Virtual Private Network

VIRTUAL PRIVATE NETWORK
Peter Kurz & Nora Fabi
3CHIT
Netzwerktechnik
Was ist VPN?
Virtual Private Network = virtuelles privates Netzwerk
Virtuell bedeutet, es handelt sich bei VPN nicht um eine eigene physische
Verbindung, stattdessen wird eine bestehende Verbindung als Transportmedium
verwendet.
Privat deswegen, da es trotzdem ein in sich geschlossenes Netz ist (verschlüsselt),
es kann also nicht jeder einfach die Daten im Netzwerk lesen.
Funktionsweise
Der VPN Client sendet über den im Internet verschlüsselten VPN Tunnel eine
Anfrage an z.B. einen VPN-Router. Dieser prüft nun die Authentifizierungsdaten des
Clients und die Anfrage wird nach erfolgreicher Anmeldung ins Internet oder an ein
Netzwerk weitergeleitet. Die Antwort erfolgt auf dem umgekehrten Wege.
Zwischen dem VPN-Client und dem VPN-Server des Routers wird über das Internet
ein sicherer Tunnel aufgebaut.
Alle Daten, die zwischen Client und VPN-Server ausgetauscht werden, sind
verschlüsselt und damit für niemand anderen mehr lesbar.
Entwicklung
Nachteil an TCP/IP - Jeder kann den Datentransfer überwachen, die Quelle und das
Ziel der Pakete ausfindig machen oder sogar die Daten abfangen
● 1993 swiPe (Software IP Encryption Protocol)
○ von John Ioannidis
○ experimentelles Protokoll
○ erste Form von VPN
● 1994 IPsec (Internet Protocol Security)
○ von Wei Xu
○ bringt Authentifikation und Verschlüsselung
● 1995 IPsec working group in der IETF (Internet Engineering Task Force),
arbeiten an standardisierten und frei verfügbaren Protokollen die die
Komponenten und die Implementierung von IPsec behandeln.
● 1996 PPTP (Point To Point Tunneling Protocol)
○ von Gurdeep Singh-Pall (Microsoft)
○ Zahlreiche schwere Sicherheitslücken -> Verwendung nicht
empfehlenswert
● 1999 L2TP (Layer 2 Tunneling Protocol)
○ Sehr oft in Kombination mit IPsec (“L2TP/IPsec”)
1
Anwendung
VPNs werden angewendet um Zensur und Überwachung zu umgehen und um die
Online Sicherheit zu erhöhen. Cyberkriminalität steigt immer weiter, deshalb ist es
wichtig dass auch technisch weniger versierte Benutzer Möglichkeiten haben, sich
zu schützen.
Vorteile
●
●
●
●
●
VPN ist relativ billig
VPN ist sicher
Umgehen von Zensur
anonyme IP Adressen im VPN Netzwerk
Viele System sind VPN fähig (Windows built-in VPN, Cisco Router/Switches,
etc.)
Nachteile
● Die VPN Verschlüsselung ist nur innerhalb des VPN Netzwerks gültig,
verlässt das Paket das Netzwerk wird es auch entschlüsselt.
● Hardware muss VPN-fähig sein
Tunneling
Der Tunnel ist eine logische Verbindung zwischen beliebigen Endpunkten. Meist
sind das VPN-Clients, VPN-Server und VPN-Gateways. Man nennt diese virtuellen
Verbindungen Tunnel, weil der eigentliche Inhalt der Datenpakete für andere nicht
sichtbar ist. Tunneling erlaubt, dass die Pakete eines Netzwerkprotokolls in die
Pakete eines anderen öffentlichen Netzwerkprotokolls eingekapselt werden.
Das technische Prinzip einer VPN-Verbindung ist in der Regel immer gleich, egal
welches Protokoll. Am Startpunkt des Tunnels werden die Pakete eingekapselt, am
Endpunkt werden sie wieder entkapselt. Dabei wird jedes Datenpaket verschlüsselt,
den Inhalt des ursprünglichen Pakets können andere nicht sehen.
Für das Tunneling gibt es zwei Ansätze. Im ersten Ansatz wird auf der Schicht 3 des
OSI-Schichtenmodells das Tunneling aufgebaut. Dabei wird zur Adressierung der
Schicht bzw. der Datenpakete das Internet Protocol (IP) verwendet. Man spricht
dann vom IP-in-IP-Tunneling. In der Regel wird IPsec für diese Lösung verwendet.
2
Ein anderer Ansatz greift direkt auf der Schicht 2 des OSI-Schichtenmodells ein. Hier
wird das Datenpaket der Schicht 3 verschlüsselt und dann mit der physikalischen
Adresse adressiert. In der Regel werden PPTP oder L2TP für diese Lösung
verwendet.
VPN – Endpunkte
Ein VPN-Endpunkt ist die Stelle an der der VPN-Tunnel endet bzw. beginnt. Der
Endpunkt ist der Host, der für die Einhaltung von Authentizität, Vertraulichkeit und
Integrität zuständig ist.
VPN-Lösungen gibt es als Hardware (VPN-Router), Software (VPN-Server) oder
auch als Service (Layer-2-VPN vom Netzbetreiber). Typischerweise setzt man an
VPN-Endpunkten einen VPN-Router oder ein VPN-Gateway ein. Es gibt aber auch
Server, auf denen VPN-Dienste oder VPN-Software installiert sind. Diese VPNServer dienen dann als VPN-Endpunkte. Ein eigenständiger VPN-Server ist eher
selten nötig. VPN-Gateway-Funktionen finden sich auch in Routern und Firewalls.
VPN-Gateways und -Router können VPN-Verbindungen und normale Verbindungen
verarbeiten. Die VPN-Verbindungen erkennen sie am Header der Datenpakete oder
an der IP-Protokollnummer.
Eine Sonderform sind VPN-Services von Netzbetreibern, die keine Installation
zusätzlicher Hardware notwendig macht.
VPN – Typen
End-to-Site-VPN / Remote-Access-VPN
Die VPN-Technik stellt eine logische Verbindung, den VPN-Tunnel, zum entfernten
lokalen Netzwerk über ein öffentliches Netzwerk her.
Es ermöglicht einen sicheren Zugriff auf das entfernte Netzwerk mit möglichst
geringem technischen und finanziellen Aufwand. End-to-Site-VPN wird z.B. dafür
verwendet, dass externe Mitarbeiter in ein Unternehmensnetzwerk eingebunden
werden, dabei will man erreichen, dass diese Mitarbeiter so arbeiten können, wie
wenn sie sich im Netzwerk des Unternehmens befinden würden.
Hierbei muss ein VPN-Client auf dem Computer des externen Mitarbeiters installiert
sein. Man bezeichnet dieses Szenario auch als Remote Access.
3
Site-to-Site-VPN
Ziel ist, Netzwerke die sich an verschiedenen Orten befinden zu verbinden. Dazu
gibt es zwei Möglichkeiten: Entweder durch eine physikalische Verbindung zwischen
den Standorten, was hohe Kosten verursacht oder durch eine LAN-to-LAN-Kopplung
(Site-to-Site-VPN), die die Zusammenschaltung mehrerer lokaler Netzwerke von
Außenstellen oder Filialen zu einem virtuellen Netzwerk ermöglicht, wobei ein
öffentliches Netzwerk mit geringen Kosten verwendet wird.
Eine Variante von Site-to-Site-VPN ist das Extranet-VPN. Während ein BranchOffice-VPN nur mehrere lokale Netzwerke einer Firma verbindet, ist ein ExtranetVPN ein virtuelles Netzwerk, das die Netzwerke unterschiedlicher Firmen
miteinander verbindet. In der Regel geht es darum bestimmte Dienste fremder
Unternehmen ins eigene Netzwerk zu integrieren oder Dienste für fremde
Unternehmen anzubieten. Zum Beispiel für Geschäftspartner, Lieferanten und
Support-leistende Unternehmen. Dabei gewährt man dem externen Unternehmen
Zugriff auf Teilbereiche des eigenen Netzwerks. Die Zugriffsbeschränkung erfolgt
mittels einer Firewall zwischen dem lokalen Netzwerk und dem Dienstnetzwerk.
Extranet-VPNs ermöglichen eine sichere Kommunikation bzw. einen sicheren
Datenaustausch zwischen den beteiligten Unternehmen.
End-to-End-VPN / Remote-Desktop-VPN
Es ermöglicht einem Client den Zugriff auf einen anderen Client in einem entfernten
Netzwerk. Hierbei deckt der VPN-Tunnel die gesamte Verbindung zwischen zwei
Hosts ab. Auf beiden Seiten muss eine entsprechende VPN-Software installiert und
konfiguriert sein. Eine direkte Verbindung von Host zu Host ist allerdings nicht
möglich, deswegen bauen beide Seiten eine Verbindung zu einem Gateway auf, das
die beiden Verbindungen dann zusammenschaltet.
Eine typische Anwendung eines End-to-End-VPN ist Remote-Desktop über
öffentliche Netze z.B. Teamviewer.
4
Protokolle
● IPsec - Internet Protocol Security
○ Transport Mode
■ Nur die Daten werden verschlüsselt, IP Header bleibt intakt
■ Inkompatibel mit NAT
■ Bei VPN nicht verwendet.
○ Tunnel Mode
■ Das gesamte Paket wird verschlüsselt und in ein neues IP Paket
mit neuem Header gepackt.
■ Kompatibel mit NAT
■ Bei VPN im Einsatz
● PPTP - Point-to-Point-Tunneling-Protocol
○ veraltet, mehrere schwere Sicherheitsrisiken
● L2F - Layer 2 Forwarding
○ entwickelt von Cisco als Software-Modul für RAC (Remote Access
Concentrator) und Router
○ kann verschiedene Netzwerkprotokolle tunneln
PPTP und L2F sind keine echten Standards. Sie haben nur einen informellen Status.
● L2TP - Layer-2-Tunneling-Protocol
○ Microsoft-Umgebungen
○ L2TP over IPsec
● TLS/SSL
○ SSL-VPN
■ Verwendet TLS/SSL als Übertragungsprotokoll
■ Fast vollständig durch IPsec basierende VPNs abgelöst
■ Kein IPsec Tunnel notwendig
■ Thin-Client (nur Plugin) und Clientless (keine Installation
notwendig) Lösungen möglich
5
Software
● Windows built-in VPN
○ In Windows enthalten
● Opera FreeVPN (über gratis VPN browsen)
○ gratis
● PureVPN API (eigene VPN Software erstellen)
● PureVPN Business VPN
○ 10.95$/Monat
● android.net.VpnService (Android built-in VPN)
○ in Android enthalten
● GoldenFrog VyprVPN
○ Verwendet von z.B. reddit.com und Canonical (Ubuntu)
○ ~80€ pro Nutzer/Jahr
○ mindestens 3 Nutzer (240€/Jahr)
● Tunnelbear
○ Little (500MB/Monat) - gratis
○ Giant (Unlimitiert) - 10$/Monat (9,41€)
○ Grizzly (Unlimitiert) - 50$/Jahr (=4.17$/Monat) (47,07€/3,93€)
● Hamachi
○ Wahrscheinlich einfachste Lösung ein VPN Netzwerk zu erstellen
○ Bis 5 Computer: gratis
○ Bis 32 Computer: 49$/Jahr
○ Bis 256 Computer: 199$/Jahr
○ Über 256: 299$/Jahr
● CISCO
○ Viele VPN-fähige Switches und Router
○ Cisco ASA 5500-X Security Appliance
6
Quellen
https://www.elektronik-kompendium.de/sites/net/0512041.htm
https://www.elektronik-kompendium.de/sites/net/1410141.htm
https://www.le-vpn.com/history-of-vpn/
https://www.goldenfrog.com/blog/brief-history-of-vpns
https://www.opera.com/de/computer/features/free-vpn
https://www.purevpn.com/purevpn-api.php
https://developer.android.com/reference/android/net/VpnService.html
https://www.goldenfrog.com/de/vyprvpn/business/businessvpn?offer_id=119&aff_id=2207&aff_sub=business&processed=1
https://www.goldenfrog.com/de/vyprvpn/signup?product=VPN-BUSINESS
https://www.tunnelbear.com/
https://www.workshop-heimnetzwerk.de/was-ist-vpn.php
https://www.vpn.net/
https://www.cisco.com/c/en/us/products/security/asa-firepower-services/index.html
https://www.cisco.com/c/en/us/products/security/vpn-endpoint-securityclients/index.html#~tab-products
7