Mittwoch, 6. Juni 2012


Topthema

Donnerstag, 11. Januar 2007 | Topthema

About Security #88: Virtuelle Private Netze — Grundlagen

(Link zum Artikel: http://www.entwickler.de/php/kolumnen/033580)
  • Teilen
  • kommentieren
  • empfehlen
  • Bookmark and Share

Ab dieser Folge geht es um Virtuelle Private Netze (Virtual Private Network, VPN). Was ist das eigentlich, ein Virtuelles Privates Netz? 'Virtuell' beschreibt etwas eigentlich gar nicht Vorhandenes, sondern nur Simuliertes. In diesem Fall ein 'Privates Netz'. 'Privates' wird als Abgrenzung zur �ffentlichkeit verwendet, das virtuelle Netz ist also nicht f�r jedermann zug�nglich, sondern nur f�r einen beschr�nkten Benutzerkreis. Dass das 'Netz' ein (Computer-)Netzwerk ist, ist wohl selbstverst�ndlich. Ein Virtuelles Privates Netz ist also ein simuliertes privates (Computer-)Netzwerk, das seine Daten �ber ein �ffentliches (Computer-)Netzwerk �bertr�gt. Dabei bedeutet 'privat' nicht automatisch, dass die Daten verschl�sselt �bertragen werden, auch wenn sich dies anbietet und heute meist auch so gehandhabt wird. Aber in der eigentlichen Bedeutung ist 'Privat' nur als Abgrenzung zum f�r den Transport verwendeten �ffentlichen Netz zu verstehen. Das Gegenteil eines virtuellen privaten Netzes ist ein echtes privates Netz, bei dem die gesamte Netzwerktopologie dem jeweiligen Betreiber geh�rt oder zumindest ausschlie�lich von ihm genutzt wird.

N E U ! Security aktuell
T�glich aktuelle Security-Infos!

Als Vorl�ufer der heutigen Computer-VPN k�nnen z.B. die geschlossenen Nummernkreise innerhalb eines Telefonnetzes angesehen werden: Obwohl die Teilnehmer sich teilweise eigentlich in verschiedenen Ortsnetzen befinden, k�nnen alle Teilnehmer innerhalb des geschlossenen Nummernkreises direkt �ber die interne Telefonnummer, ohne Wahl einer Vorwahl, erreicht werden. Aus Sicht der Teilnehmer stellt sich der geschlossene Nummernkreis wie ein privates Telefonnetz dar, auch wenn tats�chlich das �ffentliche Netz des Telefonanbieters f�r die �bertragung verwendet wird.

Die Teilnehmer eines VPN �bertragen ihre Daten wie in einem herk�mmlichen lokalen Netzwerk. Die VPN-Verbindung wird daher auch als Tunnel bezeichnet: Das im lokalen Netz verwendete Netzwerkprotokoll wird in das verwendete VPN-Protokoll eingebettet und darin durch das �ffentliche Netz �bertragen. Im Folgenden wird von der Nutzung des Internets f�r die Kommunikation ausgegangen. Beliebige andere Netze k�nnten ebenso verwendet werden.

Virtuelles Privates Netz, allgemein

Grunds�tzlich gibt es drei Arten von VPN-Verbindungen: Site-to-Site, Site-to-End und Host-to-Host.

Site-to-Site- oder Branch-Office-VPN

Bei einem Site-to-Site- oder Branch-Office-VPN werden zwei lokale Netze miteinander verbunden. Dazu werden so genannte VPN-Gateways verwendet, die untereinander eine VPN-Verbindung aufbauen und f�r das jeweils andere Netz bestimmte Datenpakete dar�ber �bertragen. Ein typischer Anwendungsfall ist die Verbindung zweier Standorte eines Unternehmens.

Ein Spezialfall der Site-to-Site-VPNs sind die so genannten Extranet-VPNs, bei denen die verbundenen lokalen Netze verschiedenen Organisationen angeh�ren, z.B. zwei kooperierenden, aber ansonsten voneinander unabh�ngigen Unternehmen.

Virtuelles Privates Netz: Site-to-Site
Site-to-End- oder Remote-Access-VPN

Bei einem Site-to-End- oder Remote-Access-VPN werden einzelne externe Rechner �ber eine VPN-Verbindung mit einem lokalen Netz verbunden. Dabei baut der externe Rechner eine Verbindung zum VPN-Gateway des lokalen Netzes auf und arbeitet danach wie ein normaler Rechner im lokalen Netz. Ein typischer Anwendungsfall ist die Anbindung eines Au�endienstmitarbeiters oder Heimb�ros an das lokale Netz eines Unternehmens.

Virtuelles Privates Netz: Site-to-End
Host-to-Host-VPN

Bei einem Host-to-Host-VPN wird eine VPN-Verbindung zwischen zwei einzelnen Rechnern aufgebaut. Ein typischer Anwendungsfall ist der Schutz der Kommunikation zwischen zwei Rechnern mit sehr hohem Schutzbedarf.

Virtuelles Privates Netz: Host-to-Host
Einordnung des VPN in die bereits bekannten Schutzma�nahmen

Einem mit einem nicht vertrauensw�rdigen Netz wie z.B. dem Internet verbundenen Netzwerk drohen im Wesentlichen vier Gefahren:

  • Eindringen eines entfernten Angreifers in das lokale Netz durch Ausnutzen einer Sicherheitsl�cke oder Schwachstelle
  • Einschleichen eines entfernten Angreifers in das lokale Netz durch Vort�uschen einer falschen Identit�t
  • Manipulation der �ber das nichtvertrauensw�rdige Netz �bertragenen Daten
  • Lesen der �ber das nichtvertrauensw�rdige Netz �bertragenen Daten (Sniffen)
About Security: Die komplette Serie

Bisher wurden folgende Schutzma�nahmen vorgestellt:

  • Eine Firewall (About Security #28 ff) und Intrusion-Prevention-Systeme (About Security #49) sch�tzen das lokale Netz vor einem Einbruch.
  • Eine Authentifizierung auf Zertifikatbasis, z.B. auch im Rahmen eines Single Sign-On (About Security #86 f), sch�tzt vor dem Einschleichen eines Angreifers.
  • Die Verschl�sselung der E-Mails (About Security #85) sch�tzt diese (aber auch nur diese) vor der Manipulation und dem Lesen w�hrend der �bertragung.

Das VPN erg�nzt diese Schutzma�nahmen um eine Authentifizierung der sich mit dem lokalen Netz verbindenden Systeme bzw. Netze sowie den Schutz der Vertraulichkeit und Integrit�t der �bertragenen Daten.

Ein VPN mit verschl�sselter �bertragung ist also quasi die Ausdehnung des selektiven Schutzes einzelner E-Mails oder Dateien durch einen verschl�sselten Versand auf die gesamte Kommunikation: Statt nur einzelne Daten zu verschl�sseln, wird die gesamte Verbindung verschl�sselt. Wie das funktioniert, erfahren Sie in der n�chsten Folge.

Wenn Sie Fragen oder Themenvorschl�ge haben, k�nnen Sie diese gerne an die angegebene E-Mail-Adresse senden oder im Security-Forum einbringen!

Carsten Eilers

About Security � �bersicht zum aktuellen Thema "VPN � Virtuelle Private Netze"

Kommentare

Folgende Links könnten Sie auch interessieren

  • Apache Kochbuch  [13.02.2006]
    [http://entwickler.de/zonen/portale/psecom,id,102,buch,490,.html]
  • Community Building  [25.04.2005]
    [http://entwickler.de/zonen/portale/psecom,id,102,buch,109,.html]
  • IT-Sicherheit  [19.04.2007]
    [http://entwickler.de/zonen/portale/psecom,id,102,buch,616,.html]
  • Klebstoff für das Web 2.0  [06.12.2006]
    [http://entwickler.de/zonen/portale/psecom,id,101,online,1045,.html]
  • Vierter Aufzug, vierte Szene  [12.04.2006]
    [http://entwickler.de/zonen/portale/psecom,id,101,online,816,.html]