Virtual Privat Network (VPN)

Wie im nachfolgenden Bild zu sehen ist, findet zunächst eine Einwahl ins Internet statt. Hierzu kann ein beliebiger Provider und jede verfügbare Zugangstechnik verwendet werden. Anschließend erfolgt der Aufbau eines sicheren Tunnels zwischen dem VPN-Client und dem VPN-Server. Hierbei muss sich der VPN-Client gegenüber dem VPN-Server authentisieren. Das erfolgt im einfachsten Fall per Username/ Passwort (bei einer Site To Site Verbindung Shared Secret genannt), bei höheren Sicherheitsanforderungen mittels Token-Card oder öffentlichem Schlüssel/ Zertifikat.

Erst nach erfolgreicher Authentisierung wird der verschlüsselte IPsec-Tunnel aufgebaut, über den dann ein absolut abhörfreier Datenverkehr ins eigene Netz erfolgen kann. Hierbei ist der VPN-Client im Allgemeinen so konfiguriert, dass er nach dem Aufbau des Tunnels keine Verbindung zum Internet mehr besitzt und von dort auch nicht mehr angesprochen werden kann (Split-Tunnel). Gleichzeitig bekommt der Client eine IP-Adresse aus dem eigenem Netz (Intranet), die bei Remote Access eineindeutig mit dem Usernamen des Anwenders gekoppelt ist. Auf diese Weise ist es möglich, das eigene Ende (Intranet) des Tunnels zusätzlich durch eine Firewall zu sichern.



VPN-Beispiel

  1. Verbindung zum Internet über einen beliebigen Provider aufbauen
  2. Verbindung zwischen VPN-Client und VPN-Server wird hergestellt
  3. Authentisierungsprüfung wird durchgeführt
  4. VPN-Tunnel wird aufgebaut
  5. Eine gesicherte Verbindung zu einem beliebigen Firmen-Rechner ist nun möglich

Angreifbarkeit

Wenn es bei der Installation der Client-Software nicht explizit konfiguriert wird (das sog. Split Tunneling erlaubt wird), ist ein Rechner nach dem Aufbau des IPsec Tunnels vom Internet aus nicht mehr sichtbar. Man spricht dann auch von einem gehärteten Protokoll-Stack. Auf dieses Weise ist der PC geschützt vor Trojaner Angriffen oder Denial Of Service Attacks aus dem Internet.



Verschlüsselung

Da für IPsec starke Verschlüsselungsalgorithmen (z.B. Triple DES) verfügbar sind, ist der Tunnel, nach dem heutigen Stand der Kryptologie, als absolut sicher zu betrachten. Dies gilt natürlich nur für die Strecke vom Client bis zum VPN-Server. Die Daten im Intranet sind, wenn keine zusätzlichen Maßnahmen getroffen wurden, auch weiterhin nicht geschützt!



IPsecurity (IPsec)

IPsec steht für IP Security Protocol. Als Erweiterung und Ergänzung von IP gibt es ein Layer-3-Tunneling-Protokoll. IPsec war ursprünglich für IP Version 6 geplant (RFC 1825 - 1829), ist heute jedoch vollständig für IPv4 standardisiert. Es erlaubt derzeit jedoch nur die Verschlüsselung von IP-Paketen, überträgt keine Multicasts und unterstützt nur statisches Routing. IPsec wird in den RFCs 2401 bis 2412 beschrieben. Alle RFCs haben den Status Proposed Standard.

Wesentliche Ziele im "Pflichtenheft" der IPsec-Definition waren,

  1. dass sich IPsec transparent gegenüber den Applikationen verhält und somit leicht in bestehende Netze integriert werden kann.
  2. dass keine Festlegung auf bestimmte Verschlüsselungsverfahren erfolgen muss (Zukunftssicherheit!).
  3. für die Authentisierung und die Verschlüsselung unterschiedliche Protokolle zum Einsatz kommen, die unabhängig voneinander oder zusammen eingesetzt werden können.
  4. dass es grundsätzlich möglich sein soll, IPSec um weitere Protokolle zu ergänzen.
Die Datenintegrität und die Authentisierung des Datenursprungs wird mittels des Authentication Headers (AH) erreicht. Der AH-Header schützt die Daten und einige Header-Teile des zu übertragenden IP-Pakets vor Verfälschung. Dazu wird mittels bekannter Hash-Funktionen wie MD-5 (Message Digest) oder SHA-1 (Secure Hashing Algorithmus) eine Prüfsumme aus der IP-Payload gebildet und im AH-Header an den Empfänger übertragen. Nur wenn dieser dieselbe Prüfsumme aus dem empfangenen Paket errechnet, ist es sichergestellt, dass die Nachricht während der Übertragung nicht verändert wurde und auch nur von dem Absender stammen kann, da nur dieser den geheimen Schlüssel für das gewählte Authentisierungsverfahren kennt. Während es für SHA-1 Berichte über (theoretische) Security-Schwächen gibt, gilt MD-5 als in jeder Beziehung unangreifbar. Dieser Vorteil wird jedoch über eine deutlich geringere Geschwindigkeit erkauft. Die Verschlüsselung der Daten (Encapsulating Security Payload - ESP) erfolgt mit einem beliebigen Schlüssel (z.B. Triple-DES, AES). Da IPsec einerseits ein Höchstmaß an Sicherheit bietet und andererseits der Bedarf, neben IP auch andere Protokolle (wie IPX, NetBUI) zu tunneln abnimmt, wird es die o.g. Layer-2-Protokolle langfristig als VPN-Standard-Protokoll ablösen.

In diesem Zusammenhang sei noch der RFC 1984 erwähnt, der ein eindeutiges Statement des IAB und der IESG zu den Themen Key Escrow, Key Recovery u.ä. Angriffen auf Vertraulichkeit/ Privatsphäre darstellt.



Alternativen zu IPsec

Es gibt, neben IPsec, auch andere Protokolle, mit denen ein VPN aufgebaut werden kann. Eine weitere beliebte Methode ist die Nutzung des von Microsoft entwickelten PPTP.

Dieses ist jedoch aufgrund seiner Implementierungsschwächen bei der zur Encryption notwendigen Schlüsselverwaltung als wesentlich unsicherer einzustufen und daher nicht zu empfehlen. Darüber hinaus verfügt es über keine Paket-Integritätsprüfung.



PPTP

PPTP wurde ursprünglich von Microsoft und Ascend entwickelt und ist aufgrund seiner Integration in Windows weit verbreitet. Es handelt sich hierbei um eine Erweiterung des Point to Point Protokolls (PPP). PPTP ermöglicht nicht nur die Übertragung von IP-Paketen, sondern auch von IPX- und NetBUI-Paketen. Die einzelnen Pakete werden in eine modifizierte Form des Generic Routing Encapsulation Protocol Version 2 (GREv2) verpackt und zum Network Access Server (NAS) des ISP transportiert. Je Kommunikationspaar kann nur ein Tunnel aufgebaut werden.

Zur Authentisierung dient PAP/CHAP; eine Authentisierung der Tunnelenden ist jedoch nicht vorgesehen. In PPTP sind keine Key-Management-Protokolle implementiert. Die Datenverschlüsselung erfolgt nach dem RC4-Verfahren.