 |
VPNVPN steht für 'Virtual Private Network' oder auch für 'VirtualProtected Network'. Ein VPN ist ein gesicherter Kommunikationskanal, der über öffentliche Netze (internet, aber auch Frame-Relay oder ATM) etabliert wird. Aus dieser sehr allgemeinen Definition lassen sich die beiden Hauptcharakteristika eines VPN ableiten: - Datenverschlüsselung, da die Daten über ein öffentliches Netz geleitet werden
- Sichere Authentifizierung der Benutzer, die auf Daten im Firmennetz zugreifen wollen
VPNs erlauben es Unternehmen, private WANs aufzubauen, ohne dafür die realen Kosten zahlen zu müssen und ohne das technische Know-How einkaufen zu müssen. Am Übergang zwischen den lokalen Netzen der einzelnen Niederlasssungen zum Internet werden VPN-Server eingerichtet, die ausgehende Daten verschlüsseln und eingehende Daten entschlüsseln. Per VPN lassen sich aber nicht nur zwei oder mehr Standorte mit lokalen Netzen verbinden, sondern auch Kunden oder Zulieferer ins Unternehmensnetz einbinden (Extranet). Eine dritte Möglichkeit bietet sich mit der Einbindung von Aussendienst- und Telearbeitern ins Firmen-LAN (Remote-Access-VPN). VPNs werden zwischen den beteiligten Endknoten manuell konfiguriert, zwischen den Endknoten werden Tunnels aufgebaut. Ein Endknoten kann entweder ein Router, ein Firewall-Rechner oder ein Arbeitsplatz-Rechner sein. Als 'Tunnel' wird eine Netzwerkverbindung bezeichnet, die zwei Endpunktescheinbar direkt miteinander verbindet. Diese Verbindung läuftnormalerweise über ein anderes Netzwerk. Der Datenverkehr innerhalbdes Tunnel kann zur Erhöhung der Sicherheit verschlüsselt werden. Im Normalfall hat jeder Standort seinen VPN-Server als Internet-Gateway, meist ein Firewallsystem. Authentifizierung geschieht zwischen den Servern. Bei einem Extranet-VPN
finden Verschlüsselung und Authentifizierung zwischen Firewall und dem VPN-Client statt,
also auf Benutzerebene. Desgleichen bei Remote Access.
Die neueste Entwicklung stellen Intranet-VPNs dar. Darunter versteht man die Möglichkeit,
innerhalb eines Unternehmens wichtige Informationen zu schützen. Dort greifen Benutzer
auf Server zu, die ihre Daten verschlüsseln und den Benutzern Zugriff nur auf einzelne,
der Sicherheits-Policy entsprechende Server, Dienste und Daten ermöglichen.
Ein VPN auf Basis des Netzwerkprotokolls hat bei TCP/IP eigentlich zwei
Möglichkeiten: Die Verschlüsselung von TCP (beziehungsweise UDP), und der
Eingriff direkt auf IP-Ebene.
Im ersten Fall sind nur wenige Änderungen notwendig, unter Windows reicht meist
sogar ein Austausch der WinSock.DLL. Diverse Hersteller (etwa Aventail,
www.aventail.com, oder Attachmate,
www.attachmate.com) bieten solche
Produkte an, die aus Software für die Client-PCs und speziellen Server-Anwendungen
besteht. Allerdings sind dies oft Hersteller-spezifische Implementationen. Zudem
werden hier wirklich nur TCP- und UDP-Verbindungen geschützt - Datenverkehr über
ICMP (Internet Control Message Protocol) geht beispielsweise weiter unverschlüsselt
über die Leitung. Es bleiben also unter Umständen weiter Einfallstore für Angreifer
offen.
Besser wäre es da, wenn alle Protokolle verschlüsselt würden - das VPN muß also
direkt auf IP-Ebene ansetzen. Hier hat sich inzwischen eine weitgehende
Standardisierung durchgesetzt: IPSec (IP Security) ist nahezu vollständig
von der Internet Engineering Task Force (IETF) in den RFCs 1825, 1826 und 1827
festgelegt (
www.ietf.org/html.charters/ipsec-charter.html). IPSec ist auch Teil der
Version 6 von TCP/IP.
Der Vorteil von IPSec besteht auf jeden Fall in der Verschlüsselung aller
Übertragungs- und Anwendungsprotokolle. Allerdings müssen unter Umständen für
seinen Einsatz schon existierende Firewalls und Proxy-Server angepaßt werden.
Denn in den Definitionen von IPSec sind neue Protokoll-IDs festgelegt, um die
Verschlüsselungs- und Authentifizierungsmechanismen überhaupt zu ermöglichen.
Mit Windows NT 4.0 hat eine andere Möglichkeit für ein VPN eine gewisse
Popularität erlangt: der Eingriff direkt auf der Verbindungsebene. Diese
Methode ist prinzipiell unabhängig vom eingesetzten Netzwerkprotokoll,
unterstützt also nicht nur TCP/IP. Microsofts Technik nennt sich PPTP
(Point-to-Point Tunneling Protocol). Sie basiert auf PPP (Point-to-Point
Protocol), das heutzutage meist für die Einwahl bei einem Internet-Provider
eingesetzt wird. PPTP ist aber nicht nur für solche Wahlverbindungen geeignet,
sondern kann den gesamten Datenverkehr eines Netzes absichern. Allerdings ist
zumindest eine gültige IP-Verbindung notwendig, über die der PPTP-Tunnel
aufgebaut wird. Durch ihn lassen sich dann auch Protokolle wie NetBEUI oder
IPX gesichert übertragen.
Dank eines Konkurrenzvorschlags zu PPTP, L2F (Layer 2 Forwarding) von Cisco sah
es anfangs so aus, als würden sich bei VPNs auf dieser Ebene zwei nicht zueinander
kompatible Methoden etablieren. Microsoft und Cisco haben sich aber
glücklicherweise zusammengerauft - eine PPP Working Group, in der neben Cisco
und Microsoft auch Ascend und 3Com vertreten sind, hat im Oktober 1998 bereits
die zwölfte Version eines Standardentwurfs herausgegeben.
L2TP (Layer 2 Tunneling Protocol) bietet Authentifizierung für SLIP- und
PPP-Verbindungen, zur Verschlüsselung kann optional IPSec eingesetzt werden.
Allerdings eignet sich L2TP im Gegensatz zu PPTP nur für Wählverbindungen.
Cisco hat natürlich bereits in einigen Routern L2TP implementiert. Provider,
die Cisco-Geräte einsetzen, können damit auch entsprechende Einwahlpunkte anbieten.
Manche Internet-Provider unterstützen aber auch PPTP, das inzwischen nicht nur für
NT, sondern auch für die neuesten Service-Releases von Windows 95 und für Windows
98 verfügbar ist. Neben den Windows-Systemen unterstützt auch Linux PPTP
(
bmrc.berkeley.edu/people/chaffee/linux_pptp.html). An den Clients sind
nicht unbedingt Änderungen notwendig, wählt man sich über einen PPTP- oder
L2TP-Zugang beim Provider ein - die Verbindung zum Provider ist dann allerdings
ungesichert, erst ab dem Einwahlpunkt erfolgt eine gesicherte Übertragung. Eine
direkte Nutzung von PPTP oder L2TP von den Clients aus ist bei entsprechender
Unterstützung natürlich ebenfalls möglich.
Für VPNs ist nicht nur die eigentliche Verschlüsselung wichtig (die L2TP
beispielsweise gar nicht selbst erledigt, sondern dafür auf IPSec zurückgreift).
Um überhaupt verschlüsseln zu können, muß nicht nur die Methode auf beiden Seiten
gleich sein - ein Schlüssel, der beiden Seiten bekannt ist, hat ebenfalls zu
existieren. Ansonsten kommen zwar die Daten gesichert an, können aber nicht
dekodiert werden.
Die Vereinbarung von Schlüsseln und ihre Bekanntmachung bei den Kommunikationspartnern
ist ein möglicher Angriffspunkt auf die Sicherheit von VPNs. Der sicherste Weg wäre,
die Schlüssel auf einem garantiert nicht angreifbaren Weg auszutauschen - im
Zweifelsfall, indem sich die Beteiligten an einem VPN vor der Inbetriebnahme treffen
oder durch den Austausch von Chip-Karten, auf denen alle notwendigen Schlüssel
gespeichert sind.
In den meisten Fällen setzt man bei VPNs aber auf eine sogenannte
Certification Authority (CA). Es handelt sich dabei um eine zentrale
Instanz, die sogenannte Zertifikate, bestehend aus Benutzerkennung, öffentlichem
Schlüssel und beispielsweise Ablaufdatum des Schlüssels ausgibt. Die Zertifikate
versieht die CA mit einer Signatur, anhand derer die Kommunikationspartner die
Richtigkeit der Zertifikate überprüfen können. Der Wartung einer solchen CA
sollte man besonderes Augenmerk widmen - zwar bieten sie große Flexibilität,
ist es aber einem Angreifer gelungen, ein falsches Zertifikat einzuschleusen
oder einen Schlüssel zu brechen, kann dies verheerende Folgen haben. Eine CA
bietet daher auch immer die Möglichkeit, ein Zertifikat wieder zurückzuziehen,
sobald bekannt wurde, daß der Schlüssel eines Beteiligten geknackt wurde.
In unserer zunehmend mobilen Welt besteht immer mehr der Bedarf, sich
von jedem Punkt der Welt in das heimatliche LAN einwählen zu
können. Heute besitzt jeder Rechner am Internet eine eigene
eindeutige IP-Adresse. Wechselt man mit seinem Notebook das LAN oder
den Internetprovider, so erhält heute der Rechner am neuen Standort
eine neue IP-Nummer. Bei großen Providern erhält man bei jedem neuen
Besuch eine andere Nummer.
Zur Beseitigung dieses Problems wurde das Mobile-IP Protokoll
entworfen. Bei diesem bedient sich der mobile Rechner eines Tunnels
'nach Hause', und arbeitet intern mir seiner Stamm-IP Adresse. Nur der
externe Endpunkt des Tunnels verwendet die vom Provider vergebene IP-Nummer.
Mobile IP befindet sich erst in der Einführungphase, es gibt derzeit
außerhalb der UNIX-Welt nur einen MIP-Client. Ebenso gibt es nur eine
handvoll Tunnel-Clients mit zugehörigen Servern, die den Aufbau eines
verschlüsselten Tunnels zum Heimat-LAN erlauben.
Einige Firewallsysteme unterstützen den Aufbau von
Firewall-to-Firewall VPNs. Diese verwenden entweder herstellereigene
Kryptoverfahren, oder sie unterstützen bereits die von der IETF
(Internet Engineering Task Force, technisch bestimmendes Gremium im Internet)
vorgeschlagenen IPSec Protokolle. Einige Hersteller haben sich zur
S/WAN-Initiative (S/WAM = Secure WAN) zusammengeschlossen.
|
|
|
DIENSTE
