VPN (Virtual Private Network)
Was ist ein VPN
Bei aller Technikbegeisterung:
Ein
VPN (Virtual Private Network - dt.: virtuelles privates
Netz)
dient
dem
Geldsparen!
Statt der Nutzung teurer Modemstrecken oder angemieteter Kanäle in z.B. Framerelay-Netzwerken
setzt die VPN-Technik das Internet als "Trägermedium" ein.
Durch den Einsatz eines VPN ist es möglich, dass sich ein Dienstreisender
(aber auch ein Mitarbeiter am Tele-Arbeitsplatz bzw. im Home Office) unter Nutzung
des Internets in sein Firmennetzwerk einwählt. Ein VPN ist hier(mit) die
günstige Alternative zu klassischen Dial-In-/ Remote Access-Lösungen.
Darüberhinaus können VPN aber auch zur Kopplung zweier Unternehmensstandorte
(anstelle der von Standleitungen) eingesetzt werden (sog. Site To Site
oder Branch To Branch Verbindung).
Die wichtigste Technik nutzt das IPsec-Protokoll. Deshalb
wird nachfolgend die
Arbeitsweise
eines
VPN mit IPsec beschrieben.
Funktionsweise von VPN
Wie in der Animation
zu sehen ist, findet zunächst eine Einwahl ins Internet statt (bei einem
Zugang per Notebook z.B. mittels PPP).
Hierzu
kann ein beliebiger Provider und eine jede verfügbare Zugangstechnik
(z.B. also auch DSL, HSCSD etc.) verwendet werden! Anschließend erfolgt
der Aufbau eines sicheren "Tunnel" zwischen dem VPN-Client und dem
VPN-Server.
Hierbei muss sich der VPN-Client gegenüber dem VPN-Server authentisieren.
Das erfolgt im einfachsten Fall per Username/ Password (bei einer Site To Site
Verbindung Shared Secret genannt), bei höheren Sicherheitsanforderungen
mittels Token-Card oder öffentlichem Schlüssel/ Zertifikat. Erst nach
erfolgreicher Authentisierung wird der verschlüsselte IPsec-Tunnel
aufgebaut, über den dann ein absolut abhörfreier Datenverkehr ins Unternehmensnetz
hinein (bzw. von Standort zu Standort) erfolgen kann. Hierbei ist der VPN-Client
im allgemeinen so konfiguriert, dass er nach dem Aufbau des Tunnels keine Verbindung
zum Internet mehr besitzt und von dort auch nicht mehr angesprochen werden kann
(Unterbinden des sog. Split-Tunnel). Gleichzeitig bekommt der Client
eine IP-Adresse aus dem Firmennetzwerk (Intranet) zugewiesen (z.B. eine private
Adresse), die bei Remote Access eineindeutig mit dem Usernamen des Anwenders
gekoppelt ist. Auf diese Weise ist es möglich, bei Bedarf das firmenseitige
Ende des Tunnels noch durch eine Firewall zu
sichern.
Der Anwender kann nun von jedem Internetanschluss der Welt so arbeiten,
als ob er direkt an Firmen-Netz (Intranet) angeschlossen wäre. Da er auch
das
Internet nicht mehr "sieht" ist das private Netz virtuell bis zu ihm
verlängert
- was den Namen VPN ("virtuelles privates Netz" -
engl.:
"virtual
private network")
erklärt
Sicherheitsbetrachtungen
Authentisierung
Der VPN-Server befindet
sich ¨mitten im Internet¨ und ist prinzipiell über jeden IPsec-Client
direkt erreichbar. VPN-Clients sind Bestandteil vieler Sicherheitsprodukte (wie
z.B. F-Secure VPN+
und PGP Desktop Security)
bzw. sind im Betriebssystem (z.B. Windows 2000) direkt enthalten. Hierdurch
ist ein VPN-Server natürlich ein potentielles Ziel für Eindringversuche
aus dem Internet. Aufgrund der weltweiten Verfügbarkeit und der Anonymität
ist diese Gefahr hier ungleich höher, als bei ¨klassischen¨ Dial-In-/
Remote Access Lösungen. Deswegen sollte die Zugangskontrolle eines
interaktiven Users nicht auf Username und Password beschränkt bleiben. Es empfiehlt
sich dringend, sog. Token- oder Smart-Cards einzusetzen, wie sie z.B. SecurId
(RSA Security), ActivCard
(ActivCard) oder i-key
(Rainbow Technologies).
Die Gefährdung ist im Umfeld von Site To Site Verbindungen als weniger
kritisch anzusehen, da hier das Shared Secret in den Systemen selbst
gespeichert ist und daher - im Gegensatz zu ¨normalen¨ Passwords - beliebig
lang und kompliziert gewählt werden kann. Trotzdem empfiehlt sich auch
hier - zumindest langfristig - der Einsatz von digitalen Zertifikaten!
Angreifbarkeit/ Split Tunnel
Wenn
es bei der Installation der Client-Software nicht explizit gewünscht/ konfiguriert
wird (das sog. Split Tunneling erlaubt wird), ist ein Rechner nach dem
Aufbau des IPsec Tunnels vom Internet aus nicht mehr sichtbar. Man spricht dann
auch von einem gehärteten Protokoll-Stack. Auf dieses Weise
ist der PC geschützt vor Trojaner Angriffen oder
Denial Of Service Attacks aus dem Internet. Es wird
hierfür also keine Desktop-Firewall
benötigt.
Hier gilt - wie auch für die Verschlüsselung:
Angriffe
aus dem Intranet sind weiterhin möglich!
Verschlüsselung
Da
bei/ für IPsec starke Verschlüsselungsalgorithmen (z.B. Triple
DES, AES)
verfügbar sind, ist der Tunnel - nach dem heutigen Stand der Kryptologie
- als absolut sicher zu betrachten (vgl. auch Schlüssellängen).
Dies gilt natürlich nur für die Strecke vom Client bis zum VPN-Server.
Die Daten im Intranet sind - wenn keine zusätzlichen Maßnahmen getroffen
wurden - auch weiterhin nicht geschützt (s.o.)!
Sicherung des VPN-Servers durch eine
Firewall
Zumindest
bei dedizierten VPN-Servern (z.B. von CISCO
oder Nortel)
existieren zum Internet hin keinerlei (offenen) Ports (mit Ausnahme des für den
Schlüssaustausch [IKE] benötigten
UDP-Port 500), so dass hier durch eine Firewall kein zusätzlicher Schutz geboten
werden kann. Dies umso mehr, als auf den mit IPsec verschlüsselten Datenverkehr
logischer Weise noch nicht einmal eine Content-Check angewendet kann. Eine Firewall
würde hier also nur die Performance reduzieren - und würde zusätzlich Geld
kosten!
Soll aus einem durch Firewall geschützten Netz eine VPN-Verbindung aufgebaut
werden, dann müssen - neben dem oben bereits erwähnten UDP-Port 500
(in beiden Richtungen!) - auf IP-Ebene noch die Protokolle 50 (ESP)
und 51 (AH)
freigegeben werden (vgl. auch IPsec).
Alternativen zu IPsec
Es gibt - neben IPsec
- auch andere Protokolle, mit denen ein
VPN aufgebaut werden kann.
Eine weitere beliebte Methode ist die Nutzung des von Microsoft entwickelten
PPTP. Dieses ist jedoch,
wie man der Presse
entnehmen kann - aufgrund seiner Implementierungsschwächen bei der
zur Encryption notwendigen Schlüsselverwaltung als wesentlich unsicherer
einzustufen und nicht zu empfehlen! Darüberhinaus verfügt es über
keine Paket-Integritätsrüfung!
Eine Gegenüberstellung und Beschreibung der wichtigsten Tunneling-Protokolle
finden sie hier!
Haben Sie sich schon in meinem
Gästebuch eingetragen?
Bei
Fragen oder Problemen posten Sie bitte in meinem
Forum oder schicken Sie mir eine
E-Mail!
