Virtual Private Network

aus Wikipedia, der freien Enzyklopädie

Ein Virtual Private Network (VPN) (dt.: Virtuelles Privates Netz) ist ein Computernetz, das zum Transport privater Daten ein öffentliches Netz (zum Beispiel das Internet) nutzt. Es ermöglicht somit eine sichere Übertragung über ein unsicheres Netzwerk. Teilnehmer eines VPN können Daten wie in einem internen LAN austauschen. Die einzelnen Teilnehmer selbst müssen hierzu nicht direkt verbunden sein. Die Verbindung über das öffentliche Netz wird üblicherweise verschlüsselt. Der Begriff „Private“ impliziert jedoch nicht, wie vielfach angenommen, dass es sich um eine verschlüsselte Übertragung handelt. Eine Verbindung der Netze wird über einen Tunnel zwischen VPN-Client und VPN-Server (Concentrator) ermöglicht. Meist wird der Tunnel dabei gesichert, aber auch ein ungesicherter Klartexttunnel ist ein VPN.

IP-VPNs nutzen das Internet zum Transport von IP-Paketen unabhängig vom Übertragungsnetz, was im Gegensatz zum direkten Remote-Zugriff auf ein internes Netz (direkte Einwahl beispielsweise über ISDN, GSM, ...) wesentlich flexibler und kostengünstiger ist.

Inhaltsverzeichnis 1 Anwendungen 2 Sicherheit 3 Implementierungen 4 Literatur 5 Siehe auch 6 Weblinks

[Bearbeiten] Anwendungen

Man unterscheidet grundsätzlich 3 verschiedene Vorgehensweisen bei VPNs: „Site-to-Site“, „Site-to-End“ und „Host-to-Host“

Site-to-Site / Punkt-zu-Punkt

Sollen zwei lokale Netze verbunden werden, wird auf beiden Seiten ein VPN-Gateway verwendet. Diese bauen dann untereinander eine VPN-Verbindung auf, die meist permanent bestehen bleibt. Andere Rechner aus dem lokalen Netz können nun den VPN-Gateway verwenden, um Daten in das andere Netz zu senden. So lassen sich zum Beispiel zwei weit entfernte Standorte einer Firma verbinden (Site-to-Site-VPN).

Site-to-End

VPNs werden oft verwendet, um Mitarbeitern außerhalb einer Organisation oder eines Unternehmens Zugriff auf das interne Netz zu geben. Dabei baut der Computer des Mitarbeiters eine VPN-Verbindung zu dem ihm bekannten VPN-Gateway des Unternehmens auf. Über diese Verbindung ist es dem Mitarbeiter nun möglich, so zu arbeiten, als ob er im lokalen Netz der Firma wäre (Remote-Access-VPN). Dieses Verfahren wird auch verwendet, um WLAN und andere Funkstrecken zu sichern (End-to-Site-VPN).

End-to-End

VPNs stellen eine verschlüsselte Verbindung zwischen zwei mobilen Mitarbeitern her oder erschaffen hochsichere virtuelle Abteilungen innerhalb eines lokalen Netzwerkes. Bisher werden diese Verbindungen nur mit Hilfe der ViPNet-Technologie ermöglicht. Hierbei nimmt ein zentraler Kommunikationsserver die aktuellen Informationen über die Art des Internetzugangs, mögliche blockierende NAT Geräte und Firewalls aller Netzwerkknoten (sowohl Clients als auch Gateways) entgegen und versorgt seinerseits wieder alle Netzwerkknoten mit diesen Informationen. Dadurch ist es Clients möglich entweder einen direkten Tunnel untereinander oder eine indirekte Verbindung über den Kommunikationsserver aufzubauen.

Host-to-Host (Verbindung zwischen 2 Computern)

Es ist auch möglich, dass ein Tunnel zwischen zwei einzelnen Computern aufgebaut wird. Dies wird praktisch aber kaum genutzt. Nur Organisationen mit einem extrem hohen Sicherheitsbedarf verschlüsseln so die gesamte Kommunikation in ihren Netzen. FreeS/WAN, sowie dessen Nachfolger Openswan und strongSwan, bietet noch die Möglichkeit der so genannten „opportunistic encryption“: Es wird zu jedem Rechner, mit dem der eigene Computer Daten austauscht, ein Tunnel aufgebaut, wenn dieser einen Schlüssel per DNS bereitstellt.

[Bearbeiten] Sicherheit

Durch die Verwendung von Passwörtern, öffentlichen Schlüsseln oder durch ein Digitales Zertifikat kann die Authentifizierung der VPN-Endpunkte gewährleistet werden.

Aus Sicherheitsgründen ist es notwendig, auf den VPN-Gateways den Datenverkehr zu inspizieren und Paketfilter einzusetzen. Sonst wäre es sehr leicht möglich, Computerwürmer, Trojaner oder andere Schadsoftware in das private Netzwerk einzuschleusen. VPN-Gateways sollten deshalb immer in Verbindung mit einer Firewall eingesetzt werden. In besseren Firewalls (z.B. CISCO PIX-Serie) findet man daher schon gebrauchsfertige VPN-Lösungen.

Gute VPN-Software verwendet Authentizität und Prüfsummen, um sich vor Manipulation der Daten zu schützen. Ebenso werden Sequenznummern benutzt, um Replay-Attacken zu verhindern.

[Bearbeiten] Implementierungen

Gängige Techniken zum Aufbau von VPNs sind L2TP, PPTP, IPsec, SSL, ViPNet, OpenVPN, CIPE und PPP über SSH.

VPNs setzen auf folgenden zugrunde liegenden Protokollen auf:

• IPsec eignet sich sowohl für Site-to-Site-VPNs als auch für End-to-Site-VPNs.
• TLS/SSL werden hauptsächlich für End-to-Site-VPNs eingesetzt.
• ViPNet eignet sich besonders für End-to-End VPNs, erlaubt aber auch End-to-Site- und Site-to-Site-VPNs.
• PPTP und L2TP (Layer 2 VPN Protokolle)
• PPPD (PPP-Dämon) und SSH in Kombination kann den gesamten IP-Verkehr durch einen Tunnel leiten. Die Lösung ist ähnlich dem PPTP ohne dessen Sicherheitsprobleme.

Viele moderne Betriebssysteme enthalten Komponenten, mit deren Hilfe ein VPN aufgebaut werden kann. Linux enthält seit Kernel 2.6 eine IPSec-Implementierung, ältere Kernel benötigen das KLIPS-IPSec-Kernelmodul, das von Openswan und strongSwan zur Verfügung gestellt wird. Auch BSD, Cisco IOS und Windows sind IPSec-fähig.

[Bearbeiten] Literatur

• Manfred Lipp: VPN - Virtuelle Private Netzwerke, Addison-Wesley, ISBN 3-8273-2252-9
• Joseph Davies, Elliot Lewis: Virtuelle Private Netzwerke mit Windows Server 2003 - Sichere Netzwerkanbindung mit VPNs, Microsoft, ISBN 3-86063-962-5
• Gerhard Lienemann: Virtuelle Private Netzwerke - Aufbau und Nutzen, Vde Verlag, ISBN 3-8007-2638-6
• Ralf Spenneberg: VPN mit Linux, Addison-Wesley, ISBN 3-8273-2114-X (Hier als PDF kapitelweise verfügbar: [1])

[Bearbeiten] Siehe auch

• Tunnel (Netzwerktechnik)
• IPSec
• OpenVPN
• Verschlüsselung
• Netzwerksicherheit
• Corporate Network
• vrf Instanz

[Bearbeiten] Weblinks

• Richtig erklärter Artikel von IT Wissen
• WinTotal - Einrichtung eines VPN-Netzes mit Windows XP
• FreeS/WAN-Projekt
• Openswan-Projekt
• strongSwan-Projekt
• Links zum Thema „Virtual Private Networks“ im Open Directory Project
• Tinc
• Konfiguration und Einrichtung eines VPNs unter Microsoft Windows
• iPig VPN für öffentliche Hotspots
• Hamachi Projekt - Software zur Emulation eines LANs über VPN
• Erweiterte Erklärung auf glossar.de