Virtuelles privates Netzwerk
Ein virtuelles privates Netzwerk (VPN) erweitert ein privates Netzwerk über ein öffentliches Netzwerk und ermöglicht es Benutzern, Daten über gemeinsam genutzte oder öffentliche Netzwerke zu senden und zu empfangen, als ob ihre Computergeräte direkt mit dem privaten Netzwerk verbunden wären. Über das VPN ausgeführte Anwendungen können daher von der Funktionalität, Sicherheit und Verwaltung des privaten Netzwerks profitieren.
VPNs können Mitarbeitern den sicheren Zugriff auf ein Unternehmensintranet ermöglichen, wenn sie sich außerhalb des Büros befinden. Sie werden verwendet, um geografisch getrennte Büros einer Organisation sicher miteinander zu verbinden, wodurch ein zusammenhängendes Netzwerk entsteht. Einzelne Internetbenutzer können ihre drahtlosen Transaktionen mit einem VPN absichern, um geografische Beschränkungen und Zensur zu umgehen oder sich mit Proxy-Servern verbinden, um die persönliche Identität und den persönlichen Standort zu schützen. Einige Internetseiten blockieren jedoch den Zugriff auf die bekannte VPN-Technologie, um die Umgehung ihrer Geo-Beschränkungen zu verhindern.
Ein VPN wird erstellt, indem eine virtuelle Punkt-zu-Punkt-Verbindung hergestellt wird, indem dedizierte Verbindungen, virtuelle Tunnelprotokolle oder Datenverkehrsverschlüsselung verwendet werden. Ein aus dem öffentlichen Internet verfügbares VPN kann einige Vorteile eines WAN (Wide Area Network) bieten. Aus Benutzersicht kann auf die im privaten Netzwerk verfügbaren Ressourcen aus der Ferne zugegriffen werden.
Herkömmliche VPNs zeichnen sich durch eine Punkt-zu-Punkt-Topologie aus. Sie unterstützen und verbinden keine Broadcast-Domänen. Daher werden Dienste wie Microsoft Windows NetBIOS möglicherweise nicht vollständig unterstützt oder funktionieren nicht wie in einem lokalen Netzwerk (LAN). Designer haben VPN-Varianten wie Virtual Private LAN Service (VPLS) und Layer-2-Tunneling-Protokolle entwickelt, um diese Einschränkung zu überwinden.
Inhaltsverzeichnis
Typen
Frühe Datennetzwerke ermöglichten die entfernte VPN-Verbindung über ein Wählmodem oder über Standleitungsverbindungen unter Verwendung von virtuellen Frame-Relay- und ATM-Verbindungen (Asynchronous Transfer Mode), die über ein Netzwerk bereitgestellt werden, das sich im Besitz von Telekommunikationsbetreibern befindet. Diese Netzwerke werden nicht als echte VPNs betrachtet, da sie die übertragenen Daten passiv sichern, indem sie logische Datenströme erstellen. Sie wurden durch VPNs auf der Basis von IP- und IP / Multi-Protocol-Label-Switching-Netzwerken (MPLS) ersetzt. Dies ist auf erhebliche Kostenreduzierungen und eine höhere Bandbreite durch neue Technologien wie DSL (Digital Subscriber Line) und Glasfasernetze zurückzuführen.
VPN-Systeme können klassifiziert werden nach:
- Die zum Tunneln des Verkehrs verwendeten Protokolle
- Die Position des Endpunkts des Tunnels, z. B. am Rand des Kunden oder am Rand des Netzwerkanbieters
- Die Art der Topologie von Verbindungen, z. B. Standort-zu-Standort oder Netzwerk-zu-Netzwerk
- Die Sicherheitsstufen
- Die OSI-Schicht, die sie für das Verbindungsnetzwerk bereitstellen, z. B. Schicht 2-Stromkreise oder Schicht 3-Netzwerkkonnektivität
- Die Anzahl der gleichzeitigen Verbindungen
Sicherheitsmechanismen
VPNs können keine Online-Verbindungen vollständig anonym herstellen, sie können jedoch in der Regel den Datenschutz und die Sicherheit erhöhen. Um die Offenlegung privater Informationen zu verhindern, lassen VPNs normalerweise nur authentifizierten Fernzugriff mithilfe von Tunnelprotokollen und Verschlüsselungstechniken zu.
Das VPN-Sicherheitsmodell bietet:
- Vertraulichkeit: Selbst wenn der Netzwerkverkehr auf Paketebene erfasst wird (siehe Netzwerk-Sniffer und Deep Packet Inspection), kann ein Angreifer nur verschlüsselte Daten sehen
- Absenderauthentifizierung, um zu verhindern, dass unberechtigte Benutzer auf das VPN zugreifen
- Nachrichtenintegrität zur Erkennung von Manipulationen an übertragenen Nachrichten
Sichere VPN-Protokolle umfassen Folgendes:
- Internet Protocol Security (IPsec) wurde ursprünglich von der Internet Engineering Task Force (IETF) für IPv6 entwickelt, die in allen normenkonformen Implementierungen von IPv6 erforderlich war, bevor RFC 6434 nur eine Empfehlung vorschlug. Dieses auf Standards basierende Sicherheitsprotokoll wird auch häufig mit IPv4 und dem Layer-2-Tunneling-Protokoll verwendet. Sein Design erfüllt die meisten Sicherheitsziele
- Authentifizierung, Integrität und Vertraulichkeit. IPsec verwendet Verschlüsselung, um ein IP-Paket in einem IPsec-Paket zu kapseln. Die Entkapselung erfolgt am Ende des Tunnels, wo das ursprüngliche IP-Paket entschlüsselt und an das vorgesehene Ziel weitergeleitet wird.
- Transport Layer Security (SSL/TLS) kann den gesamten Netzwerkverkehr tunneln (wie im OpenVPN-Projekt und im SoftEther VPN-Projekt) oder eine einzelne Verbindung sichern. Eine Reihe von Anbietern bietet VPN-Fernzugriffsfunktionen über SSL. Ein SSL-VPN kann eine Verbindung von Orten herstellen, an denen IPsec aufgrund von Network Address Translation und Firewall-Regeln in Schwierigkeiten gerät.
- Datagram Transport Layer Security (DTLS) – Wird in Cisco AnyConnect VPN und in OpenConnect VPN verwendet, um die Probleme zu lösen, die SSL/TLS beim Tunneling über UDP hat.
- Die Point-to-Point-Verschlüsselung (MPPE) von Microsoft funktioniert mit dem Point-to-Point-Tunneling-Protokoll und in verschiedenen kompatiblen Implementierungen auf anderen Plattformen.
- Microsoft Secure Socket Tunneling Protocol (SSTP) -Tunnel Point-to-Point-Protokoll (PPP) oder Layer-2-Tunneling-Protokollverkehr über einen SSL 3.0-Kanal. (SSTP wurde in Windows Server 2008 und Windows Vista Service Pack 1 eingeführt.)
- Multi-Path Virtual Private Network (MPVPN). Die Ragula Systems Development Company besitzt die eingetragene Marke „MPVPN“.
- Secure Shell (SSH) VPN – OpenSSH bietet VPN-Tunneling (nicht Portweiterleitung), um Remote-Verbindungen zu einem Netzwerk oder zu Netzwerkverbindungen zu sichern. Der OpenSSH-Server bietet eine begrenzte Anzahl gleichzeitiger Tunnel. Die VPN-Funktion selbst unterstützt keine persönliche Authentifizierung.
Authentifizierung
Tunnelendpunkte müssen authentifiziert werden, bevor sichere VPN-Tunnel eingerichtet werden können. Von Benutzern erstellte Remote-Access-VPNs können Passwörter, biometrische Daten, Zwei-Faktor-Authentifizierung oder andere kryptografische Methoden verwenden. Netzwerk-zu-Netzwerk-Tunnel verwenden häufig Passwörter oder digitale Zertifikate. Sie speichern den Schlüssel dauerhaft, damit der Tunnel automatisch eingerichtet werden kann, ohne dass der Administrator eingreifen muss.
Leitung
Tunneling-Protokolle können in einer Punkt-zu-Punkt-Netzwerktopologie arbeiten, die theoretisch nicht als VPN betrachtet werden würde, da von einem VPN erwartet wird, dass er willkürliche und sich ändernde Gruppen von Netzwerkknoten unterstützt. Da die meisten Routerimplementierungen eine softwaredefinierte Tunnelschnittstelle unterstützen, handelt es sich bei vom Kunden bereitgestellten VPNs oft um einfach definierte Tunnel, die herkömmliche Routingprotokolle verwenden.
Von Providern bereitgestellte VPN-Bausteine
Abhängig davon, ob ein vom Provider bereitgestelltes VPN (PPVPN) in Schicht 2 oder 3 arbeitet, können die im Folgenden beschriebenen Bausteine nur L2 oder nur L3 sein oder beide kombinieren. Die MPLS-Funktion (Multi-Protocol Label Switching) verwischt die Identität des L2-L3.
RFC 4026 verallgemeinerte die folgenden Begriffe, um L2- und L3-VPNs abzudecken, wurden jedoch in RFC 2547 eingeführt. Weitere Informationen zu den unten aufgeführten Geräten finden Sie auch in Lewis, Cisco Press.
Kundengeräte (C)
Ein Gerät, das sich im Netzwerk eines Kunden befindet und nicht direkt mit dem Netzwerk des Diensteanbieters verbunden ist. C-Geräte kennen das VPN nicht.
Kundenkantengerät (CE)
Ein Gerät am Rand des Kundennetzwerks, das den Zugriff auf das PPVPN ermöglicht. Manchmal ist es nur eine Abgrenzung zwischen Anbieter- und Kundenverantwortung. Andere Anbieter erlauben es Kunden, dies zu konfigurieren.
Anbieterkantengerät (PE)
Ein PE ist ein Gerät oder eine Gruppe von Geräten am Rand des Anbieternetzwerks, das über CE-Geräte eine Verbindung zu Kundennetzwerken herstellt und die Sicht des Anbieters auf den Standort des Kunden darstellt. PEs kennen die VPNs, die über sie verbunden werden, und behalten den VPN-Status bei.
Provider-Gerät (P)
Ein P-Gerät arbeitet im Kernnetzwerk des Providers und ist nicht direkt mit einem Kundenendpunkt verbunden. Es könnte beispielsweise Routing für viele Provider-betriebene Tunnel bieten, die zu den PPVPNs verschiedener Kunden gehören. Das P-Gerät ist zwar ein wesentlicher Bestandteil der Implementierung von PPVPNs, ist jedoch selbst nicht VPN-fähig und behält den VPN-Status nicht bei. Seine Hauptaufgabe besteht darin, dem Diensteanbieter zu ermöglichen, seine PPVPN-Angebote zu skalieren, indem er beispielsweise als Aggregationspunkt für mehrere PEs fungiert. P-zu-P-Verbindungen sind in einer solchen Rolle häufig optische Verbindungen mit hoher Kapazität zwischen Hauptstandorten von Anbietern.
Vertrauenswürdige Zustellungsnetzwerke
Vertrauenswürdige VPNs verwenden kein kryptografisches Tunneling, sondern verlassen sich auf die Sicherheit eines Netzwerks eines einzelnen Providers, um den Datenverkehr zu schützen.
Beim Multi-Protocol Label Switching (MPLS) werden VPNs häufig überlagert, häufig mit der Kontrolle der Servicequalität über ein vertrauenswürdiges Zustellungsnetzwerk. L2TP (Layer 2 Tunneling Protocol), ein auf Standards basierender Ersatz, und ein Kompromiss, der die guten Eigenschaften von zwei proprietären VPN-Protokollen übernimmt: das Layer 2 Forwarding (L2F) von Cisco (veraltet) und das Point-to-Point-Tunneling-Protokoll von Microsoft (PPTP). Vom Sicherheitsstandpunkt aus vertrauen VPNs entweder dem zugrunde liegenden Zustellungsnetzwerk oder müssen die Sicherheit durch Mechanismen im VPN selbst erzwingen. Sofern das vertrauenswürdige Übermittlungsnetz nur zwischen physisch sicheren Standorten ausgeführt wird, benötigen sowohl vertrauenswürdige als auch sichere Modelle einen Authentifizierungsmechanismus, damit Benutzer auf das VPN zugreifen können.
VPNs in mobilen Umgebungen
Mobile virtuelle private Netzwerke werden in Umgebungen verwendet, in denen ein Endpunkt des VPN nicht auf eine einzige IP-Adresse festgelegt ist, sondern Roaming über verschiedene Netzwerke wie Datennetze von Mobilfunkbetreibern oder zwischen mehreren WLAN-Zugangspunkten. Mobile VPNs sind in der öffentlichen Sicherheit weit verbreitet, wo sie Strafverfolgungsbehörden Zugriff auf geschäftskritische Anwendungen wie computergestützte Versand- und Kriminaldatenbanken ermöglichen, während sie zwischen verschiedenen Subnetzen eines Mobilfunknetzes unterwegs sind. Sie werden auch im Außendienstmanagement und unter anderem von Gesundheitsorganisationen eingesetzt.
Mobile VPNs werden zunehmend von mobilen Profis eingesetzt, die zuverlässige Verbindungen benötigen. Durch das Einrichten der VPN-Unterstützung auf einem Router und das Einrichten eines VPN können alle vernetzten Geräte auf das gesamte Netzwerk zugreifen. Alle Geräte sehen wie lokale Geräte mit lokalen Adressen aus. Unterstützte Geräte sind nicht auf Geräte beschränkt, die einen VPN-Client ausführen können.
Viele Routerhersteller bieten Router mit integrierten VPN-Clients an. Einige verwenden Open Source-Firmware wie DD-WRT, OpenWRT und Tomato, um zusätzliche Protokolle wie OpenVPN zu unterstützen.
Das Einrichten von VPN-Diensten auf einem Router erfordert fundierte Kenntnisse der Netzwerksicherheit und sorgfältige Installation. Geringe Fehlkonfigurationen von VPN-Verbindungen können das Netzwerk anfällig machen. Die Leistung variiert je nach ISP.
Netzwerkeinschränkungen
Eine wesentliche Einschränkung bei herkömmlichen VPNs ist, dass es sich um Punkt-zu-Punkt-Verbindungen handelt und Broadcast-Domänen nicht unterstützt oder verbunden werden. Daher werden Kommunikation, Software und Netzwerke, die auf Layer 2 und Broadcast-Paketen wie NetBIOS für Windows-Netzwerke basieren, möglicherweise nicht vollständig unterstützt oder funktionieren genauso wie in einem echten LAN. VPN-Varianten wie Virtual Private LAN Service (VPLS) und Layer-2-Tunnelprotokolle sollen diese Einschränkung überwinden.