Wikipedia

Virtual Private Network

Netzwerkverbindung, die von Unbeteiligten nicht einsehbar ist
Dies ist eine alte Version dieser Seite, zuletzt bearbeitet am 6. August 2007 um 17:43 Uhr durch 87.123.64.127 (Diskussion). Sie kann sich erheblich von der aktuellen Version unterscheiden.
Dieser Artikel oder Abschnitt bedarf einer grundsätzlichen Überarbeitung. Näheres sollte auf der Diskussionsseite angegeben sein. Bitte hilf mit, ihn zu verbessern, und entferne anschließend diese Markierung.

Ein Virtual Private Network (VPN) (dt.: virtuelles privates Netz) ist ein Computernetz, das zum Transport privater Daten ein öffentliches Netz (zum Beispiel das Internet) nutzt. Es ermöglicht somit eine sichere Übertragung über ein unsicheres Netzwerk. Teilnehmer eines VPN können Daten wie in einem internen LAN austauschen. Die einzelnen Teilnehmer selbst müssen hierzu nicht direkt verbunden sein. Die Verbindung über das öffentliche Netz wird üblicherweise verschlüsselt. Der Begriff „Private“ impliziert jedoch nicht, wie vielfach angenommen, dass es sich um eine verschlüsselte Übertragung handelt. Eine Verbindung der Netze wird über einen Tunnel ermöglicht. Meist wird der Tunnel dabei gesichert, aber auch ein ungesicherter Klartexttunnel ist ein VPN.

IP-VPNs nutzen das Internet zum Transport von IP-Paketen unabhängig vom Übertragungsnetz, was im Gegensatz zum direkten Remote-Zugriff auf ein internes Netz (direkte Einwahl beispielsweise über ISDN, GSM, …) wesentlich flexibler und kostengünstiger ist.

Anwendungen

Man unterscheidet grundsätzlich vier verschiedene Vorgehensweisen bei VPNs: „Site-to-Site“, „Site-to-End“, „End-to-End“ und „Host-to-Host“

Site-to-Site / Punkt-zu-Punkt

Sollen zwei lokale Netze verbunden werden, wird auf beiden Seiten ein VPN-Gateway verwendet. Diese bauen dann untereinander eine VPN-Verbindung auf, die meist permanent bestehen bleibt. Andere Rechner aus dem lokalen Netz können nun den VPN-Gateway verwenden, um Daten in das andere Netz zu senden. So lassen sich zum Beispiel zwei weit entfernte Standorte einer Firma verbinden (Site-to-Site-VPN).

Site-to-End

VPNs werden oft verwendet, um Mitarbeitern außerhalb einer Organisation oder eines Unternehmens Zugriff auf das interne Netz zu geben. Dabei baut der Computer des Mitarbeiters eine VPN-Verbindung zu dem ihm bekannten VPN-Gateway des Unternehmens auf. Über diese Verbindung ist es dem Mitarbeiter nun möglich, so zu arbeiten, als ob er im lokalen Netz der Firma wäre (Remote-Access-VPN). Dieses Verfahren wird auch verwendet, um WLAN und andere Funkstrecken zu sichern (End-to-Site-VPN).

End-to-End

VPNs stellen eine verschlüsselte Verbindung zwischen zwei mobilen Mitarbeitern her oder erschaffen hochsichere virtuelle Abteilungen innerhalb eines lokalen Netzwerkes. Bisher werden diese Verbindungen nur mit Hilfe der ViPNet-Technologie ermöglicht. Hierbei nimmt ein zentraler Kommunikationsserver die aktuellen Informationen über die Art des Internetzugangs, mögliche blockierende NAT Geräte und Firewalls aller Netzwerkknoten (sowohl Clients als auch Gateways) entgegen und versorgt seinerseits wieder alle Netzwerkknoten mit diesen Informationen. Dadurch ist es Clients möglich, entweder einen direkten Tunnel untereinander oder eine indirekte Verbindung über den Kommunikationsserver aufzubauen.

Host-to-Host (Verbindung zwischen zwei Computern)

Es ist auch möglich, dass ein Tunnel zwischen zwei einzelnen Computern aufgebaut wird. Dies wird praktisch aber kaum genutzt. Nur Organisationen mit einem extrem hohen Sicherheitsbedarf verschlüsseln so die gesamte Kommunikation in ihren Netzen. FreeS/WAN, sowie dessen Nachfolger Openswan und strongSwan, bietet noch die Möglichkeit der so genannten „opportunistic encryption“: Es wird zu jedem Rechner, mit dem der eigene Computer Daten austauscht, ein Tunnel aufgebaut, wenn dieser einen Schlüssel per DNS bereitstellt.

Sicherheit

Durch die Verwendung von Passwörtern, öffentlichen Schlüsseln oder durch ein Digitales Zertifikat kann die Authentifizierung der VPN-Endpunkte gewährleistet werden.

Aus Sicherheitsgründen ist es notwendig, auf den VPN-Gateways den Datenverkehr zu inspizieren und Paketfilter einzusetzen. Sonst wäre es sehr leicht möglich, Computerwürmer, Trojaner oder andere Schadsoftware in das private Netzwerk einzuschleusen. VPN-Gateways sollten deshalb immer in Verbindung mit einer Firewall eingesetzt werden. In besseren Firewalls (z. B. CISCO PIX-Serie) findet man daher schon gebrauchsfertige VPN-Lösungen.

Gute VPN-Software verwendet Authentizität und Prüfsummen, um sich vor Manipulation der Daten zu schützen. Ebenso werden Sequenznummern benutzt, um Replay-Attacken zu verhindern.

Implementierungen

Gängige Techniken zum Aufbau von VPNs sind L2TP, PPTP, IPsec, SSL, ViPNet, OpenVPN, CIPE und PPP über SSH.

VPNs setzen auf folgenden zugrunde liegenden Protokollen auf:

  • IPsec eignet sich sowohl für Site-to-Site-VPNs als auch für End-to-Site-VPNs.
  • TLS/SSL werden hauptsächlich für End-to-Site-VPNs eingesetzt.
  • ViPNet eignet sich besonders für End-to-End VPNs, erlaubt aber auch End-to-Site- und Site-to-Site-VPNs.
  • PPTP und L2TP (Layer 2 VPN Protokolle)
  • PPPD (PPP-Dämon) und SSH in Kombination kann den gesamten IP-Verkehr durch einen Tunnel leiten. Die Lösung ist ähnlich dem PPTP ohne dessen Sicherheitsprobleme.

Viele moderne Betriebssysteme enthalten Komponenten, mit deren Hilfe ein VPN aufgebaut werden kann. Linux enthält seit Kernel 2.6 eine IPSec-Implementierung, ältere Kernel benötigen das KLIPS-IPSec-Kernelmodul, das von Openswan und strongSwan zur Verfügung gestellt wird. Auch BSD, Cisco IOS und Windows sind IPSec-fähig.

Literatur

Siehe auch

Abgerufen von „https://de.wikipedia.org/w/index.php?title=Virtual_Private_Network&oldid=35240861