Tunneling-Protokolle (VPN)

Das Internet hat den Nachteil, dass dessen Infrastruktur im Detail nicht bekannt ist und der Weg zwischen zwei Kommunikationspartnern nicht nachvollziehbar, vorhersagbar und kontrollierbar ist. So ist es an jedem Knoten, den ein Datenpaket überquert, möglich, dass es abgehört, verändert oder gelöscht wird. Die Daten werden also ungesichert über das Internet übertragen.

Um eine gesicherte Datenübertragung über das unsichere Internet zu gewährleisten, wird mit einem Tunneling-Protokoll eine verschlüsselte Verbindung, der VPN-Tunnel, aufgebaut. Der Tunnel ist eine logische Verbindungen zwischen beliebigen Endpunkten. Meist sind das VPN-Clients, VPN-Server und VPN-Gateways. Man nennt diese virtuellen Verbindungen Tunnel, weil der Inhalt der Daten für andere nicht sichtbar ist.

Tunneling ist die Basis eines jeden VPNs. Tunneling erlaubt es, Pakete eines Netzwerkprotokolls in die Pakete eines anderen Netzwerkprotokolls einzukapseln. Beim Tunneling werden die Pakete also durch die Einkapselung von anderen Paketen getrennt.
Das technische Prinzip einer VPN-Verbindung ist in der Regel immer gleich. Egal welches Protokoll. Am Startpunkt des Tunnels werden die Pakete eingekapselt. Am Endpunkt werden die Pakete wieder entkapselt. Dabei wird jedes Datenpaket verschlüsselt. Der Inhalt des ursprünglichen Pakets können andere nicht mehr sehen.

Ein andere sinnvolle Anwendung, ist das Verstecken von privaten Netzwerkadressen, in dem man IP-Pakete in IP-Paketen tunnelt. Auf diese Weise werden Netzwerke über das Internet miteinander verbunden. Die IP-Pakete mit privaten Adressen werden in IP-Pakete mit der öffentlichen Adresse verpackt.

Tunneling im OSI-Schichtenmodell

Für das Tunneling gibt es zwei Ansätze. Im ersten Ansatz wird auf der Schicht 3 des OSI-Schichtenmodells das Tunneling aufgebaut. Dabei wird zur Adressierung der Schicht bzw. des Datenpakets das Internet Protocol (IP) verwendet. Man spricht dann vom IP-in-IP-Tunneling. In der Regel wird IPsec für diese Lösung verwendet.
Ein anderer Ansatz greift direkt auf der Schicht 2 des OSI-Schichtenmodells ein. Hier wird das Datenpaket der Schicht 3 verschlüsselt und dann mit der physikalischen Adresse adressiert. In der Regel werden PPTP oder L2TP für diese Lösung verwendet.

Standardisierte Tunneling-Protokolle

• PPTP - Point-to-Point Tunneling Protocol
• L2F - Layer 2 Forwarding (Cisco)

PPTP und L2F sind keine echten Standards. Sie haben nur einen informellen Status.

• L2TP - Layer-2-Tunneling-Protocol (Microsoft-Umgebungen)
• IPsec (im Tunnelmodus)
• MPLS - Multi-Protocol Label Switching

MPLS ist eigentlich kein Tunneling-Protokoll. Allerdings kann man damit Schicht-2-VPNs aufbauen
IPsec als Tunneling-Protokoll zu bezeichnen ist falsch. Es ist im allgemeinen Sinne ein Sicherheitsprotokoll, das auch Tunneling beherrscht und im Regelfall auch dafür eingesetzt wird.

Propritäre Tunneling-Protokolle

• Altavista Tunnel
• Bay Dail VPN Service (Bay-DVS)
• Ascend Tunnel Management Protocol (ATMP)

Übersicht: Aktuelle Tunneling-Protokolle

Die Angabe Ja und Nein sind nicht als Wertungen, sondern Eigenschaften zu verstehen. In Abhängigkeit bestimmter Eigenschaften eignet sich ein Tunneling-Protokoll für die eine oder andere Anwendung.

Weitere verwandte Themen:

• VPN - Virtual Private Network
• AAA - Authentication Authorization Accounting
• Grundlagen der Netzwerk-Sicherheit
• PPP - Point-to-Point-Protocol
• SSL-VPN

Bookmark