inforum 2/2001 - Einführung in Virtuelle Private Netze (VPN)
2/2001 Inhalt -
Vorheriger Artikel -
Nächster Artikel -
ImpressumEinführung in Virtuelle Private Netze (VPN)
VPN erlaubt Angehörigen einer Organisation den Zugriff auf Ressourcen im „privaten“ Netz der Organisation von beliebigen Endgeräten im Internet aus. Der Zugriff auf das private Netz kann dabei nach strengen Sicherheitsanforderungen erfolgen. Authentifizierung und Verschlüsselung können die Datensicherheit gewährleisten. Das Endgerät befindet sich bei Nutzung von VPN „virtuell“ im privaten Netz der Organisation.
VPN - der Begriff
Die Bildung des Begriffes „Virtuelles Privates Netz“ ist nur vor dem Hintergrund von zwei wichtigen Entwicklungen in der letzten Dekade zu verstehen:
-
Entwicklung des ubiquitären, öffentlich nutzbaren Internet mit angeschlossenen Netzen aus allen Bereichen von Forschung, Handel, Industrie, Handwerk, Lehre, Verwaltung, Behörden, Privatnutzung etc. einschließlich einer Vielzahl von Dienstleisternetzen, die unterschiedlichsten Kunden den Zugang zum Internet ermöglichen (Internet-Service-Provider- bzw. ISP-Netze mit Modem-, ISDN-, ADSL-, Wireless-LAN- und anderen Zugangstechnologien),
-
Entwicklung eines erhöhten Sicherheitsbedürfnisses für die vernetzte Informationsverarbeitung, insbesondere hin zu einem Schutzbedürfnis nach kontrollierten Netzbereichen, die ausschließlich nach Vorstellungen der nutzenden Organisation zugänglich sind und in der Regel sogar nur durch Organisationsmitglieder selbst genutzt werden können (private Netze, Intranets).
VPN erlaubt beides widerspruchsfrei und gleichzeitig vorteilhaft miteinander zu verbinden: Mitglieder einer Organisation, die nicht im unmittelbaren „privaten“ Netzbereich der Organisation Informationen verarbeiten, aber über einen Internet-Zugang verfügen, können ihren externen Arbeitsplatz mit VPN über das Internet so mit dem privaten Netz verbinden, dass alle Sicherheitsbedürfnisse ähnlich wie im privaten Netz selbst befriedigt sind. Hierbei können sowohl Nutzer- und Rechner-Authentifizierungsmechanismen als auch hochwertige kryptografische Verfahren zur Herstellung der Abhör- und Verfälschungssicherheit eingesetzt werden. Ein solcher Arbeitsplatz befindet sich netztechnisch aus Sicht des Nutzers betrachtet vermeintlich (virtuell) im privaten Netz der eigenen Organisation. Insofern ist der Begriff Virtuelles Privates Netz gerechtfertigt. Beispielsweise können Rechner im Virtuellen Privaten Netz ganz real mit den Internet-Adressen (IP-Adressen) aus dem eigenen privaten Netz arbeiten, auch wenn der genutzte Internet-Zugangs-Service zunächst durchaus die Nutzung anderer IP-Adressen, nämlich die des ISP-Netzes, notwendig macht. Diese Technologie ist gegenüber den sonstigen Alternativen, nämlich den fest gemieteten eigenen Leitungen (Standleitungen), sehr viel kostengünstiger verfügbar.
Obwohl der Begriff VPN in der Regel im Zusammenhang mit ISP-Zugängen über Weitverkehrstechnologien verwendet wird, ist die Technologie nicht auf das Internet als Zuliefernetz beschränkt, sondern nahezu jedes beliebige IP-basierte Netz, das als Fremdnetz betrachtet wird, kann dazu verwendet werden. So kann z. B. der Zugang aus einem nicht abgesicherten Teil des Universitätsnetzes zu einem durch einen Firewall geschützten Bereich sicher eingerichtet werden. Im Folgenden wird „Internet“ jedoch synonym für solche Fremdnetze allgemein verwendet.
Tunnel - das Mittel zum Zweck
Schlüssel zum technischen Verständnis von VPN sind die eingesetzten Übertragungsverfahren (Protokolle), die insbesondere Tunnel-Techniken einsetzen. Tunnel erlauben, wie der Name andeuten mag, die ungehinderte, geschützte Durchquerung eines Hindernisses (hier des Internets), das sich zwischen zwei Punkten befindet (hier das private Netz auf der einen Seite und der Arbeitsplatz auf der anderen Seite). Protokolltechnisch umgesetzt ist dies relativ einfach dargestellt:
Man benutzt das vorhandene Medium, das Internet, und überträgt in den Internet-Übertragungseinheiten, den IP-Paketen, selbst wieder IP-Pakete. Letztere nutzen dann die IP-Adressen aus dem privaten Netz und können verschlüsselt werden - erstere, die zur Übertragung im Internet dienen, verwenden naturgemäß IP-Adressen, die zur Paketvermittlung im offenen Internet benötigt werden.
Abb.1 Struktur von VPN-IP-Paketen
Die Abbildung 1 zeigt vereinfacht die Schemata von IP-Paketen im Internet und im privaten Netz als auch die im VPN-Tunnel verwendeten IP-Pakete, die die „privaten IP-Pakete“ als Nutzlast tragen; verwendet wird hier beispielhaft das PPTP-Tunnel-Protokoll (Point to Point Tunnel Protocol). Die IP-Header-Informationen beinhalten insbesondere die entsprechenden IP-Adressen. Weitere Protokolldetails sollen hier nicht besonders erörtert werden. Dieses Verfahren wird aufgrund der Ummantelung des eigentlichen Datenverkehrs auch als Encapsulation bezeichnet.
Anwendung finden VPN-Tunnel meist
-
zwischen zwei Netzen (in der Regel zwischen dedizierten Geräten, z. B. je einem VPN-Router in jedem Netz),
-
zwischen einem Endgerät und einem Netz (meistens Arbeitsplatzrechner zu VPN-Router),
-
zwischen zwei Endgeräten (in der Regel Arbeitsplatzrechner zu Server).
Im ersten Fall sorgen dedizierte Geräte (VPN-Router, manchmal auch Firewall-Systeme) als VPN-Client und VPN-Server für die sichere Verbindung von zwei Netzen über das Internet. Die Endgeräte in den verbundenen Netzen kommunizieren, ohne die VPN-Technik überhaupt besonders berücksichtigen zu müssen, da die Router die Encapsulation und Decapsulation vollständig übernehmen, während die Endgeräte lediglich ihre IP-Pakete des „privaten“ Netzes austauschen (vgl. Abbildung 2, unterer Teil).
Abb.2 Nutzungsszenarien für VPN-Technologie
Die beiden anderen Verfahren unterscheiden sich vom vorhergehend beschriebenen dadurch, dass die En- und Decapsulation ganz oder teilweise in den Endgeräten selbst vorgenommen wird, wobei die Endgeräte die Rolle von VPN-Client oder auch VPN-Server übernehmen. Im Gegensatz zur ersten Variante kann hier ein VPN-Endgerät ohne eine zusätzliche Installation eines VPN-Routers die Vorteile der VPN-Technik nutzen. In der zweiten Variante wird meistens im Ziel-Netz ein VPN-Router installiert, der den sicheren Zugang zum „Intranet“ für alle VPN-Endgeräte im Internet oder in sonstigen „fremden“ Netzen ermöglichen soll; jeder Rechner irgendwo im Internet kann also somit jederzeit eine sichere Verbindung über VPN zu „seinem privaten Netz“ aufbauen.
Status 2001
Mit dem durch Microsoft ab Windows 95 unterstützen PPTP steht dem breiten Einsatz der VPN-Technologie auch für die Mehrzahl von Arbeitsplatzrechnern nur wenig entgegen. Für andere Betriebsysteme sind Treiberprogramme ebenfalls erhältlich oder stehen zumindest kurz vor der Verfügbarkeit. Die Installation der Treiberprogramme ist ähnlich einfach wie die Installation derartiger Programme für die Modem- oder ISDN-Nutzung. Eine Anleitung dazu finden Sie unter
http://www.uni-muenster.de/ZIV/Content--NetzVN_VPN_Anleitung.html
Aber auch die als in mancher Hinsicht (wegen der Möglichkeit der Rechnerauthentifizierung und der Verschlüsselung) noch sicherer einzuschätzenden Protokolle L2TP und IPSEC, insbesondere in Kombination, sind weitgehend auf relativ breiter Basis verfügbar. Allerdings sind die Anforderungen an VPN-Router bei ihrem Einsatz allgemein sehr hoch, so dass hier erhebliche Kosten entstehen können, insbesondere wenn die teilweise optionale Verschlüsselung in großem Umfang verwendet werden soll.
Die Einführung von VPN in den Netzbetrieb ist für viele Organisationen heute auf der Tagesordnung. Hauptsächlich werden dabei VPN-Router oder Firewall-Systeme mit VPN-Funktion als „sicheres Eingangstor“ zum eigenen Netz installiert. Der Betrieb eigener Standleitungen oder eigener Einwahlsysteme wird damit in der Regel überflüssig.
In größeren Organisationen mit entsprechend umfangreichen Netzen kann die „innere“ Sicherheit durch den Einsatz von mehreren VPN-Routern nach Bedarf quasi wie in Intranets innerhalb des Gesamtnetzes erhöht werden.
2/2001 Inhalt -
Vorheriger Artikel -
Nächster Artikel -
Impressum
Zentrum für Informationsverarbeitung (Universitätsrechenzentrum)
