Einleitung
Virtual Private Networks, kurz VPNs, dienen dazu, zwei oder mehrere Rechner(netze) miteinander zu verbinden. Der Unterschied zu herkömmlichen, privaten Netzwerken ist dabei der Transportweg: VPNs nutzen öffentliche Netzwerke als Träger für den privaten Datenaustausch, so dass die Vernetzung von weit entfernten Rechnern(netzen) kein Problem darstellt. So gesehen handelt es sich bei Standfestverbindungen und Mietleitungen (z.B. mittels ISDN, Frame Relay und ATM), die bis heute bei der Verbindung von beispielsweise verteilten Unternehmensnetzen noch eine große Rolle spielen, definitionsgemäß auch um VPNs, da sie öffenliche Netze, wie das Telefonnetz, als Träger nutzen. Dennoch herrscht bei diesen Netzen die Vorstellung vor, es handele sich um private, physisch separate Netze.
Das bekannteste und in Bezug auf VPN-Realisierungen zukunftsträchtigste öffentliche Netzwerk ist das Internet. Daher behandelt diese Arbeit ausschließlich die sogenannten Internet-VPNs, oder auch IP-VPNs. Die Größe des Internets und die Tatsache, dass praktisch Jedermann Zugriff darauf hat, macht eine Betrachtung der Sicherheit von VPNs nötig. Dabei wird diese Arbeit aufzeigen, dass diese Sicherheit von verschiedenen Faktoren abhängt, die sich durchaus beeinflussen lassen: Unter anderem muss eine Wahl der zu benutzenden Protokolle getroffen werden, wobei sich davon einige zum Standard etabliert haben, andere (noch) herstellereigene Lösungen sind. Weiterhin wird untersucht, inwieweit diese Protokolle in Betriebssystemen implementiert sind, d.h. man wird eine Vorstellung davon bekommen, wie geeignet Betriebssysteme sind, ein VPN aufzubauen. Als Alternative bieten sich Hardwarelösungen an, ein VPN einzurichten. Kapitel 5.3 beleuchtet einen Vertreter der Hardwarelösungen.
Inhaltsverzeichnis
1. Einleitung
2. VPN – Modelle und Standards
2.1. VPN Typen (Remote-access, branch-office, Extranet)
2.2. Tunneling Modelle (intra-provider, provider-enterprise, Ende zu Ende)
2.3. Tunneling Protokolle
2.3.1. IPSec
2.3.2. PPTP (als Microsoft-Herstellerstandard)
2.3.3. L2TP
2.3.4. IPSec secured L2TP
3. VPN Sicherheitsaspekte
3.1. Authentifizierung
3.2. Verschlüsselung
3.3. RFCs 2401-2409
3.3.1. RFC 2401 – IPSec-Sicherheitsassoziationen
3.3.2. RFC 2402 – IP-Authentication Header
3.3.3. RFC 2403 – HMAC MD5
3.3.4. RFC 2404 – HMAC SHA-1
3.3.5. RFC 2406 – ESP
3.3.6. RFC 2408 – ISAKMP
3.3.7. RFC 2409 – IKE
3.4. Zertifikatsmanagement
4. Visualisierungsvorschlag für IPSec mit IKE
5. VPN Unterstützung
5.1. Windows
5.2. Linux
5.3. Hard/Software VPN-Lösung (Cisco)
6. Fazit
7. Anhang
7.1. Fachwörterverzeichnis
Zielsetzung & Themen
Die vorliegende Arbeit untersucht die grundlegenden Sicherheitsmechanismen und technischen Realisierungen von Virtual Private Networks (VPNs) auf Basis des Internet-Protokolls (IP-VPNs), um Wege für eine sichere Datenkommunikation über öffentliche Netzwerke aufzuzeigen.
- Analyse verschiedener VPN-Modelle und Standard-Tunneling-Protokolle.
- Untersuchung kritischer Sicherheitsaspekte wie Authentifizierung, Verschlüsselung und Zertifikatsmanagement.
- Detaillierte Betrachtung der IPSec-RFCs und des Internet Key Exchange (IKE) Verfahrens.
- Evaluierung der VPN-Implementierungen in den Betriebssystemen Windows und Linux.
- Vorstellung einer interaktiven Visualisierung zur Veranschaulichung des IPSec/IKE-Ablaufs.
Auszug aus dem Buch
2.3. Tunneling Protokolle
Wie wird nun ein Tunnel aufgebaut? Im Falle der Anwendung von IPSecurity werden zwei IPSec-Gateways mit offiziell registrierten IP-Adressen als Tunnelendpunkte benötigt. Handelt es sich um ein Remote-Access-VPN, erhält der Client seine IP-Adresse im Moment der Einwahl beim ISP. Die Gegenseite, das Firmennetz, sollte über einen IPSec-Gateway mit fester IP verfügen, um stete Einlogmöglichkeit zu garantieren.
Kommt es zum Datenverkehr, erzeugt IPSec im so genannten Tunnelmodus für jedes zu übertragende Paket ein neues IP-Paket, in dessen Datenbereich das komplette, ursprüngliche Paket verschlüsselt eingekapselt wird. So können Außenstehende höchstens die Anzahl der übertragenen Pakete ermitteln, aber nicht deren Inhalt.
Erreichen die Pakete unbeschadet das Gateway (den Tunnelendpunkt), wird das eigentliche Datenpaket wieder ausgekapselt und im Intranet des Firmennetzes weitergeleitet.
Im Gegensatz zu dem gerade erwähnten Tunnelmodus findet im Transportmodus von IPSec ebenfalls eine Verschlüsselung der Daten statt, jedoch wird das zu übertragende Paket nicht komplett verschlüsselt und in ein neues IP-Paket gekapselt, sondern der ursprüngliche IP-Header bleibt erhalten. Das hat zur Folge, dass die Kommunikationsendpunkte auch zwingend die Sicherheitsendpunkte sind und der Transportmodus folglich nur für Host-zu-Host Verbindungen ohne zwischengeschaltete Gateways tauglich ist. Und die Tatsache, dass nur die Nutzdaten verschlüsselt werden können und der IP-Header selbst nicht, ermöglicht Außenstehenden Informationen über die Netzstruktur und die benutzten Protokolle zu sammeln.
Zusammenfassung der Kapitel
1. Einleitung: Diese Einführung definiert VPNs als Mittel zur Rechnerverbindung über öffentliche Netzwerke und begründet die Notwendigkeit der Sicherheitsspezialisierung auf IP-VPNs.
2. VPN – Modelle und Standards: Dieses Kapitel erläutert verschiedene VPN-Typen wie Remote-Access oder Extranet sowie die zentralen Tunneling-Konzepte und -Protokolle.
3. VPN Sicherheitsaspekte: Hier werden die kryptographischen Grundlagen, Authentifizierungsverfahren und die technischen RFC-Spezifikationen für IPSec und IKE analysiert.
4. Visualisierungsvorschlag für IPSec mit IKE: Das Kapitel schlägt ein interaktives Programmmodell vor, um den komplexen Aushandlungsprozess von Sicherheitsassoziationen nachvollziehbar zu gestalten.
5. VPN Unterstützung: Diese Sektion untersucht die praktische Umsetzung von VPNs in Windows und Linux sowie am Beispiel von Cisco Hardware-Lösungen.
6. Fazit: Die Arbeit schließt mit der Erkenntnis, dass trotz der Komplexität sichere, profitable VPN-Lösungen über öffentliche Trägernetze möglich sind und in Zukunft weiter an Bedeutung gewinnen werden.
7. Anhang: Dieses Kapitel enthält ein Fachwörterverzeichnis zur Erläuterung der verwendeten technischen Begriffe.
Schlüsselwörter
Virtual Private Network, VPN, IPSec, Internet Key Exchange, IKE, Tunneling, Sicherheit, Authentifizierung, Verschlüsselung, Public Key Infrastruktur, Remote Access, Gateway, Datenintegrität, RFC, Netzwerksicherheit.
Häufig gestellte Fragen
Worum geht es in dieser Arbeit grundsätzlich?
Die Arbeit befasst sich mit der Konzeption und technischen Umsetzung von VPNs zur sicheren Datenübertragung über das unsichere Medium Internet.
Was sind die zentralen Themenfelder?
Im Fokus stehen Tunneling-Protokolle wie IPSec und L2TP, Sicherheitsmechanismen wie Verschlüsselung und Zertifikatsmanagement sowie deren Implementierung in Betriebssystemen.
Was ist das primäre Ziel der Untersuchung?
Das Ziel ist es, dem Leser ein tiefes Verständnis für die Sicherheitsfaktoren von VPNs zu vermitteln, um geeignete Lösungen für die Vernetzung von Standorten oder Mitarbeitern zu identifizieren.
Welche wissenschaftlichen Methoden werden verwendet?
Die Arbeit nutzt eine fundierte Literatur- und RFC-Analyse sowie einen Entwurf für eine programmbasierte Visualisierung des Protokollablaufs.
Was wird im Hauptteil der Arbeit behandelt?
Der Hauptteil gliedert sich in eine detaillierte Auseinandersetzung mit Sicherheitsaspekten (RFCs 2401-2409) sowie eine vergleichende Betrachtung von Software- und Hardware-VPN-Lösungen.
Welche Schlüsselbegriffe charakterisieren die Arbeit?
Die Arbeit ist maßgeblich durch Begriffe wie IPSec, IKE, Security Association (SA), Authentifizierung und Tunneling geprägt.
Welche Rolle spielt die Kombination von L2TP und IPSec?
Die Kombination wird als populäre, wenn auch mit höherem Paketoverhead verbundene Lösung für den Remote-Access beschrieben, da sie die Stärken beider Protokolle vereint.
Warum wird das Cisco Easy VPN im Dokument hervorgehoben?
Das Cisco Easy VPN dient als praxisnahes Beispiel für eine hardwaregestützte VPN-Lösung, die zentralisiertes Management und Skalierbarkeit für unterschiedliche Unternehmensgrößen bietet.
Welchen Stellenwert nimmt IPv6 ein?
Die Arbeit prognostiziert, dass die Einbettung von IPSec in IPv6 die Zukunftsfähigkeit und Bedeutung von VPNs signifikant steigern wird, da unter anderem NAT-Problematiken entfallen.
- Quote paper
- Dennis Christian (Author), 2003, VPN - Virtual Private Networks, Munich, GRIN Verlag, https://www.grin.com/document/38157
