Was ist VPN?

VPN steht für "Virtual-Privat-Network" oder "virtuelles privates Netzwerk". Mit VPN lässt sich der Zugriff auf einen Rechner oder ein Firmennetzwerk über das Internet aufbauen.

Was ist der Nutzen von VPN für ETH Angehörige?
Personen, die einen anderen Internet Provider benutzen als die ETHZ (z.B. Cablecom), werden bei vielen ETH Services nicht als ETH Angehörige erkannt und abgelehnt. Mit einem VPN-Tunnel wird Ihnen eine ETH interne Adresse zugeteilt, so dass Sie von diesen Services wieder akzeptiert werden. Das Erscheinungsbild entspricht dem eines Dialup Services.

Wie die Bezeichnung "Virtual Private Network" verrät, baut man mit VPN ein privates, geschütztes Netzwerk über ein Medium wie das Internet auf. Mit VPN kann das Internet für Verbindungen von Punkt zu Punkt wie bei einer Wählverbindung oder einer Standleitung genutzt werden.

Was bietet VPN an Sicherheiten?
Das Internet ist grundsätzlich ein offenes, ungeschütztes Netz. Es besteht keine Gewissheit, dass übertragene Nachrichten nicht abgehört oder gar manipuliert werden.

Durch den Einsatz von VPN wird über das Internet ein sicherer Kommunikationskanal auch Tunnel genannt aufgebaut. Die Informationen sind durch Chiffrierung abhörsicher und vor Manipulation geschützt. Die Übertragung wird überwacht.

Mit VPN werden Datenpakete eines beliebigen Protokolls verschlüsselt und verpackt übers Internet gesandt. Dieses Verfahren wird "Tunneling" genannt, da man sich für die Datenübertragung eine Art Tunnel im öffentlichen Internet vorstellen kann.

Das Internetprotokoll TCP/IP dient als Transportmittel. Es gibt verschiedene Tunneling- oder VPN-Protokolle. Es ist möglich, eine VPN-Verbindung mit dem ETH-Netz via IPSec (Internet Security Protocol) oder PPTP (Point-to-Point Tunneling Protocol) aufzubauen.



Die Technik von VPN
PPTP

Das Point-to-Point Tunneling Protocol (PPTP) das von Microsoft und anderen führenden Unternehmen der Netzwerkbranche entwickelt wurde, wurde 1996 der Internet Engineering Task Force (IETF) als Standardprotokoll für das Internet-Tunneling vorgeschlagen. PPTP ist eine Erweiterung des Point-to-Point Protocol (PPP). PPTP kapselt PPP-Pakete in IP-Paketen, so können Protokolle wie IP, IPX und NetBEUI über das Internet getunnelt werden. Für die Zugangskontrolle werden das Password Authentification Protocol (PAP) und das Challenge Handshake Protocol (CHAP) verwendet. Als Verschlüsselungsalgorithmen dienen die Rivest´s Cipher 4 (RC4) und der Data Encryption Standard (DES) mit Schlüsseln zwischen 40 und 128 Bit Länge.

Vorteile von PPTP

Verfügbarkeit - Da PPTP im Lieferumfang von Windows NT,2000,XP enthalten ist, ist es für Benutzer dieser Plattformen ohne Zusatzsoftware unmittelbar verfügbar. Microsoft bietet das PPTP-Upgrade für Windows 95/98 umsonst an. Voraussetzung bei WIN95 ist MSDUN Ver1.3 (kann von http://www.microsoft.com/downloads herutergeladen werden, siehe WIN95 Upgrades).
Einfache Implementierung - PPTP wird als ein zusatzliches Protokoll oder DFÜ-Adapter installiert.

Nachteile von PPTP

Weil verschlüsseltes PPTP auf Server-Seite sehr viele Ressourcen verbraucht (wenige verschlüsselte PPTP Tunnels können den Server überlasten, weil die PPTP-Verschlüsselung in Software abläuft), bieten wir keine PPTP-Verschlüsselung an. Deshalb wird ausser dem Passwort bei der Eröffnung des Tunnels alles im Klartext übertragen.

IPSec


Dazu müssen Sie zuerst ein Softwareprogramm herunterladen, dekomprimieren und installieren.

Die Verschlüsselung findet in Hardware statt und der VPN-Server der ETH ist in der Lage, mehrere tausend verschlüsselte Sessions zu unterstützen.

IP Security (IPSec) ist eine neuere Technik, die PPTP langfristig als VPN-Standard ablösen soll, da sie ein höheres Maß an Sicherheit als PPTP garantieren kann. IPSec arbeitet auf IPv4 und soll fester Bestandteil von IPv6 werden. Bei IPSec handelt es sich um ein Paket von Protokollen (RFC 1825 - 1829), die für Authentifizierung, Datenintegrität, Zugriffskontrolle und Vertraulichkeitsbelange innerhalb des VPN zuständig sind. IPSec besitzt zwei verschiedene Betriebsmodi: den Transportmodus und den Tunnelmodus.

Der Transport-Modus wird zwischen Client und Server eingesetzt. Der Tunnel-Modus wird zwischen zwei IPSec-Tunneling-Gateways verwendet, zum Beispiel zwei Routern oder Servern.

Transportmodus:

Im Transportmodus verschlüsselt IPSec nur den Datenteil des zu transportierenden IP-Paketes: Applikations-Header, TCP/UDP-Header und Daten werden verschlüsselt, die IP-Header sind lesbar. Die Authentisierungsdaten werden auf Basis der Werte im IP-Header (und einigen anderen Sachen) berechnet. Der Original-IP-Kopf bleibt dabei erhalten und es wird ein zusätzlicher IPSec-Kopf hinzugefügt. Der Vorteil dieser Betriebsart ist, daß jedem Paket nur wenige Bytes hinzugefügt werden. Dem gegenüber steht, daß es für Angreifer möglich ist, den Datenverkehr im VNP zu analysieren, da die IP-Köpfe nicht modifiziert werden. Die Daten selbst sind aber verschlüsselt, so daß man nur feststellen kann, welche Stationen wieviele Daten austauschen, aber nicht welche Daten.

Tunnelmodus:

Im Tunnelmodus wird das komplette IP-Paket verschlüsselt und mit einem neuen IP-Kopf und IPSec-Kopf versehen. Dadurch ist das IPSec-Paket größer als im Transportmodus. Der Vorteil besteht hier darin, daß in den LANs, die zu einem VPN verbunden werden sollen, je ein Gateway so konfiguriert werden kann, daß es IP-Pakete annimmt, sie in IPSec-Pakete umwandelt und dann über das Internet dem Gateway im Zielnetzwerk zusendet, der das ursprüngliche Paket wiederherstellt und weiterleitet. Dadurch wird eine Neukonfiguration der LANs umgangen, da nur in den Gateways IPSec implementiert sein muß. Außerdem können Angreifer so nur den Anfangs- und Endpunkt des IPSec-Tunnels feststellen

Sicherheitsfunktionen:



IPSec bietet umfassende Sicherheitsfunktionen in den drei grundlegenden Ansprüchen an einen sicheren Datenaustausch:

Authentizität: Ist der Kommunikationspartner wirklich derjenige, den man annimmt? Zur Identitätsprüfung wird ein gemeinsames Schlüsselwort festgelegt ein so genannter "Pre-Shared-Key". Die IKE-Funktion (Internet-Key-Exchange) verschlüsselt diesen Key automatisch. Stimmt der Code zwischen Absender und Empfänger überein, wird ein zweiter verschlüsselter Kanal aufgebaut, worüber die eigentliche Datenkommunikation stattfindet.

Vertraulichkeit: Wie schützt man seine Daten gegen Abhörversuche? Die Vertraulichkeit der Daten im zweiten Kanal wird mit der bewährten DES- oder Triple-DES- Chiffrierung (synchrone Verschlüsselung) gewährleistet. Es ist kein Fall eines geknackten DES-Schlüsslels (56bit) bekannt, dennoch wurde das Verfahren weiter entwickelt. Triple-DES verfügt über einen 168-bit-Schlüssel und wird bei der ETH VPN-Verbindung verwendet.

Integrität: Wie verhindert VPN, dass Daten manipuliert werden? Dazu werden die Datenpakete mit einer Art Checksumme geprüft. Dieses Verfahren wird mit so genannten "Hash-Algoritmen" MD5 oder SHA-1 durchgeführt.



Wegen seines umfangreichen Verschlüssenlungsverfahrens spielt IPSec eine Hauptrolle, wenn man eine VPN-Verbindung mit dem ETZ Netzwerk aufbauen will.