Ein Virtuelles Privates Netz (VPN) stellt unter Nutzung einer öffentlichen und unsicheren Infrastruktur die gleichen Merkmale bezüglich Sicherheit, Verwaltung und Durchsatz bereit wie ein Netz, das auf einer privaten Infrastruktur basiert.
Damit ermöglichen VPNs die sichere Kommunikation über unsichere Netze wie speziell das Internet. Sie erlauben damit die kostengünstige, leistungsfähige flexible und sichere Anbindung von Firmenniederlassungen, von Mitarbeitern im Außendienst und Heimarbeitern oder Geschäftspartnern. VPNs bieten also eine Alternative zu Stand- oder Einwahlleitungen über Telekommunikationsnetze, wie sie in herkömmlichen Anbindungen Verwendung finden.
Dabei bezieht sich der Begriff VPN nicht auf eine spezielle Implementierung oder Architektur, sondern stellt eine (oft eher Marketing-getriebene) Bezeichnung für eine Netzankopplung dar, die den Aufgaben der Verschlüsselung und der Authentifizierung besonderes Augenmerk widmet.
| |
Teil 1 | |
|---|---|
Teil 2 | |
Teil 3 | |
Teil 4 | |
Teil 5 | |
Teil 6 |
Die wichtigsten Aspekte zum Thema Sicherheit finden Sie auf über 230 Seiten in unserem tecCHANNEL-Compact "IT-Security", das Sie online zum Vorzugspreis von 8,90 Euro bestellen oder für 4,90 Euro als PDF downloaden können. In unserem Premium-Bereich gibt es diese und weitere tecCHANNEL-Compact-Ausgaben kostenlos zum Download.
Herkömmliche Netzkopplung
Im herkömmlichen Aufbau von Unternehmensnetzen findet die Kopplung im Wesentlichen in drei Varianten statt:
Wählleitungen (Dial-up Lines) greifen unmittelbar auf die Ressourcen der sprachorientierten und leitungsvermittelnden Tk-Netze zurück. Sie kommen überall da zum Einsatz, wo sich Standorte relativ oft verändern oder das Verkehrsaufkommen keine aufwendigere Lösung gestattet.
Standleitungen (Leased Lines) stellen im Wesentlichen eine dauernd geschaltete Wählverbindung dar, die zu einem vergleichsweise günstigen Preis angeboten wird.
Datenleitungen nutzen paketvermittelnde Netze wie Frame Relay oder ATM.
Folgende Eigenschaften sind diesen Lösungen (in unterschiedlicher Intensität) gemeinsam:
Es fallen relativ hohe Nutzungsentgelte an. Dies gilt insbesondere bei der Überbrückung großer Entfernungen oder bei einer hohen Anzahl zu koppelnder Netzwerke.
Es handelt sich - mit Ausnahme der Wählverbindung - um relativ starre Lösungen. Die Dienste werden in der Regel von einem Carrier bereitgestellt und müssen oft manuell eingerichtet werden.
Aus dem Transport über die Netze privater Carrier resultiert ein in der Regel sehr hohes Sicherheitsniveau.
Bei Verwendung leitungsvermittelnder Netze kann eine unter allen Umständen zur Verfügung stehende Übertragungsbandbreite garantiert werden.
Kopplung via VPN
Bei der Kopplung von Unternehmensnetzen über ein VPN nutzt man die Übertragungsressourcen des Internet. Hierzu zählen sowohl die Kapazitäten auf dem Backbone, als auch die weltweit zur Verfügung stehenden Einwahlpunkte.
Daraus resultieren folgende Charakteristika:
Es fallen gegenüber der herkömmlichen Netzkopplung deutlich geringere Kosten an.
Verbindungen lassen sich wesentlich flexibler nutzen, da eine bereits bestehende Infrastruktur bedarfsorientiert herangezogen werden kann.
Die Nutzung des Internet stellt zusätzliche Sicherheitsanforderungen sowohl an die Netzwerk- als auch an die Endknoten.
Es stehen in aller Regel keine garantierten Bandbreiten zur Verfügung.
Innerhalb dieser Rahmenbedingungen bildet das VPN eine logische Netzwerkstruktur auf die physische Topologie ab.
VPN-Architektur
Um eine sichere Übertragung zu erreichen, sind insbesondere Aufgaben der Verschlüsselung und der Authentifizierung zu lösen. Dazu stehen grundsätzlich die in den Teilen 2 bis 5 dieser Reihe vorgestellten Technologien zur Verfügung, die in verschiedenen Architekturen eingesetzt werden können.
Dabei unterscheidet man bei VPNs generell drei Architekturvarianten:
Ein Remote-Access-VPN stellt die sichere Verbindung von Home- und Mobile-Workern mit einer Firmenzentrale her. Es ersetzt also die klassische Dial-in-Anbindung über analoge oder ISDN-Wählleitungen. Dabei steigert das VPN die Verfügbarkeit des Zugangs, während sich die Einwahlkosten in der Regel reduzieren.
Ein Site-to-Site-VPN verbindet verteilte Firmenstandorte über das Internet. Es übernimmt dabei die Rolle, die im klassischen Aufbau Standleitungen beziehungsweise Frame-Relay- oder ATM-Kanäle spielen. Dabei steigt meist die verfügbare Bandbreite, während die Kosten wiederum sinken.
Ein Extranet-VPN bindet externe Geschäftspartner an. Das vereinfacht und verbilligt die Nutzung von Diensten wie Fax, Mail oder EDI (Electronic Data Interchange).
Endpunkte
Daneben lassen sich VPNs auch nach der Art der Endpunkte für die sichere Übertragung klassifizieren.
Hier unterscheidet man im Wesentlichen zwischen den fünf Varianten:
Router zu Router,
Router zu Firewall,
PC zu Router,
PC zu Server,
VPN-Gateway zu VPN-Gateway.
Protokolle
Zur Realisierung eines VPN steht eine Vielzahl von Protokollen zur Verfügung. In der Tat finden sämtliche in den vorangegangenen Teilen dieser Serie erläuterten Protokolle Anwendung.
Hierbei gilt es insbesondere zu beachten, dass zwar in vielen Fällen die zu Grunde liegenden Verschlüsselungsalgorithmen identisch sind, Architektur und Implementierung sich jedoch unter Umständen in wesentlichen Punkten unterscheiden.
Wahl der Transportschicht
Eine wesentliche Entscheidung bei der Auswahl einer passenden VPN-Architektur betrifft die Wahl der Schicht, auf der das VPN arbeiten soll. Dabei gilt grundsätzlich: Je tiefer die Schicht angesiedelt ist,
desto stärker hängt die Realisierung von den physischen oder logischen Übertragungsmechanismen ab, aber
desto weniger hängt sie von den höheren Schichten ab und
desto größer fällt meist der zusätzliche Verpackungsaufwand für Tunnelprotokolle aus, da diese in der Regel in den oberen Schichten aufsetzen.
Das wollen wir uns im Folgenden an einigen Beispielen näher ansehen.
Niedrigere Schichten sind flexibler
Über ein Layer-2-Protokoll wie L2TP lassen sich beliebige Netzwerkprotokolle übertragen, also beispielsweise sowohl IP als auch IPX. Bei Protokollen oberhalb der zweiten Schicht funktioniert das nicht mehr. IPsec etwa ist nur für die sichere Übertragung von IP-Datenverkehr ausgelegt.
Link-Layer-Protokolle erlauben aber auch den transparenten Verkehr des RADIUS-Protokolls. Dass dies nicht immer Vorteile bringt, zeigt beispielsweise der Einsatzbereich von ECP (PPP Encryption Control Protocol), das in erster Linie bei der Absicherung von Modemzugängen Anwendung findet.
Als Vertreter der Datensicherungsschicht ist ECP allerdings kein Ersatz für Protokolle auf Netzwerk- oder Transportebene. Nur diese gewähren eine durchgehende, anwendungsbezogene Absicherung der Daten.
Die Flexibilität bei Verwendung eines VPN auf einer niedrigeren Schicht muss unter Umständen mit einem deutlich erhöhten Tunnelaufwand erkauft werden. Dies sei am Beispiel des PPTP-Protokolls erläutert, das oberhalb der TCP-Schicht aufsetzt. Hier müssen die jeweiligen Header mehrfach angehängt werden: TCP-IP-PPTP-TCP-IP-PPP. Das führt zu einem erhöhten Verkehrsaufkommen und zu einem vergrößerten Verarbeitungsaufwand in den VPN-Knoten.
Höhere Schichten sind sicherer
Ein VPN-Protokoll auf Anwendungsebene wie SHTTP oder S/MIME ist nur für einen Dienst implementiert. Diese vermeintliche Schwäche lässt sich aber durchaus als zusätzliche Sicherheit für ein Netzwerk auffassen. VPN-Protokolle der niedrigeren Schichten können alle Dienste übertragen. Davon kann man sie zwar durch zusätzliche Filtermechanismen (Paketfilter) abhalten, diese Filterung ist aber inhärent unsicherer als die generelle Nichtverfügbarkeit von Diensten.
Auch SSL kommt stets anwendungsspezifisch zum Einsatz. Ein Anwender, der sich über SSL von außen ins Unternehmensnetzwerk einwählt, kann nur eine einzelne Server-seitige Applikation nutzen. Ein Wechsel der Anwendung während derselben SSL-Sitzung ist nicht möglich. VPN-Verbindungen über IPsec sind dagegen anwendungsunabhängig, der Datenaustausch erfolgt auf der Netzwerkschicht. Es lassen sich entweder zwei Netzwerke oder ein Client mit einem Netzwerk verbinden. Für die Verbindung von Niederlassungen oder mobilen Mitarbeitern mit der Unternehmenszentrale eignet sich auf jeden Fall ein IPsec-VPN besser als eine SSL-Verbindung.
Soll dagegen einer unbekannten Gegenstelle die Nutzung einer Anwendung ermöglicht werden, bietet SSL-Verschlüsselung eindeutig die geeignetere Methode. SSL-Verbindungen können von jedem Terminal aus aufgebaut werden, ohne dass sich die Kommunikationspartner kennen müssen. So lassen sich sensible Daten wie Kreditkartennummer und Bankverbindungen gegen externen Zugriff gesichert über das Internet verschicken.
L2TP vs. PPTP
Gegenüber dem älteren PPTP (das durch seine Verfügbarkeit auf vielen Windows-Systemen recht große Verbreitung genießt) bietet L2TP eine Reihe von Vorteilen. So kann L2TP beliebige Netzwerkprotokolle in den PPP-Rahmen transportieren. PPTP dagegen befördert nur IP, IPX und NetBEUI. Dies stellt in der Praxis allerdings keine wesentliche Einschränkung dar.
Der Aufbau des Tunnels lässt sich bei PPTP nicht wie bei L2TP an den ISP delegieren. Der mobile PPTP-Client kontaktiert nach erfolgreicher PPP-Verbindung zum ISP eigenständig den PPTP-Server am Übergang zum Firmennetz. Möchte man sich als Administrator der Zeit raubenden Konfiguration von Zieladressen zum PPTP-Server auf den mobilen Clients entledigen, ist L2TP die bessere Wahl.
Gleiches gilt für den Fall, dass mehrere Tunnel zwischen den beiden Kommunikationspartnern betrieben werden sollen. PPTP kann nur einen Hin- und Rückkanal aufbauen, wohingegen das Feld Tunnel ID im Header einer L2TP-Nachricht den Aufbau mehrerer Tunnel ermöglicht.
Darüber hinaus waren bei PPTP Sicherheitslücken in der Microsoft-Implementierung zu konstatieren, die erst nachträglich durch Patches geschlossen wurden. Die Integration von L2TP in Windows 2000 und XP zeigt einen entsprechenden Richtungswechsel auch bei Microsoft an.
Positionierung von IPsec
IPsec spielt bei der VPN-Realisierung als allgemeine Plattform auf Netzwerkebene für die sichere Übertragung von IP-Datenverkehr eine zentrale Rolle. Deswegen wollen wir hier noch einmal die spezifischen Vor- und Nachteile zusammenstellen.
Zu den Vorteilen zählt, dass:
IPsec sich für alle Protokolle einsetzen lässt, die via IP übertragen werden können, und
IPsec die gesamte Kommunikation zwischen zwei Hosts abwickeln kann, wobei ISAKMP die schnelle Etablierung weiterer Security Associations ermöglicht.
Dem stehen jedoch auch gravierende Nachteile gegenüber:
Der Standard weist eine hohe Komplexität auf.
Die TCP/IP-Protokollsuite wird modifiziert, was unter Umständen sogar Eingriffe in das Betriebssystem notwendig macht.
Eine Unterstützung von NAT (Network Address Translation) ist nicht unmittelbar möglich, da der IP-Header mit seinen vermeintlich konstanten Feldern (Quell- und Zieladresse) geschützt wird.
Risiken von VPNs
Beim Einsatz von VPN sind eine Reihe von Risiken und Nebenwirkungen zu beachten. Einige davon sind technischer Natur, andere betreffen eher das Verhalten der Benutzer.
Hinsichtlich der Technik gilt es, folgende Aspekte zu beachten:
Nicht alle VPN-Systeme sind sicher gegen Man-in-the-Middle-Angriffe. Dies gilt insbesondere für die Phase des Aushandelns der Übertragungs- und Verschlüsselungsparameter.
Die Implementierung von VPNs erfordert auf Grund der Vielzahl und Komplexität der verfügbaren Protokolle eine Menge Vorarbeiten. Noch immer treten Inkompatibilitäten zwischen einzelnen Realisierungen auf, so dass momentan eher eine herstellereinheitliche Realisierung zu empfehlen ist.
Die Realisierung von VPNs erfordert je nach Architektur erhebliche zusätzliche Ressourcen. Dies betrifft nicht nur zusätzliches Equipment, sondern je nach Wahl der Verschlüsselungsverfahren auch einen erhöhten Bedarf an Rechenleistung insbesondere auf den Servern.
Risikofaktor Mensch
Doch nicht nur die Technik kann die Sicherheit von VPNs einschränken. Auch menschliches Verhalten tritt als zusätzlicher Risikofaktor auf.
So kann einerseits der Einsatz vermeintlich sicherer VPNs dazu führen, dass sich die Benutzer in falscher Sicherheit wiegen und auch sensitive Informationen übertragen, die sie sonst lediglich sicheren Netzen anvertrauen würden.
Andererseits konzentriert sich die Aufmerksamkeit potenzieller Angreifer nach der Implementierung eines VPN wieder verstärkt auf die Firmennetze selbst, da der Übertragungskanal hohe oder unmögliche Hürden stellt.
Fazit
Trotz zusätzlicher Aufwendungen rechnet sich der Einsatz eines VPN in der Regel bereits nach kurzer Zeit. Dies liegt vor allem an den Vorteilen, die aus den geringeren Leitungsgebühren erwachsen. Hinzu kommt die gestiegene Flexibilität in Bezug auf Anwendungen, Bandbreite und Verfügbarkeit.
Ungeachtet des schon erreichten Komplexitäts- und Sicherheitsniveaus fällt die Voraussage nicht schwer, dass im Bereich der Sicherheitsprotokolle auch künftig viele gleichermaßen interessante wie zunehmend schwer durchschaubare Entwicklungen zu beobachten sein werden. Dafür werden nicht zuletzt die stetig steigenden Fähigkeiten der Angreifer sorgen. (jlu)
| |
Teil 1 | |
|---|---|
Teil 2 | |
Teil 3 | |
Teil 4 | |
Teil 5 | |
Teil 6 |
Die wichtigsten Aspekte zum Thema Sicherheit finden Sie auf über 230 Seiten in unserem tecCHANNEL-Compact "IT-Security", das Sie online zum Vorzugspreis von 8,90 Euro bestellen oder für 4,90 Euro als PDF downloaden können. In unserem Premium-Bereich gibt es diese und weitere tecCHANNEL-Compact-Ausgaben kostenlos zum Download.