20. Juni 10 | natascha.steiger.uni-linz
Im folgenden stütze ich mich auf die unten genannten Quellen. VPN werden immer öfter im Zusammenhang mit Sicherheit und Firmennetzwerken genannt, aber deren eigentliche Defintion ist vielen nicht bekannt. Aus diesem Grund erkläre ich hier, was VPN eigentlich sind und wie diese funktionieren.
Unter einem "Virtual Private Network", kurz VPN, wird die Nutzung eines öffentlichen Netzwerkes zur Verbindung von privaten Netzwerken untereinander oder die Anbindung einzelner Rechner verstanden. Dabei wird die Verbindung so abgesichert, dass für das öffentliche Netz nicht erkennbar ist welche (nichtöffentlichen) Daten ausgetauscht werden. Eben: Fast schon wie privat.
Durch die Technik der VPN ist es möglich den Zugriff auf die Ressourcen eines "privaten" Netzwerkes für bestimmte, vertrauenswürdige "Endpunkte des Internets" zu ermöglichen. Der Zugriff auf die Ressourcen wird durch Authentifizierung und Verschlüsselung abgesichert, so dass sich das Endgerät quasi im Netzwerk der Organisation befindet.
Bei der Gestaltung von VPNs wird unterschieden:
• Remote Access Anbindung:
Hierbei initiiert ein Rechner eine Verbindung zum Internet, und es wird eine abgesicherte Anbindung an das private Zielnetzwerk aufgebaut. Der so angebundene Rechner kann so arbeiten, wie wenn er direkt im Netzwerk eingebunden wäre. Prinzipiell ist auch der umgekehrte Weg möglich.
• Site-to-Site Anbindung:
Hierbei werden zwei (Teil-)Netzwerke über das öffentliche Netzwerk zu einem quasi einzigem Netzwerk miteinander verbunden. (Zum Beispiel Hauptsitz mit Niederlassung) Die so verbundenen Netzwerke können nun so miteinander interagieren, als ob sie direkt miteinander verbunden wären.
Die Vorteile solcher Anbindungen liegen auf der Kostenseite, so sind keine kostenintensiven Direktverbindungen (ISDN, T2-Leitung) erforderlich, sondern lediglich die kostengünstige Anbindung an einen (zumeist) lokalen Internet Access Provider. Nachteilig wirkt sich die (zur Zeit) nicht zu garantierende Bandbreite für die Übertragung und das größere Sicherheitsrisiko des öffentlichen Netzwerkes aus. Letzteres wird durch Techniken der Verschlüsselung der Daten reduziert, was wiederum zu längeren Übertragungszeiten führen kann, je nachdem wie komplex und sicher das gewählte Verschlüsselungsverfahren ist.
Umgesetzt werden VPNs durch den Einsatz spezieller Hard- oder Software. Zumeist sind Firewalls oder Router in der Lage verschlüsselte Kanäle aufzubauen. Bei der Anbindung einzelner Rechner werden in der Regel Softwarelösungen eingesetzt. Zur Realisierung der Kommunikation für VPNs stehen mehrere Techniken zur Verfügung, im Vordergrund steht dabei der geringe technische und finanzielle Aufwand für eine sichere Anbindung: (1)
• PPTP (Point-to-Point Tunneling Protocol):
PPTP wurde ursprünglich von Microsoft für RAS (Remote Access Server) entwickelt.
PPTP ist im VPN-Bereich sehr häufig anzutreffen, besitzt jedoch einige architektonische Schwächen: Zum einen funktioniert es nur in IP-Netzwerken, also Netzwerken, die das TCP/IP-Protokoll unterstützen. Dies ist zum Beispiel in firmeninternen Netzwerken nicht immer der Fall. Zum anderen besitzt PPTP eine potentielle Sicherheitsschwäche bei der Etablierung einer PPTP-Verbindung, da die Verschlüsselung erst nach dem Aufbau der Verbindung einsetzt. Deshalb muss die Authentifizierung des Verbindungsaufbaus gesondert verschlüsselt und zudem sichergestellt werden, dass die Inhalte der aufgebauten Verbindung überhaupt verschlüsselt werden. Bei unsachgemäß konfigurierten Systemen kann so die Gefahr entstehen, dass Nutzdaten möglicherweise unverschlüsselt übertragen werden könnten. (2)
• L2TP (Layer 2 Tunneling Protocol):
L2TP ist eine Weiterentwicklung des PPTP durch die Firma Cisco.
Der größte Unterschied von L2TP zu PPTP liegt in der Unterstützung von anderen Übertragungsprotokollen in der Vermittlungsschicht des OSI-Schichtenmodells, so dass L2TP nicht unbedingt abhängig vom Internet-Protokoll ist, sondern beispielsweise auch in ATM-Umgebungen eingesetzt werden kann. Ein Schwerpunkt wird auf UDP gelegt, so dass auch UDP-Pakete in L2TP-Protokollen übertragen werden können. UDP wird beispielsweise für die Datenübertragung in zeitkritischen Anwendungen wie Media Streaming oder Telefonie genutzt. (2)
• IPsec (IP Security):
Die "Security Architecture for the Internet Protocol" ist ausschließlich ausgerichtet auf das Internetprotokoll IP und kann nur in IP-Netzwerken eingesetzt werden. Gerade deshalb ist es die erste Wahl im Internet.
Der Vorteil von IPsec ist, dass neben herkömmlichen Authentifizierungsmechanismen wie Benutzername und Passwort noch zusätzlich mit Verschlüsselungszertifikaten gearbeitet werden kann, die auf beiden VPN-Endpunkten vorhanden sein müssen. (2)
Quellen:
(1) http://www.nwn.de/hgm/krypto/deploy.htm
(2) http://www.netplanet.org/aufbau/vpn.shtml
Unter einem "Virtual Private Network", kurz VPN, wird die Nutzung eines öffentlichen Netzwerkes zur Verbindung von privaten Netzwerken untereinander oder die Anbindung einzelner Rechner verstanden. Dabei wird die Verbindung so abgesichert, dass für das öffentliche Netz nicht erkennbar ist welche (nichtöffentlichen) Daten ausgetauscht werden. Eben: Fast schon wie privat.
Durch die Technik der VPN ist es möglich den Zugriff auf die Ressourcen eines "privaten" Netzwerkes für bestimmte, vertrauenswürdige "Endpunkte des Internets" zu ermöglichen. Der Zugriff auf die Ressourcen wird durch Authentifizierung und Verschlüsselung abgesichert, so dass sich das Endgerät quasi im Netzwerk der Organisation befindet.
Bei der Gestaltung von VPNs wird unterschieden:
• Remote Access Anbindung:
Hierbei initiiert ein Rechner eine Verbindung zum Internet, und es wird eine abgesicherte Anbindung an das private Zielnetzwerk aufgebaut. Der so angebundene Rechner kann so arbeiten, wie wenn er direkt im Netzwerk eingebunden wäre. Prinzipiell ist auch der umgekehrte Weg möglich.
• Site-to-Site Anbindung:
Hierbei werden zwei (Teil-)Netzwerke über das öffentliche Netzwerk zu einem quasi einzigem Netzwerk miteinander verbunden. (Zum Beispiel Hauptsitz mit Niederlassung) Die so verbundenen Netzwerke können nun so miteinander interagieren, als ob sie direkt miteinander verbunden wären.
Die Vorteile solcher Anbindungen liegen auf der Kostenseite, so sind keine kostenintensiven Direktverbindungen (ISDN, T2-Leitung) erforderlich, sondern lediglich die kostengünstige Anbindung an einen (zumeist) lokalen Internet Access Provider. Nachteilig wirkt sich die (zur Zeit) nicht zu garantierende Bandbreite für die Übertragung und das größere Sicherheitsrisiko des öffentlichen Netzwerkes aus. Letzteres wird durch Techniken der Verschlüsselung der Daten reduziert, was wiederum zu längeren Übertragungszeiten führen kann, je nachdem wie komplex und sicher das gewählte Verschlüsselungsverfahren ist.
Umgesetzt werden VPNs durch den Einsatz spezieller Hard- oder Software. Zumeist sind Firewalls oder Router in der Lage verschlüsselte Kanäle aufzubauen. Bei der Anbindung einzelner Rechner werden in der Regel Softwarelösungen eingesetzt. Zur Realisierung der Kommunikation für VPNs stehen mehrere Techniken zur Verfügung, im Vordergrund steht dabei der geringe technische und finanzielle Aufwand für eine sichere Anbindung: (1)
• PPTP (Point-to-Point Tunneling Protocol):
PPTP wurde ursprünglich von Microsoft für RAS (Remote Access Server) entwickelt.
PPTP ist im VPN-Bereich sehr häufig anzutreffen, besitzt jedoch einige architektonische Schwächen: Zum einen funktioniert es nur in IP-Netzwerken, also Netzwerken, die das TCP/IP-Protokoll unterstützen. Dies ist zum Beispiel in firmeninternen Netzwerken nicht immer der Fall. Zum anderen besitzt PPTP eine potentielle Sicherheitsschwäche bei der Etablierung einer PPTP-Verbindung, da die Verschlüsselung erst nach dem Aufbau der Verbindung einsetzt. Deshalb muss die Authentifizierung des Verbindungsaufbaus gesondert verschlüsselt und zudem sichergestellt werden, dass die Inhalte der aufgebauten Verbindung überhaupt verschlüsselt werden. Bei unsachgemäß konfigurierten Systemen kann so die Gefahr entstehen, dass Nutzdaten möglicherweise unverschlüsselt übertragen werden könnten. (2)
• L2TP (Layer 2 Tunneling Protocol):
L2TP ist eine Weiterentwicklung des PPTP durch die Firma Cisco.
Der größte Unterschied von L2TP zu PPTP liegt in der Unterstützung von anderen Übertragungsprotokollen in der Vermittlungsschicht des OSI-Schichtenmodells, so dass L2TP nicht unbedingt abhängig vom Internet-Protokoll ist, sondern beispielsweise auch in ATM-Umgebungen eingesetzt werden kann. Ein Schwerpunkt wird auf UDP gelegt, so dass auch UDP-Pakete in L2TP-Protokollen übertragen werden können. UDP wird beispielsweise für die Datenübertragung in zeitkritischen Anwendungen wie Media Streaming oder Telefonie genutzt. (2)
• IPsec (IP Security):
Die "Security Architecture for the Internet Protocol" ist ausschließlich ausgerichtet auf das Internetprotokoll IP und kann nur in IP-Netzwerken eingesetzt werden. Gerade deshalb ist es die erste Wahl im Internet.
Der Vorteil von IPsec ist, dass neben herkömmlichen Authentifizierungsmechanismen wie Benutzername und Passwort noch zusätzlich mit Verschlüsselungszertifikaten gearbeitet werden kann, die auf beiden VPN-Endpunkten vorhanden sein müssen. (2)
Quellen:
(1) http://www.nwn.de/hgm/krypto/deploy.htm
(2) http://www.netplanet.org/aufbau/vpn.shtml
0 Kommentare
| Kommentieren