Informationssicherheit: Januar 2015

VPN ist ein logisches privates Netzwerk auf einer öffentlich zugänglichen Infrastruktur. Nur die Kommunikationspartner, die zu diesem privaten Netzwerk gehören, können miteinander kommunizieren und Informationen und Daten austauschen. VPN-Netzwerke müssen Sicherheit der Authentizität, Vertraulichkeit und Integrität sicherstellen.

What is a VPN used for?

Verwendung und Entwicklung:

Ein VPN-Netzwerk wird verwendet, um eine sichere Verbindung zwischen zwei oder mehreren Teilnehmern über das Internet herzustellen. (z.B. Verbindung zweier Standorte eines Unternehmens). Damit kann zum Beispiel ein Zugriff über das Unternehmensnetzwerk von unterwegs erfolgen. Der Datenverkehr wird in der Regel verschlüsselt. Zudem können Zugriffsbeschränkungen von Ländern umgangen werden, in denen der freie Zugriff auf das Internet nicht möglich ist. Es bietet Schutz der Privatsphäre, da der Datenverkehr nicht von Dritten mitgelesen werden kann.

How did VPNs evolve?

In den späten 1970 wurden erste LAN-Netzwerke in der akademische Arbeitswelt eingesetzt. Hierbei gibt es eine Vielzahl von Varianten, zum Beispiel Metropolitan Area Networks (MANs), welche für Schulen verwendet wurden und Wide Area Networks (WANs) die für Kommunikation zwei oder mehrerer Universitäten dienten. Als Computer zudem ein Bestandteil der Arbeitswelt wurden, brauchten die Unternehmen auch Netzwerklösungen, um ihre Standorte sicher zu verbinden. Deshalb kamen die Virtual Private Networks (VPNs) zum Einsatz. Sie bieten einen sicheren Zugriff auf ein Organisationsnetzwerk.

Which types of VPNs are used?

VPN-Typen

End-to-Site-VPN (Host-to-Gateway-VPN / Remote-Access-VPN)

Es wird ein VPN-Tunnel zu einem entfernten lokalen Netzwerk über ein öffentliches Netzwerk hergestellt. Dazu muss ein VPN-Client auf dem Computer des externen Mitarbeiters installiert sein. Der User authentifiziert sich über den Netzwerkserver, um einen Zugriff auf das Netzwerk zu erlangen. Im Vordergrund steht ein möglichst geringer, technischer und finanzieller Aufwand für einen sicheren Zugriff auf das entfernte Netzwerk.

Site-to-Site-VPN (LAN-to-LAN-VPN / Gateway-to-Gateway-VPN / Branch-Office-VPN)

Bei diesem Typ werden über ein öffentliches Netzwerk mehrere lokale Netze verbunden. Im Vordergrund steht ein möglichst geringer, technischer und finanzieller Aufwand für einen sicheren Zugriff auf das entfernte Netzwerk. Der User authentifiziert sich hierbei über einen Extranet Server. Dieser kontrolliert auch die Netzwerkressourcen.

Das Extranet-VPN ist eine Variante von Site-to-Site-VPN. Während ein Branch-Office-VPN nur mehrere lokale Netzwerke einer Firma verbindet, ist ein Extranet-VPN ein virtuelles Netzwerk, das die Netzwerke unterschiedlicher Firmen miteinander verbindet.

End-to-End-VPN (Host-to-Host-VPN / Remote-Desktop-VPN)

Bei diesem VPN-Szenario greift ein Client auf einen anderen Client in einem entfernten Netzwerk zu. Hierbei deckt der VPN-Tunnel die gesamte Verbindung zwischen zwei Hosts ab. Zudem muss auf beiden Seiten eine entsprechende VPN-Software installiert und konfiguriert sein. Eine typische Anwendung ist ein Remote-Desktop über öffentliche Netze (z.B. Teamviever oder GotoMyPC).

What made VPNs possible?

Durch die Entstehung des öffentlichen Netzwerkes, wurden die Virtual Private Networks erst möglich. Die Kommunikationspartner, die zu einem privaten Netzwerk gehören, können über das Internet miteinander kommunizieren und Informationen und Daten austauschen.

What is tunneling?

Tunneling

Zur Gewährleistung einer gesicherten Datenübertragung über das Internet, wird mit einem Tunneling-Protokoll eine verschlüsselte Verbindung, der VPN-Tunnel, aufgebaut. Der Tunnel ist eine logische Verbindungen zwischen beliebigen Endpunkten. Meist sind das VPN-Clients, VPN-Server und VPN-Gateways. Da der Inhalt dieser Daten für andere nicht sichtbar ist, werden diese virtuellen Verbindungen Tunnel genannt.

What are the components of a VPN? How do they work together? Explain that in more detail.

Komponenten von VPN:

Authentifizierung: Bei der Authentifizierung wird der VPN-Benutzer identifiziert und überprüft, ob die Daten vom VPN-Benutzer stammen.
Tunneling: Der VPN-Tunnel überträgt die Datenpakete von einem Ende zum anderen.
Verschlüsselung: Durch die Verschlüsslung wird sichergestellt, dass die Daten bei der Übertragung über das öffentliche Netzwerk nicht von Dritten gelesen werden können.

Das zu versendende Paket wird mit einer lokalen Adresse gekennzeichnet. Dieses Paket kann aber nicht einfach über das Internet gesendet werden, da es die Kennzeichnung nicht identifizieren kann (Private Adresse). Es muss daher ein sogenannter Tunnel zwischen den kommunizierenden Teilnehmern hergestellt werden. Durch diesen können die privaten Pakete über das Internet gesendet werden. Dafür wird das Paket verkapselt, das nun einen bestimmten Header aufweist. Das Paket wird zu einem VPN-Server gesendet, der das Paket akzeptiert und entkapselt sowie an das private Netzwerk weitersendet. Dieser gesamte oben beschriebene Vorgang wird Tunneling genannt. Zudem gibt es verschiedene Protokolle, um das Tunneling zu realisieren.

Immer wenn man eine VPN-Verbindung zwischen zwei Netzwerken herstellen will, muss es eine Möglichkeiten geben, um jemanden zu identifizieren bzw. sich zu authentisieren zu können. Denn die VPN-Verbindung akzeptiert nur Teilnehmer der verbundenen Netze. Deshalb sendet ein Teilnehmer einen Request und muss sich am VPN-Server authentifizieren. Wiederum gibt es eine Vielzahl von Protokollen, um dies zu realisieren.

Um eine sichere Verbindung aufzubauen, muss diese verschlüsselt werden. Es sind viele Verschlüsselungsstandards und Protokolle vorhanden (unten angeführt).

Which algorithms are used for encrpyting the packets?

Verschlüsselungsalgorithmen:

AES-128
AES-256
DES
3DES

Which VPN protocols are used very often in industry?

VPN-Protokolle:

PPTP (Point-to-Point Tunneling Protocol)
IPsec (Internet Protocol Security)
L2TP (Layer 2 Tunneling Protocol)
L2TP/IPsec

What is a split tunnel?

Split-Tunneling:

Split-Tunneling bedeutet, dass nur Daten, die an einen Teilnehmer im VPN-Netzwerk gesendet werden sollen, über die VPN-Verbindung (durch den Tunnel) transferiert werden. Alle anderen Daten werden über die Internetverbindung gesendet. Damit werden unnötige Umwege vermieden und Transferzeiten reduziert.

Explain in short how OpenVPN and IPSec work and which components do they consist of?

OpenVPN und IPSec:

OpenVPN dient zum Aufbau eines VPN-Netzwerkes über eine verschlüsselte TLS-Verbindung. Dazu werden Bibliotheken des Programmes OpenSSL zur Verschlüsselung benutzt. OpenVPN verwendet wahlweise UDP oder TCP zum Transport. Um eine Verbindung per OpenVPN aufzubauen, muss man auf beiden Seiten die OpenVPN-Software installieren und zueinander passend konfigurieren.

Eine Erweiterung des Internet-Protokolls (IP) stellt IPsec dar. Damit erhält das Internet-Protokoll die Fähigkeit IP-Pakete kryptografisch gesichert über öffentliche unsichere Netze zu transportieren. Es wurde zuerst für IPv6 entwickelt, wurde aber nachträglich für IPv4 spezifiziert.

Die zentralen Funktionen in der IPsec-Architektur sind das AH-Protokoll (Authentification Header), das ESP-Protokoll (Encapsulating Security Payload) und die Schlüsselverwaltung (Key Management).

Bei beiden VPN-Techniken muss man grundsätzlich unterscheiden. Während es sich bei IPsec um einen Standard handelt, der im Internet-Protokoll und damit im Betriebssystem verankert ist, nutzt OpenVPN unterschiedliche Standards und läuft als Software innerhalb eines Betriebssystems als Client oder Server.

Bestandteiel von IPsec-VPNs: