VPN Allgemein: Unterschied zwischen den Versionen

Aus xinux.net
Zur Navigation springen Zur Suche springen
 
(9 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 2: Zeile 2:
 
*VPNs versetzen Unternehmen in die Lage, auf einfache und kostengünstige Weise ihre Netzwerke an verschiedenen Standorte zu verbinden
 
*VPNs versetzen Unternehmen in die Lage, auf einfache und kostengünstige Weise ihre Netzwerke an verschiedenen Standorte zu verbinden
 
*Des weiteren kann man Außendienstmitarbeiter anbinden.
 
*Des weiteren kann man Außendienstmitarbeiter anbinden.
*Man muss Sicherheitsfragen,beachten.  
+
*Man muss Sicherheitsfragen beachten.  
*Man nutzt öffentliche Netze und muss ensprechende Sicherheit sorgen.
+
*Man nutzt öffentliche Netze und muss darum ensprechende Sicherheit sorgen.
 
*Hier muss man 3 Punkte beachten
 
*Hier muss man 3 Punkte beachten
 
**Verfügbarkeit
 
**Verfügbarkeit
Zeile 17: Zeile 17:
 
*Ein VPN Partner will eine Verbindung eingehen.
 
*Ein VPN Partner will eine Verbindung eingehen.
 
*Er muss sich auf der Gegenseite authentifizieren.
 
*Er muss sich auf der Gegenseite authentifizieren.
 +
*Danach muss eine Gemeisamer Sitzungsschlüssel ausgehandelt werden.
 
*Die Netze die zu schützen sind werden bestimmt.
 
*Die Netze die zu schützen sind werden bestimmt.
*Danach muss eine Gemeisamer Sitzungsschlüssel ausgehandelt werden.
 
 
*Die Pakete werden dann verschlüsselt und eingekapselt
 
*Die Pakete werden dann verschlüsselt und eingekapselt
 
*Die Komminikation der beiteiligten Netze läuft dann über den sogenannten VPN Tunnel
 
*Die Komminikation der beiteiligten Netze läuft dann über den sogenannten VPN Tunnel
 +
=Prinzip=
 +
 +
{{#drawio:vpn-vorgang}}
 +
 +
{{#drawio:vpn-vorgang-1}}
 +
 +
 +
{{#drawio:vpn-vorgang-2}}
 +
 +
 +
{{#drawio:vpn-vorgang-3}}
 +
 
=Weiteres=
 
=Weiteres=
 
*VPN funktioniert weitgehend unabhängig von der physischen Topologie und den verwendeten Netzwerkprotokollen.
 
*VPN funktioniert weitgehend unabhängig von der physischen Topologie und den verwendeten Netzwerkprotokollen.
Zeile 34: Zeile 46:
 
=Arten von VPN's=
 
=Arten von VPN's=
 
*[[Arten von VPN's]]
 
*[[Arten von VPN's]]
==Die Funktionsweise==
+
=Die Funktionsweise=
Ein VPN beruht auf IP-Tunneling, daß heißt, das zu transportierende Paket wird verschlüsselt und in ein neues Paket verpackt. Dieses Paket wird in einem Server des LANs oder des ISPs erzeugt, der den Ausgangspunkt des Tunnels bildet. Das Paket enthält als Quelladresse die Adresse dieses Rechners und als Zieladresse einen Server, der den Endpunkt des Tunnels bildet und das transportierte Paket wieder entpackt, also den Tunnel-Kopf entfernt und es entschlüsselt. Dieses Paket wird dann wie gewohnt im Ziel-LAN seinem Empfänger zugestellt.
+
*Ein VPN beruht auf IP-Tunneling, daß heißt, das zu transportierende Paket wird verschlüsselt und in ein neues Paket verpackt.
 
+
*Dieses Paket wird in einem Server des LANs oder des ISPs erzeugt, der den Ausgangspunkt des Tunnels bildet.
Bevor ein Rechner eine verschüsselte Datenverbindung aufbaut, muß er sich eindeutig authentifizieren. Erst nach dem erfolgreichen Identitätsnachweis leitet das VPN-Gateway die Pakete ins Firmennetz weiter.
+
*Das Paket enthält als Quelladresse die Adresse dieses Rechners und als Zieladresse einen Server
Die Authentifizierung kann entweder über nur den beteiligten Rechnern bekannte Geheimnisse (Pre Shared Secrets) geschehen oder über Public-Key-Mechanismen, wie sie auch für digitale Signaturen zum Einsatz kommen.
+
*Der den Endpunkt des Tunnels bildet und das transportierte Paket wieder entpackt
Die Verwendung von Pre-Shared-Secrets ist bei End-to-Site-Verbindungen
+
*Der Tunnel-Kopf wird entfernt und das Paket entschlüsselt.
 
+
*Dieses Paket wird dann wie gewohnt im Ziel-LAN seinem Empfänger zugestellt.
 
 
==== Praktischer Nutzen eines VPNs ====
 
Sobald ein Computer eine VPN-Verbindung aufbaut, ist der Vorgang vergleichbar mit dem Umstecken seines Netzwerkkabels von seinem ursprünglichen Netz an das neu zugeordnete Netz, mit allen Auswirkungen wie geänderten IP-Adressen und Unterschieden beim [[Routing]].
 
 
 
Ruft der Computer zum Beispiel eine Webseite auf, so wird die Anfrage nun aus dem neu zugeordneten Netz heraus in das Internet geleitet. Die Anfrage unterliegt so den Restriktionen des zugeordneten Netzes und nicht mehr denen des ursprünglichen Netzes. Das nutzen zum Beispiel Journalisten in Ländern, in denen der freie Zugriff auf das Internet nicht möglich ist, um die Zugriffsbeschränkung zu umgehen. Die einzige Voraussetzung besteht darin, dass der Computer aus seinem ursprünglichen Netz heraus [[#VPN-Gateway on End-to-Site|eine Verbindung zum VPN-Gateway aufbauen]] kann. Das VPN-Gateway befindet sich hierfür in der Regel in einem anderen Land bzw. einem Netz mit freiem Internetzugang. Man spricht davon, dass die Internetanfragen (wie auch sämtliche weitere Netzwerkanfragen) [[#VPN-Tunneling|über VPN ''getunnelt'']] werden.
 
 
 
Ein weiterer Grund, um Internetzugriffe zu tunneln, besteht im Schutz der Privatsphäre. Für das Handy, das Notebook, Tablets und andere Geräte gilt gleichermaßen, dass der Datenverkehr von Dritten leicht mitgelesen werden kann, sobald für den Internetzugriff ein öffentlicher Zugang genutzt wird. Nicht jeder Zugriff lässt sich über den direkten Weg verschlüsselt aufbauen, und selbst wenn der Anwender für bestimmte Vorgänge eine verschlüsselte Verbindung nutzt, bleibt die Information, wohin er sich gerade verbunden hat, einsehbar. Ein VPN-Tunnel löst beide Probleme, da (je nach VPN-Protokoll) hier eine Verschlüsselung ''sämtlicher'' Netzwerkpakete möglich ist. Zudem kann derjenige, der den Datenverkehr des öffentlichen Zugangs möglicherweise mitliest, nur noch eine Verbindung zum VPN-Gateway erkennen. Das tatsächliche Ziel bleibt ihm verborgen, da er nicht einsehen kann, wohin von dort aus die Verbindung weitergeleitet wird.
 
 
 
Dies sind nur zwei ausgesuchte Beispiele, die zum einen den Nutzen bezüglich des Netzwerkwechsels aufzeigen und zum anderen auf den Nutzen einer möglichen Verschlüsselung eingehen. Die sich daraus ergebenden [[#Anwendungsmöglichkeiten|Anwendungsmöglichkeiten]] sind vielfältig.
 
 
 
=== Anwendungsmöglichkeiten ===
 
* Über VPN können lokale Netze mehrerer Geschäftsstellen über das Internet auf eine sichere Art miteinander verbunden werden (eine so genannte '''Site-to-Site'''-Verbindung).
 
* Der Computer eines Mitarbeiters kann über VPN von Zuhause aus einen gesicherten Zugriff auf das Firmennetz erlangen. Dazu baut er eine Verbindung zum Internet auf. Dann startet er eine VPN-Software (den VPN-Client, der die Beschaffenheit des Firmennetzes auf dem lokalen Computer virtuell nachbildet). Diese baut über das Internet eine Verbindung zum [[#VPN-Gateway on End-to-Site|VPN-Gateway]] der Firma auf. Nach der Authentifizierung hat der Mitarbeiter Zugriff auf das Firmennetz – gerade so, als säße er mittendrin. Diese Verbindungsart wird '''End-to-Site''' genannt. Das Verfahren wird auch verwendet, um [[WLAN]] und andere Funkstrecken zu sichern.<br />In Abgrenzung zum End-to-Site-VPN wird von einigen Herstellern (zum Beispiel bei [[MSDN]]<ref>[http://msdn.microsoft.com/en-us/library/cc440255.aspx Mobile VPN]</ref>, bei VoIP-Info.de<ref>http://www.voip-info.de/news/newsartikel__3085.php</ref>, auf tomsnetworking.de<ref>[http://www.tomsnetworking.de/content/tests/j2009a/test_netmotion_wireless_mobility_xe_8_5/index.html Mobile VPN Testbericht von NetMotion Wireless]</ref>) „[[Mobile VPN]]“ als Bezeichnung für ein VPN genutzt, welches nahtloses [[Roaming]] zwischen zum Beispiel [[GPRS]], [[UMTS]] und [[WLAN]] unterstützt. Dadurch soll eine dauerhafte Netzwerkverbindung ohne ständiges Neueinwählen ermöglicht werden.
 
* Es ist auch möglich, dass sich der Rechner des Mitarbeiters per VPN nicht in ein entferntes physisches Firmennetz hängt, sondern direkt an einen Server bindet. VPN dient hier dem gesicherten Zugriff auf den Server. Diese Verbindungsart wird '''[[Ende-zu-Ende-Verschlüsselung|Ende-zu-Ende]]''' (englisch „end-to-end“) genannt. Auf diese Weise ist es auch möglich, ein logisch (jedoch nicht physisch) abgekapseltes virtuelles Netz aufzubauen, welches lediglich aus weiteren VPN-Partnern besteht, die sich ebenfalls mit dem Server verbunden haben. Die VPN-Partner können nun gesichert miteinander kommunizieren.
 
* Es besteht auch die Möglichkeit, dass sich zwei Server über VPN miteinander unterhalten können, ohne dass die Kommunikation durch Dritte eingesehen werden kann (das entspricht einer Ende-zu-Ende-Verbindung, welche für einen solchen Fall mitunter auch '''Host-to-Host''' genannt wird).<br />FreeS/WAN sowie dessen Nachfolger Openswan und [[strongSwan]] bieten noch die Möglichkeit der so genannten ''„opportunistic encryption“'': Es wird zu jedem Computer, mit dem der eigene Computer Daten austauscht, ein Tunnel aufgebaut, wenn dieser einen Schlüssel per [[Domain Name System|DNS]] bereitstellt.
 
* Ähnlich wie bei der Einwahl von zu Hause in ein Firmennetz können sich auch beliebige Clients aus dem Firmennetz in ein separates, speziell gesichertes Netz innerhalb der Firma per VPN einwählen: ein privates (datentechnisch abgekapseltes) Netz innerhalb des Firmennetzes also, bei dem die Clients bis zum VPN-Gateway dieselbe physikalische Leitung verwenden, wie alle anderen Clients des Netzes auch – mit dem Unterschied, dass sämtliche VPN-Netzpakete bis zum Gateway verschlüsselt übertragen werden können.
 
 
 
=== Sicherheit ===
 
Durch die Verwendung von [[Passwort|Passwörtern]], [[Öffentlicher Schlüssel|öffentlichen Schlüsseln]] oder durch ein [[digitales Zertifikat]] kann die [[Authentifizierung]] der VPN-Endpunkte gewährleistet werden. Daneben werden auch Hardware-basierte Systeme wie bei [[SecurID]] angeboten.
 
 
 
=== Implementierungen ===
 
VPNs setzen auf folgenden zugrunde liegenden Protokollen auf:
 
* [[IPSEC]] eignet sich sowohl für Site-to-Site-VPNs als auch für End-to-Site-VPNs.
 
* [[PPTP]] und [[Layer 2 Tunneling Protocol|L2TP]] ([[OSI-Modell#Schicht 2 – Sicherungsschicht|Layer 2]] VPN-Protokolle)
 
* [[PPPD]] (PPP-[[Daemon]]) und [[Secure Shell|SSH]] in Kombination kann den gesamten IP-Verkehr durch einen [[Tunnel (Rechnernetz)|Tunnel]] leiten. Die Lösung ist ähnlich dem PPTP ohne dessen Sicherheitsprobleme.
 
* [[Transport Layer Security|TLS/SSL]] werden hauptsächlich für End-to-Site-VPNs eingesetzt.
 
* [[ViPNet]] eignet sich besonders für Ende-zu-Ende-VPNs, erlaubt aber auch End-to-Site- und Site-to-Site-VPNs.
 
* [[getVPN]] von Firma Cisco entwickelte Methode die IPSec Tunnel mit Hilfe eines zentralen Schlüsselservers auf allen zum Verbund gehörenden Routern praktisch automatisch einzurichten
 
* [[Secure Socket Tunneling Protocol|SSTP]] von Microsoft in [[Windows Server 2008]] und [[Windows Vista]] Service Pack 1 eingeführtes Secure Socket Tunneling Protocol. SSTP tunnelt den PPP oder L2TP Verkehr durch einen SSL-3.0-Kanal.<ref>[http://biztechmagazine.com/article.asp?item_id=377 SSTP Makes Secure Remote Access Easier]</ref>
 
  
Viele moderne [[Betriebssystem]]e enthalten Komponenten, mit deren Hilfe ein VPN aufgebaut werden kann. [[Linux]] enthält seit [[Linux (Kernel)|Kernel]] 2.6 eine IPSec-Implementierung, ältere Kernel benötigen das KLIPS-IPSec-Kernelmodul, das von ''[[Openswan]]'' und ''[[strongSwan]]'' zur Verfügung gestellt wird. Auch [[Berkeley Software Distribution|BSD]], [[Cisco]] [[Internetwork Operating System|IOS]], [[Mac OS X]] und [[Microsoft Windows|Windows]] sind IPSec-fähig.
+
=Authentifikation=
 +
*Bevor ein Rechner eine verschüsselte Datenverbindung aufbaut, muß er sich eindeutig authentifizieren.
 +
*Erst nach dem erfolgreichen Identitätsnachweis leitet das VPN-Gateway die Pakete ins Firmennetz weiter.
 +
*Die Authentifizierung erfolgt über:
 +
**Pre Shared Keys
 +
**Public-Key-Mechanismen
 +
**Zertifikate
  
Quelle: wiki.xinux.de
+
=Praktischer Nutzen eines VPNs=
Quelle: www.wikipedia.de
+
*Anbinden von Aussenstellen an die Zentrale
 +
*Anbinden von Homearbeitsplätzen
 +
*Anbinden von Partnerfirmen
 +
*Verschleierung der realen IP
 +
*Umgegen von Länderrestrigionen
 +
=Quellen=
 +
*wiki.xinux.de
 +
*www.wikipedia.de

Aktuelle Version vom 24. März 2022, 10:04 Uhr

Was ist ein VPN

  • VPNs versetzen Unternehmen in die Lage, auf einfache und kostengünstige Weise ihre Netzwerke an verschiedenen Standorte zu verbinden
  • Des weiteren kann man Außendienstmitarbeiter anbinden.
  • Man muss Sicherheitsfragen beachten.
  • Man nutzt öffentliche Netze und muss darum ensprechende Sicherheit sorgen.
  • Hier muss man 3 Punkte beachten
    • Verfügbarkeit
    • Integrität
    • Vertraulichkeit

VPN ist ein reines Softwareprodukt

  • VPN ist grundsätzlich ein Software Produkt
  • Es gibt aber auch Geräte die (VPN-Appliances), die für die Verwendung der VPN-Software optimiert wurde.
  • Normalerweise gibt es für die Betriebsssteme Windows, Linux und MacOS native Software
  • Es gibt sogenannte VPN Gateways die mehr als eine VPN Verbindung handeln können

Vorgang beim Aufbau einer VPN

  • Ein VPN Partner will eine Verbindung eingehen.
  • Er muss sich auf der Gegenseite authentifizieren.
  • Danach muss eine Gemeisamer Sitzungsschlüssel ausgehandelt werden.
  • Die Netze die zu schützen sind werden bestimmt.
  • Die Pakete werden dann verschlüsselt und eingekapselt
  • Die Komminikation der beiteiligten Netze läuft dann über den sogenannten VPN Tunnel

Prinzip



Weiteres

  • VPN funktioniert weitgehend unabhängig von der physischen Topologie und den verwendeten Netzwerkprotokollen.
  • Das Netz, in dem sich die VPN-Partner befinden, dient lediglich als Transportmittel bei der Kommunikation mit den eingebundenen Geräten.
  • Da die tatsächlichen Netzwerkpakete in dem VPN-Protokoll verpackt sind,
  • Sie müssen/dürfen nur von den VPN-Partnern, nicht aber von den Netzwerkkomponenten dieses Netzes verstanden werden.

Verschlüsselung

  • Theoretisch kann man eine VPN auch unverschlüsselt aufbauen
  • Das wird aber in der Regel nicht gemacht.
  • Um die Verbindung abhör- und manipulationssicher zu machen wird verschlüsselt

Arten von VPN's

Die Funktionsweise

  • Ein VPN beruht auf IP-Tunneling, daß heißt, das zu transportierende Paket wird verschlüsselt und in ein neues Paket verpackt.
  • Dieses Paket wird in einem Server des LANs oder des ISPs erzeugt, der den Ausgangspunkt des Tunnels bildet.
  • Das Paket enthält als Quelladresse die Adresse dieses Rechners und als Zieladresse einen Server
  • Der den Endpunkt des Tunnels bildet und das transportierte Paket wieder entpackt
  • Der Tunnel-Kopf wird entfernt und das Paket entschlüsselt.
  • Dieses Paket wird dann wie gewohnt im Ziel-LAN seinem Empfänger zugestellt.

Authentifikation

  • Bevor ein Rechner eine verschüsselte Datenverbindung aufbaut, muß er sich eindeutig authentifizieren.
  • Erst nach dem erfolgreichen Identitätsnachweis leitet das VPN-Gateway die Pakete ins Firmennetz weiter.
  • Die Authentifizierung erfolgt über:
    • Pre Shared Keys
    • Public-Key-Mechanismen
    • Zertifikate

Praktischer Nutzen eines VPNs

  • Anbinden von Aussenstellen an die Zentrale
  • Anbinden von Homearbeitsplätzen
  • Anbinden von Partnerfirmen
  • Verschleierung der realen IP
  • Umgegen von Länderrestrigionen

Quellen

  • wiki.xinux.de
  • www.wikipedia.de
Abgerufen von „https://xinux.net/index.php?title=VPN_Allgemein&oldid=32554