13.1 VPN-Szenarien Private... · 13.1 VPN-Szenarien Für VPN gibt es sehr viele verschiedene...

4
328 13 Virtual Private Networks 13.1 VPN-Szenarien Für VPN gibt es sehr viele verschiedene Einsatzmöglichkeiten. Ein großer Teil davon lässt sich in eines der drei Szenarien Site-to-Site-VPN, End-to-Site-VPN und End-to-End-VPN einordnen, die in der folgenden Grafik vergleichend dargestellt sind und anschließend kurz erläutert werden. Abbildung 13.1: VPN-Szenarien Standort 1 Standort 2 Gateway Gateway Internet (unsicher) End-to-Site VPN End-to-End VPN Site-to-Site VPN 13.1.1 Site-to-Site-VPN Bei einem Site-to-Site-VPN werden zwei oder mehr LANs einer Firma, die auf verschie- dene Standorte (Sites ) verteilt sein können, miteinander verbunden. Jede Site hat ihre eigene Internetanbindung. Für die Verknüpfung der Sites wird keine unternehmenseigene Netz-Infrastruktur zwischen den Standorten aufgebaut und es werden auch keine festste- henden Leitungen zwischen den Standorten angemietet. Die Absicherung der Verbindun- gen zwischen den Standorten erfolgt dann mittels der entsprechenden VPN-Technologie. Da Site-to-Site-VPN über die Kopplung von Gateways erfolgt, spricht man auch von Gateway-to-Gateway-VPN. Die Sicherung der Übertragungsstrecke endet bei dieser Art von VPN an den Gateways. Innerhalb der Sites wird keine zusätzliche Absicherung durch ein solches VPN gewährleistet. Dafür wird nur auf den Gateways die VPN-Funktionalität benötigt. Die lokalen Rechner bleiben unverändert und die Nutzung der Site-to-Site-Ver- bindung ist für den Endbenutzer völlig transparent.

Transcript of 13.1 VPN-Szenarien Private... · 13.1 VPN-Szenarien Für VPN gibt es sehr viele verschiedene...

Page 1: 13.1 VPN-Szenarien Private... · 13.1 VPN-Szenarien Für VPN gibt es sehr viele verschiedene Einsatzmöglichkeiten. Ein großer Teil davon lässt sich in eines der drei Szenarien

328

13 Virtual Private Networks

13.1 VPN-Szenarien

Für VPN gibt es sehr viele verschiedene Einsatzmöglichkeiten. Ein großer Teil davon lässt sich in eines der drei Szenarien Site-to-Site-VPN, End-to-Site-VPN und End-to-End-VPN einordnen, die in der folgenden Grafik vergleichend dargestellt sind und anschließend kurz erläutert werden.

Abbildung 13.1: VPN-Szenarien

Standort 1 Standort 2

GatewayGateway

Internet (unsicher)

End-to-Site VPN

End-to-End VPN

Site-to-Site VPN

13.1.1 Site-to-Site-VPN

Bei einem Site-to-Site-VPN werden zwei oder mehr LANs einer Firma, die auf verschie-dene Standorte (Sites) verteilt sein können, miteinander verbunden. Jede Site hat ihre eigene Internetanbindung. Für die Verknüpfung der Sites wird keine unternehmenseigene Netz-Infrastruktur zwischen den Standorten aufgebaut und es werden auch keine festste-henden Leitungen zwischen den Standorten angemietet. Die Absicherung der Verbindun-gen zwischen den Standorten erfolgt dann mittels der entsprechenden VPN-Technologie.

Da Site-to-Site-VPN über die Kopplung von Gateways erfolgt, spricht man auch von Gateway-to-Gateway-VPN. Die Sicherung der Übertragungsstrecke endet bei dieser Art von VPN an den Gateways. Innerhalb der Sites wird keine zusätzliche Absicherung durch ein solches VPN gewährleistet. Dafür wird nur auf den Gateways die VPN-Funktionalität benötigt. Die lokalen Rechner bleiben unverändert und die Nutzung der Site-to-Site-Ver-bindung ist für den Endbenutzer völlig transparent.

Page 2: 13.1 VPN-Szenarien Private... · 13.1 VPN-Szenarien Für VPN gibt es sehr viele verschiedene Einsatzmöglichkeiten. Ein großer Teil davon lässt sich in eines der drei Szenarien

329

VPN-Szenarien

Häufig gehören die verbundenen Standorte zu einem Unternehmen. Dann spricht man auch von einem Intranet-VPN oder Branch-Office-VPN. Falls über das Site-to-Site-VPN verschiedene, kooperierende Unternehmen verbunden werden, spricht man von einem Extranet VPN. In diesem Fall wird gegebenenfalls den ankommenden Daten nicht in gleicher Weise vertraut, wie dies für die Daten aus einer anderen Site des eigenen Unter-nehmens der Fall ist. Für die eingehenden Daten aus dem Extranet VPN können dann stärkere Sicherheitsmaßnahmen angewandt werden, beispielsweise mit Routern, Firewalls oder Content-Filtern.

13.1.2 End-to-Site-VPN

Bei einem End-to-Site-VPN wird ein gesicherter Fernzugang ermöglicht, also z. B. der Zugriff des Rechners eines Mitarbeiters im Außendienst auf das Intranet. Bei dem Rechner kann es sich um einen Laptop, ein Tablet oder auch um ein Smartphone handeln.

Dieses Endgerät kann auf beliebige Art und Weise mit dem Internet verbunden sein, z. B. über ein LAN, WLAN oder mobile Datenverbindungen. Der Hauptanwendungszweck von End-to-Site-VPNs findet sich dementsprechend in den Bereichen externer Mitarbeiter, Mitarbeiter im Außendienst, Homeoffice sowie bei der Anbindung mobiler Endgeräte. Ein weiterer Anwendungsfall ist die Anbindung von Clients über WLAN, ohne das interne Netz per WLAN zur Verfügung zu stellen.

Entsprechend der Bezeichnung Gateway-to-Gateway-VPN spricht man hier von Host-to-Gateway-VPN, da ein einzelner Rechner über ein VPN-fähiges Gateway mit dem Fir-mennetzwerk verbunden wird.

13.1.3 End-to-End-VPN

Bei einem End-to-End-VPN werden zwei Endgeräte direkt über die VPN-Verbindung miteinander gekoppelt. Im Gegensatz zu einem Site-to-Site-VPN, bei dem die Absiche-rung nur zwischen den verbindenden Gateways besteht, wird hier die Verbindung von dem einen bis zu dem anderen Rechner abgesichert. Man spricht auch von einer sog. Ende-zu-Ende-Sicherheit. Ein solches VPN wird auch als Host-to-Host-VPN (im Sinne von End-Systemen) bezeichnet. Jeder der daran beteiligten Rechner muss VPN-fähig sein. Außerdem müssen im End-to-End-VPN die Rechner über kryptografische Schlüssel aller Kommunikationspartner verfügen oder solche auf sichere Art und Weise austauschen können.

Dies ist sicher die weniger häufig eingesetzte Architektur von VPN. Sie ist wichtig für spezielle Anwendungen mit hohem Sicherheitsbedarf, z. B. für ein Remote Management eines System-Administrators auf einem einzelnen Server. End-to-End-VPN sind naturge-mäß wartungsintensiver als Gateway-to-Gateway-VPN. Ferner besteht hier durch die En-de-zu-Ende-Sicherheit keine Möglichkeit, den Datenverkehr mit Firewalls zu inspizieren.

Wir werden in den folgenden Abschnitten sehen, dass in verschiedenen Anwendungen noch mehr Szenarien auftreten, zum Beispiel können bei IPsec die verschiedenen Szena-rien miteinander verknüpft und überlagert werden. Ferner treten durch die Möglichkeit des Anmietens von VPN-Diensten weitere Varianten auf.

Page 3: 13.1 VPN-Szenarien Private... · 13.1 VPN-Szenarien Für VPN gibt es sehr viele verschiedene Einsatzmöglichkeiten. Ein großer Teil davon lässt sich in eines der drei Szenarien

330

13 Virtual Private Networks

13.1.4 Protokollebenen von VPN und VPN-Tunnel

Neben den drei wesentlichen Szenarien für VPN gibt es weitere Aspekte, nach denen VPN klassifiziert oder unterschieden werden. Bereits in der Einleitung wurden Tunnels bzw. Tunneltechniken erwähnt. Für das Verständnis der verschiedenen Realisierungen von Tunneln spielen die Protokollebenen, klassifiziert nach dem OSI-Schichtenmodell1 [ISO7498-1], eine bedeutende Rolle. Zur leichteren Einordnung der im nächsten Abschnitt besprochenen technischen Realisierungen von VPN werden zunächst die Protokollebenen vorgestellt. Die Tabelle 13.1 bietet einen Überblick.

Tabelle 13.1: ISO-OSI Schichtenmodell [ISO7498-1] – Beispiele für Protokolle und physikalische Übertragung

OSI-Schicht allgemeine Protokolle Sicherheitsprotokolle

7 Anwendung PGP

6 Darstellung

5 Sitzung HTTP, FTP

4 Transport TCP, UDP SSL/TLS

3 Vermittlung IP IPsec

2 Sicherung PPP PPTP, L2TP

1 Bit-Übertragung Koax, Twisted Pair, Fiber

Für VPN sind insbesondere die beiden Schichten 2 und 3 von Bedeutung. Schicht 2, die sogenannte Sicherungsschicht, dient der verlässlichen Übertragung der Datenrahmen. Ein wichtiges Beispiel für ein Protokoll der zweiten Schicht ist das Point-to-Point Protokoll (PPP), das zur Übertragung von Daten über Wählleitungen (Modem, ISDN) dient. Da-mit können IP-Pakete übertragen werden, aber auch andere Vermittlungsprotokolle der Schicht 3 sind möglich.

Für VPN spielen die beiden Protokolle

• Point-to-Point Tunneling Protocol (PPTP)• Layer 2 Tunneling Protocol (L2TP)

eine wesentliche Rolle. Diese dienen dazu, Verbindungen auf Schicht 2 über höhere Schich-ten zu tunneln. Normalerweise würde ein Paket der Schicht 2 selbst Pakete der höheren Schichten enthalten, aber nur mithilfe der Übertragungstechniken aus der ersten Schicht befördert werden. Mithilfe der beiden Protokolle PPTP bzw. L2TP können PPP-Pakete wieder als UDP-Pakete eingepackt und versendet werden, was der Logik des Schichten-

1 Siehe auch Abschnitt 9.1

Page 4: 13.1 VPN-Szenarien Private... · 13.1 VPN-Szenarien Für VPN gibt es sehr viele verschiedene Einsatzmöglichkeiten. Ein großer Teil davon lässt sich in eines der drei Szenarien

331

Technische Realisierung von VPN

modells zunächst widerspricht. Dies ist ein typisches Beispiel eines Tunnels, bei dem allgemein gesprochen Pakete tieferer Schichten, wie der Schicht 2, in Pakete höherer Schichten, wie z. B. der Schicht 3 eingepackt werden. Auch ein Einpacken eines IP-Pakets in ein IP-Paket (IP over IP) wird als Tunnel bezeichnet.

Man spricht von Layer-2- und Layer-3-VPN, je nachdem, wo die Tunnel ansetzen. Die verschiedenen technischen Realisierungen unterscheiden sich zum Teil erheblich. Die beiden oben erwähnten Tunneling Protokolle für Layer-2 VPN, PPTP und L2TP, enthalten selbst keine kryptografischen Sicherungsmaßnahmen, aber die Standards sehen eine ganze Reihe von Möglichkeiten vor, solche anzuwenden.

Die wichtigste Technik für Layer-3-VPN ist IPsec. IPsec ist eine Technik, um Übertra-gungen auf IP-Ebene abzusichern. Auch hier ist ein Tunneling im sogenannten Tunnel-Mo-dus möglich, bei dem IP selbst wieder über IP getunnelt wird. Um Unabhängigkeit von den Anwendungen zu erreichen, verwenden die meisten VPN Techniken der Schicht 2 oder 3. Eine weitere verbreitete Alternative ist sogenanntes SSL/TLS-VPN, wobei OpenVPN (Abschnitt 13.2.4) hierbei das bekannteste Protokoll darstellt. Hierbei wird über Schicht 4 (Transportschicht) getunnelt, wobei das SSL/TLS-Protokoll die Transportsicherheit ge-währleistet.

Mithilfe dieser Tunnel werden also verschiedene Ziele erreicht. Es werden inkompatib-le Netzwerke miteinander verknüpft. Es werden schon existierende Sicherheitstechniken, die auf einer anderen Schicht des OSI-Schichtenmodells angesiedelt sind, einsetzbar ge-macht. Ein Beispiel hierfür wären über SSL/TLS gesicherte Verbindungen auf der Trans-portschicht 4. Um sie für die Vermittlungsschicht, die im Protokollstack eigentlich unter-halb der Transportschicht liegt, nutzbar zu machen, kann ein Tunnel verwendet werden.

13.2 Technische Realisierung von VPN

Insgesamt gibt es sehr viele Ansätze und Standards, die bei der Realisierung von VPN eine Rolle spielen. In diesem Abschnitt werden die wesentlichen vorgestellt.

13.2.1 PPP, L2F und PPTP

Das Point-to-Point Protokoll (PPP) ist das Standardprotokoll, um zum Beispiel IP-Pakete über Wählleitungen wie ISDN, Modem-Verbindungen oder auch DSL-Verbindungen zu transportieren. Es wurde im RFC 1661 (Juli 1994) definiert und wird von den Internet Service Providern standardmäßig eingesetzt. Ferner ist es auf sehr vielen Client-Rechnern verfügbar.

Um diese Verbindungen abzusichern, wurden verschiedene Authentifikationsmethoden entwickelt. Die einfachste ist das PPP Authentication Protocol (PAP), das im RFC 1334 definiert ist. Hierbei muss sich der anrufende Knoten durch die unverschlüsselte Übergabe eines Passworts authentifizieren. Später kam noch das sicherere PPP Challenge Hand-shake Authentication Protocol (CHAP, RFC 1994) hinzu. Hierbei schickt der Server, der den Client authentisiert, eine zufällig gewählte Challenge. Der Client antwortet mit dem MD5 Hash-Wert der Challenge und des Passworts. Da der Server dann noch mit einer dritten Nachricht über Erfolg oder Misserfolg der Authentifikation antwortet, spricht man hier auch von einer 3-Wege-Authentifikation im Gegensatz zur 2-Wege-Authentifikation