Sichere Verschlüsselte |
Virtual Private Networks
Ein Virtual Private Network (VPN) ist ein Computernetz, das zum Transport
privater Daten ein öffentliches Netz (zum Beispiel das Internet)
nutzt. Teilnehmer eines VPN können Daten wie in einem internen
LAN austauschen. Die einzelnen Teilnehmer
selbst müssen hierzu nicht direkt verbunden sein. Die Verbindung
über das öffent-
liche Netz wird üblicherweise verschlüsselt.
Eine Verbindung der Netze wird über einen Tunnel zwischen VPN-Client
und VPN-Server (Concentrator / Router / Firewall) ermöglicht. Meist
wird der Tunnel dabei gesichert. IP-VPNs nutzen das Internet zum Transport
von IP-Paketen unabhängig vom Übertragungsnetz, was im Gegensatz
zum direkten Remote-Zugriff (RAS) auf ein internes Netz (direkte Einwahl
beispiels-
weise über ISDN, GSM, ...) wesentlich flexibler und kostengünstiger
ist.
Man unterscheidet verschiedene Vorgehensweisen bei VPNs: "Site-to-Site"
und "Site-to-End"
Site-to-Site
Sollen zwei lokale Netze verbunden werden, wird auf beiden Seiten ein
VPN-Gateway verwendet.
Diese bauen dann untereinander eine VPN-Verbindung auf. Andere Rechner
in einem lokalen Netz verwenden nun den Gateway auf ihrer Seite, um
Daten in das andere Netz zu senden. So lassen sich zum Beispiel zwei
weit entfernte Standorte einer Firma verbinden (Site-to-Site-VPN).
Site-to-End
VPNs werden oft verwendet, um Mitarbeitern außerhalb einer Organisation
oder eines Unterneh-
mens Zugriff auf das interne Netz zu geben.
Dabei baut der Computer des Mitarbeiters eine VPN-Verbindung zu dem
ihm bekannten VPN-
Gateway des Unternehmens auf. Über diese Verbindung ist es dem
Mitarbeiter nun möglich, so zu arbeiten, als ob er im lokalen Netz
der Firma wäre (Remote-Access-VPN).
Dieses Verfahren wird auch verwendet, um WLANs und andere Funkstrecken
zu sichern (End-to
-Site-VPN).
Durch Verwendung geheimer Passwörter, öffentlicher Schlüssel
oder durch ein Digitales Zertifikat kann die Authentifizierung der VPN-Endpunkte
gewährleistet werden. Es ist sinnvoll, auf den VPN-
Gateways den Datenverkehr zu filtern. Sonst ist es zum Beispiel Computerwürmern
möglich, sich im gesamten Netz zu verbreiten.
Prinzipiell ist SSL als Verschlüsselungsprotokoll für VPN
sowohl für Site-to-Site- als auch Site-to-
End-VPNs geeignet.
In den 1990er-Jahren gab es Systeme, die SSL als Sicherungsschicht für
Site-to-Site-VPNs ein-
setzten. Mit der Entwicklung von IPsec und der zunehmenden Vernetzung
über Organisations-
grenzen hinaus hat das standardisierte, interoperable IPsec aber Lösungen
auf Basis von SSL für diesen Zweck nahezu vollständig verdrängt.
Für die Vernetzung mehrerer Standorte unterein-
ander hat SSL VPN keine praktische Bedeutung mehr.
Der Schwerpunkt liegt heute auf der Bereitstellung des Netzwerk- und
Applikationszugriffs für mobile Anwender. Alle heute üblichen
SSL-VPN-Systeme verwenden TCP-Port 443 (HTTPS) für
die Datenübertragung. Dies hat gegenüber IPSec und anderen
VPN-Technologien den Vorteil, mit Network Address Translation (NAT)
ohne weiteres kompatibel zu sein und oft auch durch Proxies und Firewalls
von Unternehmen hindurch den Zugriff zu ermöglichen.
Neben der daraus folgenden Benutzbarkeit auch in fremden Organisationen
(bei IPsec-VPN auf-
grund der üblichen Firewallkonfigurationen in der Regel ausgeschlossen)
ist bei einer Reihe von SSL VPNs die Benutzung vieler Funktionen auch
ohne vorangehende Installation einer Client-
Software möglich.
Für die meisten SSL VPNs gilt, dass eine Sitzung über eine
Anmeldung auf eine Webseite gestar-
tet wird. Auch das Starten von Nicht-Web-Applikationen geschieht in
der Regel über diese Web-
seite (Portal). Dies gilt jedoch nicht für SSL VPNs, die sich von
klassischen VPNs nur durch das Übertragungsprotokoll unterscheiden;
diese verwenden in der Regel einen Client, der installiert werden muss
und über dessen Aufruf auch die Anmeldung am VPN erfolgt.
