Inhaltsverzeichnis

1.  Einleitung  5

2.  VPN Modelle und Standards  6

2.1.  VPN Typen (Remote-access branch-office Extranet)  6

2.2.  Tunneling Modelle (intra-provider provider-enterprise Ende zu Ende)  8

2.3.  Tunneling Protokolle  9

2.3.1.  IPSec  9

2.3.2.  PPTP (als Microsoft-Herstellerstandard)  12

2.3.3.  L2TP  12

2.3.4.  IPSec secured L2TP  13

3.  VPN Sicherheitsaspekte  14

3.1.  Authentifizierung  14

3.2.  Verschlüsselung  14

3.3.  RFCs 2401 2409  16

3.3.1.  RFC 2401 IPSec-Sicherheitsassoziationen  16

3.3.2.  RFC 2402 IP-Authentication Header  17

3.3.3.  RFC 2403 HMAC MD5  18

3.3.4.  RFC 2404 HMAC SHA 1  19

3.3.5.  RFC 2406 ESP  20

3.3.6.  RFC 2408 ISAKMP  21

3.3.7.  RFC 2409 IKE  22

3.4.  Zertifikatsmanagement  25

4.  Visualisierungsvorschlag für IPSec mit IKE  27

5.  VPN Unterstützung  32

5.1.  Windows  32

5.2.  Linux  33

5.3.  Hard Software VPN-Lösung (Cisco)  34

6.  Fazit  36

7.  Anhang  37

7.1.  Fachwörterverzeichnis  37

7.2.  Abbildungsverzeichnis  39

7.3.  Literaturverzeichnis  40

1. Einleitung

Virtual Private Networks, kurz VPNs, dienen dazu, zwei oder mehrere Rechner(netze) miteinander zu verbinden. Der Unterschied zu herkömmlichen, privaten Netzwerken ist dabei der Transportweg: VPNs nutzen öffentliche Netzwerke als Träger für den privaten Datenaustausch, so dass die Vernetzung von weit entfernten Rechnern(netzen) kein Problem darstellt. So gesehen handelt es sich bei Standfestverbindungen und Mietleitungen (z.B. mittels ISDN, Frame Relay und ATM), die bis heute bei der Verbindung von beispielsweise verteilten Unternehmensnetzen noch eine große Rolle spielen, definitionsgemäß auch um VPNs, da sie öffenliche Netze, wie das Telefonnetz, als Träger nutzen. Dennoch herrscht bei diesen Netzen die Vorstellung vor, es handele sich um private, physisch separate Netze.

Das bekannteste und in Bezug auf VPN-Realisierungen zukunftsträchtigste öffentliche Netzwerk ist das Internet. Daher behandelt diese Arbeit ausschließlich die sogenannten Internet-VPNs, oder auch IP-VPNs.

Die Größe des Internets und die Tatsache, dass praktisch Jedermann Zugriff darauf hat, macht eine Betrachtung der Sicherheit von VPNs nötig. Dabei wird diese Arbeit aufzeigen, dass diese Sicherheit von verschiedenen Faktoren abhängt, die sich durchaus beeinflussen lassen: Unter anderem muss eine Wahl der zu benutzenden Protokolle getroffen werden, wobei sich davon einige zum Standard etabliert haben, andere (noch) herstellereigene Lösungen sind. Weiterhin wird untersucht, inwieweit diese Protokolle in Betriebssystemen implementiert sind, d.h. man wird eine Vorstellung davon bekommen, wie geeignet Betriebssysteme sind, ein VPN aufzubauen. Als Alternative bieten sich Hardwarelösungen an, ein VPN einzurichten. Kapitel 5.3 beleuchtet einen Vertreter der Hardwarelösungen.

- 5 -

2. VPN – Modelle und Standards

In diesem Kapitel werden zunächst die verschiedenen Szenarien erklärt, in denen unterschiedliche VPN Typen zum Einsatz kommen. Danach folgen Tunneling Modelle und Tunneling Protokolle, die auf ihre Eigenschaften wie Sicherheit und Handhabbarkeit untersucht werden.

2.1. VPN Typen (Remote-access, branch-office, Extranet)

Remote-access -VPN

Ein Kerneinsatzgebiet für VPNs stellt der aus der Entfernung stattfindende, temporäre Zugriff auf beispielsweise ein Unternehmensnetz dar. Bei einem Remote-Access handelt es sich genauer gesagt um einzelne Clients, die auf das Unternehmensnetz zugreifen (etwa Mitarbeiter bei der Heimarbeit oder beim Zugriff per Laptop während einer Dienstreise).

Auf der Unternehmensseite kann ein VPN fähiger Router oder eine VPN fähige Firewall eingesetzt werden. Es ist aber auch spezielle VPN Hardware erhältlich, die ihre Vorteile in der Verarbeitungsgeschwindigkeit der VPN-Kommunikation und in der hohen Sicherheit haben. Denn ein so genannter VPN-Konzentrator, wie er in einem Remote-Access VPN eingesetzt würde, implementiert lediglich die zur VPN-Verbindung nötigen Protokolle und ist daher nicht anfällig für Angriffe, die auf Router beispielsweise denkbar sind. Der VPN-Konzentrator ist direkt an einen Internet Service Provider (ISP) angebunden. Die Clients stellen ihrerseits eine Verbindung zu einem (anderen) ISP in ihrer unmittelbaren Nähe her. Mittels spezieller Client Software ist nun die Verbindung vom Client über dessen ISP und von dort über das Internet zu jenem ISP, an den der firmeneigene VPN-Konzentrator angebunden ist, möglich. Die Software baut einen sogenannten Tunnel zum VPN-Konzentrator auf, eine sichere, private Verbindung über ein unsicheres, öffentliches Netz (hier: das Internet) [DeEr01, 21].

Ein solches System bietet clientseitig alle Einwahlmöglichkeiten, die der angewählte ISP unterstützt. Das Ergebnis ist volle Flexibilität der Zugangswege. Die einzige Überlegung, die

- 6 -

gemacht werden muss ist, wie viele Zugänge parallel verfügbar sein sollen, also wie viele Ports der VPN Konzentrator haben soll.

Ein entscheidender Punkt in der Überlegung, ein VPN zu installieren, sind die Kosten: Anschaffungs- und Betriebskosten eines VPN können oftmals die Kosten einer herkömmlichen Lösung für Remote-Access (das Unternehmensnetz bietet durch einen Remote Access Concentrator (RAC) direkte Einwahlmöglichkeit) bei weitem unterschreiten. Wo man sich im Falle einer Nicht-VPN Realisierung noch im RAC selbst einwählen musste, wählt man nun einen nahen ISP und die restliche Strecke überbrückt dann das Internet. Das Einsparpotentia l hängt so im Wesentlichen von der Entfernung zwischen dem Nutzer und dem Firmennetz ab. Es ist leicht nachzuvollziehen, dass dieses Potential sehr schnell sehr groß werden kann, wenn beispielsweise Dienstreisende aus dem Ausland Zugriff wünschen.

Branch-Office-VPN

Das Branch-Office-VPN erfüllt die Funktionalität der bekannten Wide-Area-Networks (WAN). Das bedeutet, es wird eine Verbindung zwischen zwei Netzwerken hergestellt, die räumlich voneinander getrennt sind.

Mit dem Einsatz von VPN-Technologie reduzieren sich auch hier die Verbindungskosten. Je weiter die Netze auseinanderliegen, desto drastischer ist der Unterschied zu einem herkömmlichen WAN. Denn wie zuvor bei den Remote-Access-VPNs, kann auch hier das Internet zur Überbrückung großer Entfernungen dienen. Es ist keine teure Punkt- zu-Punkt Festverbindung mehr nötig, sondern die partizipierenden Teil-Netze wählen sich bei ihrem jeweils nächsten ISP ein.

Im Branch-Office Bereich ist der Einsatz von VPN fähigen Routern oder Firewalls im Hinblick auf Verarbeitungsgeschwindigkeit im Vergleich zu den Remote-Access Netzen eher möglich, da kein häufiger Verbindungsauf-/abbau stattfindet. Die Verbindung zwischen den beiden Branches bleibt über längere Zeit bestehen. Allerdings bleiben die Vorteile der dedizierten VPN-Hardware-Lösungen im Hinblick auf die Sicherheit des virtuellen privaten Netzes bestehen (s. Remote-Access).

Es ist leicht vorstellbar, dass der Branch-Office-VPN-Typ im Zuge der allgemeinen Globalisierung zwangsläufig weiter an Popularität gewinnen wird.

- 7 -

Extranet-VPN Als Extranet wird die Einrichtung eines speziellen, eingeschränkten und/oder überwachten Zuganges zu einem Firmennetz bezeichnet. Sinnvoll ist dies, um den Teilnehmern, beispielsweise Kunden, Lieferanten, Handelspartnern, etc. einen eingeschränkten, aber für sie genau zugeschnittenen Zugang zu ermöglichen, quasi eine persönliche Sicht auf das Firmennetzwerk. Dabei werden die für den Teilnehmer relevanten Daten und Bereiche freigegeben, andere, inklusive der Firmenint ernas, jedoch gesperrt. Eine entsprechende Regulierung der Datenströme übernimmt eine Firewall. Durch die Einteilung in Benutzergruppen kann eine effiziente Kommunikationsstruktur erzeugt werden, wodurch Extranets die zukünftige Netzplattform für B2B und B2C sind [DeEr01, 27].

2.2. Tunneling Modelle (intra-provider, provider-enterprise, Ende zu

Ende)

An dieser Stelle ist zu entscheiden, in wessen Aufgabenbereich die Etablierung der Tunnel zum Aufbau eines VPNs fällt. Die drei unterschiedlichen Modelle werden im Folgenden dargestellt.

Intra-Provider-Modell

Wählt man das Intra-Provider-Modell, so hat man sich für komplettes Outsourcing entschlossen. Das bedeutet, dass man ein Angebot eines ISP's annimmt, der dann einzig und allein für den Tunnelbau zuständig ist. Dieser stellt auch die nötigen Gateways zur Verfügung. Folglich ist keine zusätzliche Hard- und/oder Software beim Kunden erforderlich, um ein VPN einzurichten. Ein Remote-Access-Login funktioniert dann beispielsweise über das DFÜ-Netzwerk von Windows. Als Nachteil ist der ungesicherte Datenstrom bis zu den Points of Presence (POP) der ISPs zu sehen, denn nur zwischen diesen werden die Daten getunnelt und sind eventuell (bei entsprechender Vereinbarung) verschlüsselt.

Provider-Enterprise-Modell

Die Gemeinsamkeit mit dem Intra-Provider-Modell findet sich beim Provider-Enterprise-Modell im Einsatzgebiet. Beide Modelle werden vorwiegend für Remote-Access-VPNs verwendet.

- 8 -

Beim Provider-Enterprise-Modell erstreckt sich der Tunnel vom POP des ISP's bis zum Kunden-VPN-Gateway. Im Gegensatz zum Intra-Provider-Modell muss der Endkunde jetzt spezielle Hard- und Software als VPN-Gateway einsetzen. Am anderen Ende wählt sich der externe Rechner beim ISP ein, der den Benutzer an seiner Rufnummer, Benutzer-ID etc. erkennt und automatisch einen Tunnel zum Firmennetz herstellt (Compulsory Tunneling).

Ende -zu-Ende -Modell

Das Ende-zu-Ende-Modell lässt sämtliche Konfigurations- und Einrichtungsoptionen beim Anwender. Der Provider sorgt lediglich für den Transport der Pakete. Bei diesem Modell muss auch der externe Client spezielle VPN-Software installieren, um in der Lage zu sein, einen Tunnel zum Firmennetz zu etablieren.

Auf diese Weise erlangt man maximale Sicherheit, da der Anwender den kompletten VPN Verkehr selbst regelt. Der ISP, der die Daten überträgt, sieht diese nur noch in verschlüsseltem Zustand, wodurch das Restrisiko der ersten beiden Modelle, in dem der Provider theoretisch die Daten einsehen kann, entfällt.

Gleichzeitig ist natürlich mit erhöhtem Aufwand zur Einrichtung und Betrieb des VPNs zu rechnen, wenn alles selbst konfiguriert werden muss.

2.3. Tunneling Protokolle

2.3.1. IPSec

Wie wird nun ein Tunnel aufgebaut?

Im Falle der Anwendung von IPSecurity werden zwei IPSec-Gateways mit offiziell registrie rten IP-Adressen als Tunnelendpunkte benötigt. Handelt es sich um ein Remote-Access-VPN, erhält der Client seine IP-Adresse im Moment der Einwahl beim ISP. Die Gegenseite, das Firmennetz, sollte über einen IPSec-Gateway mit fester IP verfügen, um stete Einlogmöglichkeit zu garantieren.

Kommt es zum Datenverkehr, erzeugt IPSec im so genannten Tunnelmodus für jedes zu übertragende Paket ein neues IP-Paket, in dessen Datenbereich das komplette, ursprüngliche Paket verschlüsselt eingekapselt wird. So können Außenstehende höchstens die Anzahl der übertragenen Pakete ermitteln, aber nicht deren Inhalt.

- 9 -