Standard mit Schwächen
VPNs auf Grundlage von Layer 2
Zu den bekanntesten Layer-2-Tunneling-Verfahren gehören Layer 2 Forwarding (L2F), das Layer 2 Tunneling Protocol (L2TP) sowie das Point-to-Point Tunneling Protocol (PPTP). Ein Layer-2-Tunnel ist quasi ein "virtuelles Kabel", das sich über jede IP-Plattform hinweg aufbauen lässt. Dabei ist es unerheblich, ob die IP-Router zwischen VPN-Client und Gateway Network Address Translation (NAT) einsetzen. Ein Layer-2-Tunnel ist multiprotokollfähig, das bedeutet, er unterstützt nicht nur IP, sondern auch IPX, SNA oder Netbios. Deshalb ist es bei einem Layer-2-VPN auch dann möglich, über ein öffentliches IP-Netz mit der Unternehmenszentrale zu kommunizieren, wenn andere Protokolle zum Einsatz kommen.
Um in einem Layer-2-VPN einen Tunnel aufzubauen, sind ein spezieller IP-Header, ein UDP- (User Datagram Protocol) oder TCP-Kopffeld (Transport Control Protocol) sowie ein Header erforderlich, der für das Tunneling-Verfahren spezifisch ist. Wie groß dieser "Overhead" pro Paket ist, hängt vom eingesetzten Verfahren ab. Normalerweise beträgt er 40 Byte. So gut sich das Layer-2-Tunneling für den Fernzugriff auf Netze auch eignen mag, so hat es doch einige Schwächen: So gewährleistet dieses Verfahren nur teilweise die Integrität der Daten. Zudem verwendet es mit CHAP/PAP (Challenge Handshake Authentication Protocol/Password Authentication Protocol) ein relativ schwaches Authentifizierungsverfahren. Weiter fehlen wesentliche Sicherheitsfunktionen, wie eine starke Verschlüsselung, die Unterstützung von digitalen Zertifikaten in einer Public Key Infrastructure (PKI) und ein leistungsfähiges Schlüsselmanagement.
Mithilfe einer Erweiterung des Point-to-Point-Protokolls lassen sich Sicherheitsmechanismen und Layer-2-VPN-Tunneling vereinen. Hier sind zwei Ansätze zu unterscheiden:
- die Erweiterung der PPP Authentication Phase (PAP/CHAP) sowie
- des PPP Encryption Control Protocol (ECP).
In beiden Fällen wird die Version 3.0 des Secure-Socket-Layer-Hand-shake-Protokolls (SSL) eingesetzt. Dieses Verfahren ist im Request for Comment (RFC) 2716 "PPP EAP TLS Authentication Protocol" beschrieben, den Microsoft eingereicht hat. Es unterstützt Zertifikate; das heißt, es erlaubt eine "starke" Authentifizierung und einen sicheren Schlüsselaustausch. Das VPN ist somit "PKI enabled".
Sobald die Kommunikationspartner die SSL-Informationen ausgetauscht haben, werden alle Daten verschlüsselt, die über eine PPP-Verbindung laufen: die Netzwerkprotokolle IP/IPX sowie der letzte Teil des PPP-Handshake - die Zuweisung der privaten IP-Adresse und von DNS- beziehungsweise WINS-Servern an den Client.
Layer-2-Tunneling mit den oben beschriebenen Sicherheitsmechanismen wird auch "SSL over L2TP" genannt. Es erlaubt den Aufbau eines hochsicheren Remote-Access-VPN, das jede Infrastruktur unterstützt. Bereits vorhandene Netzwerkkomponenten lassen sich daher weiter verwenden. Es ist unerheblich, ob ein Client den Tunnel zum VPN-Gateway in der Firmenzentrale über einen Provider, einen dazwischenliegenden Filial-Router oder einen Network Access Server (NAS) aufbaut. Jedem Remote-User werden bei "seiner" PPP-Session immer dieselben Attribute zugewiesen: IP-Adresse, Datenkompression, DNS-Adresse, et cetera.