Virtual Private Network (VPN)

Virtual Private Network (deutsch „virtuelles privates Netz“; kurz „VPN“) ist eine Schnittstelle in einem Netzwerk und hat zwei unterschiedliche Bedeutungen.

Das konventionelle VPN dient dazu, Teilnehmer eines Netzes aus ihrem ursprünglichen Netz heraus an ein anderes Netz zu binden, ohne dass die Netzwerke zueinander kompatibel sein müssen. Stark vereinfacht ausgedrückt wird das ursprüngliche Netz aus Sicht der VPN-Verbindung auf die Funktion eines Verlängerungskabels reduziert, das den VPN-Teilnehmer ausschließlich mit der Anschlussstelle des anderen Netzes verbindet, dem VPN-Gateway. Dieser VPN-Partner wird nun mit direktem Zugriff zum Teilnehmer des anderen Netzes, so als wäre sein Netzwerkanschluss nicht mit dem ursprünglichen Netz verbunden, sondern direkt am anderen Netz angeschlossen. Der sich daraus ergebende Nutzen eines VPNs kann je nach verwendetem VPN-Protokoll durch eine zusätzliche Verschlüsselung ergänzt werden, die eine abhör- und manipulationssichere Kommunikation zwischen den VPN-Partnern ermöglicht.

SSL-VPN (auch Web-basierendes VPN) unterstützt einen VPN-Modus im Sinne des konventionellen VPNs (Fat Client SSL VPN). Daneben werden seit 2002 auch Lösungen mit dem Begriff SSL-VPN verbunden, die einen Fernzugriff auf Unternehmensanwendungen und gemeinsam genutzte Ressourcen realisieren, ohne dass sich die SSL-VPN-Partner dafür an das Unternehmensnetzwerk binden. Stattdessen basieren diese Lösungen auf einem Proxy-Mechanismus (Thin Client SSL VPN) oder darauf, dass die begehrte Unternehmensanwendung selbst eine Webanwendung ist (Clientless SSL VPN), auf die ein SSL-VPN-Partner über eine gesicherte Verbindung zugreifen kann, ohne jedoch einen direkten Zugriff auf das Unternehmensnetz zu erhalten.

Konventionelle VPNs

Ihrem Ursprung nach bilden VPNs innerhalb eines öffentlichen Wählnetzes in sich geschlossene virtuelle Teilnetze.Mit einem solchen Teilnetz ist ein separates Netzwerk gemeint, welches in dem darüber liegenden Wählnetz derart eingebettet ist, dass es von den anderen Netzen nichts mitbekommt – gerade so, als verfüge jedes VPN über seine eigene Leitung. Solche VPNs sind unter anderem Netze der Sprachkommunikation, X.25, Frame Relay oder ISDN, die dank dieses Konzepts über ein und dieselbe physische Infrastruktur, dem öffentlichen Wählnetz, parallel betrieben werden können. Faktisch ist es so, dass ein Teilnehmer zwar physisch am öffentlichen Wählnetz angeschlossen ist, jedoch durch VPN an ein anderes Netz gebunden wird, das seinen eigenen Regeln folgt, angefangen von der Art der Adressierung und Aufteilung bis hin zum verwendeten Kommunikationsprotokoll.

Man kann sagen, VPN ist ein eigenständiges Netz, gekapselt in einem anderen Netz.

Heute wird VPN alltagssprachlich gebraucht, um ein (meist verschlüsseltes) virtuelles IP-Netz zu bezeichnen, welches nicht in einem Wählnetz, sondern innerhalb eines anderen IP-Netzes (meist dem öffentlichen Internet) ein solches in sich geschlossenes Teilnetz bildet. Im Folgenden wird von diesem sprachgebräuchlichen (IP-)VPN ausgegangen.

Grundlagen

Das Netz, an das VPN seine Teilnehmer bindet, wird im Folgenden zugeordnetes Netz genannt.

Das zugeordnete Netz kann in einem physischen Netz münden, in das externe Geräte mit Hilfe von VPN über ein spezielles (VPN-)Gateway aufgenommen werden („Site-to-End“-VPN). Sie, die VPN-Partner, werden dadurch zum Bestandteil des zugeordneten Netzes und sind nun von dort aus direkt adressierbar – praktisch so, als befänden sie sich mittendrin. Aufgrund dieser Illusion spricht man bezüglich der VPN-Partner von einem virtuellen Netz.

Das Gateway kann auch auf ein rein virtuelles Netz zeigen, welches lediglich aus weiteren VPN-Partnern besteht (Ende-zu-Ende-VPN).

Daneben besteht die Möglichkeit, zwei zueinander kompatible Netzwerke, die an ein und demselben benachbarten Netz angrenzen, miteinander zu verbinden (Site-to-Site-VPN), wobei auch hier das dazwischen liegende benachbarte Netz von einer vollkommen anderen Art sein kann.

VPN bildet dabei ein logisches Teilnetz, welches sich in das benachbarte Netz einbettet und die dort üblichen Adressierungsmechanismen nutzt, datentechnisch aber eigene Netzwerkpakete transportiert und so vom Rest dieses Netzes losgelöst arbeitet. Es ermöglicht die Kommunikation der darin befindlichen VPN-Partner mit dem zugeordneten Netz, basiert auf einer Tunneltechnik, ist individuell konfigurierbar, kundenspezifisch und in sich geschlossen (daher „privat“).

Eine Schnittstelle vorausgesetzt, die eine Kommunikation der VPN-Partner mit dem jeweils angrenzenden Netz bis hin zum VPN-Gateway erlaubt, funktioniert VPN auch über mehr als zwei Netzwerke hinweg.

Gegenseitig erreichbare Netze

Sobald wenigstens zwei separate Netzwerke über ein Gerät miteinander verbunden sind, handelt es sich um gegenseitig erreichbare Netze. Das Verbindungsgerät ermöglicht eine Kommunikation zwischen den Netzwerken und könnte zum Beispiel ein (NAT-)Router oder ein Gateway sein; bei rein virtuellen Netzen kann auch ein Teilnehmer des virtuellen Netzes diese Funktion übernehmen.

VPN ist ein reines Softwareprodukt

Die erreichbaren Netze bilden zusammen die Hardware (die Geräte selbst, zuzüglich Kabel etc.) und Software (die wiederum von den Geräten benötigt wird, um ihnen „zu sagen“, was sie überhaupt machen sollen).

Um ein Gerät aus seinem ursprünglichen Netz heraus an ein von dort aus erreichbares Netz zu binden, wird zusätzlich zu der oben beschriebenen Verbindung eine VPN-Software benötigt. In der klassischen Konfiguration wird sie zum einen auf dem Gerät installiert, das die Netzwerke miteinander verbindet, und zum anderen auf das einzubindende externe Gerät gebracht. VPN funktioniert, ohne dass dafür ein zusätzliches Kabel verlegt oder sonst irgendetwas an Hardware hinzugefügt zu werden braucht. Es ist daher ein reines Softwareprodukt.

Allerdings gibt es Hardware, die für die Verwendung der VPN-Software optimiert wurde, zum Beispiel indem ein entsprechender Hardware-Entwurf dabei hilft, Teile der (optionalen) Verschlüsselung zu beschleunigen.

Das verbindende Gerät wird durch die Softwareinstallation – zusätzlich zu seiner bisherigen Funktion – zu einem VPN-Gateway (auch VPN-Einwahlknoten).

Funktionsweise

Wie in der Animation zu sehen ist, findet zunächst eine Einwahl ins Internet statt (bei einem Zugang per Notebook z.B. mittels PPP). Hierzu kann ein beliebiger Provider und eine jede verfügbare Zugangstechnik (z.B. also auch DSL, HSCSD etc.) verwendet werden! Anschließend erfolgt der Aufbau eines sicheren "Tunnel" zwischen dem VPN-Client und dem VPN-Server. Hierbei muss sich der VPN-Client gegenüber dem VPN-Server authentisieren. Das erfolgt im einfachsten Fall per Username/ Password (bei einer Site To Site Verbindung Shared Secret genannt), bei höheren Sicherheitsanforderungen mittels Token-Card oder öffentlichem Schlüssel/ Zertifikat. Erst nach erfolgreicher Authentisierung wird der verschlüsselte IPsec-Tunnel aufgebaut, über den dann ein absolut abhörfreier Datenverkehr ins Unternehmensnetz hinein (bzw. von Standort zu Standort) erfolgen kann. Hierbei ist der VPN-Client im allgemeinen so konfiguriert, dass er nach dem Aufbau des Tunnels keine Verbindung zum Internet mehr besitzt und von dort auch nicht mehr angesprochen werden kann (Unterbinden des sog. Split-Tunnel). Gleichzeitig bekommt der Client eine IP-Adresse aus dem Firmennetzwerk (Intranet) zugewiesen (z.B. eine private Adresse), die bei Remote Access eineindeutig mit dem Usernamen des Anwenders gekoppelt ist. Auf diese Weise ist es möglich, bei Bedarf das firmenseitige Ende des Tunnels noch durch eine Firewall zu sichern. Der Anwender kann nun von jedem Internetanschluss der Welt so arbeiten, als ob er direkt an Firmen-Netz (Intranet) angeschlossen wäre. Da er auch das Internet nicht mehr "sieht" ist das private Netz virtuell bis zu ihm verlängert - was den Namen VPN ("virtuelles privates Netz" - engl.: "virtual private network") erklärt

Verschlüsselung

Abhängig vom verwendeten VPN-Protokoll lassen sich die Netzwerkpakete zudem verschlüsseln. Da die Verbindung dadurch abhör- und manipulationssicher wird, kann eine Verbindung zum VPN-Partner durch ein unsicheres Netz hindurch aufgebaut werden, ohne dabei ein erhöhtes Sicherheitsrisiko einzugehen.[2] Alternativ dazu lassen sich über VPN auch ungesicherte Klartextverbindungen aufbauen

Praktischer Nutzen eines VPNs

Sobald ein Computer eine VPN-Verbindung aufbaut, ist der Vorgang vergleichbar mit dem Umstecken seines Netzwerkkabels von seinem ursprünglichen Netz an das neu zugeordnete Netz, mit allen Auswirkungen wie geänderten IP-Adressen und Unterschieden beim Routing.

Ruft der Rechner zum Beispiel eine Webseite auf, so wird die Anfrage nun aus dem neu zugeordneten Netz heraus in das Internet geleitet. Die Anfrage unterliegt so den Restriktionen des zugeordneten Netzes und nicht mehr denen des ursprünglichen Netzes. Das nutzen zum Beispiel Journalisten in Ländern, in denen der freie Zugriff auf das Internet nicht möglich ist, um die Zugriffsbeschränkung zu umgehen. Die einzige Voraussetzung besteht darin, dass der Computer aus seinem ursprünglichen Netz heraus eine Verbindung zum VPN-Gateway aufbauen kann. Das VPN-Gateway befindet sich hierfür in der Regel in einem anderen Land bzw. einem Netz mit freiem Internetzugang. Man spricht davon, dass die Internetanfragen (wie auch sämtliche weitere Netzwerkanfragen) über VPN getunnelt werden.

Ein weiterer Grund, um Internetzugriffe zu tunneln, besteht im Schutz der Privatsphäre. Für das Handy, das Notebook und andere Geräte gilt gleichermaßen, dass der Datenverkehr von Dritten leicht mitgelesen werden kann, sobald für den Internetzugriff ein öffentlicher Zugang genutzt wird. Nicht jeder Zugriff lässt sich über den direkten Weg verschlüsselt aufbauen und selbst wenn der Anwender für bestimmte Vorgänge eine verschlüsselte Verbindung nutzt, bleibt die Information einsehbar, wohin er sich gerade verbunden hat. Ein VPN-Tunnel löst beide Probleme, da (je nach VPN-Protokoll) hier eine Verschlüsselung sämtlicher Netzwerkpakete möglich ist. Zudem kann derjenige, der den Datenverkehr des öffentlichen Zugangs möglicherweise mitliest, nur noch eine Verbindung zum VPN-Gateway erkennen. Das tatsächliche Ziel bleibt ihm verborgen, da er nicht einsehen kann, wohin von dort aus die Verbindung weitergeleitet wird.

Dies sind nur zwei ausgesuchte Beispiele, die zum einen den Nutzen bezüglich des Netzwerkwechsels aufzeigen und zum anderen auf den Nutzen einer möglichen Verschlüsselung eingehen. Die sich daraus ergebenden Anwendungsmöglichkeiten sind vielfältig.

Anwendungsmöglichkeiten

• Über VPN können lokale Netze mehrerer Geschäftsstellen über das Internet auf eine sichere Art miteinander verbunden werden (eine so genannte Site-to-Site-Verbindung).
• Der Computer eines Mitarbeiters kann über VPN von Zuhause aus einen gesicherten Zugriff auf das Firmennetz erlangen. Dazu baut er eine Verbindung zum Internet auf. Dann startet er eine VPN-Software (den VPN-Client, der die Beschaffenheit des Firmennetzes auf dem lokalen Computer virtuell nachbildet). Diese baut über das Internet eine Verbindung zum VPN-Gateway der Firma auf. Nach der Authentifizierung hat der Mitarbeiter Zugriff auf das Firmennetz – gerade so, als säße er mittendrin. Diese Verbindungsart wird Site-to-End genannt. Das Verfahren wird auch verwendet, um WLAN und andere Funkstrecken zu sichern.
• In Abgrenzung zum Site-to-End-VPN wird von einigen Herstellern (zum Beispiel bei MSDN[10], auf netmotionwireless.com[11], bei VoIP-Info.de[12], auf tomsnetworking.de[13]) „Mobile VPN“ als Bezeichnung für ein VPN genutzt, welches nahtloses Roaming zwischen zum Beispiel GPRS, UMTS und WLAN unterstützt. Dadurch soll eine dauerhafte Netzwerkverbindung ohne ständiges Neueinwählen ermöglicht werden.
• Es ist auch möglich, dass sich der Rechner des Mitarbeiters per VPN nicht in ein entferntes physisches Firmennetz hängt, sondern direkt an einen Server bindet. VPN dient hier dem gesicherten Zugriff auf den Server. Diese Verbindungsart wird Ende-zu-Ende (englisch „end-to-end“) genannt. Auf diese Weise ist es auch möglich, ein logisch (jedoch nicht physisch) abgekapseltes virtuelles Netz aufzubauen, welches lediglich aus weiteren VPN-Partnern besteht, die sich ebenfalls mit dem Server verbunden haben. Die VPN-Partner können nun gesichert miteinander kommunizieren.
• FreeS/WAN sowie dessen Nachfolger Openswan und strongSwan bieten noch die Möglichkeit der so genannten „opportunistic encryption“: Es wird zu jedem Computer, mit dem der eigene Computer Daten austauscht, ein Tunnel aufgebaut, wenn dieser einen Schlüssel per DNS bereitstellt.
• Es besteht auch die Möglichkeit, dass sich zwei Server über VPN miteinander unterhalten können, ohne dass die Kommunikation durch Dritte eingesehen werden kann (das entspricht einer Ende-zu-Ende-Verbindung, welche für einen solchen Fall mitunter auch Host-to-Host genannt wird).
• Ähnlich wie bei der Einwahl eines privaten PCs von Zuhause in ein Firmennetz können sich auch beliebige Clients aus dem Firmennetz in ein separates, speziell gesichertes Netz innerhalb der Firma per VPN einwählen: ein privates (datentechnisch abgekapseltes) Netz innerhalb des Firmennetzes also, bei dem die Clients bis zum VPN-Gateway dieselbe physikalische Leitung verwenden wie alle anderen Clients des Netzes auch – mit dem Unterschied, dass sämtliche VPN-Netzpakete bis zum Gateway verschlüsselt übertragen werden können.

Sicherheit

Durch die Verwendung von Passwörtern, öffentlichen Schlüsseln oder durch ein digitales Zertifikat kann die Authentifizierung der VPN-Endpunkte gewährleistet werden. Daneben werden auch Hardware-basierte Systeme wie bei SecurID angeboten..

Die virtuelle Netzwerkkarte einer VPN-Sitzung

Die Tunnelsoftware des Clients sorgt in der Regel dafür, dass der Client nur noch die Kommunikationspartner des VPN-Netzes, nicht aber die übrigen Computer seines ursprünglichen Netzes erreicht. In diesem Modus können die Computer aus dem ursprünglichen Netz des Clients auch keine Verbindung mehr zu einem seiner (möglichen) Netzwerkdienste aufbauen. Das wird mithilfe einer systeminternen virtuellen Netzwerkkarte erreicht. Sie wird von der VPN-Client-Software bei der Erstellung einer Sitzung angelegt und im Folgenden VPN-Adapter genannt.

Der VPN-Adapter ist lokal adressierbar, kann aber nicht vom Netz aus angesprochen werden. In dem beschriebenen Modus können sämtliche Programme dieses Computers per Systemroute ihre Netzwerkpakete nur noch an den VPN-Adapter schicken. Alle dort eingehenden Pakete werden nun automatisch von der Tunnelsoftware in Empfang genommen.

Der VPN-Adapter erhält dieselbe IP-Adresse, welche der Sitzung auf dem VPN-Gateway zugewiesen wurde. Zum einen wird dadurch dem Client die Möglichkeit gegeben, über Standardmethoden die gerade aktuelle eigene IP-Adresse innerhalb des VPN-Netzes zu erfragen. Zum anderen erhalten auch alle darüber verschickten Netzwerkpakete bereits hier eine für das VPN-Netz gültige Absenderadresse.

Die an den VPN-Adapter eingehenden Pakete werden von der Tunnelsoftware nun ggf. verschlüsselt und in das separat adressierbare VPN-Protokoll verpackt (innerhalb eines TCP/IP-Netzes ist es genau genommen das Internet-Protokoll (IP), welches dem VPN-Protokoll als Transportmittel dient und die Adressierung realisiert). Der Original-Header wird in der Regel durch einen „Encryption Protocol Header“ ersetzt, wodurch man selbst aus dem Header nun keinerlei Informationen der Originalpakete mehr erhält.

Die Pakete werden nun über die real vorhandene Netzwerkkarte des Clients zum Tunnelpartner ins Netz geschickt. Auf diese Weise erhalten sie die Absenderadresse der Netzwerkkarte und nicht die des VPN-Adapters. Nur so können die Antwortpakete adressierungstechnisch auch wieder zum Client gelangen.

Erst wenn das VPN-Gateway auf der Gegenseite die ursprünglichen Pakete aus dem VPN-Protokoll extrahiert hat, kommen auch wieder ihre ursprünglichen (VPN-) Adressen zum Vorschein (Zielsystem=Computer aus dem Netz hinter dem VPN-Gateway und Absender=Adresse des VPN-Adapters). Es liegt nun an dem VPN-Gateway die an den VPN-Adapter adressierten Antwortpakete des Zielsystems abzufangen, in das VPN-Protokoll zu packen und die VPN-Pakete wieder an die wahre Netzwerkadresse (auf dem Port der Tunnelsoftware) zurückzuschicken, damit sie den Client erreichen können.

Stellt der Client einen Netzwerkdienst innerhalb des VPNs bereit, so muss sich der Dienst an den virtuellen VPN-Adapter binden.

SSL-VPNs

SSL-VPNs nutzen das gesicherte SSL- oder TLS-Protokoll für die Übertragung ihrer Daten.

Auch wenn hier ein vollumfängliches VPN im Sinne des konventionellen VPNs möglich ist, wurden Site-to-Site-Lösungen fast vollständig von IPsec-basierenden VPNs abgelöst. Ein Fat Client SSL VPN kann allerdings noch immer einen Site-to-End-Zugang bieten, für den Fall dass ein Mitarbeiter aufgrund der Beschränkungen bei einem Kunden keinen IPsec-Tunnel aufbauen kann.[4] Genau wie bei dem konventionellen VPN ist es dafür notwendig, auf dem Computer eine VPN-Client-Software zu installieren, die dort das zugeordnete Netz virtuell nachbildet (siehe VPN-Adapter). Darüber ist es dann möglich, den kompletten Netzwerkverkehr über die verschlüsselte SSL-Verbindung zu übertragen und so den PC an das entfernte Netz zu binden.

Bei allen anderen SSL-VPNs entfällt die Installation der sonst üblichen VPN-Client-Software zumindest teilweise.

Ein Thin Client SSL VPN benötigt lediglich ein Plugin (eine Art Erweiterungsbaustein) für einen Webbrowser, wobei der Browser auf den gängigsten Betriebssystemen bereits vorinstalliert ist. Das heruntergeladene Plugin arbeitet auf dem Client als Proxy und ermöglicht so den Zugang zu entsprechenden Netzwerkdiensten aus dem entfernten Netz.

Ein Clientless SSL VPN greift ohne spezielle Softwareerweiterungen über einen Browser auf Webseiten des Internetservers eines Unternehmens zu.[3] Der Fernzugriff ist hierbei lediglich auf Webanwendungen des Servers möglich. Der Webserver des Unternehmens kann intern eine Umsetzung für die Kommunikation mit anderen Unternehmensanwendungen realisieren und so als Schnittstelle zu diesen Anwendungen fungieren. Jedoch ist der Web-Zugriff darauf oft nur bedingt möglich, wenn diese Anwendungen nicht ebenfalls Web-basierend sind.

links zum Thema

• VPN : Sichere Verbindung ins Heimnetz einrichten
• Kurzanleitung Installation Open-VPN unter Ubuntu

Downloads zum Thema

• VPN – Virtual Private Network .pdf
• VPS - VPN Anleitung.pdf
• VPN_Verbindungsaufbau_mittels_PPTP.pdf

Weblinks

• Vergleich von VPN-Techniken im Computerwoche-Wiki
• Erweiterte Erklärung auf glossar.de
• von VPN Einführung über Tunnelling, Layer 2 & 3 bis Firewall Based in einem Tutorial zusammengefasst
• VPN-Knigge Heise Artikel aus c't 07/06, Seite 114 von Daniel Bachfeld
• Übersicht über kommerzielle VPN-Anbieter weltweit

Quellenangaben

http://de.wikipedia.org/

[ nach Oben ]