VPN (Virtual private Network) Lernfeld 7 VPN (Virtual private Network)
Übersicht Es handelt es sich bei einem Virtual Private Network (VPN) um ein geschlossenes, logisches Netz, das auf unterschiedlichen Schichten des OSI-Referenzmodells aufsetzt und für eine bestimmte Benutzergruppe etabliert wird.
VPN Ziele Aufbau sicherer Verbindungen zwischen Standorten Anschluss von Außendienstmitarbeitern zentralisierte Datenhaltung Datenübertragung durch unsichere Netze, nicht nur für Firmen Funktion Bildung eines logischen (virtuellen) Netzes sichere Verbindung von lokalen Netzen über Internet Kostenersparnis durch besseren, zentralen Datenzugriff
Übersicht Varianten von VPNs Technik Sicherheit – Klassische Modelle (RAS & PPTP) – Moderne Modelle (IPSec & SSL) Technik – Tunneling – Verbindungsarten – Verbindungsaufbau Sicherheit – IPSec – Verschlüsselung auf IP-Ebene – SSL – Verschlüsselung auf Protokollebene
VPN-Typen End-to-Site-VPN (Host-to-Gateway-VPN / Remote-Access-VPN) Site-to-Site-VPN (LAN-to-LAN-VPN / Gateway-to-Gateway-VPN / Branch-Office-VPN) End-to-End-VPN (Host-to-Host-VPN / Remote-Desktop-VPN)
VPN-Typen End-to-Site-VPN / Remote-Access-VPN Heimarbeitsplätze oder mobile Benutzer werden in das Unternehmensnetzwerk eingebunden. Man bezeichnet dieses VPN-Szenario auch als Remote Access. Ein VPN-Client muss auf dem Computer des externen Mitarbeiters installieren sein. Vorteil: geringer technischer und finanzieller Aufwand
VPN-Typen Site-to-Site-VPN / LAN-to-LAN-VPN/ Branch-Office-VPN lokale Netzwerke von Außenstellen oder Niederlassungen werden zu einem virtuellen Netzwerk über ein öffentliches Netz geschaltet. Eine Variante von Site-to-Site-VPN ist das Extranet-VPN. Ein Extranet-VPN ein virtuelles Netzwerk, das die Netzwerke unterschiedlicher Firmen miteinander verbindet. Dabei gewährt man dem externen Unternehmen Zugriff auf Teilbereiche des eigenen Netzwerks. Die Zugriffsbeschränkung erfolgt mittels einer Firewall zwischen dem lokalen Netzwerk und dem Dienstenetzwerk. Alternative: Netzwerke, die sich an verschiedenen Orten befinden lassen sich über eine angemietete Standleitung direkt verbinden. Diese Standleitung entspricht in der Regel einer physikalischen Festverbindung zwischen den beiden Standorten. Bei Festverbindungen, Frame Relay und ATM kommen je nach Anzahl, Entfernung, Bandbreite und Datenmenge sehr schnell hohe Kosten zusammen.
VPN-Typen End-to-End-VPN / Host-to-Host-VPN / Remote-Desktop-VPN Ein Client greift auf einen anderen Client in einem entfernten Netzwerk zu. VPN-Tunnel deckt die gesamte Verbindung zwischen zwei Hosts ab. Auf beiden Seiten muss eine entsprechende VPN-Software installiert und konfiguriert sein. Eine direkter Verbindungsaufbau ist nicht möglich. Beide Seiten bauen eine Verbindung zu einem Gateway auf, dass die beiden Verbindungen dann zusammenschaltet. Typische Anwendung: Remote-Desktop über öffentliche Netze. RDP und VNC in lokalen Netzen (wegen der fehlenden Verschlüsselung), propritäre und kommerzielle Lösungen (z.B. Teamviewer und GotoMyPC) für öffentliche Netze.
RAS (Remote Access Service) Ein klassischer Remote Access Service besteht aus einem System, dass am öffentlichen Telefonnetz angeschlossen ist. RAS ist leicht einzurichten. Jedoch darf der Sicherheitsgedanke keine große Rolle spielen. Die Authentifizierung wird über einfache Benutzerzugänge mit Benutzername und Passwort erreicht.
PPTP (Point-to-Point Tunneling Protocol) Verschlüsselung: PPTP Authentifizierung: MS-CHAPv2 PPTP baut auf eine zweigeteilte Kommunikation. Zuerst eröffnet der Client die Kontrollverbindung zum Server über den TCP-Port 1723. Über diesen Port laufen alle Kontrolldaten der PPTP-Verbindung. Dieser Port muss bei der Nutzung von PPTP von innen geöffnet sein (z. B. mit PPTP-Passthrough oder Port-Forwarding), damit ein PPTP-Client die ausgehenden bzw. eingehenden Verbindungen nutzen kann. Als Quell-Port der Kontrollverbindung benutzt PPTP einen beliebig freien Port. Der zweite Teil der Kommunikation ist die Verbindung mit GRE (Generic Routing Encapsulation). Darüber werden die PPP-Pakete getunnelt. Das bedeutet, PPTP kapselt die PPP-Pakete mit GRE in IP-Pakete.
L2TP (Layer 2 Tunneling Protocol) L2TP bietet selbst keinen Authentisierungs-, Integritätsmechanismus, kann mit Verschlüsselung ergänzt werden.
IPSec (Authentication Header)
IPSec (Encapsulating Security Payload)
L2TP/IPSec
SSL (Secure Sockets Layer) -> TLS (Transport Layer Security) SSL/TLS ist ein Protokoll, das der Authentifizierung und Verschlüsselung von Internetverbindungen dient. Verschlüsselung der Daten in der Transportschicht SSL-Record Protokoll Punkt-zu-Punkt-Verschlüsselung mittels symmetrischer Verfahren Sicherung der Integrität durch Prüfsummenbildung und Signatur SSL-Handshake Protokoll Identifikation und Authentifikation der Partner Aushandeln der Verschlüsselungsalgorithmen zertifikatsbasierte Authentifizierung
SSL (Secure Sockets Layer) -> TLS (Transport Layer Security) TLS unterstützt für die symmetrische Verschlüsselung unter anderem DES, Triple DES und AES. Der verwendete Schlüssel wird dabei im Voraus über ein weiteres Protokoll (z.B. TLS Handshake Protocol) ausgehandelt und kann nur einmal für die jeweilige Verbindung verwendet werden. Sicherung der Nachrichten-Integrität und Authentizität durch einen Message Authentication Code. Benutzt OSI-Layer 4.
Message Authentication Code