VPN

Kriterien

  • Sicherheit
  • Zuverlässigkeit
  • Skalierbarkeit
  • Netzwerkmanagement
  • Richtlinienmanagement

Remote-Access-VPN

Einzelne Mitarbeiter können sich mit dem Firmennetzwerk verbinden
VPDN: Virtual Private Dial-up Network

Site-to-Site-VPN

Verknüpfen mehrere Netzwerke

Abhörsicherheit

Es gibt verschiedene Protokolle die für Verschlüsselung benutzt werden können.

IPSec

  • Ein Schlüssel / Zertifikat wird auf allen Geräten geteilt
  • Entweder 56-Bit oder 168-Bit DES-Verschlüsselung
  • Nachteil: Kann nur IP tunneln

L2TP/IPsec (L2TP over IPsec)

  • L2TP: Layer 2 Tunneling Protocol. Ohne Verschlüsselung
  • Kann alle Protokolle tunneln
  • L2TP wird über IPsec getunnelt, ist dann verschlüsselt

Tunnel- oder Transportmodus

  • Tunnel-Modus: Header und Nutzdaten werden verschlüsselt
  • Transport-Modus: Nur die Nutzdaten werden verschlüsselt
    • Für ein Remote-Access (Host-zu-LAN VPN) nimmt man i.d.R. den Tunnelmodus, für ein (LAN-zu-LAN VPN) den Transportmodus von IPsec.

    PPTP/MPPE

    • PPTP: Point-to-Point Tunneling Protocol
    • MPPE: Microsoft Point-to-Point Encryption
    • PPTP ohne MPPE ist nicht verschlüsselt
    • 40-Bit oder 128-Bit Verschlüsselung

    Andere Sicherheitsaspekte

    • Datenintegrität Um sicherzustellen dass die Daten nicht verändert wurden
    • Identität Kommen die Daten wirklich von der richtigen Quelle (und nicht von einem Angreifer)?
    • Replay-Schutz Um Pakete abzuweisen, die von einem Angreifer wurden
    • Datenfluss- / Tunnel-Vertraulichkeit Es kann nicht abgehört werden, wer mit wem über VPN kommuniziert

    Protokollarten

    • Passenger Protocol - Die Daten die übertragen werden (z.B. IPX, NetBeui, IP)
    • Kapselndes Protokoll - Tunneling- und Verschlüsselungs-Protokoll (z.B. GRE, IPsec, L2F, PPTP, L2TP)
    • Carrier Protocol - Mit dem die Daten übers Internet übertragen werden (IP)

    VPN-Server

    • Regelt VPN-Kommunikation
    • Entscheidet verwendete Protokolle + Verschlüsselung
    • Hat Zertifikate
    • Regelt Authentifizierung, Authorisierung und Accounting
    • Beispiel OpenVPN (alle Plattformen)

    Verbindungsaufbau

    1. Der Client baut eine Verbindung zum Server auf.
    2. Der Server schickt dem Client sein Zertifikat.
    3. Der Client überprüft das Zertifikat vom Server mit seiner Kopie vom Zertifikat der CA
    4. Über die verschlüsselte Verbindung sendet der Client seine Anmeldedaten oder sein Zertifikat
    5. Der Server überprüft Zertifikat / Anmeldedaten

    Layer-2-VPN

    MPLS: Multiprotocol Label Switching
    Mit MPLS können verschiedene Daten, z.B. Telefonie und Internet, auf derselben Infrastruktur übertragen werden.
    Wenn ein Netzbetreiber Level-2-VPN zur Verfügung stellt, werden die Daten nicht verschlüsselt. Da die gesamte Infrastruktur dem Netzbetreiber gehört, kann trotzdem nichts abgehört werden.