IT SecCity: Wie funktioniert ein VPN?

Rubrik: Produkte/Hintergrund

Ein Layer-3-VPN ist nicht multiprotokollfähig

(01.08.04) - Ein Virtual Private Network (VPN) ist die Realisierung eines privaten Netzes über ein öffentliches Netz wie das Internet. Im Internet wird grundsätzlich das IP-Netzwerkprotokoll (Internet Protocol) benutzt, um Daten von einem Rechner zu einem anderen zu leiten. Jedes Datenpaket wird mit einem IP-Header versehen, der die eigene Adresse und die Zieladresse beinhaltet (IP-Adressen).

Netzwerkprotokolle wie IP sind auf Ebene 3 (Layer 3) in dem OSI-Schichtenmodell definiert. Ein Layer-3-Protokoll wie IP benötigt jedoch einen Layer 2 (und Layer 1), um die Datenpakete bis zum nächsten Vermittlungsrechner (Router) zu übertragen. Layer 2 und Layer 1 können wie ein LAN "verbindungslos" sein - sie werden in diesem Fall durch eine LAN -Karte dargestellt - oder eben "verbindungsorientier". In diesem Fall erfolgt die Einwahl beispielsweise via ISDN über das DFÜ-Netz zum NAS (Network Access Server) eines Providers. Nach Aufbau der ISDN-Verbindung (B-Kanal) wird das Layer-2-Protokoll PPP (Point-to-Point-Protokoll) verhandelt, erst danach kann der Rechner IP-Pakete zum Provider übermitteln.

Während einer PPP-Session werden bestimmte Attribute wie die öffentliche IP-Adresse, DNS-Server und WINS-Server zwischen NAS und dem entfernten Rechner ausgetauscht. Die IP-Adresse behält der Remote Client nur so lange wie die PPP-Verbindung steht. Eine Layer-2PPP-Verbindung ist multiprotokollfähig, d.h. es können neben IP auch andere Protokolle wie beispielsweise IPX und ATLK übermittelt werden. Des Weiteren beinhaltet eine PPP-Verhandlung sicherheitsspezifischen Abläufe wie Authentifizierung mit Benutzername/Password (PAP/CHAP) und einfache Verschlüsselung (Encryption Control Protocol ECP) sowie weitere Features wie Datenkompression (Compression Control Protocol (CCP)) und Rückruf (Link Control Protocol (LCP)).

Anbindung einer Filiale (LAN) an das Internet

Ein weiteres Beispielszenario für den Einsatz von PPP ist die Anbindung einer Filiale (LAN) an das Internet und der Zugriff von beliebigen Arbeitsplatz-PCs auf das zentrale Datennetz. Hierfür baut der in der Filiale installierte IP-Router für den Versand seiner IP-Pakete eine ISDN-Verbindung zum nächsten NAS auf, über diese anschließend alle PPP-Verhandlungen erfolgen. Der Router erhält vom NAS eine öffentliche IP-Adresse (die einzige, die im Internet zu vermitteln ist). Der Knackpunkt ist nun der: Die Rechner im LAN besitzen jeweils eine abweichende - private - IP-Adresse Bei jedem von einem LAN-Rechner erzeugten Datenpaket wird vom Router die private "Quell-IP-Adresse" gegen die öffentliche IP-Adresse ausgetauscht. Das Ergebnis: Alle LAN-Rechner erscheinen im Internet ausschließlich mit der öffentlichen IP-Adresse. Dieser Vorgang wird IP-NAT (IP-Network-Address-Translation) oder auch Maskieren genannt. Das Verfahren bietet somit gleichzeitig Schutz gegen unerwünschte Verbindungen vom Internet ins LAN.

Das Remote Access-VPN

Ein RemoteAccess-VPN ist die Abbildung eines traditionellen Direkteinwahl Remote Access-Netzes über ein öffentliches IP-Netz. Unternehmen, die ein solches VPN planen, stellen an dieses 1:1 die gleichen Anforderungen wie beim direkten Zugriff auf die Unternehmenszentrale. Im wesentlichen geht es um die Erfüllung folgender Punkte: starke und persönliche Authentisierung jedes einzelnen -Users, Unterstützung verschiedener Authentisierungsmethoden wie PKI, X.509.v3-Zertifikate, Zertifikate auf Smart Cards, User-ID/Password (Radius), SecureID oder OTP (One Time Password), starke Verschlüsselung, sicherer Schlüsselaustausch, überschaubare Konfiguration und Administration der VPN-Clients und der dazu gehörenden Sicherheits-Policy, keine Topologieeinschränkungen sowie Multiprotokollfähigkeit beim Einsatz unterschiedlicher Netzwerkprotokolle.

Das Tunnelling-Verfahren

Grundlage von Layer-2- und Layer-3-VPNs ist das Tunnelling. Dieses Verfahren ist notwendig für den Transport der Daten zwischen einem zentrale VPN-Gateway und Remote VPN-Client über ein öffentliches, unsicheres Netz. Etabliert wird ein Tunnel dadurch, dass jedem erzeugten Datenpaket ein extra IP-Header und ein oder mehrere - je nach eingesetztem Tunnelling-Verfahren - spezifische Header vorangestellt werden. Der Tunnel beginnt da, wo der extra IP-Header hinzugefügt wird und endet wo der IP-Header wieder entfernt wird. Da Authentisierung und Verschlüsselung komplett innerhalb des Tunnels ablaufen, spielen die Tunnel-Endpunkte eine sehr wichtige Rolle. Abhängig vom Tunnel-Endpunkt spricht man von "Site-to-Site-VPN", "End-to-Site-VPN" und "End-to-End-VPN".

Ein Beispiel für Site-to-Site-VPN ist ein Tunnel zwischen einem Filial-Router und einem VPN-Gateway in der Zentrale. Bei einem End-to-Site-VPN wird entweder ein Tunnel zwischen einem Einzelplatz-PC und einem VPN-Gateway oder einem Client in einem Filialnetz und dem zentralen VPN-Gateway aufgebaut. Dabei ist es nicht erforderlich, dass der Filial-Router VPN-fähig ist. Das End-to-End-VPN funktioniert im Grunde genauso wie ein End-to-Site-VPN, nur dass das VPN-Gateway im Applilations-Server integriert ist. Dadurch ist die gesamte Stecke vom Client-PC bis zur zentralen Applikation gesichert. Unternehmen gehen zunehmend dazu über, die Tunnel nicht im Filial-Router enden zu lassen, sondern in den einzelnen LAN-Workstations. Die Vorteile liegen auf der Hand: Eine persönliche Authentisierung der Teilnehmer und eine Verschlüsselung der Unternehmensdaten im Filialnetz, am Remote Access-Markt zeichnet sich daher zunehmend eine Entwicklung weg von "Site-to-Site"- hin zu "End-to-Site-VPNs" ab.

Layer 2 VPN

Zu den bekanntesten Layer-2-Verfahren gehören L2F (Layer-2- Forwarding), L2TP (Layer-2-Tunnelling-Protocol) und PPTP (Point-to-Point-Tunnelling-Protocol). Ein Layer-2-Tunnel stellt ein "virtuelles Kabel" über jede IP-Plattform dar und lässt sich über jede IP-Struktur hinweg aufbauen. Dabei ist es unerheblich, ob die installierten Router zwischen Client und VPN-Gateway IP-NAT einsetzen,. Wie eingangs beschrieben ist ein Layer-2-Tunnel multiprotokollfähig. Folglich besteht bei einem Layer-2-VPN die Möglichkeit, über ein öffentliches Netz, das nur IP vermittelt, mit der Unternehmenszentrale über beliebige Netzwerkprotokolle zu kommunizieren. Der Tunnelaufbau bei einem Layer-2-VPN wird realisiert durch einen extra IP-Header, einen UDP- (User Datagramm Protocol) oder TCP-Header (Transport Control Protocol) und einen Tunnel-Verfahren-spezifischen Header. Der Overheader pro Paket ist dabei abhängig vom eingesetzten Verfahren und liegt bei ungefähr 40 Bytes.

Wie hervorragend die Eigenschaften der Layer-2-Tunnelling-Verfahren für Remote Access auch sind, ein Nachteil ist, dass sie nur zum Teil Datenintegrität und eine relativ schwache Authentisierung (CHAP/PAP-) gewährleisten. Weiter fehlen wesentliche Sicherheitsfunktionen, wie: Verschlüsselung, Unterstützung von digitalen Zertifikaten und ein leistungsfähiges Schlüsselmanagement. Eine Möglichkeit, Security-Mechanismen und Layer-2-VPN-Tunnelling zu vereinen, bietet sich mit der Erweiterung des Point-to-Point-Protokolls

Man unterscheidet hier zwei Ansätze:

· Erweiterung der PPP-Authentication-Phase (PAP/CHAP)

· Erweiterung des PPP Encryption-Control-Protocols (ECP).

In beiden Fällen wird für die Erweiterung das SSL (Secure-Socket-Layer) v3.0 Handshake-Protokoll eingesetzt. Dieses Verfahren ist in dem von Microsoft eingereichten Experimental RFC 2716 (PPP EAP TLS Authentication Protocol) beschrieben. Es unterstützt die Anwendung von Zertifikaten, d.h. starke Authentisierung und sicherer Schlüsselaustausch sind möglich - das VPN ist somit "PKI (Public Key Infrastructure) enabled". Nach Ablauf der SSL-Verhandlung wird alles verschlüsselt was über die PPP-Verbindung läuft: die Netzwerkprotokolle IP/IPX und auch der letzte Teil der PPP-Verhandlung, wo die Zuweisung der privaten IP-Adresse, DNS- und/oder WINS-Server an den Client erfolgt.

Layer-2-Tunnelling mit den oben beschriebenen Sicherheitsmechanismen ermöglicht den Aufbau eines Remote Access-VPN, das jede Infrastruktur unterstützt. Bereits vorhandene Netzwerkkomponenten können problemlos genutzt werden. Es ist unerheblich, ob ein Client den Tunnel über einen Provider, einen Branch Office-Router (der sich zum Provider einwählt), einen NAS in der Zentrale oder direkt zum VPN-Gateway in der Firmenzentrale aufbaut. Der Remote-User erhält für die PPP-Session immer dieselben Attribute: IP-Adresse, Datenkompression, DNS-Adresse usw.

Layer 3 VPN-IPSec

Ein Layer-3-VPN ist nicht multiprotokollfähig, sondern bezieht sich immer auf ein bestimmtes Netzwerkproto-koll - im Falle von IPSec ist das Netzwerkprotokoll IP. Mit den IPSec RFCs (2401 - 2409) lässt sich ein VPN mit vorgegebener Security für das IP-Protokoll realisieren. Es steht ein komplettes Rahmenwerk zur Verfügung, das sowohl (Layer 3-)Tunnelling als auch alle notwendigen Sicherheitsmechanismen wie starke Authentisierung, Schlüsselaustausch und Verschlüsselung umfasst. Das Ziel dieses VPN-Standards ist dessen Herstellerunabhängigkeit. (Andreas Baehre/ma)