VPN:

Virtual Private Network

Prsentiert von
Abouchdak und Ben Guirat

DEFINITION

Was ist eigentlich ein Virtual

Private Network (VPN)?

Definition:
Was ist eigentlich ein VPN?
Laut dem deutschen Duden:
Virtual - dem Wesen nach geltend,
mglich, scheinbar
Private - nicht ffentlich, persnlich,
vertraulich
Network - Datenkommunikationssystem
fr bermittlung und bertragung von
Signalen

Definition:
Was ist eigentlich ein VPN?
bliche Bezeichnung:
Virtual

Virtuelles

Private

Privates

Network

- Netz

Definition:
Was ist eigentlich ein VPN?
Der

Begriff VPN ist in der Fachpresse

weit verbreitet.
Es existiert eine Vielzahl von
unterschiedlichen Definitionen.

Definition:
Was ist eigentlich ein VPN?
Mgliche Definition:
Ein Virtual Private Network ist ein Netzwerk,
das aus mindestens zwei Teilnetzwerken
(bzw. Teilnehmern) besteht, die ber
ffentliche Leitungen (z.B. dem Internet)
miteinander verbunden sind und bei dem die
Vertraulichkeit, Integritt und Authentizitt der
Daten bei der Datenkommunikation
gewhrleistet werden soll.

VPN Anforderungen

Welche Anforderungen
werden an das VPN
gestellt?

VPN Anforderungen:
Durch Einsatz bestimmter VPN-Technologien
sollen folgende Anforderungen erfllt werden:
Sicherheit
Performance
Migrationsfhigkeit und Skalierbarkeit
Integration in existierende Netze
Verfgbarkeit

VPN Anforderungen:
Sicherheit

Zentrale Bedeutung hat Sicherheit

weil: Kommunikation durch ffentlicher
Netwerke bedeutet die Mglichkeit fr den
Angreifer, den Datenstrom abzuhren und
sogar zu verndern
deshalb: Einsatz der Mechanismen die den
Datentransport sicher machen

VPN Anforderungen:
Performance

Einsatz aufwendiger
Verschlsselungsmechanismen bei
breitbandiger Strecken in Echtzeit zur
Gewhrleistung der Sicherheit kann
problematisch sein und stellt hohe
Anforderungen an die Hardware

VPN Anforderungen:

Migrationsfhigkeit und Skalierbarkeit

Einsatz der offenen Standards zur Meidung
der Bindung an einen einzigen Hersteller
freie Produktwahl fr eventuelle
Erweiterungen des VPNs
VPN-Lsung und deren einzelner
Komponenten sollen zu spteren Zeitpunkten
erweiterbar sein (Updates, usw.)

VPN Anforderungen:

Integration in existierende Netze

VPN-Lsung muss sich in die vorhandene

Netzwerk-Infrastruktur integrieren lassen

Einfache Eingliederung in das

Sicherheitskonzept des vorhandenen
Netzwerkes um somit die Authentifizierung und
Verschlsselung zu gewhrleisten

VPN Anforderungen:
Verfgbarkeit

Um keine Nachteile im Datenverkehr zu

erlangen, sollte die Verfgbarkeit eines VPNs
mit der einer herkmmlichen und zu
ersetzenden WAN-Infrastruktur gleichgesetzt
werden knnen.

Sicherheitsproblematik

Welche Bedrohungen gibt es?

Welche Sicherheit garantiert
VPN?

Sicherheitsproblematik:
Bedrohungen

Abhren von Daten

Datengewinnung durch das Belauschen des
Netzwerks (sniffen)
Der Angreifer kann so unverschlsselte Daten
im Klartext lesen und somit Passwrter oder
Dokumente herausfiltern und rekonstruieren.
physikalischer Zugang zum Netzwerk
notwendig (WLAN, Hub.).

Sicherheitsproblematik:
Bedrohungen

Datenmanipulation
Angreifer ist gewillt, Daten des
Netzwerkverkehrs zu lschen, zu verndern
oder falsche Informationen in den Verkehr
einzuspielen.

Sicherheitsproblematik:
Bedrohungen

Datenmanipulation
Einige dieser Bedrohungen fr
Datenmanipulation sind:
IP-Spoofing
Man-in-the-Middle-Angriff
Session Hijacking
Missbrauch des Source-Routing
Missbrauch der Routing-Protokolle

Sicherheitsproblematik:
Bedrohungen

Verhindern von Diensten

auch als "Denial of Service" ( DoS ) bezeichnet.
Strung und das Verhindern des
Informationsflusses im ausgewhlten System.
(mittels berlastung des Systems oder ber
Abtrennung einzelner Netzwerkkomponenten).
Systeme knnen bernommen oder sogar zum
Absturz gebracht werden.

Sicherheitsproblematik:
VPN-Sicherheit
Funktionen
Datenvertraulichkeit
Datenintegritt
Schlsselmanagement
Paket-Authentifizierung
Benutzer-Authentifizierung
Benutzer-Authorisierung

Sicherheitsproblematik:
VPN-Sicherheit

Funktionen > Datenvertraulichkeit

Unbefugten wird der Zugang zu den
versendeten Daten verwehrt wird
Einsatz der Verschlsselung der zu
sendenden Datenpakete (Verfahren wie: DES
oder 3DES)

Sicherheitsproblematik:
VPN-Sicherheit

Funktionen > Datenintegritt

Sichergestellung, dass keine Vernderungen
der Daten auf deren Transportwegen erfolgen
Die Datenintegritt und die PaketAuthentifizierung werden oftmals mittels ein
und dem selben Verfahren realisiert.

Sicherheitsproblematik:
VPN-Sicherheit

Funktionen > Schlsselmanagement

Prfung und rechtzeitige Erneuerung der
Schlssel
Die Schlssel fr die Datenverschlsselung
mssen oft erzeugt werden

Sicherheitsproblematik:
VPN-Sicherheit

Funktionen > Paket-Authentifizierung

Jedes einzeln eintreffende Datenpaket muss
authentifiziert werden zur Sicherstellung, dass:
ankommendes Datenpaket unverflscht vom
authentischen Absender bersendet wurde
Einsatz spezielle symmetrische
Verschlsselungsverfahren, so genannte
Keyed-Hash-Algorithmen (MD5 SHA)

Sicherheitsproblematik:
VPN-Sicherheit

Funktionen > Benutzerauthentifizierung

Identittsfeststellung mittels Authentifizierung
der Kommunikationspartner.
Einsatz von Kern-Mechanismen in VPNs:
- Authentifizierung (Authentication)
- Verschlsselung (Encryption)

Sicherheitsproblematik:
VPN-Sicherheit

Authentifizierung
Paketauthentifizierung
IPSec ( durch AH und ESP )
Email-Verschlsselungsverfahren mittels
Einweg-Hash-Funktionen ( MD5, SHA,... )
User-Authentifizierung
Passwort-Verfahren wie PAP und CHAP

Sicherheitsproblematik:
VPN-Sicherheit

Verschlsselung
Wegen ihrer hohen Geschwindigkeit werden in
der Praxis fr die Verschlsselungen
symmetrische Verschlsselungsverfahren
eingesetzt, z.B.:
IPSec (kommt ESP zum Einsatz, realisiert
durch ( DES, 3DES, IDEA, Cast, Blowfish )
Das PPTP ( Layer-2 ) definiert durch MPPE

VPN Typen

Welche VPN Typen gibt es?

Vier Kategorien:

VPN Typen

Remote - Access VPN

Intranet VPN
Branch-Office VPN
Extranet VPN

Remote - Access VPN

auch als End-to-Site oder Host-to-Network
VPN
Typen:
bezeichnet

Kategorien
Bei dieser Topologie wird gewhrleistet, dass sich
Mitarbeiter, die zuhause arbeiten ( Home-Office ) oder
als Auendienstmitarbeiter ttig sind, ber einen
Internet Service Provider (ISP) in das
Firmennetzwerk einwhlen knnen. Somit hat der
Remote-Access User von seinem lokalen System
Zugriff auf das Netzwerk.

Intranet VPN
Einsatz des VPN auch in einem lokalen
VPN Typen:
"ffentlichen" Netz Intranet
Kategorien
Vermeidung der Betriebsspionage
Schutz hochempfindlicher Daten und ganzer
Teilnetze vor unautorisiertem Zugriff (VLAN).

Branch-Office VPN
auch als Network-to-Network oder
VPN Typen:
Site-to-Site bezeichnet
Kategorien
Verbindung zwei Intranets (firmenintern, d.h.
Anbindung einzelner Firmenstandorte.)
Zur Kostenreduzierung werden die einzelnen
Teilnetze eines Unternehmens mittels VPNGateways ber das Internet verbunden.

Extranet VPN
hnelt der Branch-Office VPN
VPN
Typen:
Der Unterschied liegt im Teilnehmerumfeld:
Kategorien
externe Teilnehmer ( Teilnetze ) sind
Bestandteile dieser Topologie.
Gewhrung ausgewhlten Geschftspartnern,
Zulieferern oder Kunden Zugriffs auf bestimmte
Bereiche des unternehmensinternen
Netzwerkes.

VPN - Technologie

Welche Technologie kommt

zum Einsatz?

Tunneling
Sicherheits-Protokolle

VPN Technologie

Ist ein Konzept, mit dem Beliebige Datenpakete

ber ein ( unsicheres ) Transitnetz im
VPN
Technologie:
Huckepackverfahren
sicher weitergeleitet
Tunneling
werden knnen.

Ist ein Konzept, mit dem Beliebige Datenpakete

ber ein ( unsicheres ) Transitnetz im
VPN
Technologie:
Huckepackverfahren
sicher weitergeleitet
Tunneling
werden knnen.
Modelle:
Provider-Enterprise-Modell
Ende-zu-Ende-Modell

Modelle > Provider-Enterprise-Modell

sowohl die Service Provider als auch
VPN Technologie:
Endkunden in das Tunneling sind involviert
Tunneling
Das primre Einsatzgebiet sind RemoteAccess-VPNs aber auch in Branch-OfficeVPNs.

Modelle > Ende-zu-Ende-Modell

Der Tunnel wird hier ausschlielich vom
VPN Technologie:
Kunden aufgebaut
Tunneling
Der Remote-Access-Client whlt sich in POPs
der Service Provider ein und eine spezielle
VPN-Clientsoftware im Endgert des Kunden
baut dann den Tunnel zum gewnschten VPNGateway im Firmennetzwerk auf.

bersicht
Sicherheitsansprche an zu bersendende
VPN Technologie:
Daten immer weiter angewachsen.
Sicherheits-Protokolle
Da das TCP/IP-Protokoll keine Sicherheit im
internetbezogenen Datenverkehr bietet, wurde
das OSI Referenzmodell um weitere
Sicherheitsprotokolle erweitert.

Typen:

Layer
2 Technik
VPN
Technologie:
Sicherheits-Protokolle

Layer 3 Technik
IPSec
Internet Key Exchange (IKE)

VPN in der Praxis

Welche VPN-Lsungen
werden angeboten?

Fr die Implementierung der VPN stehen

verschiedene
Varianten
zur
Verfgung
:
VPN in der Praxis
Hardware Based VPN
Router Based VPN
Software Based VPN
Firewall Based VPN

Hardware Based VPN

hohe Bandbreiten
VPN in der Praxis
Komponenten: Router mit ganz speziell fr
Varianten
die Verschlsselung optimierten Prozessoren
und Hardware
Anwendungsbereich der Hardwarelsung
liegt eher im Network-to-Network Bereich

Router Based VPN

Router sind in vielen Unternehmen die
VPN in der Praxis
Schnittstelle zum Internet.
Varianten
Viele Hersteller von Routern haben deshalb
meist schon VPN-Funktionen in das
Betriebssystem implementiert.
Die Software und das Betriebssystem
Routers sind vom selben Hersteller.

Software Based VPN

Diese Lsungen arbeiten zustzlich zu anderen
VPN
in der Praxis
Diensten auf dafr bereitgestellten Servern
Varianten
Softwarelsung als Untersttzung fr die
gngigen Standards
Die Sicherheit und Qualitt einer solchen
Software hngt oft vom darunter liegenden
Betriebssystem ab.

Firewall Based VPN

Viele Unternehmen leiten ihren gesamten
VPN
in der Praxis
externen Datenverkehr zu einer Firewall, mit der
Varianten
diese VPN-Lsung demzufolge arbeitet.
Die Konfiguration erfolgt mittels dem
Management der Firewall ( weitere VPNFunktionen installiert ).
Die bestehende Netzwerkstruktur bleibt in der
Regel unverndert.

VPN Fazit und Ausblick

Wie sieht die Zukunft von VPN

aus?

im Laufe der letzten Jahre die Anzahl von

VPNs hat sich enorm erhht.
VPN Fazit und Ausblick
Die Grnde:
o Unternehmen arbeiten global mit vielen
Auendienstmitarbeitern/Tochterfirmen/Liefera
nten zusammen
o Sicherheit der Datenkommunikation.
o Kosteneffektivitt

Die Zukunft von Virtual Private Networks

sieht sehr gut aus.
VPN
Fazit und Ausblick
Wirtschafts-Institute prognostizieren fr
VPNs groe Wachstumsraten in der Zukunft

VPN Fazit und Ausblick

Firmen und VPN

Future of VPN: Companies with

VPN

Vielen Dank fr Ihre

Aufmerksamkeit!