Anzeige

Aus dem Facharchiv: Lernen & Können
VPN – 
Virtual Private Network

Das Internet eröffnet – als globales Rechnernetz – vielfältige Möglichkeiten zur Kommunikation, zur Automation und zum Zugriff auf nichtlokale 
Ressourcen in Form von Gerätetechnik, Programmen sowie strukturierten und unstrukturierten Informationen.

Firewall, VPN und Anonymisierung – im konkreten Fall nur im Zusammenhang betrachten (Bild: H. Möbus/ep)

Mit dem Protokollstapel TCP/IP basiert dieses Netz aber auf einem Regelwerk, in welchem Sicherheitsaspekte – vom Konzept her – nur ansatzweise Berücksichtigung finden.

Virtuelle private Netzwerke

Das Internet, so wie es heute genutzt wird, ist das Resultat einer mehr als ein halbes Jahrhundert umfassenden Entwicklung. War die Anfangsphase (bis etwa 1990) dieses Netzes zunächst durch die Begrenztheit des Nutzerkreises gekennzeichnet, so waren es in der Folgezeit (ab etwa 1991/92) vor allem die semiprofessionelle Massenanwendung von Diensten (wie etwa die elektronische Post E-Mail und das Web). In dieser Zeit waren Sicherheitsaspekte lediglich ein Thema für hochspezialisierte Netzwerkexperten. Die 
damit im Zusammenhang stehende 
Fragestellungen wurden vorzugsweise in „kleineren“ Kreisen behandelt. Die Bedeutung von Sicherheitsaspekten ist aber schrittweise gewachsen – vor allem bei kommerziellen Anwendungen. Spätestens seit Mitte der 90er-Jahre, mit der breiten Einführung des Online-Banking, ist das Thema für einen großen Anwenderkreis von Bedeutung. Aus der Sicht des Nutzers geht es dabei um

  • die Sicherung der auf dem eigenen Rechner gespeicherten Daten und
  • die Sicherung der über das Netz zu übertragenden Informationen.

Zur Sicherung der auf dem eigenen Rechner bzw. im eigenen Netz gespeicherten Daten dient das zur Konfiguration von Firewalls zur Verfügung stehende Instrumentarium (wie Port- und Paketfilter, Proxies, NAT). Selbstverständlich gehört hierzu die Vergabe von Zugriffsrechten, die Arbeit mit Passwörtern usw. Bei der Sicherung der über das Netz zu übertragenden Informationen gibt es zumindest zwei Aspekte: die Adressinformationen und die eigentlichen Nutzdaten. Um dem Ausspähen der Adressinformationen, also wer besucht welche Seite, zu entgehen, gibt es verschiedene – mehr oder minder – vertrauenswürdige Anonymisierungsmöglichkeiten. Zur Sicherung der über das Internet zu übertragenden Nutzdaten gibt es verschiedene Verfahren. Diese gehören zu den Grundbausteinen virtueller privater Netzwerke (VPN). VPN sind vor allem dort relevant, wo es gilt, über das Internet auf schutzwürdige Daten zuzugreifen. Als Beispiele hierfür werden genannt [1, S. 272]:

  • das Online-Banking,
  • der Verbund von Firmennetzen über das Internet oder
  • die Anbindung mobiler Mitarbeiter.

Definition für VPN [2, S. 47]: „VPN beschreibt die Technik, vertrauliche Netzwerkteile an verschiedenen Standorten über das Internet, also ein öffentliches Netz, miteinander zu verbinden.“

Anhand der genannten Beispiele und Definition wird deutlich, dass die Themen Firewall, Anonymisierung und VPN in vielfältiger Weise miteinander verknüpft sind (Bild). Bei der Umsetzung konkreter Lösungen führt dies zu mannigfaltigen Problemen. Diverse Angebote, die das Kürzel VPN enthalten, gehen daher deutlich darüber hinaus. Sie beinhalten neben den eigentlichen VPN-Programmteilen auch noch Firewall- und/oder Anonymisierungskomponenten. Aber selbst wenn man sich bei der Betrachtung ausschließlich auf die VPN-Komponente beschränkt, wird man mit ganz unterschiedlichen Lösungsmöglichkeiten konfrontiert.

Typische VPN-Topologien

Um verschiedene Lösungen bezüglich der Eignung für einen konkreten Fall beurteilen zu können, werden VPN grundsätzlich bezüglich ihrer Topologie unterschieden.

End-to-End. Bei der Ende-zu-Ende-Konfiguration wird die VPN-Verbindung direkt zwischen den beteiligten Endgeräten realisiert. Damit diese Verbindung gegen den Zugriff Dritter geschützt ist, muss auf beiden Endgeräten Software installiert sein, die diesen Schutz gewährleistet. Typisches Beispiel für eine derartige Topologie ist die Verbindung des Home-Office eines Mitarbeiters mit dem Datenbankserver im Unternehmen über das Internet hinweg. Diese Vorgehensweise ist auch für die Anbindung von Außendienstmitarbeitern geeignet, die sich ggf. über das WLAN eines Hotels mit dem Firmenserver verbinden möchten. Der Zugang ist auf das Endgerät beschränkt, auf welchem die VPN-Software installiert ist.

Site-to-Site. Bei dieser Art der Verbindung werden zwei sich an verschiedenen Standorten (site – deutsch: Lage, Gelände) befindliche Netze (LAN/WLAN) über das Internet miteinander verbunden. Die VPN-Verbindung wird zwischen den Routern aufgebaut. Die zur Herstellung einer VPN-Verbindung nötige Software wird ausschließlich auf den Routern installiert. Bei den in den Netzen installierten Endgeräten bedarf es keinerlei Veränderungen. Für die Nutzer erscheinen die über eine derartige VPN-Verbindung verbundenen Netze wie ein LAN/WLAN. Die Nutzer des sich am Standort A befindlichen Netzes haben uneingeschränkten Zugang auf die im Netz am Standort B freigegeben Ressourcen.

End-to-Site. Hierbei handelt es sich – aus der Sicht des Nutzers – um die „deluxe“-Variante der End-to-End Konfiguration. Dem einzelnen Endgerät wird die Möglichkeit geboten – über das Internet hinweg – auf die freigegeben Ressourcen eines Netzwerkes zuzugreifen. Diese Variante wird daher vielfach bevorzugt für Home-Office-Lösungen und die Anbindung von Außendienstmitarbeitern eingesetzt.

Anforderungen

Ein VPN soll eine – real nicht vorhandene – Struktur erschaffen, die gleichzeitig sicher ist.

Bezüglich des Schutzes von Daten innerhalb eines VPN bestehen folgende Ziele: 1. Vertraulichkeit/Zugriffsschutz. Der Zugang darf nur berechtigten Benutzern möglich sein. Jegliche unbefugte Einsichtnahme muss ausgeschlossen werden.

2. Integrität/Änderungsschutz. Gespeicherte Daten und zu übertragende Nachrichten müssen gegen unberechtigte Veränderung geschützt sein.

3. Authentizität/Fälschungsschutz.Der Urheber von Daten und der Absender einer Nachricht müssen zweifelsfrei nachweisbar sein.

Lösungsansätze

Um die genannten Anforderungen zu erreichen, gibt es eine Reihe von technischen Möglichkeiten. Dazu zählen Vorgehensweisen, die nicht nur im Zusammenhang mit VPN von Interesse sind. Etwa die Authentifizierung oder die Verschlüsselung finden dort Anwendung. Bei den speziell zur Realisierung von VPN – also deren Struktur – entwickelten technischen Möglichkeiten, handelt es sich im Wesentlichen um Manipulationen bei den Adressdaten. Konkrete Umsetzungen von VPN basieren auf der Nutzung verschiedener technischer Möglichkeiten:

1. Authentifizierung. Die Authentifizierung ist eine Möglichkeit, alle zuvor genannten Anforderungen bezüglich der Sicherheit von Daten gleichermaßen zu erreichen. Hierbei ist eine Zugriffsberechtigung (z. B. Nutzername und Passwort) die Voraussetzung für den Zugriff auf entfernte Ressourcen.

2. Verschlüsselung. Die Verschlüsselung ist ebenfalls ein Weg zur Erreichung der angeführten Ziele. Hierbei wird der Datenstrom durch mathematische Verknüpfung mit einem Datenschlüssel verändert.

3. Nutzung von Adressdaten. Von den – vor allem – auf der Internetschicht angesiedelten Verfahren [1, S. 274] ist insbesondere das Tunneling gut verständlich. Beim Tunneling wird dem zu sendenden Paket ein zusätzlicher IP-Header vorangestellt. Dieser gibt das Ende des „Tunnels“ an. Anhand dieses Headers erfolgt der Versand über das Internet. Am Ende des Tunnels wird das Paket ausgepackt und die Zustellung innerhalb des LAN/WLAN erfolgt anhand der internen IP-Adresse. Den dazwischenliegenden Routern bleibt diese Adresse aber verborgen. Das Tunneling ermöglicht die Verbindung zwischen entfernten Netzwerkteilen – ermöglicht also ein virtuelles Netz. Bezüglich des Zugriffs-, Änderungs- und Fälschungsschutzes bietet diese Vorgehensweise jedoch kaum Vorteile.

Literatur

[1] Fischer, St.; Walter, U.: Linux Netzwerke Aufbau – Administration – Sicherung. SuSE Press, 1. Auflage, Nürnberg 2000.

[2] Thiel, F.: TCP/IP-Ethernet bis Web-IO. Firmenschrift Wiesemann und Theis, 7. aktualisierte Auflage, Wuppertal 2014.

Autor: H. Möbus

Der Artikel wurde unserem Facharchiv entnommen.

Kommentare

botMessage_toctoc_comments_926
Anzeige

Nachrichten zum Thema

Die 5. Auflage des Klassikers der Lichttechnik wurde um Lichtsteuerung, Sensorik und IoT ergänzt.

Weiter lesen

Kann ein elektrotechnisch weitergebildeter Mitarbeiter elektrotechnische Aufgaben ohne Änderung des Arbeitsvertrages übernehmen?

Weiter lesen

Isolierwerkstoffe gelten in der Elektrotechnik als nichtleitendes Material, das nur eine extrem geringe und somit vernachlässigbare elektrische Leitfähigkeit hat. Isolierstoffe werden in der Elektrotechnik u. a. dafür verwendet, den elektrischen...

Weiter lesen

In der letzten Folge dieser Serie wurden die Werkstoffe mit weniger gutem elektrischen Leitverhalten betrachtet – die Widerstandswerkstoffe. Dabei wurde bereits das Thema SMD-Technik erwähnt, wozu hier noch eine kurze Ergänzung folgt. Desweitern wird...

Weiter lesen

Aus dem Facharchiv: Lernen & Können Werkstoffkunde – Widerstandswerkstoffe (7)

In den letzten Folgen dieser Serie bildeten die „guten“ Leiterwerkstoffe wie Kupfer und Aluminium sowie deren Legierungen mit anderen Metallen den Schwerpunkt der Betrachtungen. Aus elektrotechnischer Sicht bietet sich nun an, Werkstoffe mit weniger...

Weiter lesen
Anzeige