M 3.65 Einführung in VPN-Grundbegriffe

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, IT-Sicherheitsbeauftragter

Ein Virtuelles Privates Netz (VPN) bietet einen durch Zugriffskontrolle und Verschlüsselung abgeschotteten sicheren Kommunikationskanal zwischen IT-Systemen. Durch die Auswahl und Einbindung geeigneter kryptographischer Verfahren kann die Integrität und Vertraulichkeit der übertragenen Daten geschützt werden. Ebenso können bei geeigneter Konfiguration die Kommunikationspartner sicher authentisiert werden, auch dann, wenn mehrere Netze oder Rechner über gemietete Leitungen oder öffentliche Netze miteinander verbunden sind.

Ein VPN kann dabei über nahezu beliebige Medien aufgebaut werden. VPNs können sich in der Implementierung, den Funktionen und auch der genutzten Schicht des ISO/OSI-Schichtenmodells unterscheiden. Bereits bei der Planung eines VPNs sollte entschieden werden, wie das VPN später betrieben werden soll und ob ein externer Dienstleister mit dessen Aufbau oder Betrieb beauftragt werden sollte.

Typische VPN-Nutzungsszenarien:

Nachfolgend werden einige Einsatzszenarien, in denen VPNs üblicherweise eingesetzt werden, beschrieben.

VPNs werden häufig auch verwendet, um die Kommunikation einzelner Protokolle und Anwendungen zu schützen. Unterstützen beispielsweise die vorhandenen WLAN-Komponenten selbst keine sichere Verschlüsselung, könnte die gesamte WLAN-Kommunikation mit einem VPN, das unabhängig vom WLAN ist, verschlüsselt übertragen werden. Die Signalisierung und der Medientransport einer VoIP-Verbindung könnten ebenfalls in einem VPN-Tunnel gebündelt und verschlüsselt werden.

VPN-Endpunkte

Bei den VPN-Endpunkten wird grundsätzlich zwischen VPN-Server und VPN-Client unterschieden. Derjenige Endpunkt, zu dem die Verbindung aufgebaut wird, fungiert als VPN-Server. Der initiierende Endpunkt wird als VPN-Client bezeichnet. VPN-Endpunkte lassen sich entweder per Software oder per Hardware realisieren. Bei Mitarbeitern im Außendienst besteht der VPN-Client in der Regel aus einer Software-Applikation auf einem mobilen IT-System. Ein derartiger VPN-Client greift oft sehr stark in das installierte Betriebssystem ein. Die parallele Installation mehrerer unterschiedlicher VPN-Clients auf einem Endgerät sollte daher vermieden werden. Die Vernetzung der einzelnen VPN-Endpunkte untereinander muss anhand der Ergebnisse der Anforderungsanalyse (M 2.415 Durchführung einer VPN-Anforderungsanalyse) durchgeführt werden. Bei den VPN-Endpunkten muss, wie in M 4.321 Sicherer Betrieb eines VPNs beschrieben, für eine sichere Authentisierung gesorgt werden, damit nur Berechtigte sich über das VPN einwählen können. Hierbei ist, je nach Anwendungsgebiet, auch der Einsatz eines Authentisierungsservers, beispielsweise eines RADIUS-Servers, denkbar.

Auswahl der Kommunikationsbeziehungen zwischen den Standorten

Ist geplant, mehrere Standorte zu einem LAN zusammenzufassen, spielt es eine wichtige Rolle, zwischen welchen Standorten eine VPN-Verbindung aufgebaut wird. Folgende Topologien, oder Kombinationen hieraus, eignen sich für die Vernetzung mehrerer Standorte:

Aus diesen Topologien oder Kombinationen hieraus muss eine geeignete ausgewählt werden. Um einen Kompromiss zwischen Ausfallsicherheit und Kosten zu erzielen, hat es sich in der Praxis durchgesetzt, eine Topologie mit mehreren zentralen Netzzugängen, an denen die einzelnen Standorte angeschlossen sind, einzusetzen.

VPN-Typen

VPNs können eingesetzt werden, um entfernte physische Netze zu einem logischen zusammenzufassen oder um einzelne Endgeräte, die sich in unsicheren Netzen befinden, über einen geschützten Kanal an ein zentrales LAN anzubinden. Je nachdem, welche Systeme den Endpunkt der VPN-Verbindung darstellen, wird zwischen Site-to-Site-, End-to-End- und End-to-Site-VPNs unterschieden.

VPN-Varianten

Der Begriff VPN wird oft als Synonym für verschlüsselte Verbindungen verwendet. VPN-Varianten werden häufig auch nach dem eingesetzten VPN-Protokoll benannt, wie beispielsweise TLS/SSL-VPN oder IPSec-VPN. Zur Absicherung des Transportkanals können jedoch auch andere Methoden eingesetzt werden, wie beispielsweise spezielle Funktionen des genutzten Transportprotokolls. Zusätzlich werden zwei grundlegende VPN-Varianten unterschieden: Trusted-VPN und Secure-VPN.

VPNs werden als Trusted-VPN bezeichnet, wenn die VPN-Verbindung zwischen verschiedenen Standorte durch vertrauenswürdige externe VPN-Dienstleister gewährleistet wird. Dabei werden die Daten aus dem vertrauenswürdigen Netz in der Regel unverschlüsselt über einen dedizierten Kommunikationskanal zu einem Gateway-Router des Anbieters geleitet. Die Bildung des VPNs erfolgt durch logische Abschottung des VPN-Datenverkehrs vom übrigen Datenverkehr (z. B. mittels Multiprotocol Label Switching, MPLS). Für mobile Nutzer stellen Dienstleister zudem VPNs über Gateway-Router bereit, die nur über spezielle Einwahl-Knoten erreicht werden können, die vor unberechtigtem Zugriff geschützt sind.

Wird ein externer Dienstleister beauftragt, ein Trusted-VPN zur Verfügung zu stellen, sollte zusätzlich der Baustein B 1.11 Outsourcing berücksichtigt werden.

Für vertrauliche Daten sind Trusted-VPNs ohne zusätzliche Verschlüsselung auf der Anwendungsschicht nicht geeignet, da die Sicherheit solcher Verbindungen ausschließlich in Händen des VPN-Dienstleisters liegt. So bietet ein Trusted-VPN zum Beispiel keinen Schutz gegen Innentäter des Anbieters. Für die vertrauliche Datenkommunikation empfiehlt sich daher ein Secure-VPN.

Die Abhängigkeit von Dritten in Bezug auf Vertraulichkeit kann vermieden werden, wenn die Kommunikation an den Endpunkten der Verbindung durch Verschlüsselung geschützt wird, die im eigenen Verantwortungsbereich des VPN-Nutzers liegt. Diese Lösung wird auch als Secure-VPN bezeichnet.

Werden für die Realisierung des VPNs dedizierte Carrier-Leitungen eingesetzt, handelt es sich um eine Sonderform eines Trusted-VPNs. Auch in diesem Fall müssen vertrauliche Daten vor der Übertragung durch Verschlüsselung geschützt werden, die im eigenen Verantwortungsbereich des VPN-Nutzers liegt. Die Verschlüsselung kann an den VPN-Endpunkten auf Transportebene (Secure-VPN) oder auf Anwendungsebene erfolgen.

VPN-Geräte

Grundsätzlich muss eine Entscheidung darüber getroffen werden, ob das gewählte VPN-Produkt ein dediziertes VPN-Gerät, ein Kombi-Gerät oder eine software-basierte VPN-Lösung auf Standard-IT-Systemen (z. B. Linux mit IPSec) sein soll:

Zusammenfassend werden in der nachfolgenden Tabelle die Vor- und Nachteile der unterschiedlichen Aufbauformen tabellarisch gegenübergestellt. Ein (x) kennzeichnet hierbei die positive Erfüllung, ein (-) steht für das Nicht-Erfüllen eines Kriteriums.

Eigenschaft Dedizierte VPN-Gateways Kombi-Geräte VPNs auf Basis von Standard IT-Systemen
(Selbst-) Schutz der VPN-Komponente - x -
hohe Performance x - x
günstige Anschaffungskosten - - x
geringer Aufwand bis zur Inbetriebnahme x x -
einfache Administration x x -
leichte Erweiterbarkeit - - x
Know-How-Verteilung x x -
Support aus einer Hand x x -

Tabelle 1: Vergleich der VPN-Aufbauformen

Die Tabelleneinträge sind als Erfahrungswerte aus der Praxis zu verstehen und müssen im Einzelfall anhand der tatsächlichen Produkt-Eigenschaften verifiziert werden.