Permalink

0

virtuelle private netzwerke

Eine kleine Einführung in VPN’s.

1. Definition

1.1. Wofür steht Abkürzung VPN?

• VPN = engl. für Virtual Private Network (also virtuelles privates Netzwerk)

• es wird ein “Tunnel durch das Internet” aufgebaut, durch den der Zugriff auf z.B. Intranet-Netzwerke (vgl. Uninetz) erlangt werden kann (Karikatur VPN)

• dazu muss man nicht zwangsläufig im gleichen lokalen Netzwerk verbunden sein

1.2. Was wird durch ein VPN ermöglicht?

• ein oder mehrere Computern werden miteinander über das Internet verbunden

• Firmen mit mehreren Standorten können leichter auf gemeinsame Ressourcen zugreifen (Datenbanken, Kundendaten, Stammdaten, Medieninhalte)

• diese Rechner oder Netzwerke sind also logisch mit einem unterschiedlichen Netzwerk verbunden; damit keine Dritten an die Daten herankommen, muss ein verschlüsselter Zugang bestehen

1.3. Welche Anforderungen werden an ein VPN gestellt?

• Vertraulichkeit: beschränkter Empfängerkreis

• Integrität: unmodifizierter, korrekter Inhalt

• Authentizität: Echtheit von Inhalten, Original

1.4. Praktischer Nutzen & Anwendungsmöglichkeiten

• Es gibt diverse Einsatzmöglichkeiten von VPNs. Dabei können verschiedene Techniken, Protokolle und Einsatzmöglichkeiten bzw. Interessen verfolgt werden

• Ein weit verbreitetes Einsatzgebiet ist die bereits genannte Eingliederung eines Rechners in ein im Internet “unsichtbares” Intranet

• Bsp. das Leuphana-Intranet (Skripte, Termine und vertrauliche oder uniinterne Daten)

• Studenten können nur mittels eines Programmes (Client) eine Verbindung aus dem bestehenden Netzwerk (bsp. aus dem Heimnetz) zu dem Leuphana-Intranet aufbauen

• Bsp. nutzen Journalisten VPNs, um in das Intranet des Verlages zu gelangen und dort Informationen abzurufen oder Artikel hochzuladen

Funktionsweise

In der Regel baut ein User über eine Software die Verbindung zu einem VPN Einwahlknoten auf.  Der Server verlangt eine Authentifizierung, welche vom Client erbracht werden muss, um die Verbindung vollständig aufzubauen. Die Verbindung von Client zum Server wird durch einen sogenannten Tunnel geleitet, welcher die Datenpakete ggf. (je nach Art) verschlüsselt.

Auf dem Client wird dann die Beschaffenheit des entfernten Netzes nachgebildet, als wäre der Client direkt im Intranet. Der Client, welcher die Anfrage stellt, wird also in ein vorhandenes Netz integriert. Ein externer Rechner, der Client, wird quasi „virtuell“ in ein physisches Netz eingebunden und agiert quasi als Teilnehmer, sodass er z.B. die IP des Netzwerkes annimmt und auf Ressource (Files, Services) zugreifen kann. So kann wird der Client, welcher die Verbindung angefordert und sich authentisiert hat ein Bestandteil eines nichtöffentliches Netzes im öffentlichen Netz.

Zwei völlig voneinander getrennte Netze werden also miteinander verbunden und in ein geschlossenes Netzwerk zusammengeführt.

Das macht Sinn, wenn kein physischer Zugang oder eine Standleitung  zu diesem Netz besteht, also die beiden Kommunikationspartner räumlich voneinander getrennt sind. Die Kommunikation wird in das öffentliche Netz verlagert. Dadurch werden lange Kanäle/Leitungen gespart.

3. Typen/ Implementierung

3.1. PPTP

PPTP = Point-to-Point-Tunnelling Protocol; basiert auf dem Internet Protocol (IP)
Es wird ein Tunnel für das PPP eingerichtet (Point-to-Point-Protocol)
Unter PPTP versteht man ein VPN-Verfahren, welches für den sogenannten Remote Access, also ferngesteuerten Zugriff konzipiert wurde
1996 wurde das Verfahren von mehreren Unternehmen, darunter auch Microsoft, entwickelt. Daher ist PPTP zumeist im Microsoft Betriebssystem Windows eingesetzt worden

Verbindung zwischen Client und Server wird aufgebaut, Kontrollverbindung über
TCP-Port 1723 (TCP = Transmission Control Protocol (Verbindungsprotokoll für Datenaustausch))
Über eine zweite Verbindung werden die Datenpakete, zerlegt in IP-Pakete, über GRE übertragen (GRE = Generic Routing Encapsulation (entwickelt von CISCO))

3.2. LT2P
L2TP = Layer 2 Tunnelling Protocol
Kombination aus PPTP und L2F (Layer-2-Forwarding)
L2F zeitgleich mit PPTP entwickelt
Vorteil: mehrere unabhängige Tunnel
Nachteil PPTP: keine Verschlüsselung “von Haus aus” kann aber ergänzt werden
Mittels L2TP erfolgt PPP-Verbindung (Transport-Protokoll) zwischen zwei Netzwerken
LAC (L2TP Access Concentrator): verwaltet Verbindungen, verpackt      Datenframes (Protocol Data Units auf der Sicherungsschicht des OSI-Modells)
LNS(L2TP Network Server): kontrolliert empfangene Datenpakete, entpackt      die Datenframes und sendet sie an das Netzwerk
Es gibt zwei verschiedene Kanäle innerhalb des PPP-Tunnels:
Im einen werden die Kontrolldaten übermittelt, im anderen die Nutzdaten
Nur der Kanal für die Kontrolldaten gesichert
Es wird ein Tunnel zwischen LAC und LNS aufgebaut und der Benutzer wird über einen Authentifizierungsserver vom NAS bestätigt.
Die Daten werden mittels einer PPP-Verbindung übermittelt.

3.3. IPSEC

IPsec = Internet Protocol Security

Erweiterung von L2TP durch Verschlüsselung auf der Vermittlungsschicht (Internet Layer) des TCP/IP Protocols (hier Layer 3 des OSI-Modells)
Es ist Bestandteil von IPv6, da IPv4 immer noch zum Einsatz Spezifizierung für diese IP-Version nachträglich entwickelt
IPsec sorgt auch für Verwaltung von Schlüsseln, Authentifizierung von Schlüsseln und Datenintegrität

3.4 Einsatzmöglichkeiten

Es gibt folgende Einsatzmöglichkeiten:

End-to-End (LAN-to-LAN):
Verbindung zweier Netzwerke über ein öffentliches ungesichertes Netz

Point-to-End (Remote Access):
Zugriff eines Computers auf ein Netzwerk

Point-to-Point (Peer-to-Peer):
Verbindung eines Computer mit genau einem anderen Rechner

Da IPsec ausschließlich ip-Pakete übertragen kann, empfiehlt sich die Kombination mit PPTP oder L2TP

Das Prinzip von IPsec:

Sogenannte Vertrauensstellungen (Security Associations) bilden den integralen Bestandteil von IPsec

Austausch von Parametern:

Schlüssel, Gültigkeit dieser, Authentifizierung/ Verschlüsselung, Algorithmus

Vertrauensstellung durch Schlüsseln ODER<Zertifikate

Sicherheit

Welche Faktoren spielen in der IT eine Rolle?

-          Integritätsprüfung (Sind die Daten nach der Übertragung verändert worden, denn während des Transportes durch den Tunnel o.ä. müssen die Daten unberührt sein!)
-          Abhörsicherheit (Sniffing) (Der aufgebaute Tunnel muss immun gegen Mithörer sein, d.h. der Inhalt kann nicht mitgelesen werden. Es ist möglich zu erkennen, dass eine Verbindung besteht, jedoch ist der Inhalt der Kommunikation verschlüsselt)
-          Schlüsselmanagement (Die korrekte Erzeugung und Verteilung der Schlüssel. Außerdem müssen anhand der Prüfsummen die Daten überprüft werden. Falls es sich um eine Sessionorientiere-Verschlüssung handelt, müssen Schlüssel immer wieder erneuert werden. Out-Of-The-Band Verfahren kommen in diesem Fall weniger in Frage, denn die Verteilung von Schlüsseln über ein externes Medium bringt einen großen Aufwand mit sich und macht bei vielen Sessions keinen Sinn.)
-          Sichere Benutzerauthentifizierung (Passwörter schon bei Verbindung verschlüsseln durch Pre-Shared-Key, richtige Benutzer autentisieren, Log, Sicherung durch Zertifikate, OTP, Smartcard, Token usw.)
-    Sicher vor Manipulationen <
-   Datenvertraulichkeit (Es  muss garantiert werden, dass der Empfänger auch wirklich       der korrekte und gewollte Empfänger werden. Der Quell- und Zieladresse muss abgeglichen werden.

Bei allen Protokollen gilt natürlich neben der Verschlüsselungstechnik die Sicherheit der Authentifizierungscodes aller Art.

PPTP ("Point to Point Tunneling Protocol" für RemoteAccess) wir mit 128-Bit (durch das Verschlüsselungsprotokoll MPPE (Microsoft Point-to-Point Encryption ) welches RSA RC4 (RC4 generiert Zufallsfolgen für einmalige Verwendung) nutzt verschlüsselt und schneidet im Gegensatz zu den anderen Methoden eher schlecht ab. Zudem wird bei PPTP der Benutzername und das Passwort im Klartext übertragen und Serverseitig gespeichert. Eine Lösung für dieses Problem wären OTP (One-Time-Passwörter), welche mit bestimmen Endgeräten oder Serverseitig vor jedem Verbindungsaufbau generiert werden.

L2TP over IPSEC: Die Kombination von dem Sicherheitsprotokoll IPSEC und der Tunnelingprotokoll L2TP ist durchaus sicherer als PPTP, obwohl LT2P auf PPTP basiert. LT2P unterstützt wie PPTP genauso die Authentifizierung, aber hat keine eigene Verschlüsselung, weil die Sicherheit in dieser Art schließlich durch IPSEC gewährleistet wird.

Gefahren

Man-in-the-Middle Angriff:  Der Angreifer steht dabei entweder physikalisch oder

logisch zwischen den beiden Kommunikationspartnern und hat dabei mit seinem

System komplette Kontrolle über den Datenverkehr zwischen zwei oder

mehreren Netzwerkteilnehmern und kann die Informationen nach Belieben ein-

sehen und sogar manipulieren.

Wiretrapping: Netzverkehr abhören, um Informationen zu erhalten.

Spoofing: vortäuschen einer falschen Identität, z.B. verändern der IP-Adresse.

Offline Cracking Attack: Passwort und Usernamen entwenden/cracken

Client Attack: Computer auf dem sich der VPN-Client befindet, wird

übernommen.

Viele dieser weniger Szenarien lassen sich durch Hardware-Tokens (elektronischer Schlüssel wie z.B. USB-Sticks, Fingerprints, Chipping, Bluetooth-Tokens, Smartphones), Zertifikate (über Zertifizierungsstelle) und Smartcards (Chipkartenleser).

Pro  VPN

-          Die Kommunikation wird sicherer, durch die jeweiligen Protokolle bzw. Layer

-          Eine kostengünstige Lösung um Mitarbeiter, Firmen o.ä. zu vernetzen oder Anonym zu surfen

-          Kompatibel/unabhängig zu allen Betriebssystemen

-          Über eine Internetleitung lassen sich mehrere VPN-Tunnel einrichten und auf verschiedene Netze zugreifen.

Contra VPN

-          Geschwindigkeitsverlust

-          Verfügbarkeit bzw. Abhängikeit vom externen Teilnetz

-          Erhöhter Wartungsaufwand

-          Sicherheitsrisiko für das Unternehmen, da die Verbindung nach außen erlaubt wird

-          Installationsaufwand

Der Privatanwender wird eine VPN-Verbindung im Regelfall nur zu anonymisierungszwecken nutzen, welche seine Verhalten im Netz nicht zu 100% verschleiern, aber einen großen Teil dazu beitragen. Natürlich geht ihr die gewohnte Geschwindigkeit verloren, welche der Anwender gewohnt ist. Thema Datenschutz.

Aus unternehmerischer Sicht sind die Möglichkeiten extrem vielfältig, weil dadurch Outsourcing und reisende Mitarbeiter ermöglicht werden. Auch Außendienstmitarbeiter haben so immer Zugriff auf die Kundendaten. Natürlich stellt dieser Zugriff bei Fehlkonfiguration ein enormes Sicherheitsrisiko dar, aber in der Theorie ist eine VPN Verbindung sehr hilfreich. Natürlich ist ein Diebstahl eines außendienstlichen Geräten sehr fatal und kann nur durch bestimmte Sicherheitsvorkehrungen unschädlich gemacht werden.

6. Fazit

6.2. Alternative zu VPN?

Eine mögliche Alternative zu VPNs könnten sogenannte Proxy-Server darstellen

6.3. Gibt es eine Zweckentfremdung?

Zweckentfremdung:

Bsp. mittels eines oder mehrerer VPNs die IP-Adresse, Herkunft und Identität   des Benutzers Anonym

Das sorgt für gewisse Anonymität im Internet, bietet aber keinen 100     prozentigen Schutz vor Bekanntwerden der eigenen Identität oder Missbrauch   etwaiger Informationen

In Ländern mit strengen Vorschriften oder Einschränkungen von Webinhalten, kann mittels VPN die Herkunft der IP-Adresse verschleiert werden und somit Zugriff auf bestimmte Inhalte erlangt werden
gesperrte YouTube-Videos ansehen mittels VPN oder Proxy-Server.

Quellen:

http://www.voip-information.de

http://lexikon.martinvogel.de

http://www.uni-kiel.de

http://www.elektronik-kompendium.de

http://www.unix-ag.uni-kl.de

http://www.virenschutz.info

http://www.weka-it.ch

http://www.ivpn.net

http://www.searchnetworking.de

http://www.hki.uni-koeln.de

http://www.heise.de

http://www.forum.openvpn.eu

http://www.vserver-vergleich.eu

Bildquelle: http://upload.wikimedia.org/wikipedia/commons/thumb/0/00/Virtual_Private_Network_overview.svg/330px-Virtual_Private_Network_overview.svg.png

avatar

Autor: Philip

Nerd. Kritiker. Realist. Administrator. Unixer. Freak. Blogger.

Hinterlasse eine Antwort

Pflichtfelder sind mit * markiert.