In Sammlung (en) In der gespeicherten
  1. Ingenieurwissenschaft
  2. Informatik
  3. Rechnernetze

Vertiefungsarbeit:VPN 28.07.2003

Werbung 
Thema: Virtual Private Network
Vertiefungsarbeit
von
Carola Schmidt
aus Berlin
BERUFSAKADEMIE LÖRRACH
– STAATLICHE STUDIENAKADEMIE –
UNIVERSITY OF COOPERATIVE EDUCATION
Ausbildungsbereich Wirtschaft
Betreuende(r) Dozent(-in):
Abgabetermin:
Kurs:
Fachrichtung
Unternehmen
Betreuer(in) im Betrieb:
Professor Gerhard Staib
28.07.2003
WWI01B
Wirtschaftinformatik
Techem AG
-
Ehrenwörtliche Erklärung
Ich versichere hiermit, daß ich meine Vertiefungsarbeit mit dem Thema Virtual Private Network
selbstständig verfaßt und keine anderen als die angegebenen Quellen und Hilfsmittel benutzt habe.
Lörrach, 22.07.2003
Vertiefungsarbeit: VPN
Carola Schmidt
28.07.2003
2
Kurzfassung
Der Standort eines Unternehmens spielt heutzutage keine Rolle mehr. Die Unternehmen verfügen über eigene Netze, die die einzelnen Außenorganisationen bzw. Filialen verbinden.
Der VPN-Markt hat sich in den letzten Jahren signifikant verändert. Das Internet verbreitete sich
ziemlich schnell und immer mehr Firmen bauen auf die Kommunkation über das Internet.
In der folgenden Arbeit werden Technologien für ein Virtual Private Network (VPN), angewandt
über das Internet, vorgestellt. Des weiteren soll Klarheit verschafft werden, was ein VPN ist und
was es kann und wie sicher diese Verbindungen sind.
Vertiefungsarbeit: VPN
Carola Schmidt
28.07.2003
3
Inhaltsverzeichnis
Seite
Ehrenwörtliche Erklärung...................................................................................2
1
Einleitung ....................................................................................................7
1.1
1.2
1.3
Problemstellung und -abgrenzung .......................................................................7
Ziel der Arbeit .........................................................................................................8
Vorgehen .................................................................................................................8
2
Was ist ein VPN?.........................................................................................9
2.1
2.2
Begriffserklärung ...................................................................................................9
Anforderungen .....................................................................................................10
3
Aufbau eines VPN .....................................................................................11
3.1
Das Tunnelverfahren ............................................................................................11
3.1.1 Verfahren zur Authentifizierung...................................................................12
3.1.2 Layer-2-Tunnelprotokolle ............................................................................13
3.1.3 Layer-3-Tunnelprotokolle ............................................................................16
3.1.4 IPSec ..........................................................................................................16
3.1.5 Transport- und Tunnelmodus......................................................................17
3.1.6 Der AH- Header und der ESP- Header.......................................................18
4
Ausprägungen eines VPN-Netzes ...........................................................19
4.1
4.2
4.3
End-to-End ............................................................................................................19
Site-to-Site ............................................................................................................20
End-to-Site ............................................................................................................20
5
Eckpunkte für den Einsatz eines VPN.....................................................21
5.1
VPN und Firewall ..................................................................................................21
5.1.1 VPN Gateway außerhalb der Firewall.........................................................21
5.1.2 VPN- Gateway innerhalb der Firewall.........................................................22
6
Zusammenfassung und Ausblick............................................................23
Quellenverzeichnis............................................................................................24
Vertiefungsarbeit: VPN
Carola Schmidt
28.07.2003
4
Abkürzungsverzeichnis
AH
Authentification Header
ATM
Asynchroner Transfer-Modus
bzw.
beziehungsweise
CUG
Closed User Group
DMZ
demilitarisierte Zone
engl.
Englisch
ESP
Encapsulation Security Payload
FR
Frame-Relay
GRE
General Routing Encapsulation
IETF
Internet Engeneering Task Force
IP
Internet Protocol
IPSec
Internet Protocol Security
ISP
International Service Provider
L2F
Layer-2-Forwarding
L2TP
Layer-2-Tunneling-Protocol
NAS
Network-Access-Server
POP
Point-of-Present
PPP
Point-to-Point Protocol
PPTP
Point-to-Point-Tunneling-Protocol
SA
Security Associations
VPN
Virtual Private Network
z.B.
zum Beispiel
Vertiefungsarbeit: VPN
Carola Schmidt
28.07.2003
5
Abbildungsverzeichnis
Seite
Abbildung 1: Vergleich zwischen einer virtuellen Verbindung und einer Standleitung.. 10
Abbildung 2: Das Tunnelverfahren ................................................................................11
Abbildung 3: einfache ungeschützte Authentifizierung ................................................. 12
Abbildung 4: Vergleich PPP und PPTP ........................................................................ 14
Abbildung 5: TCP- Kontrollverbindung ......................................................................... 14
Abbildung 6: ein L2F-Tunnel......................................................................................... 15
Abbildung 7: Transportmodus....................................................................................... 17
Abbildung 8: Tunnelmodus ........................................................................................... 18
Abbildung 9: End-to-End............................................................................................... 19
Abbildung 10: Site-to-Site ............................................................................................. 20
Abbildung 11: VPN-Gateway außerhalb der Firewall ................................................... 22
Abbildung 12: Firewall innerhhalb des Gateways......................................................... 22
Vertiefungsarbeit: VPN
Carola Schmidt
28.07.2003
6
1 Einleitung
Von den Unternehmen und deren Mitarbeiter wird in der heutigen Zeit immer mehr Flexibilität
erwartet. Außendienstler erfüllen unter anderem diesen Wunsch. Der Einsatz von Außendienstlern ist jedoch nur effizient, wenn sich diese von unterwegs schnell und kostengünstig an das
Firmennetzwerk anbinden können. Eine gut funktionierende interne Kommunikation muß gewährleistet sein. Traditionelle Verfahren zum Datenaustausch, wie z.B. Briefe und Faxe sind zu
zeitaufwendig und verwaltungsintensiv. Sie werden den neuen Anforderungen nicht mehr gerecht.
1993 wurde der erste graphische Browser Mosaic vom National Center for Supercomputing Applications entwickelt. Seitdem stiegen die Benutzer- und Anbieterzahlen im Internet gigantisch
an. Das neue Medium setzte sich schnell durch und ist mittlerweile in der Geschäftswelt nicht
mehr wegzudenken.
Zusätzlich entwickelte sich ein erhöhtes Sicherheitsbedürfnis für die vernetzte Informationsverarbeitung. Es wuchs der Wunsch nach kontrollierten Netzbereichen, die ausschließlich nach Vorstellungen des nutzenden Unternehmens zugänglich sind und in der Regel nur durch
Unternehmenszugehörige selbst genutzt werden können.
1.1
Problemstellung und -abgrenzung
Ein Virtual Private Network ist eine Methode zur Vernetzung von Standorten und erfüllt das erhöhte Sicherheitsbedürfnis. Es nutzt das Internet als Kommunikationsinfrastruktur. In der Praxis
kommen auch weitere Kommunikationsplattformen zum Einsatz. Z.B. ATM oder Frame- Relay.
Um den Rahmen dieser Arbeit jedoch nicht zu sprengen, werde ich nur auf das Internet als Übertragungsmedium eingehen.
Da ein VPN über das Internet kommuniziert, stellt sich die Frage, ob es sich hier um ein sicheres
Netzwerk handelt. In der folgenden Arbeit möchte ich die Thematik Sicherheit näher betrachten.
Dabei gehe ich jedoch nicht auf SSL ein, sondern nur auf IPSec, da in meinen Augen im IPSec
die Zukunft liegt.
Vertiefungsarbeit: VPN
Carola Schmidt
28.07.2003
7
EINLEITUNG
Im Kapitel „Eckpunkte für den Einsatz eines VPN“ werde ich nicht auf die Kombination VPN
mit einem Router näher eingehen, sondern lediglich auf VPNs mit einer Firewall.
Im Verlauf der Vertiefungsarbeit möchte ich bei einigen Kapiteln die Sicht für einen Außendienstmitarbeiter hervorheben.
1.2
Ziel der Arbeit
Ziel dieser Arbeit ist es, den Aufbau eines Virtual Private Networks vorzustellen und deren
Technik näher zu betrachten. Darüber hinaus möchte ich die bereits genannten
Problemstellungen beantworten.
1.3
Vorgehen
In der folgenden Vertiefungsarbeit beginne ich mit der Begriffserläuterung von VPN. Anschließend erwähne ich die wichtigsten Anforderungen, die man an ein Virtual Private Network stellen
sollte.
Um den Aufbau eines Virtual Private Networks näher zu bringen, erkläre ich das Tunnelverfahren und die Tunnelprotokolle näher. Dabei erläutere ich kurz die einfachen und starken Authentifizierungsverfahren. Auf IPSec gehe ich dann wieder etwas detaillierter ein. Dabei stelle ich die
zwei Betriebsmodi von IPSec, so wie den Authentification- und ESP- Header vor.
Im folgenden Kapitel durchleuchte ich drei Ausprägungen bzw. die Kommunikationsarchitekturen eines VPNs, nämlich End-to-End, Site-to-Site und End-to-Site.
Anschließend stelle ich zwei Aufbaumöglichkeiten eines VPNs in Verbindung mit einer Firewall
vor.
Rentiert sich ein VPN? Kann man wirklich von sicherer Kommunikation sprechen? Wie sieht die
Zukunft von einem VPN aus? Auf diese Frage werden ich in der abschließenden Zusammenfassung und im Ausblick eingehen.
Vertiefungsarbeit: VPN
Carola Schmidt
28.07.2003
8
2 Was ist ein VPN?
Der Begriff VPN läßt viel Spielraum für Interpretationen. Daher existiert für diese Bezeichnung
mehrere Definitionen. Eine in meinen Augen sehr passende lautet:
„Ein VPN ist eine Kommunikationsumgebung, bei der Verbindungen unter Kommunikationspartnern nur dann erlaubt sind, wenn diese zu einer bestimmten Gruppe gehören. Ein VPN wird
unter Nutzung einer allgemeinen zugänglichen Kommunikationsinfrastruktur aufgebaut, die ihre
Dienste nicht nur einer exklusiven Benutzergruppe zur Verfügung stellt“ (Ferguson, Huston,
„What is a VPN?“, in: „The Internet Protocol Journal“, Volume 1, Number 1).
Die Filialen eines Unternehmens wurde noch zu Beginn der 90er Jahre üblicherweise über Weitverkehrsstrecken verbunden, die entweder permanent oder nach Bedarf aufgebaut wurden. Dem
Unternehmen standen diese Leitungen exklusiv zur Verfügung.
Heutzutage ist ein Rückgang gegen solch eine permanente Reservierung physikalischer Netzressourcen zu verzeichnen. Ein VPN ermöglicht Verbindungen zwischen Unternehmensstandorten,
bei denen lediglich der Weg der Daten in der Kommunikationsplattform hinterlegt ist. Das heißt,
daß erst, wenn eine Datenübertragung ansteht, erforderliche Bandbreiten zugewiesen werden.
2.1
Begriffserklärung
Hinter der Abkürzung VPN verbirgt sich Virtual Private Network, ein virtuelles privates Netzwerk. Die Bezeichnung „virtual“ ist durch die Architektur begründet. Es handelt sich nicht um
ein physisch separates Netz, sondern um eine übergeordnete Struktur, die sich quasi auf das öffentliche Netz aufsetzt. Zwischen den Kommunikationspartnern werden eine Art Tunnel gebaut,
auf die ich später in dieser Arbeit näher eingehen werde.
Durch die Nutzung des Internets als Übertragungsmedium besteht die Gefahr, daß Dritte die übertragenen Daten mitlesen oder sogar verändern können. Um dies zu verhindern und bei einem
VPN dem „P“, nämlich „privat“, gerecht zu werden, sind bestimmte Sicherheitsmaßnahmen eine
Voraussetzung. Weiteres dazu folgt an anderer Stelle in dieser Arbeit.
„Network“ steht in diesem Zusammenhang für eine Gruppe von Computern, die über diverse
Protokolle miteinander kommunizieren.
Vertiefungsarbeit: VPN
Carola Schmidt
28.07.2003
9
WAS IST EIN VPN?
Abbildung 1: Vergleich zwischen einer virtuellen Verbindung und einer Standleitung
2.2
Anforderungen
Außendienstmitarbeiter müssen einen jederzeit kontrollierten Zugriff auf die Netzwerkressourcen gewährleistet werden. Des weiteren ist die Sicherheit der Daten zwingend erforderlich. Um
diese Hauptanforderungen zu erfüllen, müssen gewisse Merkmale eines VPNs gegeben sein.
Hier nur einige wichtige Punkte, um einen kleinen Überblick zu erschaffen.
Wechselnde Protokolle für die VPN-Verbindung erfordern Kompatibilität bzw. Multiprotokollfähigkeit, so daß die VPN-Lösung alle bestehenden kundenspezifischen Protokolle unterstützt. Gerade als Außendienstmitarbeiter ist man ständig an anderen Standorten, von wo man sich in das
Firmennetzwerk einwählen möchte. Hier ist keine Garantie gegeben, daß immer die gleichen
Protokolle zur Verfügung stehen.
Nicht nur die Protokolle sollten kompatibel sein, sondern auch die Adressierung. Private Adressen werden im Internet nicht weitergeleitet. Trotzdem sollten diese Adressen über das VPN benutzt werden können. Hierfür ist eine Adreß- Translation notwendig. Die Adressen müssen
eindeutig dem Client zugeordnet werden können. Gleichzeitig ist die Geheimhaltung gegenüber
Dritter obligatorisch.
Diese Geheimhaltung ist zusätzlich ein relevanter Sicherheitsaspekt. Da bei einem VPN Daten
über ein öffentliches Netz geschickt werden, ist eine Verschlüsselung unvermeidlich.
Weitere sicherheitsunterstützende Merkmale sind die Benutzerauthentifizierung, Transparenz
und die Datenintegrität. Einerseits dürfen nur Berechtigte Zugriff auf das VPN bekommen, und
zusätzlich muß feststellbar sein, wer auf welche Daten wann zugegriffen hat.
Neben diesen genannten Merkmalen sind jedoch auch praktische Anforderungen von Relevanz.
Gemeint ist hiermit z.B. ein adäquater Zugriff für den Endbenutzer, eine einfache Administrierbarkeit des VPN und eine Einfachheit im Gebrauch.
Vertiefungsarbeit: VPN
Carola Schmidt
28.07.2003
10
3 Aufbau eines VPN
Die im vorigen Kapitel erarbeiteten Anforderungen können mit einer relativ einfachen Technik
erfüllt werden, mit dem Tunnelverfahren.
3.1
Das Tunnelverfahren
Tunneling ist ein Konzept, mit dem beliebige Datenpakete über ein Transitnetz sicher weitergeleitet werden können. Solch ein Tunnel wird, mit dem Internet als Übertragungsmedium zwischen dem Client und Server aufgebaut. Dieser bewirkt, daß die transportierten Datenpakete den
Tunnel nicht verlassen können und fremde Datenpakete nicht in den Tunnel eindringen können.
Abbildung 2: Das Tunnelverfahren
Die Privatsphäre der Kommunikation bleibt gewahrt, indem die virtuellen Verbindungen zischen
den Unternehmensstandorten innerhalb einer geschlossenen Benutzergruppe als Closed User
Group (CUG) verwaltet werden. Die Gesamtheit aller IP- Tunnel für eine solche geschlossene
Benutzergruppe stellt ein virtuelles privates Netz für diese Gruppe dar.
Vertiefungsarbeit: VPN
Carola Schmidt
28.07.2003
11
AUFBAU EINES VPN
Der Tunnelaufbau vollzieht sich in drei Phasen: der Authentifizierung, dem Tunnelbau und der
Übertragungsphase.
3.1.1
Verfahren zur Authentifizierung
Die heutzutage gängigen Authentifizierungsverfahren lassen sich in zwei unterschiedliche Typen
einteilen, in das einfache und in das starke Authentifizierungsverfahren. Das erstgenannte Verfahren läßt sich in das ungeschützte und in das geschützte Verfahren gliedern. Prinzipiell beruhen
diese beiden Verfahren auf Paßwörtern zur Benutzererkennung und zur Identifikation. Für lokale
Systemzugänge wird häufig das ungeschützte Verfahren verwendet, denn hier werden lediglich
statische Paßwörter eingesetzt. Mit einer Einweg- Hashfunktion könnte dieses Verfahren in ein
geschütztes umgewandelt werden, allerdings werde ich darauf nicht näher eingehen, da dies bei
VPNs keine wichtige Rolle spielt.
Subjekt
1
Login
4
2
Daten-
3
bank
Abbildung 3: einfache ungeschützte Authentifizierung
Die obere Abbildung zeigt den schematischen Ablauf des ungeschützten Authentifizierungsverfahrens. Zuerst gibt das Subjekt sein Paßwort in den PC ein (Schritt 1). Daraufhin wird geprüft,
ob die Kennung vom Subjekt zulässig ist und vergleicht bei positivem Ergebnis das vom Subjekt
eingegebene Paßwort mit dem in der Datenbank hinterlegten Paßwort für den Login (Schritt 2
und 3). Eine Übereinstimmung dieser Paßwörter bedeutet, die Authentifizierung ist erfolgreich
abgeschlossen, andernfalls ist sie fehlgeschlagen. Abschließend wird dem Subjekt entweder die
Bestätigung oder die Ablehnung übermittelt. Bei positiver Authentifizierung kann das Subjekt
nun mit dem System kommunizieren.
Die starken Authentifizierungsverfahren basieren auf kryptographischen Techniken, speziell auf
den asymmetrischen Verschlüsselungsverfahren. Im Gegensatz zu den einfachen Verfahren (oneway, two- party), bei denen sich nur ein Kommunikationspartner einseitig dem Gegenüber ausweist, identifizieren sich in bei den starken Verfahren (two- way, two- party) beide Kommunikationspartner gegeneinander. Demzufolge ist ein Nachrichtenaustausch in beide Richtungen
notwendig.
Zu den Vertretern der starken Authentifizierungsverfahren zählen Password Authentication Protocol (PAP), Challenge-Handshake Authentication Protocol (CHAP), Terminal Access Controller
Access Control System (TACAS) und Remote Authentication Dial- In User Service (RADIUS).
All die genannten finden in der VPN-Technologie eine weite Verbreitung.
Vertiefungsarbeit: VPN
Carola Schmidt
28.07.2003
12
AUFBAU EINES VPN
Voraussetzung für eine Authentifizierung mit dem PAP- oder dem CHAP- Protokoll ist eine serielle Punkt-zu-Punkt-Verbindung zwischen beiden Kommunikationspartnern. Mit dem Point-toPoint Protocol (PPP) als Standardmethode, können Protokollinformationen innerhalb der Network- Layer über eine PPP- Verbindung gekapselt übertragen werden.
Da PAP häufig zum Verbindungsaufbau zwischen einem Netzbetreiber und einem Endgerät eingesetzt wird, ist dies in der VPN-Technologie ein weit verbreitetes Verfahren. Es handelt sich bei
PAP um ein einfaches Authentifizierungsprotokoll, das durch Benutzererkennung und mittels
Passwort zur Berechtigungsüberprüfung einer sich einwählenden Person dient. Da beide Kommunikationspartner ihre Kennung und Passwort im Klartext, also unverschlüsselt, über das Netz
senden, zählt PAP nicht zu den sicheren Protokollen.
3.1.2
Layer-2-Tunnelprotokolle
Die Tunnel-Protokolle können entweder der OSI- Schicht 2 (Sicherungsschicht) oder der OSISchicht 3 (Vermittlungsschicht) zugeordnet werden. Die Layer-2-Techniken werden häufig auch
als Access Tunneling- Protokolle bezeichnet. Folgend möchte ich auf das Point-to-PointTunneling-Protocol (PPTP), das Layer-2-Forwarding (L2F) und auf das Layer-2-TunnelingProtocol (L2TP) eingehen. Den Vermittlungsschicht zugehörigen IP-Security-Tunnelmodus
(IPSec) werde ich anschließend näher betrachten.
Das Grundprinzip aller Tunnel- Protokolle ist das Verpacken (engl.: Encapsulation) der Anwendungsdatenpakete in die Datenpakete des Transportprotokolls. Das Originalpaket wird als Nutzlast bzw. Payload eines anderen Protokolls verschickt. Dafür wird dem Originalpaket ein
zusätzlicher Protokollkopf (Header) vorangestellt. Zum Versenden wird dieses Paket durch einen
Router in einen PPP-Rahmen verpackt. Es fungiert nun praktisch wie ein Container und kann
über jedes IP- Netz transportiert werden, da sein Inhalt für die Übertragungssysteme nicht von
Bedeutung ist. Im Zielrechner wird der Header bzw. Tunnel- Header entfernt und das Originalpaket ist wiederhergestellt. Diesen Vorgang bezeichnet man als Decapsulation.
Hier ist kurz der General Routing Encapsulation (GRE) Tunnel zu erwähnen. 1994 wurde mit
dem GRE- Protokoll eine erste Standardisierung für Tunnel-Verfahren vorgenommen. Nach diesem Standard sind andere Tunneling- Protokolle wie z.B. PPTP, auf das ich später eingehen werde, aufgebaut worden. Ein GRE- Paket wird in drei Abschnitten unterschieden. In den GREHeader (Protokollkopf), in den eigentlichen Netzwerk-Protokollkopf (Delivery Header) und in
die Nutzlast (Payload). Nahezu jedes beliebe Paket aus höheren Protokollschichten kann als
Nutzlast eingesetzt werden.
Im GRE- Header werden Informationen über die verwendeten Tunnel- und Verschlüsselungsalgorithmen hinterlegt. Im Netzwerk- Protokollkopf wird hingegen das Tunnelziel gespeichert.
Vertiefungsarbeit: VPN
Carola Schmidt
28.07.2003
13
AUFBAU EINES VPN
3.1.2.1
Das Point-to-Point-Tunneling-Protocol
Das Point-to-Point-Tunneling-Protocol findet häufig Anwendung, da es in den Microsoft Betriebssystemen Windows NT, Windows 98 und Windows 95 implementiert worden ist. PPTP
stellt eine Erweiterung des bereits erwähnten Point-to-Point-Protokolls (PPP) dar. Erzielt wird
dies, indem PPP mit einem GRE- Header gekapselt und mit einem zusätzlichen Tunnel- IPHeader versehen wird (siehe Abbildung 4). Durch die Einbindung des GRE- Headers bietet
PPTP auch die Möglichkeit, andere Protokolle zu verwenden, wie z.B. IPX oder NETBUI. Ohne
den GRE- Header ist PPTP an das Internet- Protokoll (IP) gebunden.
Ein Vorteil von PPTP ist die starke Authentifizierung sowie Verschlüsselung der übertragenen
Nutzdaten. Die Verschlüsselung endet nicht wie bei einer Standard PPP-Verbindung beim Einwahlpunkt des International Service Providers, sondern erstreckt sich bis zum PPTP- Server.
Abbildung 4: Vergleich PPP und PPTP
Bevor eine PPP-Verbindung zischen dem Anfangs- und Endpunkt des Tunnels aufgebaut werden
kann, muß eine virtuelle TCP- Verbindung aufgebaut werden (siehe Abbildung 5). Diese Verbindung fungiert als Kontrollverbindung des Tunnels.
Abbildung 5: TCP- Kontrollverbindung
Vertiefungsarbeit: VPN
Carola Schmidt
28.07.2003
14
AUFBAU EINES VPN
Des weiteren ist für ein PPTP- Tunnelaufbau eine Anforderung vom Endgerät erforderlich. Bei
einer Verbindung kann lediglich nur ein Tunnel aufgebaut werden, der eine Kontrollverbindung
besitzt.
PPTP ermöglicht einen Außendienstmitarbeiter über ein öffentliches Netz den Zugriff in das firmeneigene Intranet. Einerseits kann diese Verbindung über eine nutzerinitiierte dynamische DialIn- Verbindung, oder auch von einem Netzwerkzugangsserver (NAS) aufgebaut werden. Beim
dynamischen Dial- In kann der Nutzer neben dem Zugangsserver des Unternehmens noch beliebig viele andere Adressen im Internet ansteuern.
3.1.2.2
Das Layer-2-Forwarding
Zeitgleich mit PPTP wurde das Layer-2-Forwarding (L2F) Verfahren unter anderen von der Firma Cisco entwickelt. Auch L2F ermöglicht wie PPTP den Aufbau eines VPN über ein öffentliches Netz (z.B. Internet). Bei L2F hat man jedoch mehr Protokollfreiheit. Es nicht an IP
gebunden ist, sondern kann mit Frame- Relay (FR) oder ATM zusammenarbeiten. Eine Wählverbindung bis zum Point-of-Present (POP) eines Internet Service Provider (ISP) ist für L2F
notwendig (siehe Abbildung 6). Diese Verbindung ist für den Endnutzer eine kostengünstige Variante, da er bei einer Einwahl nur den Ortstarif zahlen braucht.
Auf der folgenden Grafik ist ein Tunnel zwischen einem Client und einem LAN dargestellt. Nur
zwischen POP und dem Sicherheitsgateway (Router, Firewall, VPN-Gateway) des Unternehmens existiert ein L2F-Tunnel.
Abbildung 6: ein L2F-Tunnel
Ein weiterer Vorteil zu PPTP ist, daß L2F mehr als eine Verbindung gleichzeitig unterstützt. In
der Tunnelverbindung können mehrere logische Kanäle geschaltet werden. Für kleinere Unternehmen, die nur mit einer Wählverbindung (ISDN oder analoges Telefon) angebunden sind, ist
L2F von großem Vorteil. L2F-Tunnel werden bei Bedarf aufgebaut und sobald sie nicht mehr
gebraucht werden, auch wieder abgebaut.
L2F ist eine zuverlässige Lösung für VPN, welche gegen Ende der 90er Jahre häufig eingesetzt
wurde.
Vertiefungsarbeit: VPN
Carola Schmidt
28.07.2003
15
AUFBAU EINES VPN
3.1.2.3
Das Layer-2-Tunneling-Protocol
L2TP ist eine Mischform vom PPTP und dem Layer-2-Forwarding (L2F). Es Verknüpft die Leistungsfähigkeit des L2F-Protokolls mit den Vorteilen des PPT- Protokolls.
Da es ein Bestandteil von Windows 2000 geworden ist, wird die Verbreitung dieses Protokolls
sicherlich zunehmen. Wie beim PPTP ist eine Kontrollverbindung notwendig und jedes Protokoll
nutzbar. Hier können jedoch mehrere Tunnel aufgebaut werden, die ihre eigenen Kontrollverbindungen besitzen. Des weiteren können über einem L2TP-Tunnel mehrere logische PPPVerbindungen aufgebaut werden. Eigene Sicherheitsmechanismen sind jedoch nicht vorhanden.
Zur Datenverschlüsselung können optional IPSec- Mechanismen, die ich in einem später folgenden Kapitel erläutere, eingesetzt werden.
3.1.3
Layer-3-Tunnelprotokolle
Das IPSec- Protokoll zählt zu den Layer-3-Tunnelprotokollen. Es setzt einen symmetrischen
kryptographischen Schlüssel ein, um ein IP- Paket abgesichert zu transportieren. Nähere Informationen folgen im nächsten Kapitel.
3.1.4
IPSec
IPSec ist gemäß IETF ein Sicherheitsstandard, mit dem herstellerübergreifend ein sicherer und
geschützter Datenaustausch mittels des IP- Protokolls ermöglicht werden kann. Der Normenrahmen von IPSec definiert die Vorgehensweise für die Datenintegrität, die Vertraulichkeit der
Inhalte sowie die Verwaltung der kryptografischen Schlüssel.
Mit IPSec ist es möglich, Integrität, Authentizität und Vertraulichkeit bei einer Datenübertragung
in einem offenen Netz durchzusetzen. Integrität erhält man, indem die Daten (IP- Pakete) vor
Verfälschung während des Transports gesichert werden. In dem Datenpaket wird eine verschlüsselte Prüfsumme aufgenommen, die der Empfänger im Nachhinein verifizieren kann. Authentizität garantiert die Echtheit der IP- Pakete. Durch die Integritätsbedingungen wird dies bereits
erfüllt. Vertraulichkeit bedeutet, daß kein unbefugter Dritter die Möglichkeit bekommt, Daten
während der Übermittlung zu lesen. Dies wiederum erreicht man durch die Verschlüsselung der
Datenpakete mittels kryptographischen Verfahren.
IPSec wird durch zwei weitere Standards ergänzt, welche schlussendlich ein IPSec- Protokoll
implementieren. Nämlich einerseits das Simple Key management for Internet Protocol (SKIP)
und andererseits das Internet Security Association and Key Management Protocol (ISAKMP).
Vertiefungsarbeit: VPN
Carola Schmidt
28.07.2003
16
AUFBAU EINES VPN
Da IPSec weder die Kommunikationsprotokolle noch die Anwendungsprogramme beeinflußt,
wird eine Zusammenarbeit über verschiedene IP- Netze nicht beeinträchtigt. Momentan arbeitet
IPSec auf IPv4, soll aber fester Bestandteil von IPv6 werden.
Ein zentraler Bestandteil von IPSec ist die Security Association (SA). Bevor zwei Kommunikationspartner mit IPSec abgesicherte Daten austauschen können, müssen einige Sicherheitsvereinbarungen getroffen werden. Darunter zählen z.B. Verschlüsselungsverfahren für die Nutzlast
oder die Spezifizierung der zeitlichen Gültigkeit aller Schlüssel. Eine SA-Verbindung ist stets unidirektional. Das heißt, es muß, nachdem eine Verbindung vom Sender zum Empfänger ausgerichtet worden ist, eine weitere SA für den Rücktransport eingerichtet werden.
3.1.5
Transport- und Tunnelmodus
Zwei unterschiedliche Arbeits-Modi sind zum Transport der nach IPSec modifizierten IP- Pakete
einsetzbar, der Transport-Modus und der Tunnel-Modus. Sie unterscheiden sich beide im Wesentlichen durch den Aufbau der Paketergänzungen und durch ihre Einsatzmöglichkeiten.
IPSec verschlüsselt im Transportmodus nur den Datenteil des zu transportierenden IP- Paketes.
Dabei bleibt der Original-IP-Kopf erhalten und ein zusätzlicher IPSec- Kopf wird hinzugefügt.
Der Vorteil ist, daß jedem Paket nur wenige Bytes hinzugefügt werden. Ein Nachteil jedoch ist
die Möglichkeit für Angreifer, den Datenverkehr im VPN zu analysieren, da die IP- Köpfe nicht
modifiziert werden. Da die Daten aber verschlüsselt sind, ist nur feststellbar, welche Stationen
wieviel Daten austauschen. Daten werden häufig in privaten Netzen im Transportmodus verschickt.
Im Tunnelmodus hingegen wird das komplette IP- Paket verschlüsselt. Das verschlüsselte Paket
wird mit einem neuen IP- Kopf und einem IPSec- Kopf versehen. Verglichen zum Transportmodus ist das IP- Paket hier durch die Modifizierung wesentlich größer geworden. Dagegen ist diese Methode noch sicherer, da Angreifer hier weder die Daten, noch den Datenweg sehen können.
Durch die bessere Sicherheit im Tunnelmodus wird dieser Betriebsmodus häufig für die öffentlichen Netzte genutzt.
IP-Kopf
IP-Kopf
IPSec-Kopf
Daten
Daten
verschlüsselt
Abbildung 7: Transportmodus
Vertiefungsarbeit: VPN
Carola Schmidt
28.07.2003
17
AUFBAU EINES VPN
IP-Kopf
Neuer IP-Kopf
IPSec-Kopf
Daten
IP-Kopf
Daten
verschlüsselt
Abbildung 8: Tunnelmodus
3.1.6
Der AH- Header und der ESP- Header
Wie bereits erwähnt, enthält ein IP- Paket Informationen über die IP- Adresse des Absenders und
des Zieles sowie Informationen über die Nutzlast (Payload), die transportiert wird. Um eine Authentifizierung und Verschlüsselung zu erreichen, definiert IPSec zwei weitere Protokollköpfe
(Header) für IP- Pakete, den Authentification Header (AH) und den Encapsulation Security Payload (ESP).
Der AH- Header kann im Transport- sowie auch im Tunnel-Modus eingesetzt werden. Je nachdem, welcher Grad der Absicherung eines IP- Paketes erreicht werden soll, kann der Authentification Header eigenständig oder zusammen mit dem ESP- Header genutzt werden.
Im Gegensatz zum AH- Header ist ein ESP- Header in der Lage, sowohl eine Verschlüsselung
als auch eine Authentifizierung zu leisten. Der Encapsulation Security Payload Header beinhaltet
einen Verweis auf den Schlüssel, mit dem die nachfolgenden Daten verschlüsselt werden.
Vertiefungsarbeit: VPN
Carola Schmidt
28.07.2003
18
4 Ausprägungen eines VPN-Netzes
4.1
End-to-End
Bei einer End-to-End Kommunikation, auch Extranet- VPN genannt, wickeln zwei oder mehrere
Computer ihre komplette Datenkommunikation verschlüsselt ab. Jeder Computer muß über die
öffentlichen Schlüssel aller potentiellen Kommunikationspartner verfügen. Zusätzlich muß jede
an der verschlüsselten Kommunikation beteiligte Arbeitsstation mit entsprechender VPNSoftware ausgestattet sein. Zugangskontrollmechanismen regeln den beschränkten Zugriff der
unterschiedlichen Arbeitsstationen.
Abbildung 9: End-to-End
Ein Extranet- VPN öffnet das private Netz, wie z.B. das Intranet, auch für externe Personen oder
Unternehmen. Diese haben dann Zugriff auf Ressourcen im Unternehmensnetzwerk.
Vertiefungsarbeit: VPN
Carola Schmidt
28.07.2003
19
AUSPRÄGUNGEN EINES VPN-NETZES
4.2
Site-to-Site
Die Site-to-Site Kommunikation wird ebenso als Intranet- VPN bezeichnet, da es als Erweiterung interner LANs angesehen werden kann. Hier tauschen zwei Firmenstandorte ihre Daten über das Internet aus. Am Aufbau eines Intranet- VPNs sind zwei VPN- Gateways/ FirewallSysteme beteiligt. Nur auf dem Weg zwischen den beiden VPN- Gateways erfolgt eine
Verschlüsselung der Daten. Der Weg durch das lokale Netz vom Gateway zum Endgerät bleibt
unverschlüsselt. Dadurch benötigen die Endgeräte keine zusätzliche VPN-Clientsoftware.
Da die Gateways auf der Seite des Internets eine öffentliche IP- Adresse haben, können die
Standorte für die Endgeräte durchaus private IP- Adressen verwenden.
Aufgaben der Gateways sind also, empfangene IP- Pakete für den Transport über das Internet zu
verschlüsseln, in ein neues IP- Paket einzupacken und zum Partner Gateway zu schicken, das
den beschriebenen Vorgang wieder rückgängig macht.
Abbildung 10: Site-to-Site
4.3
End-to-Site
Bei der End-to-Site Kommunikation handelt es sich um eine Mischform der beiden bereits erläuterten Kommunikationsarten. Diese Lösung, welche auch als Remote-Access-Lösung bezeichnet
wird, ist besonders für einen Außendienstmitarbeiter interessant, der sich an irgendeinem Ort in
der Welt über einen lokalen ISP in sein Firmennetzwerk einwählen möchte.
Die Telefongebühren für die Einwahl ihrer Remote User zu einem Remote Access Server (RAS)
können sehr hoch ausfallen, insbesondere wenn dabei über Staatsgrenzen hinweg telefoniert
wird. Bei der End-to-Site Kommunikation fallen jeweils nur die Kosten für den lokalen Zugang
zum Internet an.
Der Tunnel existiert hier zwischen dem Notebook und dem Gateway. Im Regelfall muß der
Rechner des Außendienstmitarbeiters eine IP- Adresse haben, die im Internet auch weitergeleitet
werden kann. Zusätzlich ist eine VPN-Software auf dem Notebook erforderlich, da das InternetProtokoll selbst erst ab Version IPv6 eine Verschlüsselungsmöglichkeit besitzt.
Vertiefungsarbeit: VPN
Carola Schmidt
28.07.2003
20
5 Eckpunkte für den Einsatz eines VPN
Einige Randbedingungen müssen einem klar sein, bevor man ein VPN plant. Der zentrale Anschluß eines VPN in das Firmennetz erfolgt durch ein spezielles VPN- Gateway, eine Firewall
oder durch einen Router. Ich werde im folgenden Kapitel die VPN-Gateway-Lösungen außerhalb
und innerhalb der Firewall etwas näher erläutern. Zu der sichersten Architektur zählt die Variante, in der das Gateway in einer demilitarisierten Zone (DMZ) steht. Trotzdem haben alle
Varianten ihre Vor- und Nachteile. Die einzig wahre Lösung gibt es daher nicht.
5.1
5.1.1
VPN und Firewall
VPN Gateway außerhalb der Firewall
Wenn das VPN- Gateway außerhalb der Firewall liegt, dann ist die Abwicklung des gesamten
Datenverkehrs über das Internet recht problemlos, da erst das Gateway alle IP- Pakete verschlüsselt.
Bei dieser Architektur bildet die Proxy- Firewall alle internen IP- Adressen des Intranets auf eine
öffentliche IP- Adresse ab. Wenn nun die gesamten IP- Pakete über das Internet verschlüsselt
transportiert werden sollen, ist dies in dieser Anordnung relativ problemlos möglich. Sollen jedoch nur einzelne TCP- Applikationen verschlüsselt werden, so ist beim VPN eine Selektion auf
Destination-Port-Ebene notwendig. Allgemein ist die Absicherung einzelner TCP/IP- Anwendungen oder nur bestimmter Rechner in diesem Falle schwer durchführbar.
Vertiefungsarbeit: VPN
Carola Schmidt
28.07.2003
21
ECKPUNKTE FÜR DEN EINSATZ EINES VPN
Abbildung 11: VPN-Gateway außerhalb der Firewall
5.1.2
VPN- Gateway innerhalb der Firewall
Im Falle eines VPN- Gateways innerhalb der Firewall nimmt die Proxy- Firewall ihre traditionellen Funktionen wahr und macht die Selektion der VPN-Funktionen für bestimmte IP- Pakete
möglich. Da die Datenpakete bereits verschlüsselt und für eine VPN-Verbindung „verpackt“ zur
Proxy- Firewall kommen, ist von den früheren Anwendungen nichts mehr sichtbar. Aus diesem
Grund muß an der Firewall ein Kanal konfiguriert werden, durch den nur Paketfilterung, aber
keine Proxy-Funktion stattfindet. Dadurch ist eine zweite öffentliche IP- Adresse erforderlich,
über die alle VPN-verschlüsselten Daten geroutet werden.
Abbildung 12: Firewall innerhhalb des Gateways
Vertiefungsarbeit: VPN
Carola Schmidt
28.07.2003
22
6 Zusammenfassung und Ausblick
VPN werden als kostengünstige Alternative zu Standleitungen vermarktet. Allgemein gilt jedoch, daß ein Kostenvergleich der Anfangskosten und der laufenden Betriebskosten zu herkömmlichen Diensten unausweichlich ist. Des weiteren ist eine sorgfältige Produktauswahl und
gutes Testen Pflicht.
Speziell für Außendienstmitarbeiter mit vielen Auslandsaufenthalten ist VPN eine lohnende
Technologie, da durch die geringen Telefonkosten bei einer End-to-Side-Lösung ein Virtual Private Network auf jeden Fall rentabel ist.
Trotz der vielen Vorteile von VPN muß erwähnt werden, daß die Technologie momentan noch
nicht ausgereift ist. Selbst die im Namen integrierte „Privacy“ ist nur mit hohem Aufwand an
Rechenleistung und Bandbreite erreichbar. Mit der Entwicklung Ipv6 wird jedoch ein großer
Schritt Richtung „einfacher Sicherheit“ gegangen. Vieles wird in IPv6 integriert und einfach bedienbar sein, wofür heutzutage noch großer Administrieraufwand nötig ist.
Das Interesse der Firmen ist groß. Das kurbelt die Popularität und Entwicklung der VPNs an und
macht VPNs zu keiner Eintagsfliege, sondern zu einem vielversprechenden Netzwerk der Zukunft.
In meinen Augen ist ein VPN sehr erfolgsversprechend und wird in den nächsten Jahren noch
viele Verbesserungen und Veränderungen durchmachen.
Auch in den mobilen Verbindungen, wie z.B. beim Wireless- LAN oder bei Bluetooth, wird es
Veränderungen geben. Diese werden mehr und mehr mit einer VPN-Technologie ausgestattet, da
auch hier Absicherungsmechanismen, Dienstgütern und Managementaspekte eine Rolle spielen.
Vertiefungsarbeit: VPN
Carola Schmidt
28.07.2003
23
Quellenverzeichnis
[Bach01]
D. Bachfeld: Sicheres Netz im Netz, CT Heft 17, S.164-169.
[Böhm02]
W. Böhmer: Virtual Private Networks – Die reale Welt der virtuellen Netze. Hanser
Verlag. München 2002.
[ScSi01]
Jürgen Schmidt, Peter Siering: Moderner Tunnelbau, CT Heft 18/2001, S.182-186.
[Steff02]
A. Steffen: Den Ausweis bitte, CT Heft 5/2002, S.216-218.
[GeKn02]
O. Geiger, S. Knöpfler: Firewalls/ VPN. Ausarbeitung zum Referat an der Fachhochschule Konstanz, Fachrichtung Wirtschaftsinformatik, Konstanz 2002
Vertiefungsarbeit: VPN
Carola Schmidt
28.07.2003
24
Herunterladen
Werbung