Was ist ein Virtual Private Network (VPN)?

Ein VPN (Virtual Private Network - zu deutsch: Virtuelles Privates Netzwerk) verbindet zwei Netzwerke, einen Computer mit einem Netzwerk oder zwei Computer und das jeweils auch über öffentliche Verbindungen (z.B. über das Internet). Für den Fall, dass ein Rechner mit einem Netzwerk verbunden werden soll, hat der Nutzer dabei den Eindruck, sein Rechner sei direkt an das andere Netzwerk angeschlossen.

Damit die Datenübertragung nicht von Fremden eingesehen werden kann benutzen VPNs sogenannte Tunneling-Protokolle, das sind Mechanismen, die die Daten verschlüsselt austauschen. Der Hintergrund für solch eine Technologie ist es, Kosten zu sparen und so externe Mitarbeiter über öffentliche Leitungen an das eigene Netzwerk anzubinden. Das ist wesentlich billiger, als für diesen Zweck ein eigenes Netz zu errichten oder dieses zu mieten.

Tunneling Protokoll PPTP (Point-to-Point Tunneling Protocol)

PPTP wurde ursprünglich von Microsoft und Ascend entwickelt und ist aufgrund seiner Integration in Windows weit verbreitet. Es handelt sich hierbei um eine Erweiterung des Point to Point Protokolls (PPP). PPTP ermöglicht nicht nur die Übertragung von IP-Paketen, sondern auch von IPX- und NetBUI-Paketen. Die einzelnen Pakete werden in eine modifizierte Form des Generic Routing Encapsulation Protocol Version 2 (GREv2) verpackt und zum Network Access Server (NAS) des ISP transportiert. Je Kommunikationspaar kann nur ein Tunnel aufgebaut werden.
Zur Authentisierung dient PAP/CHAP; eine Authentisierung der Tunnelenden ist jedoch nicht vorgesehen. In PPTP sind keine Key-Management-Protokolle implementiert.

Die Datenverschlüsselung erfolgt nach dem RC4-Verfahren mit Schlüssellängen von 40, 56 oder 128 Bit. Eine Paket-Integritätsprüfung ist nicht implementiert. PPTP ist nicht standardisiert, der Internet Draft (draft-ietf-pppext-pptp-00) ist Anfang 1997 "expired".

In die Schlagzeilen ist PPTP geraten, da verschiedene Berichte über Implementierungsdefizite bei der Schlüsselverwaltung veröffentlich wurden!

Tunneling Protokoll IPsec (Kurzform für IP Security)

IPsec steht für IP Security Protocol. Als Erweiterung/ Ergänzung von/zu IP ist es ein Layer-3-Tunneling-Protokoll. IPsec war ursprünglich für IP Version 6 geplant (RFC 1825 - 1829), ist heute jedoch (auch) vollständig für IPv4 standardisiert. Es erlaubt (derzeit) jedoch nur die Verschlüsselung von IP-Paketen, überträgt keine Multicasts und unterstützt - bewusst! - nur statisches Routing.

IPsec wird in den RFCs 2401 bis 2412 beschrieben, die die o.g. RFCs abgelöst haben. Alle RFCs haben den Status Proposed Standard.

Wesentliche Ziele im "Pflichtenheft" der IPsec-Definition waren, dass

• sich IPsec transparent gegenüber den Applikationen verhält und somit leicht in bestehende Netze integriert werden kann
• keine Festlegung auf bestimmte Verschlüsselungsverfahren erfolgen muss (Zukunftssicherheit!)
  
• für die Authentisierung und die Verschlüsselung unterschiedliche Protokolle zum Einsatz kommen, die unabhängig voneinander oder zusammen eingesetzt werden können
  
• es grundsätzlich möglich sein soll, IPSec um weitere Protokolle zu ergänzen

Die Datenintegrität und die Authentisierung des Datenursprungs wird mittels des Authentication Headers (AH) erreicht. Der AH-Header schützt die Daten und einige Header-Teile des zu übertragenden IP-Pakets vor Verfälschung. Dazu wird mittels bekannter Hash-Funktionen wie MD-5 (Message Digest) oder SHA-1 (Secure Hashing Algorithmus) eine Prüfsumme aus der IP-Payload gebildet und im AH-Header an den Empfänger übertragen. Nur wenn dieser dieselbe Prüfsumme aus dem empfangenen Paket errechnet ist sichergestellt, dass die Nachricht während der Übertragung nicht verändert wurde und auch nur von dem Absender stammen kann, da nur dieser den geheimen Schlüssel für das gewählte Authentisierungs-verfahren kennt.

Während es für SHA-1 Berichte über (theoretische) Security-Schwächen gibt, gilt MD-5 als in jeder Beziehung unangreifbar. Dieser Vorteil wird jedoch - wie so oft - über eine deutlich geringere Geschwindigkeit erkauft.
Die Verschlüsselung der Daten (Encapsulating Security Payload - ESP) erfolgt mit einem beliebigen Schlüssel (z.B. Triple-DES, AES).

Da IPsec einerseits ein Höchstmaß an Sicherheit bietet und andererseits der Bedarf, neben IP auch andere Protokolle (wie IPX, NetBUI) zu tunneln abnimmt, wird es die o.g. Layer-2-Protokolle langfristig als VPN-Standard-Protokoll ablösen.