Channel Security

Ab dieser Folge geht es um Virtuelle Private Netze (Virtual Private Network, VPN). Was ist das eigentlich, ein Virtuelles Privates Netz? 'Virtuell' beschreibt etwas eigentlich gar nicht Vorhandenes, sondern nur Simuliertes. In diesem Fall ein 'Privates Netz'. 'Privates' wird als Abgrenzung zur Öffentlichkeit verwendet, das virtuelle Netz ist also nicht für jedermann zugänglich, sondern nur für einen beschränkten Benutzerkreis. Dass das 'Netz' ein (Computer-)Netzwerk ist, ist wohl selbstverständlich. Ein Virtuelles Privates Netz ist also ein simuliertes privates (Computer-)Netzwerk, das seine Daten über ein öffentliches (Computer-)Netzwerk überträgt. Dabei bedeutet 'privat' nicht automatisch, dass die Daten verschlüsselt übertragen werden, auch wenn sich dies anbietet und heute meist auch so gehandhabt wird. Aber in der eigentlichen Bedeutung ist 'Privat' nur als Abgrenzung zum für den Transport verwendeten öffentlichen Netz zu verstehen. Das Gegenteil eines virtuellen privaten Netzes ist ein echtes privates Netz, bei dem die gesamte Netzwerktopologie dem jeweiligen Betreiber gehört oder zumindest ausschließlich von ihm genutzt wird.

Als Vorläufer der heutigen Computer-VPN können z.B. die geschlossenen Nummernkreise innerhalb eines Telefonnetzes angesehen werden: Obwohl die Teilnehmer sich teilweise eigentlich in verschiedenen Ortsnetzen befinden, können alle Teilnehmer innerhalb des geschlossenen Nummernkreises direkt über die interne Telefonnummer, ohne Wahl einer Vorwahl, erreicht werden. Aus Sicht der Teilnehmer stellt sich der geschlossene Nummernkreis wie ein privates Telefonnetz dar, auch wenn tatsächlich das öffentliche Netz des Telefonanbieters für die Übertragung verwendet wird.

Die Teilnehmer eines VPN übertragen ihre Daten wie in einem herkömmlichen lokalen Netzwerk. Die VPN-Verbindung wird daher auch als Tunnel bezeichnet: Das im lokalen Netz verwendete Netzwerkprotokoll wird in das verwendete VPN-Protokoll eingebettet und darin durch das öffentliche Netz übertragen. Im Folgenden wird von der Nutzung des Internets für die Kommunikation ausgegangen. Beliebige andere Netze könnten ebenso verwendet werden.

Grundsätzlich gibt es drei Arten von VPN-Verbindungen: Site-to-Site, Site-to-End und Host-to-Host.

Site-to-Site- oder Branch-Office-VPN

Bei einem Site-to-Site- oder Branch-Office-VPN werden zwei lokale Netze miteinander verbunden. Dazu werden so genannte VPN-Gateways verwendet, die untereinander eine VPN-Verbindung aufbauen und für das jeweils andere Netz bestimmte Datenpakete darüber übertragen. Ein typischer Anwendungsfall ist die Verbindung zweier Standorte eines Unternehmens.

Ein Spezialfall der Site-to-Site-VPNs sind die so genannten Extranet-VPNs, bei denen die verbundenen lokalen Netze verschiedenen Organisationen angehören, z.B. zwei kooperierenden, aber ansonsten voneinander unabhängigen Unternehmen.

Site-to-End- oder Remote-Access-VPN

Bei einem Site-to-End- oder Remote-Access-VPN werden einzelne externe Rechner über eine VPN-Verbindung mit einem lokalen Netz verbunden. Dabei baut der externe Rechner eine Verbindung zum VPN-Gateway des lokalen Netzes auf und arbeitet danach wie ein normaler Rechner im lokalen Netz. Ein typischer Anwendungsfall ist die Anbindung eines Außendienstmitarbeiters oder Heimbüros an das lokale Netz eines Unternehmens.

Host-to-Host-VPN

Bei einem Host-to-Host-VPN wird eine VPN-Verbindung zwischen zwei einzelnen Rechnern aufgebaut. Ein typischer Anwendungsfall ist der Schutz der Kommunikation zwischen zwei Rechnern mit sehr hohem Schutzbedarf.

Einordnung des VPN in die bereits bekannten Schutzmaßnahmen

Einem mit einem nicht vertrauenswürdigen Netz wie z.B. dem Internet verbundenen Netzwerk drohen im Wesentlichen vier Gefahren:

• Eindringen eines entfernten Angreifers in das lokale Netz durch Ausnutzen einer Sicherheitslücke oder Schwachstelle
• Einschleichen eines entfernten Angreifers in das lokale Netz durch Vortäuschen einer falschen Identität
• Manipulation der über das nichtvertrauenswürdige Netz übertragenen Daten
• Lesen der über das nichtvertrauenswürdige Netz übertragenen Daten (Sniffen)

Bisher wurden folgende Schutzmaßnahmen vorgestellt:

• Eine Firewall (About Security #28 ff) und Intrusion-Prevention-Systeme (About Security #49) schützen das lokale Netz vor einem Einbruch.
• Eine Authentifizierung auf Zertifikatbasis, z.B. auch im Rahmen eines Single Sign-On (About Security #86 f), schützt vor dem Einschleichen eines Angreifers.
• Die Verschlüsselung der E-Mails (About Security #85) schützt diese (aber auch nur diese) vor der Manipulation und dem Lesen während der Übertragung.

Das VPN ergänzt diese Schutzmaßnahmen um eine Authentifizierung der sich mit dem lokalen Netz verbindenden Systeme bzw. Netze sowie den Schutz der Vertraulichkeit und Integrität der übertragenen Daten.

Ein VPN mit verschlüsselter Übertragung ist also quasi die Ausdehnung des selektiven Schutzes einzelner E-Mails oder Dateien durch einen verschlüsselten Versand auf die gesamte Kommunikation: Statt nur einzelne Daten zu verschlüsseln, wird die gesamte Verbindung verschlüsselt. Wie das funktioniert, erfahren Sie in der nächsten Folge.

Carsten Eilers

About Security – Übersicht zum aktuellen Thema "VPN – Virtuelle Private Netze"

• About Security #88: Virtuelle Private Netze – Grundlagen
• About Security #89: Virtuelle Private Netze – IPsec (1)
• About Security #90: Virtuelle Private Netze – IPsec (2)
• About Security #91: Virtuelle Private Netze – IKEv2 (1)
• About Security #92: Virtuelle Private Netze – IKEv2 (2)
• About Security #93: Virtuelle Private Netze – IKEv2 (3)
• About Security #94: Virtuelle Private Netze – Beispiel IKEv2
• About Security #95: Virtuelle Private Netze – IPsec anschaulich
• About Security #96: Virtuelle Private Netze – PPTP
• About Security #97: Virtuelle Private Netze – TLS
• About Security #98: Virtuelle Private Netze – OpenVPN
• About Security #99: Virtuelle Private Netze – Fazit