VPN3

VPN – warum niemand ohne auskommt

Die Abkürzung VPN bezeichnet sogenannte Virtual Private Networks. Diese sind dafür zuständig, das virtuelle private Netzwerk zu erweitern. Außerdem lassen sich Daten über gemeinsam nutzbare/öffentliche Netzwerke senden und empfangen.

Wenn Anwendungen über einen VPN ausgeführt werden, können sie von der erhöhten Sicherheit des privaten Netzwerks profitieren.

So funktionieren virtuelle private Netzwerke

Noch vor einiger Zeit waren die Datennetze ganz anders aufgebaut. VPNs waren damals noch mit einem Wählmodem oder einer Standleitung verknüpft. Diese Verbindungen hatten die Dienstleister der Telekommunikation offeriert. Zu den echten VPNs aber zählen sie gar nicht, denn die übertragenen Daten unterliegen lediglich einer passiven Sicherung.

Mittlerweile existieren keine Standleitungen und Wählmodems mehr. Warum auch, schließlich gibt es IP- und Multi-Protocol-Label-Switching-Netzwerke. Dadurch werden die Kosten gesenkt, außerdem kommen neue Technologien wie Glasfasernetze und DSL zum Einsatz.

VPN-Technologie – aber wozu eigentlich?

VPN

Wer ist mit wem verbunden?

Die Virtual Private Netzwerks wurden natürlich nicht ohne konkreten Grund entwickelt. Was wollte man ermöglichen? Remote-Nutzer und Zweigstellen von Unternehmen sollten einen einfacheren Zugriff auf sämtliche Anwendungen bekommen. Damit die Sicherheit gewährleistet sein kann, sorgt ein verschlüsseltes Tunnelprotokoll dafür, dass die private Netzwerkverbindung unbedenklich ist.

Natürlich braucht es dafür eine Athentifizierung durch ein Zertifikat samt Kennwort. Bei weiteren Anwendungen lassen sich sämtliche Transaktionen mit einem VPN absichern.

Nun zur Verwendung von VPNs: Geoeinschränkungen und Zensuren sind alles andere als beliebt, auch die Proxy-Server wollen viele Nutzer nicht einsetzen. Durch den VPN lassen sich Identität und Standort verbergen und die Anonymität wird hergestellt. Es gibt allerdings Webseiten, die den Zugriff via VPN blocken, da es hier nicht ohne abgerufenem Standort geht.

Drei Einzelteile sind für den VPN notwendig: Eine virtuelle, Dedizierte Punkt-zu-Punkt-Verbindung, das virtuelle Tunnelprotokoll oder die Datenverkehrsverschlüsselung. Ist der VPN in einem öffentlichen Netzwerk abrufbar, entstehen Vorteile, die wir von einer WLAN-Verbindung kennen. Lesen Sie hier alles zum Thema WLAN.

Remote und Site-to-Site Virtual Private Networks

Ein VPN kann zwei Bedeutungen haben. Entweder fungiert er als Remote-Zugriff (entspricht der Verbindung eines PCs mit einem Netzwerk oder der Konnektivität von zwei Netzwerken) oder als Site-to-Site, was die Konnektivität zweier Netzwerke (hier meistens Unternehmens-Standorte) bedeutet. Mit einem Remote-Access-VPN gewährt man Mitarbeiter eines Unternehmens Zugriff auf das Internet, egal, wo sich diese gerade befinden.

Ein Standort-VPN bietet noch weitere Vorteile. Angestellte können ein gemeinsames, flächendeckendes Netzwerk nutzen, obwohl sie sich in getrennten Büros befinden. Will man zwei Netzwerke mit Hilfe eines dritten verbinden, ist der VPN ebenfalls von entscheidender Bedeutung. Hier lassen sich zum Beispiel IPv6-Netzwerke oder IPv4-Netzwerke wählen.

Virtual Private Network Systeme lassen sich gliedern nach:

  • einem, Tunnelprotokoll, das zum Tunneln des Datenverkehrs vorhanden ist
  • dem Ort des Endpunkts des Tunnels
  • Art der Topologie von Verbindungen (Standort-zu-Standort oder Netzwerk-zu-Netzwerk)
  • der verschiedenen Sicherheitsstufen
  • VPNs an mobilen Standorten
  • der Anzahl der identischen Verbindungen

Sind mobile, virtuelle, private Netzwerke in Gebrauch, ist der Endpunkt des VPN nicht auf eine einzige IP-Adresse begrenzt. Es sind vielmehr diverse verschiedene Netzwerke (z.B. Datennetze von Mobilfunkbetreibern), die genutzt werden. Auch die WLAN-Zugangspunkte sind nicht nur in der Einzahl vorhanden. Mobile User benötigen zuverlässige Verbindungen, daher verfügen sie über eine gezielt entwickelte VPN Software.

Es ist eine Technik notwendig, die es ermöglicht, nahtlos vernetzt zu sein, ohne dass plötzlich die Verbindung abbricht oder eine Sitzung außerplanmäßig beendet wird. Ein „normales“ Virtual Private Network ist hierfür nicht ausreichend. Unterbricht der Netzwerktunnel seine Arbeit, kommt es zu Zeitüberschreitungen. Dadurch wird die Anwendung getrennt.

Wie läuft das mit der mobile VPN-Software?

 

VPN

Wer erkennt wen?

Ist ein Tunnel mit einem mobilen VPN verknüpft, ist er automatisch an eine feste IP-Adresse gebunden. Logischer wäre es, den Endpunkt des Netzwerktunnels mit einer physischen Adresse zu koppeln. Es ist die mobile VPN-Software, die sich um die notwendige Authentifizierung des Netzwerks kümmert. Die Netzwerksitzungen unterliegen einer Verwaltung, dies geschieht für Anwendung und Benutzer jedoch transparent.

In diesem Zusammenhang müssen wir auch vom Host Identity Protocol (HIP) sprechen. Die Engineering Task Force kümmerte sich um seine Entwicklung, unterstützen soll es die Mobilität von Hosts. Wie das funktioniert? Man trennt die Rolle der IP-Adressen für die Identifizierung der Hosts von ihrer Locator-Funktionalität. Dies geschieht in einem IP-Netzwerk. Der mobile Host behält so seine logische Verbindung, die bei der Host-Identitätserkennung entsteht. Beim Roaming dagegen ordnet er sich zwischen diversen Zugangsnetzwerken und IP-Adressen zu.

Wie sicher sind VPNs?

Eine Online-Verbindung kann von einem VPN nicht komplett anonym hergestellt werden. Dafür ist es möglich, Sicherheit und Datenschutz zu erhöhen. Sensible Informationen dürfen nicht offengelegt werden, daher gestatten VPNs meist nur einen authentifizierten Zugriff aus der Ferne. Hierbei finden Tunnelprotokolle und Verschlüsselungstechniken Anwendung.

Die Tunnelendpunkte unterliegen einer Authentifizierung, bevor es überhaupt mit der Einrichtung von Virtual Private Network Tunnel beginnt. Remote-Access-VPNs, die Nutzer erstellt haben, lassen sich mit biometrischen Informationen, kryptografischen Methoden und der Zwei-Faktor-Authentifizierung ergänzen.

Passwörter oder digitale Zertifikate können vorkommen, wenn Netzwerk-zu-Netzwerk-Tunnel in Gebrauch sind. Diese speichern den Schlüssel dauerhaft, womit es zu einer automatischen Einrichtung des Tunnels kommt. Der Administrator muss hierbei nicht eingreifen.

Tunnelling-Protokolle bewegen sich in einer Punkt-zu-Punkt-Netzwerktopologie, die man eigentlich gar nicht als VPN bezeichnen würde. Von einem VPN nämlich möchte man, dass er jede sich ändernde Gruppe von Netzwerkknoten unerstützt.

Ein Großteil der Router-Implementierungen unterstützt eine softwaredefinierte Tunnelschnittstelle. Daher handelt es sich bei jenen VPNs um simpel definierte Tunnel. Diese verwenden ganz normale Routingprotokolle.

Das VPN-Sicherheitsmodell einfach erklärt

Das VPN-Sicherheitsmodell ist sowohl für Unternehmen als auch für Privatpersonen wichtig. Es bietet absolute Gewissheit, dass ein Angreifer nur verschlüsselte Daten zu Gesicht bekommt. Selbst dann, wenn man den Netzwerkverkehr auf Paketebene erfasst. Dazu gesellt sich eine Absenderauthentifizierung. Somit lässt sich verhindern, dass nicht autorisierte Nutzer Zugriff auf den VPN haben. Auch eine Überprüfung der Nachrichtenintegrität hinsichtlich einer Manipulation bei übertragenen Messages ist nicht möglich.

Ein sicheres VPN verwendet ein Internet Protocol Security (IPsec), um Authentifizierung, Datenintegrität und Vertraulichkeit abzuwickeln. Hierbei steht eine Verschlüsselung im Mittelpunkt, die ein IP-Paket mit einem IPsec-Paket kapselt. Die Entkapselung wird am Ende des Tunnels vollzogen, bevor man das ursprüngliche IP-Paket entschlüsselt und zum Ziel weiterleitet. Außerdem umfassen sichere VPN-Protokolle Transport Layer Security (SSL / TLS). Diese tunneln den Netzwerkverkehr und sichern einzelne Verbindungen.

Der Zugriff über SSL

VPN

Was, wenn kein IPsec vorhanden ist?

Einige Anbieter offerieren VPN-Fernzugriffsfunktionen über SSL. Ein SSL-VPN stellt eine Verbindung von Orten her, die kein IPsec ermöglichen. Grund dafür sind die Network Adress Translation und die Firewall-Regelung.

Microsoft-Point-to-Point-Verschlüsselungen (MPPE) arbeiten mit einem Point-to-Point-Tunnelling-Protokoll. Zudem sind sie auf diversen kompatiblen Implementierungen anderer Plattformen unterwegs. Secure Shell (SSH) VPN – OpenSSH stellt VPN-Tunneling in Aussicht, um so die Remote-Verbindungen auf Netzwerken sichern zu können. Der OpenSSH-Server bietet Tunnel, jedoch in begrenzter Anzahl. Die Virtual Private Network Funktion kann die persönliche Form der Authentifizierung jedoch nicht unterstützen.