![]() ![]() ![]() ![]() |
mit Unterstützung von: |
http://www.glossar.de/glossar/z_vpn.htm Abkürzung für "Virtual Private Network" ein VPN ist ein Netzwerk bestehend aus virtuellen Verbindungen (z.B. Internet), über die nicht öffentliche bzw. firmeninterne Daten sicher übertragen werden. Die VPN- Technologie ermöglicht kostengünstige und sichere Anbindungen von Außenstellen bzw. Niederlassungen. Prinzipiell wird bei IP-basierenden VPNs zwischen zwei unterschiedlichen Ansätzen unterschieden:
Das "Mehr" an Sicherheit, das uns moderne VPN-Technologie garantiert, erlaubt
nun auch die Nutzung sehr günstiger Internet- Zugänge.
Gerade durch die Nutzung des Internets als verbindende Netzwerk- Infrastruktur,
ergeben sich eine ganze Reihe weiterer Vorteile. Diese wirken sich nicht nur positiv auf
die laufenden Kosten aus, sondern erlauben auch sehr flexible Lösungen. Das Internet als
"virtuelles Backbone" ermöglicht die Wahl der optimalen lokalen Internet- Anbindung. Ob xDSL, ISDN, GSM oder analoge Modems
- mit Internet VPNs gibt es keinerlei Bindung an bestimmte WAN- Technologien (und damit auch nicht an Tarife und Bandbreiten), die
ein einzelner ISP/NSP an einem bestimmten Ort anbieten kann. Damit entfällt für den
Kunden auch die Festlegung auf bestimmte, vom ISP/NSP vorgegebene Hardware / Software- Lösungen: Im Gegensatz zu dedizierten IP- VPN- Lösungen
können viele Internet VPN- Lösungen auch
nach einem Wechsel von einem ISP zu einem anderen Anbieter weiter eingesetzt werden. Durch
diese Flexibilität sind Investitionen in Netzwerk- Produkte
und Ausbildung in idealer Weise gesichert. |
|
In den letzten Jahren wurde eine ganze Reihe zum Teil standardisierter Verfahren entwickelt, welche die technischen Grundlagen für verschiedene VPN- Lösungen darstellen. Auch wenn diese Protokolle alle das "Tunneling"- Verfahren darstellen, unterscheiden sie sich doch grundsätzlich in der Art und Weise, wie dieses "Tunneling" erreicht wird. So werden zum Beispiel bei Verschlüsselung und Authentifizierung verschiedene technologische Ansätze gewählt. Dabei haben sich in den letzten Jahren einige Verfahren bzw. Protokolle als vielversprechende Lösungen abgezeichnet. Unter Zuhilfenahme des OSI- Schichtenmodells lassen sich diese Verfahren in zwei Gruppen einteilen, die auf jeweils der OSI- Schicht 2 (Link Layer) bzw. Schicht 3 arbeiten. So sind PPTP (Point- to- Point Tunneling Protocol) und auch L2TP (Layer 2 Tunneling Protocol) typische Vertreter für OSI- Schicht 2 Protokolle:
Als Schicht 2 Protokolle (nach dem OSI Modell) sind PPTP oder L2TP auch für Multiprotokoll- Anwendungen einsetzbar.
Viele der in den letzten Jahren angebotenen VPN- Lösungen
stützten sich auf proprietäre Lösungen einzelner Hersteller. Mit den verschiedenen
Arbeiten der IETF (Internet Engineering Task Force)
zum Thema "IP Security", kurz IPSec genannt, macht die Standardisierung von IP- basierenden VPN- Lösungen große
Fortschritte. Ein großer Teil der Entwicklung von IPSec wurde ursprünglich als
integraler Bestandteil der nächsten Generation von IP- Protokollen
(IPv6) in Angriff genommen. Da IPv6 sich aber nicht
wie geplant schnell durchsetzen konnte, wurde sichergestellt, dass IPSec- Verfahren und Protokolle auch mit IPv4 nutzbar sind, um so die
aktuellen Probleme mit Sicherheit in IP- Netzwerken
adressieren zu können. Diese Kompatibilität mit IPv4 Protokollen bedeutet, dass
Netzwerkanwendungen transparent die IPSec- Sicherheitsvorteile
nutzen können, sofern sie auf einer Implementierung der TCP/IP
Protokoll Suite aufsetzen, welche IPSec unterstützt. |
|
Auch wenn mit RFC
2401 grundsätzliche Aussagen zur Architektur gemacht werden, ist IPSec nicht als
einzelner Standard zu verstehen. Vielmehr ist man in der IETF
bemüht, den einzelnen Sicherheitsaspekten von IP- Netzwerken
in dedizierten Dokumenten gerecht zu werden. Wie diese verschiedenen Standardisierungs- Dokumente zusammenhängen, wird in der "IP Security Document
Roadmap" in RFC 2411 beschrieben. Die so entstehenden Standards bilden die Basis für
kompatible, flexible und auch erschwingliche VPN- Lösungen.
Die wichtigsten Elemente der IPSec- Architektur spiegeln sich
auch in der IP Security Document Roadmap wider. Zentrale Funktion in der IPSec- Architektur nehmen dabei
Das modulare Design der AH- und ESP- Protokolle erlaubt die Nutzung verschiedener Verschlüsselungs bzw. Authentifizierungs- Techniken. So lassen sich entsprechende neue Algorithmen und Verfahren leicht in die AH- und ESP- Protokolle integrieren.
Um nun eine gesicherte Verbindung zwischen zwei Endpunkten aufbauen zu können, müssen
auf beiden Seiten der Kommunikationsverbindung zahlreiche Parameter übereinstimmen bzw.
aufeinander abgestimmt sein. Die Kommunikationspartner müssen sich zum Beispiel auf die
Art der gesicherten Übertragung (Authentifizierung und/oder Verschlüsselung), den
Verschlüsselungsalgorithmus sowie die passenden Schlüssel einigen. Auch muss festgelegt
werden, wie und wie oft die eingesetzten Schlüssel ausgetauscht werden. All diese
Parameter einer gesicherten Verbindung werden gemäß der IPSec- Architektur
durch eine sogenannte "Security Association" (SA) beschrieben. Jede einzelne
gesicherte Verbindung bedingt je eine Security Association für jedes genutzte IPSec- Protokoll an jedem Ende der logischen Verbindung. So ist zum
Beispiel für die Verschlüsselung eines Datenpaketes eine SA (in einer Richtung)
erforderlich. Für die Authentifizierung wird eine weitere SA benötigt. Auch wenn die
IPSec- RFC- Dokumente Standard- Algorithmen für Authentifizierung und Verschlüsselung vorsehen,
können andere Verfahren eingesetzt werden. Da für jedes Protokoll einer jeden Verbindung
eine SA mit den jeweils protokollspezifischen Parametern notwendig ist, wird ein Verfahren
benötigt, das die entstehende Komplexität mindert. Über eine so genannte "Domain
of Interpretation" (DOI) werden die Parameter, die für eine protokollspezifische SA
erforderlich sind, standardisiert. |
|
Die DOI beinhaltet demnach Informationen über
Sicherheitsprotokolle, passende Verschlüsselungsalgorithmen sowie Mechanismen zur
Schlüsselverwaltung. Aufgrund der vielen Schlüssel, die für den erfolgreichen Aufbau
einer IPSec- Verbindung benötigt werden, muss der
Schlüsselverwaltung (Key Management) eine hohe Bedeutung beigemessen werden. Es gibt im
Augenblick zwei verschiedene Wege, die Verwaltung und Verteilung von Schlüsseln in einer
IPSec- Umgebung zu gewährleisten.
Grundsätzlich sehen die IPSec- Spezifikationen zwei
verschiedene Betriebsarten vor; den Transport- bzw. Tunnel- Modus.
Im so genannten Transport- Modus werden in das bestehende IP- Paket entweder AH- oder ESP- Informationsfelder
(Header) eingefügt. Des Weiteren werden im Fall von ESP die Nutzdaten gemäß dem
gewählten Algorithmus verschlüsselt. Im Tunnel- Modus wird
das gesamte IP- Paket mit einbezogen. Es wird einschließlich
der ursprünglichen IP- Protokoll- Informationen
in ein neues IP- Paket "verpackt". Das
"neue" IP- Paket wird dann mit einem entsprechenden
AH- oder ESP- Informationsfeld (Header) versehen. Bei der Wahl
von ESP wird dann eine Verschlüsselung des gesamten eingeschlossenen IP- Pakets vorgenommen. Dies ist gerade dann von entscheidendem
Vorteil, wenn IP- Netze über das Internet miteinander
verbunden werden sollen, die nicht mit registrierten gültigen Internet- Adressen arbeiten. Typische Beispiele für solche Netzwerke sind
Intranets, die ein "privates" Adressierungsschema benutzen und über Router, die
eine entsprechende Adressenumwandlung (IP-Masquerading,
NAT, PAT) vornehmen, an das Internet angebunden
werden. |
|
|
![]() |
Copyright: GLOSSAR.de - Alfons Oebbeke, Neustadt 1997-2001 |
Navigation ohne Frames: |
|