In einem virtuellen privaten Netz kommen drei Basistechniken zum Einsatz: das "Einpacken" von IP-Paketen (Tunneling), Verschlüsselung sowie die Authentifizierung.
Einpacken (Encapsulation)
Das Einpacken (Encapsulation) ist notwendig, weil jeder Bestandteil eines IP-Paketes Informationen enthält, die für einen unbefugten Dritten von Interesse sein könnten. Der IP-Header beispielsweise enthält die Quell- und Zieladresse des Paketes. Ein Hacker könnte sich mit Hilfe dieser Information in die Kommunikation des Absenders mit dem Zielserver "einklinken" und sie manipulieren. Zudem hat er die Möglichkeit, sich als der eigentliche Absender von Daten auszugeben.
Werden die Header-Informationen jedoch verschlüsselt, um Manipulationen auszuschließen, bekommen die Router im Internet ein Problem: Sie sind auf die Daten im Kopf angewiesen, um die Pakete korrekt weiterzuleiten. Dieses Problem löst der IPSec-Sicherheitstandard, indem er im Tunnelmodus die Informationen des Kopffeldes verschlüsselt und sie in einen anderen IP-Header einpackt.
Die anderen Bestandteile eines IP-Paketes sind zusätzliche Header-Informationen sowie die eigentlichen Nutzerdaten. Letztere enthalten unter anderem ID-Nummern und Passwörter des Users. Deshalb ist es notwendig, das gesamte Paket zu verschlüsseln, bevor es die Reise über das Internet antritt.
Verschlüsselung
In einem VPN ist es Aufgabe des VPN-Gateways, die Informationen zu verschlüsseln, bevor sie das LAN verlassen und über die Weitverkehrsverbindung versendet werden. Das Gateway beim Empfänger setzt die Daten wieder in Klartext um und speist sie in das lokale Netz ein. Die Daten werden mit Hilfe von Algorithmen verschlüsselt, wie etwa Data Encryption Standard (DES), Blowfish oder der Advanced Encryption Standard (AES).
Wie sicher die Informationen gegen Entschlüsselungsversuche sind, hängt von der Länge des "Key" ab. Viele VPN-Produkte verwenden Schlüssel mit 168 Bit, die ein ausreichendes Maß an Sicherheit bieten. Weitere Informationen zur Verschlüsselung mit AES sind in der Print-Ausgabe von NetworkWorld 5/2001 auf Seite 34 f. zu finden.
Wird derselbe Schlüssel dazu verwendet, um Informationen zu kodieren und zu dekodieren, spricht man von einem symmetrischen Verschlüsselungsverfahren. In einem VPN besitzen die Kommunikationspartner an beiden Enden des VPN-Tunnels diesen Key. Das Hauptproblem bei diesem Verfahren ist, den Schlüssel zu übermitteln. Aus Sicherheitsgründen kommt dafür das Internet als Transportweg nicht in Betracht. Bei asymmetrischen Verfahren sind zwei Schlüssel im Spiel. Die Informationen werden mit dem einen chiffriert und mit einem zweiten dechiffriert.
Authentifizierung
Die Authentifizierung soll folgende Frage beantworten: "Bist Du wirklich derjenige, für den Du Dich ausgibst?" Diese Frage bezieht sich sowohl auf einen User oder ein System als auch auf die übermittelten Daten. Im ersten Fall soll geklärt werden, ob der Sender oder Empfänger tatsächlich der "richtige" Kommunikationspartner ist. Dazu sendet beispielsweise A an B eine Zufallszahl; B chiffriert diese mit einem Schlüssel, der A und B bekannt ist, und sendet sie dann an A zurück. A entschlüsselt die Zahl und vergleicht sie mit der, die er ursprünglich an B gesendet hat. Sind beide identisch, ist klar, dass tatsächlich B am anderen Ende der Verbindung sitzt.
Die Authentifizierung von Daten soll verhindern, dass Pakete während des Transports über das Internet manipuliert werden. In der Regel werden zu diesem Zweck Hash-Funktionen eingesetzt. Sie erzeugen auf Basis des Inhaltes eines Datenpaketes eine individuelle Prüfsumme und fügen sie den übermittelten Informationen hinzu. Das passiert, bevor die Daten verschlüsselt werden. Die Prüfsumme lässt sich mit einem Fingerabdruck vergleichen: Werden die Nutzdaten verändert, wirkt sich das auch auf die Prüfsumme aus.
Der Empfänger dechiffriert die Daten. Dann errechnet auch er anhand des Inhaltes des Paketes die entsprechende Prüfsumme und vergleicht sie mit der Zahl, die zusammen mit den Daten übertragen wurde. Stimmen beide überein, wurden die Informationen während des Transports nicht verändert. (re)