Wie angekündigt, wird in dieser Folge das Thema "Virtuelle Private Netze" abgeschlossen. Vor dem Vergleich der vorgestellten Verfahren soll noch das bereits im About-Security- CeBIT-Bericht angesprochene MVCN (Manageable Virtual Closed Network) von Navayo Technologies etwas näher vorgestellt werden. In einem MVCN bilden die Endgeräte, z.B. die im CeBIT-Bericht erwähnte SecBox, ein virtuell abgeschlossenes logisches Netzwerk, das von einem oder mehreren Servern überwacht wird. Für die Verschlüsselung der zwischen den Endgeräten und Servern aufgebauten Punkt-zu-Punkt-Verbindungen wird RSA eingesetzt.

Für jedes Endgerät und jeden Server wird bei der Produktion ein RSA-Schlüsselpaar erzeugt. Der (öffentliche) Kodierungsschlüssel des Endgeräts wird im zentralen MVCN-Server gespeichert, der (private) Dekodierungsschlüssel im jeweiligen Endgerät. Analog wird für die Server vorgegangen: Ihr Kodierungsschlüssel wird in den Endgeräten gespeichert, ihr Dekodierungsschlüssel im jeweiligen Server. Die Dekodierungsschlüssel werden in speziell dafür entwickelten Bausteinen gespeichert und können nicht verändert oder ausgelesen werden. Bereits im Ausgangszustand eines MVCNs, bevor gesicherte Verbindungen zwischen Endgeräten aufgebaut werden, erfolgt die gesamte Kommunikation verschlüsselt: Die Endgeräte verschlüsseln die für den Server bestimmten Daten mit dessen Kodierungsschlüssel, der Server verschlüsselt die für ein bestimmtes Endgerät bestimmten Daten mit dessen Kodierungsschlüssel. Die Entschlüsselung erfolgt mit dem jeweiligen individuellen Dekodierungsschlüssel.

Um eine Verbindung zu einem anderen Endgerät aufzubauen, muss ein Endgerät dessen Kodierungsschlüssel vom Server anfordern. Nur wenn die jeweiligen Endgeräte miteinander kommunizieren dürfen, erhalten sie den angeforderten Schlüssel. Damit können sie die Verbindung zum gewünschten Endgerät aufbauen. Dieses benötigt für die Antwort seinerseits den Kodierungsschlüssel des Kommunikationspartners, den es ebenfalls vom Server anfordern muss. Nach Abschluss der Kommunikation löschen beide Endgeräte den Kodierungsschlüssel des jeweiligen Kommunikationspartners. Eine Wiederaufnahme der Verbindung ist so nur über den Server möglich, ohne dessen Freigabe keine Verbindung aufgebaut werden kann. Der Server ist nur für die Verwaltung zuständig, die verschlüsselte Kommunikation zwischen Endgeräten erfolgt über Punkt-zu-Punkt-Verbindungen zwischen diesen. Die SecBox-Endgeräte besitzen zwei Ethernetanschlüsse, je einen für den Internetzugang und das lokale Netz bzw. den lokalen Rechner. Außerdem enthalten sie einen Fingerabdruck-Sensor zur Identifikation berechtigter Benutzer. Ein USB-Anschluss ermöglicht den Anschluss von z.B. Massenspeichern, auf die dann ebenfalls über das MVCN zugegriffen werden kann.

Vergleich der vorgestellten Systeme

(*) Die Authentifizierung erfolgt über die in manipulationssicherer Hardware gespeicherten individuellen Kodierungsschlüssel

Wahl des geeigneten Systems

Mit Ausnahme des nur für Site-to-End-VPNs geeigneten Clientless TLS-VPN eignen sich alle Systeme für alle Anwendungsfälle. Daher wird man sich bei der Auswahl eines Systems meist an der vorhandenen Systemumgebung orientieren. Bei einem nur aus Unix-basierten Systemen bestehenden Netzwerk wird man kaum das aus der Windows-Welt stammende PPTP einsetzen, sondern stattdessen IPsec oder eine TLS-basierte Lösung wählen. Gegen diese Lösung spricht auch in einem reinen Windows-Umfeld nichts, da das PPTP doch etwas in die Jahre gekommen ist. Am einfachsten fällt die Wahl, wenn nur einzelne Rechner an ein System angebunden werden sollen, das sich über eine Weboberfläche bedienen lässt: Der Zugriff auf ein Clientless TLS-VPN ist auch aus einem Internetcafé oder von einem fremdem Rechner möglich, da keine zusätzliche Software außer des sowieso vorhandenen Webbrowsers erforderlich ist. Auf USB-Tokens gespeicherte Zertifikate erlauben auch in diesem Fall eine zertifikatbasierte Authentifikation, benötigen aber meist zusätzliche Treibersoftware.

Die nächste Folge ist die 100. Folge von About Security. Zu diesem Anlass wird es einen zusammenfassenden Überblick über die bisher erschienenen Folgen geben.

Carsten Eilers

About Security – Übersicht zum aktuellen Thema "VPN - Virtuelle Private Netze"

• About Security #88: Virtuelle Private Netze – Grundlagen
• About Security #89: Virtuelle Private Netze – IPsec (1)
• About Security #90: Virtuelle Private Netze – IPsec (2)
• About Security #91: Virtuelle Private Netze – IKEv2 (1)
• About Security #92: Virtuelle Private Netze – IKEv2 (2)
• About Security #93: Virtuelle Private Netze – IKEv2 (3)
• About Security #94: Virtuelle Private Netze – Beispiel IKEv2
• About Security #95: Virtuelle Private Netze – IPsec anschaulich
• About Security #96: Virtuelle Private Netze – PPTP
• About Security #97: Virtuelle Private Netze – TLS
• About Security #98: Virtuelle Private Netze – OpenVPN
• About Security #99: Virtuelle Private Netze – Fazit