Virutal Private Network (VPN)
Ein VPN ist eine gesicherte Vebindung (Tunnel) zwischen zwei Netzwerken (Site-to-Site VPN), zwei Computern (End-to-End-VPN) oder einem Computer und einem Netzwerk (End-to-Site-VPN).
Die Sicherung (Integrität, Vertraulichkeit und Authezität) der Daten wird dabei in der Regel über kryptographische Protokolle gewährleistet.
VPN werden meist aus Kostengrüden als Ersatz von Direktverbindungen eingerichtet. Es kann der ohnehin vorhandene Internetanschluß genutzt werden.
Allerdings ist die Verfügbarkeit der VPN-Verbindung identisch mit der des Internetanschlusses.
VPN Protokolle:
- IPSec: eignet sich sowohl für Site-to-Site VPNs als auch für End-to-Site VPNs.
- SSL-VPN: werden hauptsächlich für End-to-Site VPNs eingesetzt
- PPTP und L2TP: gelten nur zusammen mit IPSec als sicher
Site-to-Site VPN
Site-to-Site VPNs werden i.d.R. zwischen zwei Netzwerken durch VPN-Gateways gebildet. Sämtliche Sicherungs- und Verschlüsselungsoperationen erfolgen
durch die VPN-Gateways. Der gebildete Tunnel durch das öffentliche Netzwerk wird wie eine direkte Routerverbindung benutzt.
Client-to-Site VPN
End-to-Site VPNs lassen sich mit verschiedenen Techniken relisieren:
- IPsec
Für einen solchen Tunnel muß i.d.R. eine VPN-Software (passend zum VPN Gateway) am Client installiert werden.
Optional kann der Aufbau eines Tunnels von einer erfolgreichen User Authentifikation (XAUTH) oder der Vorlage eines Zertifikates abhängig gemacht werden.
Durch den Tunnel ist der Client quasi im internen Netz. Aus diesem Grunde kann der Tunnelaufbau zusätzlich von einer Sicherheitsüberprüfung abhängig (Health-Status) gemacht werden.
- SSL VPN
Der große Vorteil von SSL VPN ist, dass keine spezielle Client Software nötig ist. Es kann der normale Browser genutzt werden. Protokolle, die nicht SSL-fähig sind, können über
ein vom VPN-Gateway geladenes Applet in SSL getunnelt werden. Nachteilig ist der Umstand, dass das statuslose IP in das gesicherte TCP getunnelt werden muß.
Das kann bei Protokollen, bei denen das Timing eine große Rolle spielt (z.B. VOIP) nachteilig sein.
- L2TP
L2TP ist eine reine Tunnelung und definiert keine Verschlüsselung. Es sollteshalb nur in Kombination mit IPSec verswendet werden. L2TP mach dann Sinn, wenn
andere Protoolle als IP (NETBEUI, IPX, SNA) getunnelt werden müssen.
End-to-End VPN
End-to-End VPN werden direkt zwischen zwei Computern gebilet. Sie werden noch recht selten benutzt. Voraussetzung dafür ist, dass das Betriebssystem des PC ein
enstprechendes VPN-Protokoll (meist IPSec) unterstützt. Das ist bei den meisten modernen Systemen der Fall (Windows 2000/XP, Solaris, Linux, BSD).