows 2000) direkt enthalten. Hierdurch ist ein VPN-Server natürlich ein potentielles Ziel für Eindringversuche aus dem Internet. Aufgrund der weltweiten Verfügbarkeit und der Anonymität ist diese Gefahr hier ungleich höher, als bei ¨klassischen¨ Dial-In-/ Remote Access Lösungen. Deswegen sollte die Zugangskontrolle eines interaktiven Users nicht auf Username und Password beschränkt bleiben. Es empfiehlt sich dringend, sog. Token- oder Smart-Cards einzusetzen, wie sie z.B. SecurId (RSA Security), ActivCard (ActivCard) oder i-key (Rainbow Technologies).
Die Gefährdung ist im Umfeld von Site To Site Verbindungen als weniger kritisch anzusehen, da hier das Shared Secret in den Systemen selbst gespeichert ist und daher - im Gegensatz zu ¨normalen¨ Passwords - beliebig lang und kompliziert gewählt werden kann. Trotzdem empfiehlt sich auch hier - zumindest langfristig - der Einsatz von digitalen Zertifikaten!

Angreifbarkeit/ Split Tunnel

Wenn es bei der Installation der Client-Software nicht explizit gewünscht/ konfiguriert wird (das sog. Split Tunneling erlaubt wird), ist ein Rechner nach dem Aufbau des IPsec Tunnels vom Internet aus nicht mehr sichtbar. Man spricht dann auch von einem gehärteten Protokoll-Stack. Auf dieses Weise ist der PC geschützt vor Trojaner Angriffen oder Denial Of Service Attacks aus dem Internet. Es wird hierfür also keine Desktop-Firewall benötigt.
Hier gilt - wie auch für die Verschlüsselung:
 
Angriffe aus dem Intranet sind weiterhin möglich!

Verschlüsselung

Da bei/ für IPsec starke Verschlüsselungsalgorithmen (z.B. Triple DES, AES) verfügbar sind, ist der Tunnel - nach dem heutigen Stand der Kryptologie - als absolut sicher zu betrachten (vgl. auch Schlüssellängen). Dies gilt natürlich nur für die Strecke vom Client bis zum VPN-Server. Die Daten im Intranet sind - wenn keine zusätzlichen Maßnahmen getroffen wurden - auch weiterhin nicht geschützt (s.o.)!

Sicherung des VPN-Servers durch eine Firewall

Zumindest bei dedizierten VPN-Servern (z.B. von CISCO oder Nortel) existieren zum Internet hin keinerlei (offenen) Ports (mit Ausnahme des für den Schlüssaustausch [IKE] benötigten UDP-Port 500), so dass hier durch eine Firewall kein zusätzlicher Schutz geboten werden kann. Dies umso mehr, als auf den mit IPsec verschlüsselten Datenverkehr logischer Weise noch nicht einmal eine Content-Check angewendet kann. Eine Firewall würde hier also nur die Performance reduzieren - und würde zusätzlich Geld kosten!
Soll aus einem durch Firewall geschützten Netz eine VPN-Verbindung aufgebaut werden, dann müssen - neben dem oben bereits erwähnten UDP-Port 500 (in beiden Richtungen!) - auf IP-Ebene noch die Protokolle 50 (ESP) und 51 (AH) freigegeben werden (vgl. auch IPsec).

Alternativen zu IPsec

Es gibt - neben IPsec - auch andere Protokolle, mit denen ein VPN aufgebaut werden kann.
Eine weitere beliebte Methode ist die Nutzung des von Microsoft entwickelten PPTP. Dieses ist jedoch, wie man der Presse entnehmen kann - aufgrund seiner Implementierungsschwächen bei der zur Encryption notwendigen Schlüsselverwaltung als wesentlich unsicherer einzustufen und nicht zu empfehlen! Darüberhinaus verfügt es über keine Paket-Integritätsrüfung!
Eine Gegenüberstellung und Beschreibung der wichtigsten Tunneling-Protokolle finden sie hier!


Haben Sie sich schon in meinem Gästebuch eingetragen?
Bei Fragen oder Problemen posten Sie bitte in meinem Forum oder schicken Sie mir eine E-Mail!
Homepage [zurück zur TCP/IP-Seite]

(Diese Seite wurde erstellt am 20.4.2001,
der letzte Update fand statt am 22.10.2006)


Dieses Angebot ist erreichbar über http://www.tcp-ip-info.de, http://www.trojaner-und-sicherheit.de, http://www.internet-und-sicherheit.de und http://www.tcp-ip.de.gg