Was ist VPN (Virtual Private Network)
VPN heißt Virtual Private Network (zu Deutsch: virtuelles privates Netz)
VPN ermöglicht es, einen Teilnehmer eines privaten Netzwerkes an ein anderes privates Netz anzubinden. Hierbei müssen die Netze nicht miteinander kompatibel sein. Wollte man die Funktion eines VPN vereinfacht beschreiben, kann man sich die VPN-Verbindung als ein Verlängerungskabel vorstellen, welches den VPN-Teilnehmer ausschließlich mit dem gewünschten Netzwerk verbindet. Die Gegenseite, die die Verbindung entgegen nimmt, nennt sich VPN-Gateway.
Nach hergestellter Verbindung, hat der VPN-Teilnehmer eine direkte Verbindung zu dem Netzwerk und der Zugriff verhält sich, als wäre dieser vor Ort. Durch verschiedene Implementierungen, ist es möglich, die Verbindung zu Verschlüsseln und somit abhörsicher zu gestalten. Die VPN-Technik kann sowohl im geschäftlichen, als auch im privaten Umfeld problemlos realisiert werden.
VPN Arten
SSL VPN
SSL (Secure Sockets Layer) Virtuelle Private Netzwerke, oder auch umgangssprachlich „Browser VPN“ genannt eignet sich sehr gut für z.B. Außendienstmitarbeiter. Dies liegt vor allem daran, dass keine extra Software, oder Konfiguration beim „Einwählenden“ nötig ist. Die Verbindung wird, wie die umgangssprachliche Bezeichnung schon aussagt, über den Browser aufgebaut. Die Authentifizierung erfolgt hierbei mit z.B. einem Benutzernamen und Passwort und die Verschlüsselung mit SSL. Die Einstellungen erfolgen über JAVA Programme oder Browser Addins die beim Seitenaufruf geladen werden. Der Netzwerkverkehr erfolgt dann über einen Proxy. Das SSL VPN ordnet man dem Application Layer zu.
IPsec VPN
IPsec (Internet Protocol Security) Virtuelle Private Netzwerke, nutzen für die Verbindung die Verschlüsselung IPsec. Hierbei wird auch auf die verschiedenen Transportmodi von IPsec zurückgegriffen, den Transport und Tunnelmodus. IPsec VPN sind vielseitig einsetzbar, benötigen aber, im Gegensatz zu dem SSL VPN, einen höheren administrativen Aufwand auf beiden Seiten des VPN. Die Verbindung kann sowohl über Gateways (z.B. Router), oder auch direkt, mit entsprechender Software, über ein Endgerät erfolgen. Die Authentifizierung bei diesem Typ des VPN übernehmen andere Protokolle. Bei Cisco z.B. ISAKMP (Internet Security Association and Key Managment). IPsec VPN sind auf der Vermittlungsschicht anzusiedeln.
L2TP VPN
L2TP (Layer 2 Tunneling Protocol) Virtuelle Private Netzwerke nutzen die Entwicklung von PPTP (Point-to-Point Tunneling Protocol) und L2F (Layer 2 Forwarding). Die Verbindung erfolgt ausschließlich über einen „Tunnel“ der UDP nutzt. Die Pakete werden in sogenannte PPP7 Frames gepackt und die Verschlüsselung ist „frei“ wählbar, wobei sie auch ausgelassen werden kann.
I.d.R. wird aber auch hier die Verschlüsselung von IPsec genutzt. Im Grunde genommen kann diese Art inzwischen vernachlässigt werden da IPsec VPN im Tunnelmodus den gleichen Effekt haben.
Dieses VPN befindet sich auf der Sicherungsschicht des OSI Models.
End-to-End VPN
– End-to-End VPNs stellen eine direkte Verbindung zwischen mehreren Arbeitsrechnern dar.
– Eingesetzt werden kann diese Art der VPNs zum Beispiel, um Bankkunden über das Internet sicher mit einem Buchungsrechner zu verbinden.
– Oder um mehreren Personen an verschiedenen Standorten die Arbeit an einem gemeinsamen Projekt zu erleichtern.
Zu beachten ist hierbei, dass auf jedem der an das VPN angeschlossenen Rechner ein entsprechendes VPN-Protokoll installiert sein muss, da die Arbeitsrechner direkt untereinander und nicht über zwischengeschaltete VPN-Server bzw. VPN-Gateways verbunden werden. Besonders geeignete Protokolle für den Aufbau von End-to-End-VPNs sind L2F, L2TP und IPSec, wobei IPSec für Anwendungen, die ein Höchstmaß an Sicherheit erfordern, am besten geeignet ist.
Bei dieser Konfiguration ergibt sich aber immer das Problem der Verwaltung des Netzwerks. Im Fall der Online-Banking-Anwendung wird die Verwaltung vom Bankrechner übernommen, da keine Notwendigkeit des Datenaustausches einzelner Kunden untereinander besteht. Im Fall der verteilten Projekte dagegen muss jede der angeschlossenen Stationen die Zugriffe von allen anderen Rechnern selbst verwalten, da der Austausch von Daten der einzelnen Projektteilnehmer untereinander möglich sein muss.
Site-to-Site VPN
Site-to-Site-VPNs stellen die klassische VPN-Variante dar. Hierbei werden mehrere LANs an verschiedenen Standorten verbunden. Diese Konfiguration eignet sich zum Beispiel, um Firmennetze zusammenzuschließen, Krankenhäuser zum Datenaustausch zu verbinden, oder Forschungsnetze mit mehreren Forschungsgruppen aufzubauen.
Man unterscheidet zwischen:
Intranet VPN
Unter Intranet VPNs versteht man Netze, die zur Erweiterung interner LANs dienen. Hierbei wird davon ausgegangen, dass jede der angeschlossenen Parteien den anderen voll vertraut, und dass alle Ressourcen im Netz allen Parteien zugänglich sein sollen. Daher wird bei diesem VPN-Typ, bei einem Mindestmaß an Sicherheit, großer Wert auf die Geschwindigkeit gelegt. Um die Datensicherheit zu erhöhen, können Zugriffsbeschränkungen auf Benutzerebene eingesetzt werden.
Als Protokoll kann hier zum Beispiel IPSec im Transportmodus eingesetzt werden. Dabei sind die transportierten Daten auf ihrem Weg durch das Internet durch eine Verschlüsselung geschützt und es werden nur wenige zusätzliche Byte für den IPSec-Kopf benötigt.
Extranet VPN
Bei Extranet VPNs legt man im Vergleich zu Intranet VPNs weit größeren Wert auf die Sicherheit. Extranet VPNs werden zum Beispiel eingesetzt, um das interne Netzwerk einer Firma mit den Netzen von Geschäftspartnen und Zulieferern zu verbinden. Hierbei muß das VPN gewährleisten, daß jeder Teilnehmer nur auf die für ihn bestimmten Ressourcen Zugriff erlangen kann.
Das Datenaufkommen in Extranet VPNs ist im Allgemeinen auch geringer als in Intranet VPNs, so daß man zur Realisierung ohne weiteres Lösungen einsetzen kann, die bei geringerer Geschwindigkeit ein
Höchstmaß an Sicherheit bieten. Hierzu kann SOCKS v5 und SSL verwendet werden, da diese Kombination in Verbindung mit einer geeigneten Firewall auch Kontrolle über die Zugriffe einzelner Anwendungen erlaubt.
End-to-Site VPN
End-to-Site-VPNs oder Remote-Access VPNs dienen in erster Linie zur Anbindung von Außendienstmitarbeitern an ein internes Firmennetz. Der Hauptvorteil eines solchen Netzes besteht darin, dass sich die Mitarbeiter über einen Client in das Firmennetz einwählen können.
Für den Aufbau von End-to-Site-VPNs eignen sich im besonderen adressunabhängige VPN-Protokolle wie PPTP, da der Großteil der ISPs mit dynamischen IP-Adressen arbeitet. Auf Seiten der Sicherheit wird bei diesem VPN-Typ großer Wert auf die Identifizierung der einzelnen mobilen Mitarbeiter gelegt, um das Firmennetz gegen Angriffe Dritter abzusichern. Hierzu kann ein RADIUS-Server verwendet werden, der dann unabhängig vom benutzten VPN-Protokoll eine zusätzliche Benutzeridentifizierung anhand einer eigenen Datenbank vornehmen kann. Alternativ ist auch hier eine Konfiguration mit SOCKS v5 in Kombination mit einem solchen RADIUS-Server vorstellbar.