Dedinition

Was ist eigentlich ein Virtual Private Network (VPN)?

Übliche Bezeichnung:

  • Virtual – Virtuelles
  • Private – Privates
  • Network – Netz
  • Der Begriff VPN ist in der IT weit verbreitet
  • Es existiert eine Vielzahl von unterschiedlichen Definitionen

Mögliche Definition:
Ein Virtual Private Network ist ein Netzwerk, das aus mindestens zwei Teilnetzwerken (bzw. Teilnehmern) besteht, die über öffentliche Leitungen (z.B. dem Internet) miteinander verbunden sind und bei dem die Vertraulichkeit, Integrität und Authentizität der Daten bei der Datenkommunikation gewährleistet werden soll.

VPN Anforderungen

Welche Anforderungen werden an das VPN gestellt?

DurchEinsatzbestimmterVPN-TechnologiensollenfolgendeAnforderungenerfülltwerden:

  • Sicherheit
  • Performance
  • Migrationsfähigkeit und Skalierbarkeit
  • Integration in existierende Netze
  • Verfügbarkeit

Eine Zentrale Bedeutung hat Sicherheit

  • weil:Kommunikation durch öffentliche Netzwerke bedeutet die Möglichkeit für den Angreifer, den Datenstrom abzuhören und sogar zu verändern
  • darum: Einsatz der Mechanismen die den Datentransport sicher machen

Einsatz aufwendiger Verschlüsselungs-mechanismen auf breitbandigen Strecken in Echtzeit zur Gewährleistung der Sicherheit kann problematisch sein und stellt hohe Anforderungen an die Hardware

  • Einsatz der offenen Standards zur Meidung der Bindung an einen einzigen Hersteller
    • freie Produktwahl für eventuelle Erweiterungen des VPNs
  • VPN-Lösung und deren einzelner Komponenten sollen zu späteren Zeitpunkten erweiterbar sein (Updates, usw.)
  • VPN-Lösung muss sich in die vorhandene Netzwerk-Infrastruktur integrieren lassen
  • Einfache Eingliederung in das Sicherheitskonzept des vorhandenen Netzwerkes um somit die Authentifizierung und Verschlüsselung zu gewährleisten

Um keine Nachteile im Datenverkehr zu erlangen, sollte die Verfügbarkeit eines VPNs mit der einer herkömmlichen und zu ersetzenden WAN-Infrastruktur gleichgesetzt werden können.

Sicherheitsproblematik

Welche Bedrohungen gibt es?
Welche Sicherheit garantiert VPN?

Sicherheitsproblematik: Bedrohungen

Abhören von Daten

Datengewinnung durch das Belauschen des Netzwerks (sniffen)

  • Der Angreifer kann so unverschlüsselte Daten im Klartext lesen und somit Passwörter oder Dokumente herausfiltern und rekonstruieren.
  • physikalischer Zugang zum Netzwerk notwendig (WLAN, Hub….).

Datenmanipulation

Angreifer ist gewillt, Daten des Netzwerkverkehrs zu löschen, zu verändern oder falsche Informationen in den Verkehr einzuspielen.
Einige dieser Bedrohungen für Datenmanipulation sind:

  • IP-Spoofing
  • Man-in-the-Middle-Angriff
  • Session Hijacking
  • Missbrauch des Source-Routing
  • Missbrauch der Routing-Protokolle

Verhindern von Diensten

  • auch als „DenialofService“ ( DoS) bezeichnet.
  • Störung und das Verhindern des Informationsflusses im ausgewählten System. (mittels Überlastung des Systems oder über Abtrennung einzelner Netzwerkkomponenten).
  • Systeme können übernommen oder sogar zum Absturz gebracht werden.

Sicherheitsanforderungen

VPN -Virtual Private Network
Authentizität Vertraulichkeit Integrität

Authentizitätbedeutet die Identifizierung von autorisierten Nutzern und die Überprüfung der Daten, dass sie nur aus der der autorisierten Quelle stammen.

  • Vertraulichkeitund Geheimhaltung wird durch Verschlüsselung der Daten hergestellt.
  • Mit der Integritätwird sichergestellt, dass die Daten von Dritten nicht verändert wurden.

Funktionen

  • Datenvertraulichkeit
  • Datenintegrität
  • Schlüsselmanagement
  • Paket-Authentifizierung
  • Benutzer-Authentifizierung
  • Benutzer-Authorisierung

Funktionen > Datenvertraulichkeit

  • Unbefugten wird der Zugang zu den versendeten Daten verwehrt
  • Einsatz der Verschlüsselung der zu sendenden Datenpakete (Verfahren wie: DES oder3DES)

Funktionen > Datenintegrität

  • Sichergestellung, dass keine Veränderungen der Daten auf deren Transportwegen erfolgen
  • Die Datenintegrität und die Paket-Authentifizierung werden oftmals mittels ein und dem selben Verfahren realisiert.

Funktionen > Schlüsselmanagement

  • Prüfung und rechtzeitige Erneuerung der Schlüssel
  • Die Schlüssel für die Datenverschlüsselung müssen oft erzeugt werden

Funktionen > Paket-Authentifizierung

  • Jedes einzeln eintreffende Datenpaket muss authentifiziert werden zur Sicherstellung, dass:
    • ankommendes Datenpaket unverfälscht vom authentischen Absender übersendet wurde
    • Einsatz spezielle symmetrische Verschlüsselungsverfahren, so genannte Keyed-Hash-Algorithmen (MD5 SHA…)

Funktionen > Benutzerauthentifizierung

  • Identitätsfeststellung mittels Authentifizierung der Kommunikationspartner.
  • Einsatz von Kern-Mechanismen in VPNs:

 

  • Authentifizierung(Authentication)
  • Verschlüsselung(Encryption)

Authentifizierung

  • Paketauthentifizierung
    • IPSec ( durch AH und ESP)
    • Email-Verschlüsselungsverfahren mittels Einweg-Hash-Funktionen ( MD5SHA,… )
  • User-Authentifizierung
    • Passwort-Verfahren wie PAP und CHAP

Verschlüsselung
Wegen ihrer hohen Geschwindigkeit werden in der Praxis für die Verschlüsselung symmetrische Verschlüsselungsverfahren eingesetzt, z.B.:

  • IPSec (kommt ESP zum Einsatz, realisiert durch ( DES, 3DES, IDEA, Cast, Blowfish)
  • Das PPTP ( Layer-2 ) definiert durch MPPE

VPN Typen

Welche VPN Typen gibt es?

Vier Kategorien:

  1. Remote -Access VPN
  2. Intranet VPN
  3. Branch-Office VPN
  4. Extranet VPN

Remote -Access VPN

  • auch als End-to-Siteoder Host-to-Networkbezeichnet
  • Bei dieser Topologie wird gewährleistet, dass sich Mitarbeiter, die zuhause arbeiten ( Home-Office ) oder als Außendienstmitarbeiter tätig sind, über einen Internet Service Provider (ISP) in das Firmennetzwerk einwählen können. Somit hat der Remote-Access User von seinem lokalen System Zugriff auf das Netzwerk.

Remote -Access VPN

Intranet VPN

  • Einsatz des VPN auch in einem lokalen „öffentlichen“ Netz Intranet
  • Vermeidung der Betriebsspionage
  • Schutz hochempfindlicher Daten und ganzer Teilnetze vor unautorisierten Zugriff (VLAN).

Branch-Office VPN

  • auch als Network-to-Networkoder Site-to-Siteoder Lan-toLanbezeichnet
  • Verbindung zwei Intranets (firmenintern, d.h. Anbindung einzelner Firmenstandorte.)
  • Zur Kostenreduzierung werden die einzelnen Teilnetze eines Unternehmens mittels VPN-Gateways über das Internet verbunden.

Extranet VPN

  • ähnelt der Branch-Office VPN
  • Der Unterschied liegt im Teilnehmerumfeld: externe Teilnehmer ( Teilnetze )sind Bestandteile dieser Topologie.
  • Gewährung des Zugriffs für Geschäfts-partner, Zulieferer oder Kunden auf bestimmte Bereiche des Netzwerkes.