Virtual Private Network

Aus Mikiwiki
(Weitergeleitet von VPN)
Wechseln zu: Navigation, Suche

Ein Virtual Private Network / VPN nutzt für die Übertragung von privaten Daten einen sogenannten Tunnel durch ein öffentliches Rechnernetz.

SSL-VPNs unter Linux sind mit Openvpn oder SSL-Explorer deutlich einfacher aufzusetzen als herkömmliche Ipsec- oder PPTP/L2TP-VPNs.

SSL-VPNs in kommerziellen Produkten sind ausgefeilte Reverse-Proxies, auf die der Benutzer mit einem SSL-fähigen Webbrowser zugreift und über sie auch seine Anwendungen fernstartet und -steuert. Diese Technik gibt es mit dem SSL-Explorer auch in einer freien Variante.

PPTP/L2TP-VPNs

PPTP/L2TP-VPNs benötigen zwingend einen VPN-Client, kennen aber die Nachteile der SSL-Clientless-VPNs nicht. Dafür sind viele VPN-Clients nur für Microsoft Windows zu haben. Ausserdem muss eine vorgelagerte Firewall bzw. ein Router die Ipsec-Pakete (IP 50 / UDP 500) durchlassen. Dafür können über Ipsec Dienste im jeweils anderen Netz transparent angesprochen werden - das VPN verhält sich wie ein einziges grosses Netzwerk.

SSL-Clientless-VPNs

Hauptziel von SSL-Clientless-VPNSs ist es, am entfernten Standort ohne die Installation eines VPN-Clients auszukommen und stattdessen den Webbrowser mit einer HTTPS-Verbindung zu verwenden. So können Daten im heimischen Netzwerk normalerweise auch genutzt werden, wenn andere Protokolle aufgrund einer restriktiv konfigurierten Firewall aussen vor sind oder die Installation eines VPN-Clients aufgrund fehlender Systemverwalterrechte nicht möglich ist. Allerdings hat man normalerweise keinen transparenten Zugriff auf das entfernte Netzwerk, stattdessen muss für jedes Protokoll (z. B. SMTP, POP3, IMAP) ein eigener Tunnel initiiert werden. Auch die Einbindung eines Netzwerkdruckers ist nur mit einigem Aufwand möglich.

Topologie

  • Das Branch-Office-VPN (auch: Network-to-Network VPN, Net-to-Net VPN) stellt das klassische VPN dar und bezeichnet eine Netz-zu-Netz-Verbindung, mit der Firmen z. B. ihre Niederlassungen einbinden können. Dabei werden die Netze der beteiligten Partner transparent miteinander verbunden. So kann man firmenweit z. B. zentrale Server bereitstellen, die aus allen angebundenen Netzen erreichbar sind.
  • Beim Remote-Access-VPN (auch: Host-to-Network VPN, Host-to-net VPN) wählt sich ein mobiler Benutzer ("Road warrior") über eine Wählleitung ins Internet ein und baut über diese Verbindung einen VPN-Tunnel zum VPN-Gateway der Firmenzentrale auf. So kann der mobile Benutzer sicher die Ressourcen im Firmennetzwerk nutzen.
  • Beim Peer-to-Peer VPN (auch: Host-to-Host VPN) besteht eine direkte VPN-Verbindung zwischen zwei Rechnern im Internet. Dabei spielt es keine Rolle, ob sich die Hosts in einem Netzwerk befinden oder nur per Einwahl Zugang zum Internet haben. Mit Openvpn lässt sich der Aufbau eines solchen VPN einfach bewerkstelligen.

Konfigurationstypen

  • Remote-Zugriff auf einen POP3-Server: Am Gateway muss ein SSH-Server mit Portforwarding auf den POP3-Server konfiguriert werden. Ein mobiler Benutzer kann sich so (auf Wunsch mit Public Key-Authentifizierung) seine E-Mails über einen sicheren Tunnel abholen. Für SSH-Tunnels gilt eine Einschränkung: Nur auf TCP basierende Protokolle, die einen festen Port verwenden, lassen sich problemlos tunneln.
  • Zugriff auf Terminalserver aus einem Internetcafé: Eine SSL-VPN-Lösung ist ideal, da im Internetcafé normalerweise keine zusätzliche Software auf den PCs installiert werden darf. Ein Java-fähiger Webbrowser genügt, um auch ohne VPN-Client Zugriff auf einen Terminalserver wie VNC, Microsofts Remote Desktop (RDP), NX oder Citrix zu erhalten.
  • Transparenter Zugriff auf ein entferntes Netzwerk: Hier wird normalerweise IPsec eingesetzt, weil die meisten VPN-Gateways und Firewall-VPNs diesen Standard beherrschen.
  • Zwei eigene Netze übers Internet verbinden: Dieses Beispiel kann ebenfalls genutzt werden, wenn die Verbindungen im WLAN verschlüsselt werden sollen. Hier ist der Einsatz von OpenVPN ideal, denn es werden beide Endepunkte des VPN kontrolliert. OpenVPN bietet die Siocherheit eines IPsec-VPNs, wobei der Konfigurationsaufwand aber wesentlich geringer ist.

Authentifizierung

Die Authentifizierung der VPN-Teilnehmer nimmt aus Sicherheitsgründen einen hohen Stellenwert ein.

  • VPNs, die nur ein Passwort für die Authentifizierung verwenden (z. B. PPTP), können nur so sicher sein wie das verwendete Passwort.
  • Einen Schritt weiter geht das Pre-shared Key-Verfahren. Das sind statische Schlüssel, die mit dem Befehl "openvpn --genkey" erzeugt werden können. Der Schlüssel wird dann auf dem Server und auf dem Client hinterlegt, was auch den Schwachpunkt darstellt: Gelangt der Schlüssel in falsche Hände, muss dieser bei allen Verbindungsteilnehmern, die den gleichen Schlüssel verwenden, von Hand ausgetauscht werden. Mit einem Pre-shared Key sollte deshalb äusserst sorgsam umgegangen werden.
  • Noch sicherer wird ein VPN durch die Authentifizierung auf Grundlage eines Zertifikats. Jeder Nutzer erhält einen öffentlichen und einen privaten Schlüssel, die zuvor vom VPN-Verwalter mit dessen "Certification Authority / CA" signiert wurden. Für den Verbindungsaufbau authentifizieren sich die Schlüssel von Server und Client gewissermassen gegenseitig. Um einenm VPN-Teilnehmer die Zugangsberechtigung nachträglich zu entziehen, fügt der VPN-Verwalter dessen Schlüssel der "Certification Revocation List / CRL" hinzu. Diese Liste wird beim Verbindungsaufbau abgefragt, sodass ungültige Schlüssel sicher erkannt werden können und der Verbindungsaufbau abgebrochen wird.

Weblinks

Herausgeber Sprache Webseitentitel Anmerkungen
country DE.gif Wikipedia ger Virtual Private Networkwbm Enzyklopädischer Artikel