Thema: Virtual Private Network Vertiefungsarbeit von Carola Schmidt aus Berlin BERUFSAKADEMIE LÖRRACH – STAATLICHE STUDIENAKADEMIE – UNIVERSITY OF COOPERATIVE EDUCATION Ausbildungsbereich Wirtschaft Betreuende(r) Dozent(-in): Abgabetermin: Kurs: Fachrichtung Unternehmen Betreuer(in) im Betrieb: Professor Gerhard Staib 28.07.2003 WWI01B Wirtschaftinformatik Techem AG - Ehrenwörtliche Erklärung Ich versichere hiermit, daß ich meine Vertiefungsarbeit mit dem Thema Virtual Private Network selbstständig verfaßt und keine anderen als die angegebenen Quellen und Hilfsmittel benutzt habe. Lörrach, 22.07.2003 Vertiefungsarbeit: VPN Carola Schmidt 28.07.2003 2 Kurzfassung Der Standort eines Unternehmens spielt heutzutage keine Rolle mehr. Die Unternehmen verfügen über eigene Netze, die die einzelnen Außenorganisationen bzw. Filialen verbinden. Der VPN-Markt hat sich in den letzten Jahren signifikant verändert. Das Internet verbreitete sich ziemlich schnell und immer mehr Firmen bauen auf die Kommunkation über das Internet. In der folgenden Arbeit werden Technologien für ein Virtual Private Network (VPN), angewandt über das Internet, vorgestellt. Des weiteren soll Klarheit verschafft werden, was ein VPN ist und was es kann und wie sicher diese Verbindungen sind. Vertiefungsarbeit: VPN Carola Schmidt 28.07.2003 3 Inhaltsverzeichnis Seite Ehrenwörtliche Erklärung...................................................................................2 1 Einleitung ....................................................................................................7 1.1 1.2 1.3 Problemstellung und -abgrenzung .......................................................................7 Ziel der Arbeit .........................................................................................................8 Vorgehen .................................................................................................................8 2 Was ist ein VPN?.........................................................................................9 2.1 2.2 Begriffserklärung ...................................................................................................9 Anforderungen .....................................................................................................10 3 Aufbau eines VPN .....................................................................................11 3.1 Das Tunnelverfahren ............................................................................................11 3.1.1 Verfahren zur Authentifizierung...................................................................12 3.1.2 Layer-2-Tunnelprotokolle ............................................................................13 3.1.3 Layer-3-Tunnelprotokolle ............................................................................16 3.1.4 IPSec ..........................................................................................................16 3.1.5 Transport- und Tunnelmodus......................................................................17 3.1.6 Der AH- Header und der ESP- Header.......................................................18 4 Ausprägungen eines VPN-Netzes ...........................................................19 4.1 4.2 4.3 End-to-End ............................................................................................................19 Site-to-Site ............................................................................................................20 End-to-Site ............................................................................................................20 5 Eckpunkte für den Einsatz eines VPN.....................................................21 5.1 VPN und Firewall ..................................................................................................21 5.1.1 VPN Gateway außerhalb der Firewall.........................................................21 5.1.2 VPN- Gateway innerhalb der Firewall.........................................................22 6 Zusammenfassung und Ausblick............................................................23 Quellenverzeichnis............................................................................................24 Vertiefungsarbeit: VPN Carola Schmidt 28.07.2003 4 Abkürzungsverzeichnis AH Authentification Header ATM Asynchroner Transfer-Modus bzw. beziehungsweise CUG Closed User Group DMZ demilitarisierte Zone engl. Englisch ESP Encapsulation Security Payload FR Frame-Relay GRE General Routing Encapsulation IETF Internet Engeneering Task Force IP Internet Protocol IPSec Internet Protocol Security ISP International Service Provider L2F Layer-2-Forwarding L2TP Layer-2-Tunneling-Protocol NAS Network-Access-Server POP Point-of-Present PPP Point-to-Point Protocol PPTP Point-to-Point-Tunneling-Protocol SA Security Associations VPN Virtual Private Network z.B. zum Beispiel Vertiefungsarbeit: VPN Carola Schmidt 28.07.2003 5 Abbildungsverzeichnis Seite Abbildung 1: Vergleich zwischen einer virtuellen Verbindung und einer Standleitung.. 10 Abbildung 2: Das Tunnelverfahren ................................................................................11 Abbildung 3: einfache ungeschützte Authentifizierung ................................................. 12 Abbildung 4: Vergleich PPP und PPTP ........................................................................ 14 Abbildung 5: TCP- Kontrollverbindung ......................................................................... 14 Abbildung 6: ein L2F-Tunnel......................................................................................... 15 Abbildung 7: Transportmodus....................................................................................... 17 Abbildung 8: Tunnelmodus ........................................................................................... 18 Abbildung 9: End-to-End............................................................................................... 19 Abbildung 10: Site-to-Site ............................................................................................. 20 Abbildung 11: VPN-Gateway außerhalb der Firewall ................................................... 22 Abbildung 12: Firewall innerhhalb des Gateways......................................................... 22 Vertiefungsarbeit: VPN Carola Schmidt 28.07.2003 6 1 Einleitung Von den Unternehmen und deren Mitarbeiter wird in der heutigen Zeit immer mehr Flexibilität erwartet. Außendienstler erfüllen unter anderem diesen Wunsch. Der Einsatz von Außendienstlern ist jedoch nur effizient, wenn sich diese von unterwegs schnell und kostengünstig an das Firmennetzwerk anbinden können. Eine gut funktionierende interne Kommunikation muß gewährleistet sein. Traditionelle Verfahren zum Datenaustausch, wie z.B. Briefe und Faxe sind zu zeitaufwendig und verwaltungsintensiv. Sie werden den neuen Anforderungen nicht mehr gerecht. 1993 wurde der erste graphische Browser Mosaic vom National Center for Supercomputing Applications entwickelt. Seitdem stiegen die Benutzer- und Anbieterzahlen im Internet gigantisch an. Das neue Medium setzte sich schnell durch und ist mittlerweile in der Geschäftswelt nicht mehr wegzudenken. Zusätzlich entwickelte sich ein erhöhtes Sicherheitsbedürfnis für die vernetzte Informationsverarbeitung. Es wuchs der Wunsch nach kontrollierten Netzbereichen, die ausschließlich nach Vorstellungen des nutzenden Unternehmens zugänglich sind und in der Regel nur durch Unternehmenszugehörige selbst genutzt werden können. 1.1 Problemstellung und -abgrenzung Ein Virtual Private Network ist eine Methode zur Vernetzung von Standorten und erfüllt das erhöhte Sicherheitsbedürfnis. Es nutzt das Internet als Kommunikationsinfrastruktur. In der Praxis kommen auch weitere Kommunikationsplattformen zum Einsatz. Z.B. ATM oder Frame- Relay. Um den Rahmen dieser Arbeit jedoch nicht zu sprengen, werde ich nur auf das Internet als Übertragungsmedium eingehen. Da ein VPN über das Internet kommuniziert, stellt sich die Frage, ob es sich hier um ein sicheres Netzwerk handelt. In der folgenden Arbeit möchte ich die Thematik Sicherheit näher betrachten. Dabei gehe ich jedoch nicht auf SSL ein, sondern nur auf IPSec, da in meinen Augen im IPSec die Zukunft liegt. Vertiefungsarbeit: VPN Carola Schmidt 28.07.2003 7 EINLEITUNG Im Kapitel „Eckpunkte für den Einsatz eines VPN“ werde ich nicht auf die Kombination VPN mit einem Router näher eingehen, sondern lediglich auf VPNs mit einer Firewall. Im Verlauf der Vertiefungsarbeit möchte ich bei einigen Kapiteln die Sicht für einen Außendienstmitarbeiter hervorheben. 1.2 Ziel der Arbeit Ziel dieser Arbeit ist es, den Aufbau eines Virtual Private Networks vorzustellen und deren Technik näher zu betrachten. Darüber hinaus möchte ich die bereits genannten Problemstellungen beantworten. 1.3 Vorgehen In der folgenden Vertiefungsarbeit beginne ich mit der Begriffserläuterung von VPN. Anschließend erwähne ich die wichtigsten Anforderungen, die man an ein Virtual Private Network stellen sollte. Um den Aufbau eines Virtual Private Networks näher zu bringen, erkläre ich das Tunnelverfahren und die Tunnelprotokolle näher. Dabei erläutere ich kurz die einfachen und starken Authentifizierungsverfahren. Auf IPSec gehe ich dann wieder etwas detaillierter ein. Dabei stelle ich die zwei Betriebsmodi von IPSec, so wie den Authentification- und ESP- Header vor. Im folgenden Kapitel durchleuchte ich drei Ausprägungen bzw. die Kommunikationsarchitekturen eines VPNs, nämlich End-to-End, Site-to-Site und End-to-Site. Anschließend stelle ich zwei Aufbaumöglichkeiten eines VPNs in Verbindung mit einer Firewall vor. Rentiert sich ein VPN? Kann man wirklich von sicherer Kommunikation sprechen? Wie sieht die Zukunft von einem VPN aus? Auf diese Frage werden ich in der abschließenden Zusammenfassung und im Ausblick eingehen. Vertiefungsarbeit: VPN Carola Schmidt 28.07.2003 8 2 Was ist ein VPN? Der Begriff VPN läßt viel Spielraum für Interpretationen. Daher existiert für diese Bezeichnung mehrere Definitionen. Eine in meinen Augen sehr passende lautet: „Ein VPN ist eine Kommunikationsumgebung, bei der Verbindungen unter Kommunikationspartnern nur dann erlaubt sind, wenn diese zu einer bestimmten Gruppe gehören. Ein VPN wird unter Nutzung einer allgemeinen zugänglichen Kommunikationsinfrastruktur aufgebaut, die ihre Dienste nicht nur einer exklusiven Benutzergruppe zur Verfügung stellt“ (Ferguson, Huston, „What is a VPN?“, in: „The Internet Protocol Journal“, Volume 1, Number 1). Die Filialen eines Unternehmens wurde noch zu Beginn der 90er Jahre üblicherweise über Weitverkehrsstrecken verbunden, die entweder permanent oder nach Bedarf aufgebaut wurden. Dem Unternehmen standen diese Leitungen exklusiv zur Verfügung. Heutzutage ist ein Rückgang gegen solch eine permanente Reservierung physikalischer Netzressourcen zu verzeichnen. Ein VPN ermöglicht Verbindungen zwischen Unternehmensstandorten, bei denen lediglich der Weg der Daten in der Kommunikationsplattform hinterlegt ist. Das heißt, daß erst, wenn eine Datenübertragung ansteht, erforderliche Bandbreiten zugewiesen werden. 2.1 Begriffserklärung Hinter der Abkürzung VPN verbirgt sich Virtual Private Network, ein virtuelles privates Netzwerk. Die Bezeichnung „virtual“ ist durch die Architektur begründet. Es handelt sich nicht um ein physisch separates Netz, sondern um eine übergeordnete Struktur, die sich quasi auf das öffentliche Netz aufsetzt. Zwischen den Kommunikationspartnern werden eine Art Tunnel gebaut, auf die ich später in dieser Arbeit näher eingehen werde. Durch die Nutzung des Internets als Übertragungsmedium besteht die Gefahr, daß Dritte die übertragenen Daten mitlesen oder sogar verändern können. Um dies zu verhindern und bei einem VPN dem „P“, nämlich „privat“, gerecht zu werden, sind bestimmte Sicherheitsmaßnahmen eine Voraussetzung. Weiteres dazu folgt an anderer Stelle in dieser Arbeit. „Network“ steht in diesem Zusammenhang für eine Gruppe von Computern, die über diverse Protokolle miteinander kommunizieren. Vertiefungsarbeit: VPN Carola Schmidt 28.07.2003 9 WAS IST EIN VPN? Abbildung 1: Vergleich zwischen einer virtuellen Verbindung und einer Standleitung 2.2 Anforderungen Außendienstmitarbeiter müssen einen jederzeit kontrollierten Zugriff auf die Netzwerkressourcen gewährleistet werden. Des weiteren ist die Sicherheit der Daten zwingend erforderlich. Um diese Hauptanforderungen zu erfüllen, müssen gewisse Merkmale eines VPNs gegeben sein. Hier nur einige wichtige Punkte, um einen kleinen Überblick zu erschaffen. Wechselnde Protokolle für die VPN-Verbindung erfordern Kompatibilität bzw. Multiprotokollfähigkeit, so daß die VPN-Lösung alle bestehenden kundenspezifischen Protokolle unterstützt. Gerade als Außendienstmitarbeiter ist man ständig an anderen Standorten, von wo man sich in das Firmennetzwerk einwählen möchte. Hier ist keine Garantie gegeben, daß immer die gleichen Protokolle zur Verfügung stehen. Nicht nur die Protokolle sollten kompatibel sein, sondern auch die Adressierung. Private Adressen werden im Internet nicht weitergeleitet. Trotzdem sollten diese Adressen über das VPN benutzt werden können. Hierfür ist eine Adreß- Translation notwendig. Die Adressen müssen eindeutig dem Client zugeordnet werden können. Gleichzeitig ist die Geheimhaltung gegenüber Dritter obligatorisch. Diese Geheimhaltung ist zusätzlich ein relevanter Sicherheitsaspekt. Da bei einem VPN Daten über ein öffentliches Netz geschickt werden, ist eine Verschlüsselung unvermeidlich. Weitere sicherheitsunterstützende Merkmale sind die Benutzerauthentifizierung, Transparenz und die Datenintegrität. Einerseits dürfen nur Berechtigte Zugriff auf das VPN bekommen, und zusätzlich muß feststellbar sein, wer auf welche Daten wann zugegriffen hat. Neben diesen genannten Merkmalen sind jedoch auch praktische Anforderungen von Relevanz. Gemeint ist hiermit z.B. ein adäquater Zugriff für den Endbenutzer, eine einfache Administrierbarkeit des VPN und eine Einfachheit im Gebrauch. Vertiefungsarbeit: VPN Carola Schmidt 28.07.2003 10 3 Aufbau eines VPN Die im vorigen Kapitel erarbeiteten Anforderungen können mit einer relativ einfachen Technik erfüllt werden, mit dem Tunnelverfahren. 3.1 Das Tunnelverfahren Tunneling ist ein Konzept, mit dem beliebige Datenpakete über ein Transitnetz sicher weitergeleitet werden können. Solch ein Tunnel wird, mit dem Internet als Übertragungsmedium zwischen dem Client und Server aufgebaut. Dieser bewirkt, daß die transportierten Datenpakete den Tunnel nicht verlassen können und fremde Datenpakete nicht in den Tunnel eindringen können. Abbildung 2: Das Tunnelverfahren Die Privatsphäre der Kommunikation bleibt gewahrt, indem die virtuellen Verbindungen zischen den Unternehmensstandorten innerhalb einer geschlossenen Benutzergruppe als Closed User Group (CUG) verwaltet werden. Die Gesamtheit aller IP- Tunnel für eine solche geschlossene Benutzergruppe stellt ein virtuelles privates Netz für diese Gruppe dar. Vertiefungsarbeit: VPN Carola Schmidt 28.07.2003 11 AUFBAU EINES VPN Der Tunnelaufbau vollzieht sich in drei Phasen: der Authentifizierung, dem Tunnelbau und der Übertragungsphase. 3.1.1 Verfahren zur Authentifizierung Die heutzutage gängigen Authentifizierungsverfahren lassen sich in zwei unterschiedliche Typen einteilen, in das einfache und in das starke Authentifizierungsverfahren. Das erstgenannte Verfahren läßt sich in das ungeschützte und in das geschützte Verfahren gliedern. Prinzipiell beruhen diese beiden Verfahren auf Paßwörtern zur Benutzererkennung und zur Identifikation. Für lokale Systemzugänge wird häufig das ungeschützte Verfahren verwendet, denn hier werden lediglich statische Paßwörter eingesetzt. Mit einer Einweg- Hashfunktion könnte dieses Verfahren in ein geschütztes umgewandelt werden, allerdings werde ich darauf nicht näher eingehen, da dies bei VPNs keine wichtige Rolle spielt. Subjekt 1 Login 4 2 Daten- 3 bank Abbildung 3: einfache ungeschützte Authentifizierung Die obere Abbildung zeigt den schematischen Ablauf des ungeschützten Authentifizierungsverfahrens. Zuerst gibt das Subjekt sein Paßwort in den PC ein (Schritt 1). Daraufhin wird geprüft, ob die Kennung vom Subjekt zulässig ist und vergleicht bei positivem Ergebnis das vom Subjekt eingegebene Paßwort mit dem in der Datenbank hinterlegten Paßwort für den Login (Schritt 2 und 3). Eine Übereinstimmung dieser Paßwörter bedeutet, die Authentifizierung ist erfolgreich abgeschlossen, andernfalls ist sie fehlgeschlagen. Abschließend wird dem Subjekt entweder die Bestätigung oder die Ablehnung übermittelt. Bei positiver Authentifizierung kann das Subjekt nun mit dem System kommunizieren. Die starken Authentifizierungsverfahren basieren auf kryptographischen Techniken, speziell auf den asymmetrischen Verschlüsselungsverfahren. Im Gegensatz zu den einfachen Verfahren (oneway, two- party), bei denen sich nur ein Kommunikationspartner einseitig dem Gegenüber ausweist, identifizieren sich in bei den starken Verfahren (two- way, two- party) beide Kommunikationspartner gegeneinander. Demzufolge ist ein Nachrichtenaustausch in beide Richtungen notwendig. Zu den Vertretern der starken Authentifizierungsverfahren zählen Password Authentication Protocol (PAP), Challenge-Handshake Authentication Protocol (CHAP), Terminal Access Controller Access Control System (TACAS) und Remote Authentication Dial- In User Service (RADIUS). All die genannten finden in der VPN-Technologie eine weite Verbreitung. Vertiefungsarbeit: VPN Carola Schmidt 28.07.2003 12 AUFBAU EINES VPN Voraussetzung für eine Authentifizierung mit dem PAP- oder dem CHAP- Protokoll ist eine serielle Punkt-zu-Punkt-Verbindung zwischen beiden Kommunikationspartnern. Mit dem Point-toPoint Protocol (PPP) als Standardmethode, können Protokollinformationen innerhalb der Network- Layer über eine PPP- Verbindung gekapselt übertragen werden. Da PAP häufig zum Verbindungsaufbau zwischen einem Netzbetreiber und einem Endgerät eingesetzt wird, ist dies in der VPN-Technologie ein weit verbreitetes Verfahren. Es handelt sich bei PAP um ein einfaches Authentifizierungsprotokoll, das durch Benutzererkennung und mittels Passwort zur Berechtigungsüberprüfung einer sich einwählenden Person dient. Da beide Kommunikationspartner ihre Kennung und Passwort im Klartext, also unverschlüsselt, über das Netz senden, zählt PAP nicht zu den sicheren Protokollen. 3.1.2 Layer-2-Tunnelprotokolle Die Tunnel-Protokolle können entweder der OSI- Schicht 2 (Sicherungsschicht) oder der OSISchicht 3 (Vermittlungsschicht) zugeordnet werden. Die Layer-2-Techniken werden häufig auch als Access Tunneling- Protokolle bezeichnet. Folgend möchte ich auf das Point-to-PointTunneling-Protocol (PPTP), das Layer-2-Forwarding (L2F) und auf das Layer-2-TunnelingProtocol (L2TP) eingehen. Den Vermittlungsschicht zugehörigen IP-Security-Tunnelmodus (IPSec) werde ich anschließend näher betrachten. Das Grundprinzip aller Tunnel- Protokolle ist das Verpacken (engl.: Encapsulation) der Anwendungsdatenpakete in die Datenpakete des Transportprotokolls. Das Originalpaket wird als Nutzlast bzw. Payload eines anderen Protokolls verschickt. Dafür wird dem Originalpaket ein zusätzlicher Protokollkopf (Header) vorangestellt. Zum Versenden wird dieses Paket durch einen Router in einen PPP-Rahmen verpackt. Es fungiert nun praktisch wie ein Container und kann über jedes IP- Netz transportiert werden, da sein Inhalt für die Übertragungssysteme nicht von Bedeutung ist. Im Zielrechner wird der Header bzw. Tunnel- Header entfernt und das Originalpaket ist wiederhergestellt. Diesen Vorgang bezeichnet man als Decapsulation. Hier ist kurz der General Routing Encapsulation (GRE) Tunnel zu erwähnen. 1994 wurde mit dem GRE- Protokoll eine erste Standardisierung für Tunnel-Verfahren vorgenommen. Nach diesem Standard sind andere Tunneling- Protokolle wie z.B. PPTP, auf das ich später eingehen werde, aufgebaut worden. Ein GRE- Paket wird in drei Abschnitten unterschieden. In den GREHeader (Protokollkopf), in den eigentlichen Netzwerk-Protokollkopf (Delivery Header) und in die Nutzlast (Payload). Nahezu jedes beliebe Paket aus höheren Protokollschichten kann als Nutzlast eingesetzt werden. Im GRE- Header werden Informationen über die verwendeten Tunnel- und Verschlüsselungsalgorithmen hinterlegt. Im Netzwerk- Protokollkopf wird hingegen das Tunnelziel gespeichert. Vertiefungsarbeit: VPN Carola Schmidt 28.07.2003 13 AUFBAU EINES VPN 3.1.2.1 Das Point-to-Point-Tunneling-Protocol Das Point-to-Point-Tunneling-Protocol findet häufig Anwendung, da es in den Microsoft Betriebssystemen Windows NT, Windows 98 und Windows 95 implementiert worden ist. PPTP stellt eine Erweiterung des bereits erwähnten Point-to-Point-Protokolls (PPP) dar. Erzielt wird dies, indem PPP mit einem GRE- Header gekapselt und mit einem zusätzlichen Tunnel- IPHeader versehen wird (siehe Abbildung 4). Durch die Einbindung des GRE- Headers bietet PPTP auch die Möglichkeit, andere Protokolle zu verwenden, wie z.B. IPX oder NETBUI. Ohne den GRE- Header ist PPTP an das Internet- Protokoll (IP) gebunden. Ein Vorteil von PPTP ist die starke Authentifizierung sowie Verschlüsselung der übertragenen Nutzdaten. Die Verschlüsselung endet nicht wie bei einer Standard PPP-Verbindung beim Einwahlpunkt des International Service Providers, sondern erstreckt sich bis zum PPTP- Server. Abbildung 4: Vergleich PPP und PPTP Bevor eine PPP-Verbindung zischen dem Anfangs- und Endpunkt des Tunnels aufgebaut werden kann, muß eine virtuelle TCP- Verbindung aufgebaut werden (siehe Abbildung 5). Diese Verbindung fungiert als Kontrollverbindung des Tunnels. Abbildung 5: TCP- Kontrollverbindung Vertiefungsarbeit: VPN Carola Schmidt 28.07.2003 14 AUFBAU EINES VPN Des weiteren ist für ein PPTP- Tunnelaufbau eine Anforderung vom Endgerät erforderlich. Bei einer Verbindung kann lediglich nur ein Tunnel aufgebaut werden, der eine Kontrollverbindung besitzt. PPTP ermöglicht einen Außendienstmitarbeiter über ein öffentliches Netz den Zugriff in das firmeneigene Intranet. Einerseits kann diese Verbindung über eine nutzerinitiierte dynamische DialIn- Verbindung, oder auch von einem Netzwerkzugangsserver (NAS) aufgebaut werden. Beim dynamischen Dial- In kann der Nutzer neben dem Zugangsserver des Unternehmens noch beliebig viele andere Adressen im Internet ansteuern. 3.1.2.2 Das Layer-2-Forwarding Zeitgleich mit PPTP wurde das Layer-2-Forwarding (L2F) Verfahren unter anderen von der Firma Cisco entwickelt. Auch L2F ermöglicht wie PPTP den Aufbau eines VPN über ein öffentliches Netz (z.B. Internet). Bei L2F hat man jedoch mehr Protokollfreiheit. Es nicht an IP gebunden ist, sondern kann mit Frame- Relay (FR) oder ATM zusammenarbeiten. Eine Wählverbindung bis zum Point-of-Present (POP) eines Internet Service Provider (ISP) ist für L2F notwendig (siehe Abbildung 6). Diese Verbindung ist für den Endnutzer eine kostengünstige Variante, da er bei einer Einwahl nur den Ortstarif zahlen braucht. Auf der folgenden Grafik ist ein Tunnel zwischen einem Client und einem LAN dargestellt. Nur zwischen POP und dem Sicherheitsgateway (Router, Firewall, VPN-Gateway) des Unternehmens existiert ein L2F-Tunnel. Abbildung 6: ein L2F-Tunnel Ein weiterer Vorteil zu PPTP ist, daß L2F mehr als eine Verbindung gleichzeitig unterstützt. In der Tunnelverbindung können mehrere logische Kanäle geschaltet werden. Für kleinere Unternehmen, die nur mit einer Wählverbindung (ISDN oder analoges Telefon) angebunden sind, ist L2F von großem Vorteil. L2F-Tunnel werden bei Bedarf aufgebaut und sobald sie nicht mehr gebraucht werden, auch wieder abgebaut. L2F ist eine zuverlässige Lösung für VPN, welche gegen Ende der 90er Jahre häufig eingesetzt wurde. Vertiefungsarbeit: VPN Carola Schmidt 28.07.2003 15 AUFBAU EINES VPN 3.1.2.3 Das Layer-2-Tunneling-Protocol L2TP ist eine Mischform vom PPTP und dem Layer-2-Forwarding (L2F). Es Verknüpft die Leistungsfähigkeit des L2F-Protokolls mit den Vorteilen des PPT- Protokolls. Da es ein Bestandteil von Windows 2000 geworden ist, wird die Verbreitung dieses Protokolls sicherlich zunehmen. Wie beim PPTP ist eine Kontrollverbindung notwendig und jedes Protokoll nutzbar. Hier können jedoch mehrere Tunnel aufgebaut werden, die ihre eigenen Kontrollverbindungen besitzen. Des weiteren können über einem L2TP-Tunnel mehrere logische PPPVerbindungen aufgebaut werden. Eigene Sicherheitsmechanismen sind jedoch nicht vorhanden. Zur Datenverschlüsselung können optional IPSec- Mechanismen, die ich in einem später folgenden Kapitel erläutere, eingesetzt werden. 3.1.3 Layer-3-Tunnelprotokolle Das IPSec- Protokoll zählt zu den Layer-3-Tunnelprotokollen. Es setzt einen symmetrischen kryptographischen Schlüssel ein, um ein IP- Paket abgesichert zu transportieren. Nähere Informationen folgen im nächsten Kapitel. 3.1.4 IPSec IPSec ist gemäß IETF ein Sicherheitsstandard, mit dem herstellerübergreifend ein sicherer und geschützter Datenaustausch mittels des IP- Protokolls ermöglicht werden kann. Der Normenrahmen von IPSec definiert die Vorgehensweise für die Datenintegrität, die Vertraulichkeit der Inhalte sowie die Verwaltung der kryptografischen Schlüssel. Mit IPSec ist es möglich, Integrität, Authentizität und Vertraulichkeit bei einer Datenübertragung in einem offenen Netz durchzusetzen. Integrität erhält man, indem die Daten (IP- Pakete) vor Verfälschung während des Transports gesichert werden. In dem Datenpaket wird eine verschlüsselte Prüfsumme aufgenommen, die der Empfänger im Nachhinein verifizieren kann. Authentizität garantiert die Echtheit der IP- Pakete. Durch die Integritätsbedingungen wird dies bereits erfüllt. Vertraulichkeit bedeutet, daß kein unbefugter Dritter die Möglichkeit bekommt, Daten während der Übermittlung zu lesen. Dies wiederum erreicht man durch die Verschlüsselung der Datenpakete mittels kryptographischen Verfahren. IPSec wird durch zwei weitere Standards ergänzt, welche schlussendlich ein IPSec- Protokoll implementieren. Nämlich einerseits das Simple Key management for Internet Protocol (SKIP) und andererseits das Internet Security Association and Key Management Protocol (ISAKMP). Vertiefungsarbeit: VPN Carola Schmidt 28.07.2003 16 AUFBAU EINES VPN Da IPSec weder die Kommunikationsprotokolle noch die Anwendungsprogramme beeinflußt, wird eine Zusammenarbeit über verschiedene IP- Netze nicht beeinträchtigt. Momentan arbeitet IPSec auf IPv4, soll aber fester Bestandteil von IPv6 werden. Ein zentraler Bestandteil von IPSec ist die Security Association (SA). Bevor zwei Kommunikationspartner mit IPSec abgesicherte Daten austauschen können, müssen einige Sicherheitsvereinbarungen getroffen werden. Darunter zählen z.B. Verschlüsselungsverfahren für die Nutzlast oder die Spezifizierung der zeitlichen Gültigkeit aller Schlüssel. Eine SA-Verbindung ist stets unidirektional. Das heißt, es muß, nachdem eine Verbindung vom Sender zum Empfänger ausgerichtet worden ist, eine weitere SA für den Rücktransport eingerichtet werden. 3.1.5 Transport- und Tunnelmodus Zwei unterschiedliche Arbeits-Modi sind zum Transport der nach IPSec modifizierten IP- Pakete einsetzbar, der Transport-Modus und der Tunnel-Modus. Sie unterscheiden sich beide im Wesentlichen durch den Aufbau der Paketergänzungen und durch ihre Einsatzmöglichkeiten. IPSec verschlüsselt im Transportmodus nur den Datenteil des zu transportierenden IP- Paketes. Dabei bleibt der Original-IP-Kopf erhalten und ein zusätzlicher IPSec- Kopf wird hinzugefügt. Der Vorteil ist, daß jedem Paket nur wenige Bytes hinzugefügt werden. Ein Nachteil jedoch ist die Möglichkeit für Angreifer, den Datenverkehr im VPN zu analysieren, da die IP- Köpfe nicht modifiziert werden. Da die Daten aber verschlüsselt sind, ist nur feststellbar, welche Stationen wieviel Daten austauschen. Daten werden häufig in privaten Netzen im Transportmodus verschickt. Im Tunnelmodus hingegen wird das komplette IP- Paket verschlüsselt. Das verschlüsselte Paket wird mit einem neuen IP- Kopf und einem IPSec- Kopf versehen. Verglichen zum Transportmodus ist das IP- Paket hier durch die Modifizierung wesentlich größer geworden. Dagegen ist diese Methode noch sicherer, da Angreifer hier weder die Daten, noch den Datenweg sehen können. Durch die bessere Sicherheit im Tunnelmodus wird dieser Betriebsmodus häufig für die öffentlichen Netzte genutzt. IP-Kopf IP-Kopf IPSec-Kopf Daten Daten verschlüsselt Abbildung 7: Transportmodus Vertiefungsarbeit: VPN Carola Schmidt 28.07.2003 17 AUFBAU EINES VPN IP-Kopf Neuer IP-Kopf IPSec-Kopf Daten IP-Kopf Daten verschlüsselt Abbildung 8: Tunnelmodus 3.1.6 Der AH- Header und der ESP- Header Wie bereits erwähnt, enthält ein IP- Paket Informationen über die IP- Adresse des Absenders und des Zieles sowie Informationen über die Nutzlast (Payload), die transportiert wird. Um eine Authentifizierung und Verschlüsselung zu erreichen, definiert IPSec zwei weitere Protokollköpfe (Header) für IP- Pakete, den Authentification Header (AH) und den Encapsulation Security Payload (ESP). Der AH- Header kann im Transport- sowie auch im Tunnel-Modus eingesetzt werden. Je nachdem, welcher Grad der Absicherung eines IP- Paketes erreicht werden soll, kann der Authentification Header eigenständig oder zusammen mit dem ESP- Header genutzt werden. Im Gegensatz zum AH- Header ist ein ESP- Header in der Lage, sowohl eine Verschlüsselung als auch eine Authentifizierung zu leisten. Der Encapsulation Security Payload Header beinhaltet einen Verweis auf den Schlüssel, mit dem die nachfolgenden Daten verschlüsselt werden. Vertiefungsarbeit: VPN Carola Schmidt 28.07.2003 18 4 Ausprägungen eines VPN-Netzes 4.1 End-to-End Bei einer End-to-End Kommunikation, auch Extranet- VPN genannt, wickeln zwei oder mehrere Computer ihre komplette Datenkommunikation verschlüsselt ab. Jeder Computer muß über die öffentlichen Schlüssel aller potentiellen Kommunikationspartner verfügen. Zusätzlich muß jede an der verschlüsselten Kommunikation beteiligte Arbeitsstation mit entsprechender VPNSoftware ausgestattet sein. Zugangskontrollmechanismen regeln den beschränkten Zugriff der unterschiedlichen Arbeitsstationen. Abbildung 9: End-to-End Ein Extranet- VPN öffnet das private Netz, wie z.B. das Intranet, auch für externe Personen oder Unternehmen. Diese haben dann Zugriff auf Ressourcen im Unternehmensnetzwerk. Vertiefungsarbeit: VPN Carola Schmidt 28.07.2003 19 AUSPRÄGUNGEN EINES VPN-NETZES 4.2 Site-to-Site Die Site-to-Site Kommunikation wird ebenso als Intranet- VPN bezeichnet, da es als Erweiterung interner LANs angesehen werden kann. Hier tauschen zwei Firmenstandorte ihre Daten über das Internet aus. Am Aufbau eines Intranet- VPNs sind zwei VPN- Gateways/ FirewallSysteme beteiligt. Nur auf dem Weg zwischen den beiden VPN- Gateways erfolgt eine Verschlüsselung der Daten. Der Weg durch das lokale Netz vom Gateway zum Endgerät bleibt unverschlüsselt. Dadurch benötigen die Endgeräte keine zusätzliche VPN-Clientsoftware. Da die Gateways auf der Seite des Internets eine öffentliche IP- Adresse haben, können die Standorte für die Endgeräte durchaus private IP- Adressen verwenden. Aufgaben der Gateways sind also, empfangene IP- Pakete für den Transport über das Internet zu verschlüsseln, in ein neues IP- Paket einzupacken und zum Partner Gateway zu schicken, das den beschriebenen Vorgang wieder rückgängig macht. Abbildung 10: Site-to-Site 4.3 End-to-Site Bei der End-to-Site Kommunikation handelt es sich um eine Mischform der beiden bereits erläuterten Kommunikationsarten. Diese Lösung, welche auch als Remote-Access-Lösung bezeichnet wird, ist besonders für einen Außendienstmitarbeiter interessant, der sich an irgendeinem Ort in der Welt über einen lokalen ISP in sein Firmennetzwerk einwählen möchte. Die Telefongebühren für die Einwahl ihrer Remote User zu einem Remote Access Server (RAS) können sehr hoch ausfallen, insbesondere wenn dabei über Staatsgrenzen hinweg telefoniert wird. Bei der End-to-Site Kommunikation fallen jeweils nur die Kosten für den lokalen Zugang zum Internet an. Der Tunnel existiert hier zwischen dem Notebook und dem Gateway. Im Regelfall muß der Rechner des Außendienstmitarbeiters eine IP- Adresse haben, die im Internet auch weitergeleitet werden kann. Zusätzlich ist eine VPN-Software auf dem Notebook erforderlich, da das InternetProtokoll selbst erst ab Version IPv6 eine Verschlüsselungsmöglichkeit besitzt. Vertiefungsarbeit: VPN Carola Schmidt 28.07.2003 20 5 Eckpunkte für den Einsatz eines VPN Einige Randbedingungen müssen einem klar sein, bevor man ein VPN plant. Der zentrale Anschluß eines VPN in das Firmennetz erfolgt durch ein spezielles VPN- Gateway, eine Firewall oder durch einen Router. Ich werde im folgenden Kapitel die VPN-Gateway-Lösungen außerhalb und innerhalb der Firewall etwas näher erläutern. Zu der sichersten Architektur zählt die Variante, in der das Gateway in einer demilitarisierten Zone (DMZ) steht. Trotzdem haben alle Varianten ihre Vor- und Nachteile. Die einzig wahre Lösung gibt es daher nicht. 5.1 5.1.1 VPN und Firewall VPN Gateway außerhalb der Firewall Wenn das VPN- Gateway außerhalb der Firewall liegt, dann ist die Abwicklung des gesamten Datenverkehrs über das Internet recht problemlos, da erst das Gateway alle IP- Pakete verschlüsselt. Bei dieser Architektur bildet die Proxy- Firewall alle internen IP- Adressen des Intranets auf eine öffentliche IP- Adresse ab. Wenn nun die gesamten IP- Pakete über das Internet verschlüsselt transportiert werden sollen, ist dies in dieser Anordnung relativ problemlos möglich. Sollen jedoch nur einzelne TCP- Applikationen verschlüsselt werden, so ist beim VPN eine Selektion auf Destination-Port-Ebene notwendig. Allgemein ist die Absicherung einzelner TCP/IP- Anwendungen oder nur bestimmter Rechner in diesem Falle schwer durchführbar. Vertiefungsarbeit: VPN Carola Schmidt 28.07.2003 21 ECKPUNKTE FÜR DEN EINSATZ EINES VPN Abbildung 11: VPN-Gateway außerhalb der Firewall 5.1.2 VPN- Gateway innerhalb der Firewall Im Falle eines VPN- Gateways innerhalb der Firewall nimmt die Proxy- Firewall ihre traditionellen Funktionen wahr und macht die Selektion der VPN-Funktionen für bestimmte IP- Pakete möglich. Da die Datenpakete bereits verschlüsselt und für eine VPN-Verbindung „verpackt“ zur Proxy- Firewall kommen, ist von den früheren Anwendungen nichts mehr sichtbar. Aus diesem Grund muß an der Firewall ein Kanal konfiguriert werden, durch den nur Paketfilterung, aber keine Proxy-Funktion stattfindet. Dadurch ist eine zweite öffentliche IP- Adresse erforderlich, über die alle VPN-verschlüsselten Daten geroutet werden. Abbildung 12: Firewall innerhhalb des Gateways Vertiefungsarbeit: VPN Carola Schmidt 28.07.2003 22 6 Zusammenfassung und Ausblick VPN werden als kostengünstige Alternative zu Standleitungen vermarktet. Allgemein gilt jedoch, daß ein Kostenvergleich der Anfangskosten und der laufenden Betriebskosten zu herkömmlichen Diensten unausweichlich ist. Des weiteren ist eine sorgfältige Produktauswahl und gutes Testen Pflicht. Speziell für Außendienstmitarbeiter mit vielen Auslandsaufenthalten ist VPN eine lohnende Technologie, da durch die geringen Telefonkosten bei einer End-to-Side-Lösung ein Virtual Private Network auf jeden Fall rentabel ist. Trotz der vielen Vorteile von VPN muß erwähnt werden, daß die Technologie momentan noch nicht ausgereift ist. Selbst die im Namen integrierte „Privacy“ ist nur mit hohem Aufwand an Rechenleistung und Bandbreite erreichbar. Mit der Entwicklung Ipv6 wird jedoch ein großer Schritt Richtung „einfacher Sicherheit“ gegangen. Vieles wird in IPv6 integriert und einfach bedienbar sein, wofür heutzutage noch großer Administrieraufwand nötig ist. Das Interesse der Firmen ist groß. Das kurbelt die Popularität und Entwicklung der VPNs an und macht VPNs zu keiner Eintagsfliege, sondern zu einem vielversprechenden Netzwerk der Zukunft. In meinen Augen ist ein VPN sehr erfolgsversprechend und wird in den nächsten Jahren noch viele Verbesserungen und Veränderungen durchmachen. Auch in den mobilen Verbindungen, wie z.B. beim Wireless- LAN oder bei Bluetooth, wird es Veränderungen geben. Diese werden mehr und mehr mit einer VPN-Technologie ausgestattet, da auch hier Absicherungsmechanismen, Dienstgütern und Managementaspekte eine Rolle spielen. Vertiefungsarbeit: VPN Carola Schmidt 28.07.2003 23 Quellenverzeichnis [Bach01] D. Bachfeld: Sicheres Netz im Netz, CT Heft 17, S.164-169. [Böhm02] W. Böhmer: Virtual Private Networks – Die reale Welt der virtuellen Netze. Hanser Verlag. München 2002. [ScSi01] Jürgen Schmidt, Peter Siering: Moderner Tunnelbau, CT Heft 18/2001, S.182-186. [Steff02] A. Steffen: Den Ausweis bitte, CT Heft 5/2002, S.216-218. [GeKn02] O. Geiger, S. Knöpfler: Firewalls/ VPN. Ausarbeitung zum Referat an der Fachhochschule Konstanz, Fachrichtung Wirtschaftsinformatik, Konstanz 2002 Vertiefungsarbeit: VPN Carola Schmidt 28.07.2003 24