Tunneling-Protokolle (VPN)

Das Internet hat den Nachteil, dass die Infrastruktur im Detail nicht bekannt ist und der Weg zwischen zwei Kommunikationspartnern nicht nachvollziehbar, vorhersagbar und kontrollierbar ist. So kann an jedem Knoten ein Datenpaket gespeichert, verändert oder gelöscht werden. Die Daten werden also ungesichert über das Internet übertragen.

Tunneling-Prinzip

Um eine gesicherte Datenübertragung über das unsichere Internet zu gewährleisten, wird mit einem Tunneling-Protokoll eine verschlüsselte Verbindung, der VPN-Tunnel, aufgebaut. Der Tunnel ist eine logische Verbindungen zwischen beliebigen Endpunkten. Meist sind das VPN-Clients, VPN-Server und VPN-Gateways. Man nennt diese virtuellen Verbindungen Tunnel, weil der eigentliche Inhalt der Datenpakete für andere nicht sichtbar ist.
Tunneling ist die Basis eines jeden VPNs. Tunneling erlaubt es, Pakete eines Netzwerkprotokolls in die Pakete eines anderen Netzwerkprotokolls einzukapseln.
Das technische Prinzip einer VPN-Verbindung ist in der Regel immer gleich. Egal welches Protokoll. Am Startpunkt des Tunnels werden die Pakete eingekapselt. Am Endpunkt werden die Pakete wieder entkapselt. Dabei wird jedes Datenpaket verschlüsselt. Der Inhalt des ursprünglichen Pakets können andere nicht sehen.

Tunneling-Prinzip
Ein andere sinnvolle Anwendung, ist das Verstecken von privaten Netzwerkadressen, in dem man IP-Pakete in IP-Paketen tunnelt. Auf diese Weise werden Netzwerke über das Internet miteinander verbunden. Die IP-Pakete mit privaten Adressen werden in IP-Pakete mit der öffentlichen Adresse verpackt.

Tunneling im OSI-Schichtenmodell

Für das Tunneling gibt es zwei Ansätze. Im ersten Ansatz wird auf der Schicht 3 des OSI-Schichtenmodells das Tunneling aufgebaut. Dabei wird zur Adressierung der Schicht bzw. der Datenpakete das Internet Protocol (IP) verwendet. Man spricht dann vom IP-in-IP-Tunneling. In der Regel wird IPsec für diese Lösung verwendet.
Ein anderer Ansatz greift direkt auf der Schicht 2 des OSI-Schichtenmodells ein. Hier wird das Datenpaket der Schicht 3 verschlüsselt und dann mit der physikalischen Adresse adressiert. In der Regel werden PPTP oder L2TP für diese Lösung verwendet.

Standardisierte Tunneling-Protokolle

PPTP und L2F sind keine echten Standards. Sie haben nur einen informellen Status.

MPLS ist eigentlich kein Tunneling-Protokoll. Allerdings kann man damit Schicht-2-VPNs aufbauen. Allerdings nur Netzbetreiber.
IPsec als Tunneling-Protokoll zu bezeichnen ist falsch. Es ist im allgemeinen Sinne ein Sicherheitsprotokoll, das auch Tunneling beherrscht und im Regelfall auch dafür eingesetzt wird.

Propritäre Tunneling-Protokolle

  • Altavista Tunnel
  • Bay Dail VPN Service (Bay-DVS)
  • Ascend Tunnel Management Protocol (ATMP)

L2F - Layer 2 Forwarding

L2F ist mit L2TP verwandt und wurde von Cisco als Software-Modul für RAC (Remote Access Concentrator) und Router entwickelt. Es handelt sich dabei nicht um eine Client-Implementierung, wie zum Beispiel bei PPTP oder L2TP. Der Benutzer kommt mit L2F nicht in Berührung.
L2F bietet keine Verschlüsselung und auch keine starke Authentisierung. L2F kann lediglich verschiedene Netzwerkprotokolle tunneln. Zwei L2TP-Server dienen als Endpunkt für einen L2F-Tunnel.

Übersicht: Aktuelle Tunneling-Protokolle

Die Angabe Ja und Nein sind nicht als Wertungen, sondern Eigenschaften zu verstehen. In Abhängigkeit bestimmter Eigenschaften eignet sich ein bestimmtes Tunneling-Protokoll für die eine oder andere Anwendung besser oder schlechter.

  IPsec L2TP PPTP MPLS
OSI-Schicht Schicht 3 Schicht 2 Schicht 2 Schicht 2
Standard Ja Ja Nein Ja
Paketauthentisierung Ja Nein Nein Nein
Benutzerauthentisierung Ja Ja Ja Nein
Datenverschlüsselung Ja Nein Ja Nein
Schlüsselmanagement Ja Nein Nein Nein
Quality of Service Ja Nein Nein Ja
IP-Tunneling Ja Ja Ja Ja
IPX-Tunneling Nein Ja Ja Ja
Hauptanwendung End-to-End Provider End-to-End Netzbetreiber

Weitere verwandte Themen:

Teilen:

Kommunikationstechnik-Fibel

Kommunikationstechnik-Fibel

Das will ich haben!