VPN - Virtual Private Network

VPN ist ein logisches privates Netzwerk auf einer öffentlich zugänglichen Infrastruktur. Nur die Kommunikationspartner, die zu diesem privaten Netzwerk gehören, können miteinander kommunizieren und Informationen und Daten austauschen.
Eine allgemein gültige Definition gibt es für VPN nicht. VPN steht für eine Vielzahl unterschiedlicher Techniken. So wird manche Technik, Protokoll oder Produkt zu VPN zugeordnet, obwohl keinerlei Verschlüsselung oder Authentifizierung zum Einsatz kommt. Beides ist allerdings Voraussetzung für ein VPN.

VPNs müssen Sicherheit der Authentizität, Vertraulichkeit und Integrität sicherstellen. Authentizität bedeutet die Identifizierung von autorisierten Nutzern und die Überprüfung der Daten, dass sie nur aus der der autorisierten Quelle stammen. Vertraulichkeit und Geheimhaltung wird durch Verschlüsselung der Daten hergestellt. Mit der Integrität wird sichergestellt, dass die Daten von Dritten nicht verändert wurden. Unabhängig von der Infrastruktur sorgen VPNs für eine angemessene Sicherheit der Daten, die darüber übertragen werden.

VPN-Typen

• Remote-Access-VPN
• Branch-Office-VPN / Site-to-Site-VPN / LAN-to-LAN-VPN
• Extranet-VPN

Remote-Access-VPN

Remote-Access ist ein VPN-Szenario, bei dem Heimarbeitsplätze oder mobile Benutzer (Außendienst) in ein Unternehmensnetzwerk eingebunden werden. Der externe Mitarbeiter soll so arbeiten, wie wenn er sich im Netzwerk des Unternehmens befindet. Die VPN-Technik stellt eine logische Verbindung zum lokalen Netzwerk über das öffentliche Netzwerk her. Im Vordergrund steht ein möglichst geringer, technischer und finanzieller Aufwand für einen sicheren Zugriff auf das Unternehmensnetzwerk.
Hierbei ist zwangsläufig ein VPN-Client auf dem Computer des externen Mitarbeiters zu installieren, wenn diese Software nicht bereits im Betriebssystem verankert ist.

Branch-Office-VPN / Site-to-Site-VPN / LAN-to-LAN-VPN

Branch-Office-VPN, Site-to-Site-VPN oder LAN-to-LAN-VPN sind Anwendungs-Szenarien, um Außenstellen oder Niederlassungen (Filialen) zu einem dynamischen, virtuellen Firmennetzwerk über das öffentliche Netz zusammenzuschalten.
Netzwerke, die sich an verschiedenen Orten befinden lassen sich über eine angemietete Standleitung direkt verbinden. Diese Standleitung entspricht in der Regel einer physikalischen Festverbindung zwischen den beiden Standorten. Bei Festverbindungen, Frame Relay und ATM kommen sehr schnell hohe Kosten durch relativ hohe Verbindungsgebühren zusammen. Je nach Anzahl, Entfernung, Bandbreite und Datenmenge, kommen sehr schnell hohe Kosten zusammen.
Da jedes Netzwerk in der Regel auch eine Verbindung zum Internet hat, bietet sich diese Verbindung zur Zusammenschaltung von zwei oder mehr Netzwerken mit VPN-Technik an (LAN-to-LAN-Kopplung). Bei VPNs über das Internet entstehen nur die Kosten, die für den Internet Service Provider zu bezahlen sind.

Virtuelle private Netze benutzen das Internet als Weitverkehrsnetz. Das Internet wird so zur Konkurrenz zu klassischen WAN-Diensten der Netzbetreiber. VPN-Technik löst zunehmend leitungsgebundene WAN- und Remote-Access-Lösungen ab. VPNs lassen sich über das Internet billiger und flexibler betreiben.

Extranet-VPN

Während Branch-Office-VPNs nur die verteilten Standorte einer Firma verbinden, ist ein Extranet-VPN ein virtuelles Netzwerk, das die Netzwerke unterschiedlicher Firmen miteinander verbindet. In der Regel geht es darum die Intranets fremder Unternehmen zusammenzuschließen. Zum Beispiel Geschäftspartner, Lieferanten und Support-leistende Unternehmen.
Dabei gewährt man dem externen Unternehmen Zugriff auf Teilbereiche des Unternehmensnetzwerks. Die Zugriffsbeschränkung erfolgt mittels einer Firewall. Extranet-VPNs ermöglichen eine sichere Kommunikation bzw. einen sicheren Datenaustausch zwischen den beteiligten Unternehmen.

Tunneling

Um eine gesicherte Datenübertragung über das unsichere Internet zu gewährleisten, wird mit einem Tunneling-Protokoll eine verschlüsselte Verbindung, der VPN-Tunnel, aufgebaut. Der Tunnel ist eine logische Verbindungen zwischen beliebigen Endpunkten. Meist sind das VPN-Clients, VPN-Server und VPN-Gateways. Man nennt diese virtuellen Verbindungen Tunnel, weil der Inhalt der Daten für andere nicht sichtbar ist.

• Mehr Informationen zum Tunneling

VPN-Protokolle

• IPsec
• PPTP
• L2TP
• L2TP over IPsec
• SSL-VPN
• OpenVPN (Open Source)
• Hamachi (Gamer-VPN)

Systemanforderungen

• Sicherheit
• Datenvertraulichkeit
• Schlüsselmanagement
• Paketauthentifizierung
• Datenintegrität
• Benutzerauthentifizierung
• Benutzerautorisierung
• Schutz vor Sabotage und unerlaubtem Eindringen

Durch die Verschlüsselung der Daten innerhalb eines VPNs entsteht eine zusätzliche zeitliche Verzögerung, die ein längere Paketlaufzeit zur Folge hat. Bei der Planung eines VPNs ist deshalb auf ein gute Ausstattung des gesamten Systems zu achten. Generell sollte man Hardware-Lösungen vorziehen. Sie arbeiten oftmals schneller und zuverlässiger als Software-Lösungen.

Eigenes VPN aufbauen oder Outsourcing?

Bei der Planung eines VPN kommt man nicht herum, heute schon an morgen zu denken. Doch langfristige Aussagen sind immer schwierig. Die Rahmenbedingungen sind ständigen Änderungen unterworfen. Zum Beispiel die Zahl der Benutzer, die benötigte Bandbreite, Qualitätsmerkmale, rechtliche Aspekte, neue Geschäftsfelder und Akquisitionen, an die man heute noch nicht denkt. Am Anfang groß zu denken, aber klein und bedarfsgerecht zu starten, ist deshalb eine gute Strategie.
Grundsätzlich ist auf die Offenheit des Systems zu achten. Zum Beispiel auf die Einhaltung von Standards. Das erleichtert die Integration in existierende Netze. Der Sicherheitsstandard auf IP-Ebene heißt IPsec. Virtuelle, private Netze sind aber nicht auf IP beschränkt, obwohl IP-VPNs heute vorherrschend sind.

Ein eigenes VPN aufzubauen bedeutet ein eigenes VPN-Gateway inklusive Access-Router zu betreiben. Hierbei entsteht ein relativ hoher Aufwand, weil man sich um alles selber kümmern muss.
Die Management-Kosten werden in der Regel unterschätzt. Dabei geht es nicht nur um Geld. Viel vergeudete Zeit durch selbst verursachte Fehler, inkompatible Komponenten und fehlendes Know-how treiben den Frustfaktor nach oben. Obwohl man mit standardisierten Protokollen und Einrichtungen arbeitet, ist vieles so flexibel konfigurierbar, dass unter Umständen eine Zusammenarbeit unterschiedlich konfigurierter Geräte nicht zustande kommt. Zusatzkosten durch nachträgliches Eliminieren von Fehlerquelle sollte man nicht unterschätzen. So ist die Integration einer VPN-Technik häufig auch mit IP-Adressänderungen gekoppelt. Über ein externes VPN eines Dienstleisters spart man sich die Probleme häufig, weil der für die notwendige Adressumsetzung sorgen kann.

Eventuell ist die Rundumsorglos-Lösung eines Fernwartungsspezialisten für den Anfang die beste Lösung. Der Einstieg gelingt hier auf der Know-how-Seite relativ schmerzfrei. Hierbei muss man berücksichtigen, dass man sich von den Diensten eines Service-Providers je nach Outsourcing-Weite abhängig macht und wenig Einfluss hat. Es macht durchaus Sinn vor dem Outsourcing eine Exit-Strategie für den Betrieb eines eigenen Gateways in der Schublade zu haben.

VPN und Firewalls

VPN im Zusammenhang mit einer Firewall führt häufig zu ungeahnten Problemen. Nicht jede Firewall lässt gekapselten Datenverkehr durch.
Gerne wird für Firewall-Router der Pass-Through-Modus als VPN-Unterstützung angegeben. Doch ohne Probleme ist VPN über eine Firewall nur möglich, wenn die Firewall gleichzeitig als Endpunkt einer VPN-Verbindung arbeitet. So sind neben Remote-Access-Verbindungen auch Netz-Kopplungen möglich.

Gelegentlich kommt es vor, dass VPN-Verbindungen hergestellt werden können, aber keine Datenübertragung möglich ist. In der Regel liegt es daran, dass die Firewall auf der Gegenseite (VPN-Router) aus Sicherheitsgründen fragmentierte Datenpakete verwirft. Das ist dann der Fall, wenn IP-Pakete auf mehrere VPN-Pakete verteilt werden. In diesem Fall muss man in der betreffenden Firewall diese Funktion abschalten (drop fragmented packets).

Um Verbindungsproblemen im Bereich Remote-Access aus dem Weg zu gehen, hat sich dort eine Alternative zu IPsec, PPTP und L2TP herauskristallisiert. SSL-VPN mit einer TCP-Verbindung, die durch jede Firewall hindurch kommt. VPN-Verfahren, die nur einen Port öffnen, wie zum Beispiel OpenVPN oder SSL-VPN, sind in Verbindung mit einer Firewall grundsätzlich unproblematisch.

Weitere verwandte Themen:

• RAS - Remote Access Service
• Verschlüsselung
• Grundlagen der Netzwerk-Sicherheit
• Firewall
• Fernwartung

Bookmark

Findest Du Elektronik-Kompendium.de gut? Hat Dir diese Webseite auch schon weitergeholfen?
Willst Du uns dabei unterstützen noch bekannter und besser zu werden?
Erfahre mehr über die Möglichkeiten. Jeder kann etwas tun!