Aufbau von VPN (Virtual Private Networks)
auf öffentlichen Netzen

Boris Milos

Inhaltsverzeichnis  II

Abkürzungsverzeichnis  IV

Abbildungsverzeichnis  VII

1 Einleitung  1

2 VPN-Einsatzbereiche und mögliche Kommunikationsplattformen  2
2.1 Einsatzbereiche von VPN und ihre Anforderungen  2
2.1.1 Intranet-VPN  3
2.1.2 Extranet-VPN  3
2.1.3 Remote-Access-VPN  4
2.2 Wahl der Kommunikationsplattform  4
2.2.1 Corporate Networks  4
2.2.2 Overlay-Netze (ATM- und Frame-Relay-Netze)  5
2.2.3 Internet (IP-VPN)  5

3 Anforderungen an ein VPN  7
3.1 IuK-Sicherheitsanforderungen und Instrumente zum Schutz vor Angriffen  7
3.1.1 Vertraulichkeit (Schutz durch Kryptographie)  9
3.1.2 Integrität (Schutz durch Hash-Werte)  11
3.1.3 Authentifikation (Schutz durch Authentifizierungsverfahren)  12
3.1.4 Verfügbarkeit  14
3.2 Weitere Anforderungen  15
3.2.1 Performance (Verbesserung der QoS)  15
3.2.2 Skalierbarkeit, Migrations- und Integrationsfähigkeit, Interoperabilität  18

4 VPN-Protokolle  18
4.1 VPN der ISO/OSI-Schicht 2  19
4.1.1 L2F: Layer-2-Forwarding Protocol  20
4.1.2 PPTP: Point-to-Point-Tunneling Protocol  21
4.1.3 L2TP: Layer-2-Tunneling-Protokoll  22
4.1.4 L2Sec: Layer-2 Security Protocol  25
4.2 VPN der ISO/OSI-Schicht 3: Das IP-Security Protocol (IPSec)  25
4.3 VPN der höheren ISO/OSI-Schichten  31

5 Kosten eines IP-VPN  31

6 Die Gegenwart und Zukunft von VPN-Lösungen  34

Anhang   VIII

Literaturverzeichnis  XI

Abkürzungsverzeichnis
AAA Authentifizierung Autorisation Accounting
Abb. Abbildung
AH Authentication Header
ATM Asynchronous Transfer Mode
bzw. beziehungsweise
CHAP Challenge Handshake Authentication Protocol
CN Corporate Network
CUG Closed User Group
DDV Datendirektverbindung
DES Data Encryption Standard
DFÜ Datenfernübertragung
DHCP Dynamic Host Control Protocol
DiffServ Differentiated Services
DNIS Dialed Number Information String
DSA Digital Signature Algorithm
DSCP Differentiated Service Code Point
DSS Digital Signatur Standard
DWDM Dense Wave Division Multiplexing
EAP Extensible Authentication Protocol
engl. englisch
ENX European Automotive Network Exchange
ESP Encapsulation Security Payload
EU Europäische Union
f. folgende
FDDI Fibre Distributed Data Interface
ff. fortfolgende
FR Frame Relay
GByte Gigabyte
ggf. gegebenenfalls
GRE General Routing Encapsulation
HMAC Hash Message Authentication Code
HTTP Hyper Text Transfer Protocol
i.e.S. im engeren Sinne
i.V.m. in Verbindung mit
IDEA International Data Encryption Algorithm
IETF Internet Engineering Task Force
IKE Internet Key Exchange
inkl. inklusive
IP Internet Protocol
IPSec Internet Protocol Security
IPv4 Internet Protocol Version 4
IPv6 Internet Protocol Version 6
ISAKMP Internet Security Association and Key Management Protocol
ISDN Integrated Services Digital Network
ISO International Standards Organization
ISP Internet Service Provider
IT Informationstechnologie
ITSEC Information Technology Security Evaluation Criteria
ITU-T International Telecommunication Union
IuK Information und Kommunikation
kb/s Kilobit pro Sekunde
L2F Level 2 Forwarding
L2Sec Level 2 Security
L2TP Level 2 Tunneling Protocol
LAC L2TP Access Concentrator
LAN Local Area Network
LCP Link Control Protocol
LNS L2TP Network Server
Mbit/s Megabit pro Sekunde
MD4 Message Digest 4
MD5 Message Digest 5
MPPE Microsoft Point-to-Point Encryption
MS-CHAP Microsoft Challenge-Handshake Authentication Protocol
NAT Network Adress Translation
o.g. oben genannt
OSI Open Systems Interconnection
PAP Password Authentication Protocol
PC Personal Computer
PKI Public Key Infrastructure
POP Point of Presence
PPP Point-to-Point-Protocol
PPTP Point-to-Point-Tunneling Protocol
QoS Quality of Service
RA Remote Access
RADIUS Remote Authentication Dial-In User Service
RFC Request for Comment
RSA Rivest, Shamir, Adlemann
RSVP Resource Reservation Protocol
S. Seite
s.o. siehe oben
SA Security Association
SAD Security Association Database
SHA-1 Secure Hash Algorithm 1
SigG Signaturgesetz
SigV Signaturverordnung
SLA Service Level Agreements
SPD Security Policy Database
SPI Security Parameters Index
SSL Secure Socket Layer
SSV Standardfestverbindung
Std. Stunden
TACACS Terminal Access Controller Access Control System
TAN Transaktionsnummer
TCO Total Cost of Ownership
TCP Transmission Control Protocol
TLS Transport Layer Security
TOS Type-of-Service
u.a. unter anderem
UDP User Datagram Protocol
vgl. vergleiche
VPN Virtual Privtate Network
z.B. zum Beispiel

Abbildungsverzeichnis
Abb. 1: Verschiedene Einsatzbereiche von VPN  3
Abb. 2: Ein Vergleich der prognostizierten Entwicklung von Frame-Relay- und IP-VPN
(Quelle: The Yankee Group, 2001)  6
Abb. 3: Schema für informationstechnische Sicherheitsdienste  8
Abb. 4: Dreistufige Authentifizierung mittels CHAP  14
Abb. 5: Die Priorität der Anforderung verschiedener Applikationen an die QoS  16
Abb. 6: Die drei Tunneling-Modelle im Vergleich  19
Abb. 7: L2TP-Paketaufbau  20
Abb. 8: Prinzip eines L2TP-Tunnels, über den eine PPP-Verbindung vom PC-Endgerät bis zum Gateway des Unternehmens aufgebaut wurde  22
Abb. 9: Paketaufbau mit IPSec  27
Abb. 10: Diffie-Hellmann-Schlüsselaustausch (YH1, YH2) zwischen zwei Host-Systemen (H1, H2) mit globalen Parametern (g, p) und geheimen Schlüsseln XH1 und XH2.
Ermittelter Sitzungsschlüssel ist (K = KH1 = KH2)  30

1 Einleitung

Ohne Zweifel kann sicherlich gesagt werden, dass die Internationalisierung der Märkte stetig zunimmt. Diese Tendenz beeinflusst die Verflechtungsstärke der Unternehmen untereinander (vertikal und horizontal) als auch zwischen Unternehmensteilen. 1 Hinzu kommt der verstärkte Einsatz von verteilten Anwendungen2 und die Bildung von Arbeitsgemeinschaften aus räumlich verteilt angesiedeltem Personal. 3 Einhergehend steigen die Anforderungen an die benötigten Kommunikationsmittel: Immer größere Datenmengen müssen in kürzerer Zeit weltweit schnell, flexibel und kostengünstig zwischen den Kommunikationspartnern ausgetauscht werden.

Um eine solche hochintegr ierte Kommunikationsstruktur zu erreichen, müssen die bislang nach außen abgeschotteten lokalen Netze der einzelnen Kommunikationspartner, die ursprünglich zur gemeinsamen Nutzung zentraler Ressourcen und Zusammenarbeit lokaler Arbeitsgruppen angelegt wurden, miteinander verbunden werden. Einerseits stellt sich dabei die Frage der Sicherheit des Datenaustausches und andererseits die der dadurch entstehenden Kosten. 4 Eine Möglichkeit zur Optimierung der beiden Zielgrößen Sicherheit und Kosten i.V.m. den weiter oben genannten Anforderungen an Flexibilität und Performance stellt die Nutzung von so genannten VPN (Virtual Private Networks) dar. Da es in der Literatur keine eindeutige Definition des Begriffs VPN gibt, soll an dieser Stelle als Arbeitsdefinition die Auslegung von Böhmer genutzt werden:

„Ein virtuelles privates Netz (VPN) ist ein Netz von logischen Verbindungen zur Übermittlung von privaten Daten/ Informationen bzw. Datenverkehr. Eine logische Verbindung ist eine Netzverbindung zwischen einem Sender und einem Empfänger, bei der der Weg der Informationen und die Bandbreite dynamisch zugewiesen werden.“5

Unter privatem Datenaustausch versteht Böhmer, dass Integrität und Vertraulichkeit der übertragenen Daten gewahrt bleiben. Nicht in die Definition aufgenommen hat Böhmer die Zugriffskontrolle und Authentifizierung als Bestandteil eines VPN, da er diese als systemimmanent ansieht.6

Aufbauend auf der angeführten Definition werden in den nächsten Kapiteln zunächst Grundlagen und Einsatzgebiete von VPN erläutert. Daran anschließend folgen Anforderungen an die Technologie und deren Möglichkeiten zur Erfüllung. Abschließend folgen eine Kostenbetrachtung und Überlegungen zur weiteren Entwicklung von VPN.

2 VPN-Einsatzbereiche und mögliche Kommunikationsplattformen

Aus der o.g. Definition des Begriffs VPN geht hervor, dass zwei Kommunikationspartner über logische Verbindungen Daten austauschen. Die verschiedenen Kommunikationspartner und die zwischen ihnen möglichen Kombinationen sowie die daraus resultierenden spezifischen Anforderungen an das VPN werden in Kapitel 2.1 näher betrachtet. Dabei wird von der eigentlichen Kommunikationsplattform abstrahiert, da diese in Kapitel 2.2 in ihren Ausprägungsformen näher betrachtet wird.

2.1 Einsatzbereiche von VPN und ihre Anforderungen

Bereits in der Einleitung wurden die verschiedenen Einsatzbereiche für VPN angedeutet. Wie in Abb. 1 dargestellt, kann ein VPN als Intranet-VPN (z.B. zur Anbindung einer Filiale an die Firmenzentrale; auch: Site-to-Site-VPN), Extranet-VPN (z.B. zum Datenaustausch zwischen einem Unternehmen und seinem Zulieferer oder Kunden; auch: End-to-End-VPN) oder als Remote-Access-VPN (z.B. als Einwahlmöglichkeit eines reisenden Vertriebsmitarbeiters an das IKS der Firma oder die Anbindung von Heimarbeitsplätzen; auch: End-to-Site-VPN) aufgebaut werden.7 Nicht in Abb. 1 dargestellt, aber ebenfalls möglich, ist der Aufbau eines VPN innerhalb eines lokalen Netzes, z.B. zum sicheren Austausch von sensiblen Daten zwischen den Mitgliedern der Geschäftsleitung.

[....]

1 Vgl. Böhmer, W. (2002), S. 3
2 Vgl. a Campo, M. (2001), S. 44
3 Vgl. Böhmer, W. (2002), S.
4 Vgl. Lienemann, G. (2002), S. 17
5 Böhmer, W. (2002), S.8
6 Zu den Ausführungen dieses Absatzes vgl. Böhmer, W. (2002), S.8
7 Vgl. Lipp, M. (2001), S. 37 ff.