Dieses Dokument erklärt Grundlagen zu Virtual Private Networks (VPN), die Möglichkeiten zum Aufbau eines VPN sowie die verfügbaren Sicherheitsverfahren.

  • Einleitung
  • RAS - Remote Access Service
  • PPTP - Point-to-Point Tunneling Protocol
  • VPN - Virtual Privat Network
  • OSI 7 Schichten Modell
  • DOD 4 Schichten Modell (Department of Defense)
  • IPSec - Internet Protocol Security
  • Öffentliche und Private Schlüssel
  • Router und Routing

    Einleitung

    VPN - Virtual Private Network. Ein Netzwerk, welches virtuell, aber doch physikalisch ist. Was Sie hier erwartet ist das gesamt Spektrum dieser Materie.

    Vorab haben wir aber ein paar Dinge zu klären:

    Dieses Skript setzt voraus, dass Sie gute Kenntnisse im Umgang mit TCP/IP haben. Themen wie Klassen, private- und öffentliche Netze, Netz- und Host-ID, Subnet Mask und Gateway sieht dieses Skript als gegeben an.

    Ansätze und Kenntnisse von Routing und Routern sollten auch gegeben sein.

    Die Thematik VPN ist selbst schon sehr umfangreich, so dass wir uns hier nur auf das wesentliche Thema beschränken.

    VPN - Ein oder mehrere lokale Netze mit Hilfe eines öffentlichen Netzes, dem Internet, zu einem weltweiten Firmennetz verbunden.

    Kostengünstig, einfach und mit sehr hohem Sicherheitsanspruch ist die Devise.

    Im Folgenden lernen Sie die Grundzüge und Vorreiter von VPN kennen.

    RAS - Remote Access Service

    Der Urvater der mobilen Datenkommunikation ist RAS. Mithilfe von RAS ist es möglich, sich über eine Einwählleitung in ein Firmennetzwerk ein zu wählen. Sämtliche bekannten Betriebssysteme unterstützen RAS. Hierbei ist es wichtig, sein Augenmerk auf das Wort Einwahl zu legen.

    Einem bestehenden Firmennetzwerk wird ein RAS-Server hinzugefügt. Dieser stellt die nötigen Einwahlkomponenten zur Verfügung. Wählt ein Außenstehender mittels Telefonleitung und Modem diesen RAS-Server an und authentifiziert sich mit Benutzername und Kennwort, kann er aus der Ferne "transparent" auf das Firmennetzwerk zugreifen. Transparent bedeutet, dass eine RAS Verbindung nichts von einer normalen, lokalen Netzwerkverbindung unterscheidet. Na ja, nicht ganz!!! Der Umgang und die Bedienung der Anwendungen ist die Selbe, aber die Geschwindigkeit bleibt hier ganz gewaltig auf der Strecke. Eine permanente Arbeitsweise sollte RAS demnach also nicht sein.

    Bedenken Sie, über RAS können max. 56kBit/s Datentransfer bei analoger Leitung bzw. 64/128kBit/s (64 = ein Kanal, 128 = Kanalbündelung) bei ISDN erreicht werden.

    Weiterhin ist zu überlegen, ob eine RAS Lösung auf Dauer nicht zu teuer wird. Wo Sie sich auch befinden auf dem Erdball. Sie bezahlen die vollen Tarife der Telefonleitungsbetreiber. Arbeiten viele Mitarbeiter über RAS, brav über die Erde verteilt, ist dies sehr kostenintensiv.

    Im Zuge der Regulierung werden von den Carriern und ISPs auch neue Dienste angeboten wie z. B. eine einheitliche Zugangsnummer die bundesweit zum Ortstarif verfügbar ist.
    Diese Lösung ist auch nur dann in Bezug auf die Kosten attraktiv, wenn sich dieses Modell auf Deutschland begrenzt und soll auch hier nur als weitere Option genannt sein.

    Allerdings soll RAS hier nicht nur als negativ dargestellt werden.

    Vorteile von RAS:

    • Die Einrichtung ist sehr kostengünstig.
    • Die Konfiguration ist sehr schnell und einfach zu realisieren.
    • Für "ab und zu" - Nutzung sehr effektiv.
    • Die Sicherheit ist eigentlich nur zweitrangig zu betrachten.

    Warum nur zweitrangig?

    Da es sich bei RAS nicht um eine permanente sondern nur um eine zeitweise Kommunikation handelt, braucht man sich nur über zwei Dinge Gedanken machen:

    1. Wie schütze ich mein Netz vor unerlaubter Einwahl?
    2. Wie schütze ich die RAS Kommunikation vor "Lauscher"?

    Diese beiden Punkte lassen sich relativ einfach schützen. Eine unerlaubte Einwahl wird schon bei der Telefonnummer vermieden. Geben Sie nur notwendigen Mitarbeitern die Rufnummer zum RAS-Server. Verwenden Sie zur Authentifizierung der Benutzer schwer nachvollziehbare Benutzernamen und Kennwörter. Definitionen darüber finden Sie zahlreich im Internet. Als zusätzlichen Schutz können Sie nur bestimmten Benutzern zu bestimmten Zeiten mit der richtigen MAC (Media Access Control) Adresse die Einwahl gewähren.

    Während der Kommunikation haben Sie diverse Möglichkeiten von Algorithmen, die Daten zu verschlüsseln.

    Für die meisten Firmen ist das Sicherheit genug.

    Beispiel eines RAS Aufbaus:

    Beispiel eines RAS Aufbaus

    PPTP - Point-to-Point Tunneling Protocol

    Völlig anders verhält sich hier PPTP. Bei PPTP wird auf eine Einwahl verzichtet. Was neue Vor- aber auch Nachteile mitbringt. PPTP bedient sich der Tunneltechnologie durch ein öffentliches Netz. Kommunikation durch ein öffentliches Netz, z.B. dem Internet bedeutet aber Sicherheit an höchster Stelle.
    Man kann behaupten, was bei RAS die Vorteile sind, ist bei PPTP von Nachteil. Genauso umgekehrt.

    Beispiel einer PPTP Verbindung:

    Beispiel einer PPTP Verbindung

    Die Darstellung zeigt zwei Netzwerke, welche Verbindung zum Internet haben.

    Über die jeweiligen Gateway-Adressen und dem verwendeten PPTP-Protokoll können sich die Gegenstationen finden.

    Da PPTP der erste Ansatz war, um über das Internet eine Verbindung zu weiteren Netzwerken aufzubauen, stellt diese Art heute eher eine unzuverlässige Kommunikation bezüglich der Sicherheit und Erweiterbarkeit dar.

    Eine PPTP Verbindung kann nur zwei Standorte miteinander verbinden (Point-to-Point). Verbindungen zwischen mehreren Filialen und/oder Außenstellen sind nicht möglich. Des weiteren ist die Sicherheit auch nicht auf hohem Niveau.

    VPN - Virtual Privat Network

    Die beiden vorangegangenen Themen sollten Ihnen zeigen, welche Möglichkeiten Sie neben der modernen Art der mobilen Kommunikation - VPN - haben.

    Nun aber zum eigentlichen Kapitel. VPN ist eigentlich eine weiterentwickelte Art von PPTP. Mit allen Vorteilen die PPTP nicht zu bieten hat.

    Sind Sie auf mobile Datenkommunikation angewiesen ist VPN die beste und sicherste Lösung.

    VPN - Virtual Private Network soll ein möglichst transparentes, mit höchster Sicherheit versehenes Übertragungsmedium sein.

    Was ist VPN? Eine Frage die eigentlich sehr schwer und doch sehr einfach erklärt werden kann. VPN ist kein Gerät zum anfassen. VPN ist auch kein Übertragungsmedium.

    VPN ist ein Schmarotzer. Es bedient sich vorhandener Technologien, um in der Gesamtheit einzelner Komponenten arbeiten zu können. Alleine der Name VPN weist bereits darauf hin:

    VPN

    Das Rezept von VPN:

    Bestehende(s) Netzwerk(e) + Sicherheitsmechanismen (z.B. IPSec) = VPN

    Die Mischung dieser beiden Komponenten macht das VPN aus.

    VPN

    Frech nach dem Motto, wieso neu erzeugen wenn schon vorhanden, ist diese Zeichnung nur eine Kopie von weiter oben.

    Das VPN baut auf die PPTP Technologie auf. Allerdings müssen hier die Sicherheitsaspekte betrachtet werden.

    OSI 7 Schichten Modell

    Wie so oft, muss auch der Netzwerkverkehr bestimmten Gesetzlichkeiten entsprechen, damit man eine standardisierte Sprache mit den unterschiedlichsten Geräten in einem Netzwerk spricht. Dies regelt das OSI Schichten Modell.

    Schicht 7 - Anwendungsschicht
    Schicht 6 - Darstellungsschicht
    Schicht 5 - Kommunikationssteuerungsschicht
    Schicht 4 - Transportschicht
    Schicht 3 - Vermittlungsschicht
    Schicht 2 - Sicherungsschicht
    Schicht 1 - Bitübertragungsschicht

    Schicht 7 - Anwendungsschicht:
    Sie stellt den Zugang bzw. Abgang zwischen den Anwendungen und den Netzwerkdiensten her.
    Schicht 6 - Darstellungsschicht:
    Sie bestimmt das Datenformat, wie der Datenaustausch im Netzwerk stattfinden soll. Von der Anwendungsschicht kommende Daten werden in eine für das Netzwerk verständliche Sprache umgewandelt bzw. von der Kommunikationssteuerungsschicht kommend in die für die Anwendungsschicht verständliche Sprache umgewandelt.
    Schicht 5 - Kommunikationssteuerungsschicht:
    Sie regelt das Öffnen und Schließen einer Netzwerksitzung. Weiterhin bestimmt Sie, wie lange eine Netzwerksitzung zu einem oder mehrerer Netzwerkgeräten geöffnet bleibt.
    Schicht 4 - Transportschicht:
    Der "Zerhäxsler" unter den Schichten. Sie packt die Daten in kleinere Datenpakete, sorgt für die richtige Reihenfolgenbeschriftung der Pakete und reagiert auf Empfangsbestätigungen. Wird von der Transportschicht des empfangenen Rechners keine Empfangsbestätigung ausgesendet, geht die Transportschicht des sendenden Rechners davon aus, dass der Empfänger das Paket nicht erhalten hat und sendet es wieder.
    Schicht 3 - Vermittlungsschicht:
    Sie versieht die Pakete mit Absender- und Empfängeradressen und entscheidet die Priorität eines Paketes. Sie steuert auch das Absenden und Empfangen bei Datenstau.
    Schicht 2 - Sicherungsschicht:
    Der "Transporter" unter den Schichten. Sie packt die von der Vermittlungsschicht kommenden Datenpakete in Datenrahmen, sorgt dafür, dass die richtigen Pakete auch in die richtigen Datenrahmen kommen und sendet diese weiter an die Bitübertragungsschicht.
    Schicht 1 - Bitübertragungsschicht:
    Sie wandelt die erhaltenen Daten in elektronische Impulse (1 bzw. 0) und sendet Sie über die Netzwerkleitung. Die Bitübertragungsschicht ist also der Kommunikator zwischen den Paketen und der Netzwerkleitung.

    Die Kommunikation durch das OSI-Schichtenmodell

    Die Kommunikation durch das OSI-Schichtenmodell

    Ein Netzwerkstrom passiert immer nach der Regel des OSI-Schichtenmodells. Es durchläuft immer die Reihenfolge Schicht 7 … Schicht 1 (senden) oder Schicht 1 … Schicht 7 (empfangen).

    Jede Schicht kommuniziert ausschließlich mit seiner unmittelbar darüber- oder darunter liegenden Schicht. Einzig die Bitübertragungsschicht kann über das Netzwerkkabel mit der anderen Bitübertragungsschicht kommunizieren.

    Die virtuelle Verbindung bedeutet, dass beispielsweise die Vermittlungsschicht auf Gerät A nicht direkt mit der Vermittlungsschicht auf Gerät B kommunizieren kann, sondern nur über den Umweg - Gerät A Vermittlungsschicht ? Sicherungsschicht → Bitübertragungsschicht → NETZWERKLEITUNG → Gerät B Bitübertragungsschicht → Sicherungsschicht → Vermittlungsschicht.

    DOD 4 Schichten Modell (Department of Defense)

    Jede nur erdenkliche Netzwerkübertragung muss sich an die Gesetzlichkeiten des OSI 7 Schichten Modells halten. Das DOD 4 Schichten Modell tut dies auch. Da jedoch die Kommunikation über DOD oder eher bekannt als TCP/IP viele Funktionen zusammengefasst behandelt, spricht man hier vom 4 Schichten Modell.

    4. Schicht - Anwendungskommunikationsschicht
    3. Schicht - Protokollschicht
    2. Schicht - Sicherungsschicht
    1. Schicht - Bitübertragungsschicht

    Schicht 4 - Anwendungskommunikationsschicht:
    Zum Vergleich beim OSI Schichtenmodell tümmeln sich hier die OSI Schichten 7, 6 und 5.
    Dienste in der DOD Schicht 4 sind zum Beispiel: FTP, TELNET, HTTP
    Schicht 3 - Protokollschicht:
    Diese deckt die OSI Schichten 4 und 3 ab.
    Das Protokoll, welches hier arbeitet heißt TCP/IP
    Schicht 2 - Sicherungsschicht:
    Ist gleichzusetzen mit der OSI Schicht 2.
    Grob erklärt ist das der Netzwerkkartentreiber.
    Schicht 1 - Bitübertragungsschicht:
    Ist gleichzusetzen mit der OSI Schicht 1.
    Diese Schicht bezeichnet die Netzwerkkarte.

    Nun bekommt das Ganze doch langsam ein Bild:

    Dienst (z.B. HTTP) → TCP/IP → Netzwerkkartentreiber → Netzwerkkarte

    Der Weg, welcher doch eigentlich einen logischen Sinn macht ist beim OSI bzw. DOD Modell nur detaillierter aufgezeigt.

    Sie werden sich bestimmt fragen, warum wir hier relativ tief in die theoretische Schiene abtauchen. Der Grund ist die Sicherheit bei VPN.

    IPSec - Internet Protocol Security

    Der im Moment höchste Stand der Sicherheit liegt in IPSec. VPN beruht auf dieser Securitymethode.

    Die Begründung, warum IPSec so ziemlich alle bisher dagewesene Sicherheitsmechanismen in den Schatten stellt ist, dass IPSec seine Verschlüsselung direkt im Schichtenmodell, also in den einzelnen Paketen vornimmt und nicht etwa wie bei den meisten alten Verfahren vor dem Schichtenmodell, also im Datenstrom.

    Gewöhnlicher Datenstrom ohne Verschlüsselung:

    Gewöhnlicher Datenstrom ohne Verschlüsselung

    Diese Zeichnung soll verdeutlichen, wie die Kommunikation im Netzwerk stattfindet. Der Datenstrom "Sehr geehrte Damen und Herren…" wird in kleine, für das Netzwerk verständliche Pakete aufgeteilt. Jedes Paket wird mit Absender-, Zieladresse, Priorität, Paketreihenfolge, Prüfsumme und Rahmentyp Werten versehen und auf Reisen geschickt. Das Ziel wertet diese Pakete mit sämtlichen Hintergrundinformationen wieder aus, bis der Datenstrom als Klartext beim Ziel vorherrscht.

    Datenstrom mit Verschlüsselung:

    Datenstrom mit Verschlüsselung

    Hier erkennt man, dass der Datenstrom, noch bevor er das OSI/DOD Modell durchläuft, verschlüsselt wird. Dem OSI/DOD Modell ist es vollkommen egal, was es erhält. Es arbeitet stur nach seinem Prinzip: Zerstückeln → Beschriften → Adressieren → Abschicken.

    Da die Verschlüsselung noch vor dem Durchlaufen des OSI/DOD Modells passiert, werden nur die Dateninhalte, nicht jedoch die Hintergrundinformationen des OSI/DOD Modells verschlüsselt.

    Die empfangende Station muss natürlich den entsprechenden Entschlüsselungsalgorithmus kennen, um mit den Daten etwas anfangen zu können.

    Datenstrom mit IPSec Verschlüsselung:

    Etwas komplizierter wird es bei der Verschlüsselung mit IPSec. Hier müssen wir uns die Verschlüsselung direkt im OSI/DOD Modell betrachten:

    Datenstrom mit IPSec Verschlüsselung

    Die Zeichnung zeigt, dass die Verschlüsselung über IPSec direkt im OSI/DOD Modell geschieht. Das bringt natürlich gewaltige Sicherheitsvorteile mit sich.

    Zunächst wird bei IPSec (DOD Schicht 3 bzw. OSI Schicht 4/3) der Dateninhalt verschlüsselt. Nicht aber wie bei der reinen Verschlüsselung der gesamte Datenstrom einmal, sondern jeder Dateninhalt in jedem Datenpaket für sich!!!! Das potenziert die Möglichkeiten schon mal gewaltig. Zusätzlich wird die Paketreihenfolge, Absenderadresse, Priorität, Prüfsumme, Dienstinformationen, Sitzungsdauer und Datenformat mit verschlüsselt. Somit ist nur noch die Zieladresse unverschlüsselt.

    Das eigentliche Datenpaket kann nur noch von der Gegenstelle mit dem richtigen Entschlüssel bearbeitet werden. Ein Dritter, welcher solch ein Paket erhält, kann damit gar nichts anfangen. Er stellt höchstens die Zieladresse des Pakets fest.

    Gegendarstellung gewöhnliche Verschlüsselung und IPSec:

    Bei der gewöhnlichen Verschlüsselung wird nur der Dateninhalt verschlüsselt. Alle Hintergrundinformationen, woher das Paket kommt, wo es hin soll und was das OSI/DOD Modell eben noch so alles anhängt bleibt unverschlüsselt.

    Sollte bei der gewollten Gegenstelle der Schlüssel nicht passen, wird das Paket aber trotzdem zugestellt, mit Sicherheit wird sogar eine erfolgreiche Empfangsbestätigung ausgestellt. Das Ziel kann mit den empfangenen Daten in seiner Anwendung nur nichts anfangen.

    Eine Kontrolle, ob das Paket sein Ziel erreicht lässt sich aber alle mal feststellen.

    Dagegen bei IPSec, wo ja so gut wie alle Informationen, einschließlich der OSI/DOD Informationen verschlüsselt werden, kommt das Paket nicht einmal an. Es wird zwar sein Ziel, durch die unverschlüsselte Zieladresse erreichen. Aber spätestens beim Versuch in der DOD Schicht 3 bzw. OSI Schicht 4/3 mit falschem IPSec Schlüssel, wird das empfangene Paket verworfen.

    Es soll damit ausgedrückt werden, dass ein IPSec verschlüsseltes Datenpaket gar nicht ausgewertet werden kann, wenn der Zielschlüssel nicht korrekt stimmt.

    DAS IST VERSCHLÜSSELUNG MIT HÖCHSTEM STANDARD!!!!!

    Öffentliche und Private Schlüssel

    Bisher war immer die Rede davon, dass etwas verschlüsselt wird. Was ist denn nun das eigentliche Herzstück der Verschlüsselung?

    Der Schlüssel selbst!!!! Dazu müssen wir uns die Methoden und Möglichkeiten eines Schlüssels mal betrachten.

    Zunächst betrachten wir uns die verschiedenen Lösungsansätze, um überhaupt eine Verschlüsselung einleiten zu können.

    Die Rede ist von 64Bit, 128Bit, DES, 3DES usw. Diese Punkte bezeichnen, welche Möglichkeiten ein Schlüssel besitzen kann.

    Ein Beispiel:

    Wird eine Verschlüsselung mit 64Bit eingestellt bedeutet das, dass man ein Schlüsselwort mit 8 Zeichen eingeben kann. Dieses Schlüsselwort kann in der Regel frei gewählt werden und beachtet Groß- und Kleinschreibung sowie Sonderzeichen.

    Es werden also Datenströme oder -pakete mit einem Schlüsselwort, abhängig der Stärke der Verschlüsselung, verschlüsselt. Zum entschlüsseln der Daten benötigt man auf der Gegenseite wieder den Schlüssel.

    Bezeichnungen wie WEP-Verschlüsselung, DES bzw. 3DES-Verschlüsselung usw. bezeichnen lediglich nur die Vorgehensweise der Verschlüsselungs-/Entschlüsselungsalgorithmen der einzelnen Erfinder dieser Verschlüsselungskonzepte. Es soll in diesem Skript nicht jedes Verschlüsselungsverfahren im Detail erklärt werden, da dies den Rahmen sprengen würde.

    Eine bekannte und sehr effektivvolle Art der Verschlüsselung ist 3DES. Die Verschlüsselung basiert auf 168Bit mit einem sehr komplexen Algorithmus, welcher nur unter äußerst schwierigen Bedingungen "geknackt" werden kann.

    Die Komponenten, welche untereinander gesichert kommunizieren wollen, müssen also alle den gleichen Verschlüsselungsalgorithmus besitzen.

    Das aushandeln der Schlüssel kann nun unter mehreren unterschiedlichen Bedingungen erfolgen:

    Die logischste Variante - Gemeinsame, private Schlüssel:

    Gemeinsame, private Schlüssel

    Der Sender verschlüsselt seine Daten mit dem Schlüsselwort "aBcDeF1234". Die Daten auf der Reise sind verschlüsselt. Der Schlüssel wird dabei nicht mit versendet.

    Der Empfänger kennt das Schlüsselwort und entschlüsselt die Daten damit.

    Ein Außenstehender Dritter, welcher solch ein verschlüsseltes Paket auffängt kann damit reichlich wenig anfangen. Es gibt allerdings Möglichkeiten, verschlüsselte Pakete zu "knacken". Voraussetzung dafür ist allerdings genügend Rechenpower und das nötige Know how. Daten mit 3DES verschlüsselt sind relativ kompliziert zu entschlüsseln.

    Um das Ganze noch ein wenig zu komplizieren, gibt es noch die Möglichkeit über Zertifikatsstellen mit öffentlichen und privaten Schlüsseln zu arbeiten:

    Öffentliche und private Schlüssel:
    Anfordern eines Schlüssels über Zertifikatsstellen.
    (Nach diesem Prinzip arbeiten z.B. Banken mit PIN und TAN’s)

    Öffentliche und private Schlüssel

    Es existiert ein öffentlicher Schlüssel, welcher jedem bekannt sein darf. Der Zertifikatsserver stellt die eigentlichen, privaten Schlüssel aus. Da diese Schlüssel aus einem Schlüssel generiert sind, sind die privaten Schlüssel, wenn auch scheinbar völlig unterschiedlich, kompatibel. Wahlweise kann sogar entschieden werden, dass der Zertifikatsserver Schlüssel ausstellt, die mit allen anderen Schlüsseln kompatibel sind oder nur mit manchen. Wird ein privater Schlüssel durch eine unerwünschte Person bekannt, kann der Zertifikatsserver auch Schlüssel wieder für ungültig erklären. Eine Selbstgenerierung eines privaten Schlüssels durch den öffentlichen Schlüssel über einen anderen Zertifikatsserver oder andere Technologien dürfte sich als unmöglich erweisen, da der echte Zertifikatsserver durch zahlreiche Algorithmen die privaten Schlüssel generiert, welche auf Benutzerdaten und evtl. weitere Schlüssel basiert.

    Bei dieser Art der Schlüsselvergabe sieht die Kommunikation dann wie folgt aus:

    Das Gerät A verschlüsselt seine Daten mit seinem privaten Schlüssel und teilt dem Empfänger den öffentlichen Schlüssel mit, so dass dieser einen Bezugspunkt hat.

    Gerät B entschlüsselt die Daten mit seinem privaten Schlüssel unter Berücksichtigung des öffentlichen Schlüssels.

    Router und Routing

    Bisher haben wir sehr viel über Sicherheit erfahren. In diesem Kapitel wird nun der Wegeablauf der Kommunikation über VPN erklärt. Es muss ja letztendlich gewährleistet sein, dass die Pakete der Quelle das Ziel erfolgreich erreichen.

    Ausgangsposition ist eine Hardwarelösung, welche 2 Netzwerke über das Internet verbinden sollen. Vollkommen unabhängig von der Sicherheit wird hier zunächst nur der Kommunikationsweg aufgezeigt.

    Bekanntlich funktioniert das Internet über Router. Router in ihrer Grundfassung sind Netzwerkgeräte die ein TCP/IP Netzwerk mit einem anderen TCP/IP Netzwerk verbinden.

    Ein Beispiel:

    Es sollen 2 LANs miteinander verbunden werden. In unserem Beispiel sind diese beiden LANs in einem Gebäude.

    LAN A:
    IP Netz:192.168.1.x / Subnet Mask: 255.255.255.0

    LAN B:
    IP Netz 192.168.1.x / Subnet Mask: 255.255.255.0

    Was muss hier konfiguriert werden, um eine Kommunikation zwischen diesen beiden LANs herstellen zu können?

    Richtig - Im Endeffekt gar nichts. Lediglich eine Netzwerkleitung zwischen den beiden Netzwerk Hubs bzw. Switches muss gesetzt werden. Einzig die Hostadressen (x) müssen kontrolliert werden, ob Sie in diesem "gemeinsamen" Netz einzigartig sind, das heißt nicht doppelt vergeben sind.

    Warum ist das so?

    Das die beiden Netzwerke bereits miteinander kommunizieren können, liegt daran, dass sie sich vorab schon in dem privaten Klasse C Netz 1 befinden. (192.168.1.x)

    Ein weiteres Beispiel:

    Gleiche Ausgangssituation wie zuvor. 2 LANs in einem Gebäude sollen miteinander verbunden werden.

    LAN A:
    IP Netz:192.168.1.x / Subnet Mask: 255.255.255.0

    LAN B:
    IP Netz 192.168.2.x / Subnet Mask: 255.255.255.0

    Und wie sieht’s hier aus?

    An dieser Stelle ist ein Router die Antwort.

    Routing

    Wie aus der Zeichnung zu ersehen ist, kommuniziert LAN A mit LAN B und umgekehrt, über einen Router. Die PCs in LAN A verwenden als Gateway-Adresse die IP Adresse des Routers, welcher im Bereich des LAN A steht. Genauso verwenden die Rechner im LAN B als Gateway-Adresse die IP Adresse des Routers, der im LAN B steht. Eine Gateway-Adresse ist eine IP Adresse, die ein Rechner verwenden muss, wenn er einmal mit fremden IP Adressen, also Adressen die nicht zu seinem Netzwerk gehören, kommunizieren muss.

    Man kann also schlussfolgernd sagen: Ein Router steht mit einem Bein in Netz A und mit dem anderen Bein in Netz B.

    Interessant ist auch die Bezeichnung "Routing-Tabelle". Diese sollten wir uns einmal näher betrachten.

    Damit ein Router (software- oder hardware-basierend) weiß was sein "Gegenübernetzwerk" ist, gibt es Routing-Tabellen.

    Eine Routing-Tabelle teilt der Netzwerkschnittstelle A exakt mit, was sich hinter dem Tellerrand, also an der Netzwerkschnittstelle B befindet. Genauso muss die Routing-Tabelle der Netzwerkschnittstelle B mitteilen, was an der Schnittstelle A angeschlossen ist.

    Eine Routing-Tabelle unseres Beispiels würde demnach folgendermaßen aussehen:

    (Vereinfachte Darstellung)

    Netzwerkziel Netzwerkmaske Gateway
    192.168.2.0 255.255.255.0 192.168.1.1
    192.168.1.0 255.255.255.0 192.168.2.1

    Sie müssen die Routing-Tabelle zeilenweise betrachten, um einen Sinn darin erkennen zu können.

    Zeile 1 beschreibt:
    Das Netzwerkziel, welches Gateway 192.168.1.1 erwarten wird ist 192.168.2.0 mit der Subnet Mask 255.255.255.0.
    Wobei 192.168.2. das Netz ist (im privaten Klasse C Netz → Netz 2).
    Die 0 bezeichnet jeden Host in diesem Netz 2, also von 1 bis 254.
    Zeile 2 beschreibt:
    Das Netzwerkziel, welches Gateway 192.168.2.1 erwarten wird ist 192.168.1.0 mit der Subnet Mask 255.255.255.0.
    Wobei 192.168.1. das Netz ist (im privaten Klasse C Netz → Netz 1).
    Die 0 bezeichnet jeden Host in diesem Netz 1, also von 1 bis 254.

    Mit 2 LANs ist das Ganze ja relativ einfach. Wie funktioniert es aber, wenn diese 2 LANs über das Internet verbunden werden sollen.

    Betrachten wir uns einmal nur das Internet als solches.

    Ein Beispielrechner verbindet sich mit dem Internet. Gleichgültig über welche Methode bzw. Medium (Analog, ISDN, DSL). Der Internet Service Provider (ISP) vergibt bei erfolgreicher Authentifizierung eine IP-Adresse aus seinem Pool (DHCP) an diesen Rechner. Die Kommunikation im Internet kann nun stattfinden.

    Erhaltene IP vom ISP: 217.80.33.208

    Wir surfen zu www.nasa.org - IP-Adresse: 67.96.63.101

    Wir surfen zu www.fbi.gov - IP-Adresse: 62.4.69.190

    Wir surfen zu www.siemens.de - IP-Adresse: 192.35.17.36

    Wir surfen zu www.netgear.com - IP-Adresse: 216.136.206.110

    Wir surfen zu www.netgear.de - IP-Adresse: 192.67.198.54

    Wir surfen zu …

    Ganz selbstverständlich erreichen wir das Ziel. Ist das wirklich so selbstverständlich?

    Wir besitzen die IP Adresse 217.80.33.208 und erreichen mal so ganz selbstverständlich 67.96.63.101 (www.nasa.org)?

    Zwei mit hundertprozentiger Sicherheit verschiedene IP-Netze. Die Antwort hier sind ebenfalls wieder Router. Das Internet besteht aus zig Routern, die alle öffentlichen Netze miteinander verbinden. Ein ausgeklügeltes System der Verbindung dieser Router macht letztendlich auch das Internet so hochverfügbar und stabil, wie es derzeit ist.

    Der wichtigste, für uns Interessante Aspekt ist unterm Strich letztendlich die Kompensierung aller öffentlichen IP Netze zu einem großen Netz. In der Mathematik würde man sagen, alle öffentlichen IP Netze kürzen sich weg und es bleibt das Netz "Internet".

    Mit der vorangegangenen Aussage, dass alle öffentlichen Netze durch Router zu einem einzigen, großen Netzwerk zusammengeschlossen werden, folgern wir Techniker:

    Das Internet ist eine Patch-Leitung, die nach allen Richtungen offen ist.

    VPN-Produkte.

    NETGEAR bietet derzeit folgende VPN Produkte an:

    Modell VPN Tunnel
    FWAG114 2 VPN Tunnel
    FVS318 8 VPN Tunnel
    FVM318 70 VPN Tunnel (Remote) und 32 VPN Tunnel (Lokal)
    FVL328 100 VPN Tunnel

    Das richtige Produkt

    Wie so oft in der IT Welt ist Planung das A und O zum Erfolg. Planung spart Kosten, Zeit und Nerven. Auch bei VPN sollte grundsätzlich überlegt werden:

    Was will ich?

    Wo soll, über welchen Weg eine Kommunikation stattfinden?

    Beispiele:

    Sie wollen 2 Firmen über VPN miteinander verbinden. Auf jeder Seite sitzen 5 User
    Antwort:
    2 Stück FVS318
    Sie wollen 1 Zentrale mit 3 Filialen verbinden. In der Zentrale sitzen 35 User, in den Filialen je 15 User.
    Antwort:
    Zentrale: 1 Stück FVL328 oder FVM 318
    Je Filiale: 1 Stück FVM318

    NETGEAR Namensspezifikationen

    Um nun in den Genuss der Konfiguration von NETGEAR VPN Produkten zu kommen und die weiteren Kapitel bearbeiten zu können, beschreiben wir hier nun die Einstellfeatures der Produkte.

    Wie wir mittlerweile Wissen, bedarf ein VPN höchsten Sicherheitsansprüchen. Diese sind bei NETGEAR als Security Association (SA) betitelt.

    Im Konfigurationsmenü der Router angekommen, findet der Administrator folgende Einträge vor:

    Register your Firewall Router:
    Eine Registrierung muss bei VPN Routern zwingend vorgenommen werden, damit das dynamische bzw. teildynamische VPN funktioniert. Mit dieser Registrierung wird der Router eindeutig im Internet am NETGEAR Server identifiziert.
    Lesen Sie hierzu Kapitel: Dynamisches VPN, Teildynamisches VPN
    Unique Firewall Identifier (UFI):
    Einen Namen, der die gesamte VPN-Domäne bezeichnet. Dieser Name ist ebenfalls beim dynamischen bzw. teildynamischen VPN absolut von Bedeutung. Bei statischem VPN kann dieser Name an jedem teilnehmenden VPN Router beliebig sein. Bei dynamischen/teildynamischen VPN muss der Name an allen teilnehmenden VPN Routern/Clients identisch sein.
    Lesen Sie hierzu Kapitel: Dynamisches VPN, Teildynamisches VPN
    Die einzelnen SA’s (Security Association) → Eine SA ist auch gleichzeitig 1 Tunnel.
    Bei jedem NETGEAR VPN Router ist es möglich, so viele SA’s zu erzeugen, wie dort erlaubt sind. Beim FVS318 mit zum Beispiel acht. Die SA definiert exakt, welcher VPN Router mit welchem kommuniziert. Gleichzeitig werden dort alle Sicherheitsregeln definiert.
    SA Type:
    Definition, was diese SA auf der Gegenseite erwartet.
    Peer NETGEAR Router: Die Gegenstelle ist ebenfalls ein NETGEAR VPN Router
    VPN Client: Die Gegenstelle ist entweder eine VPN Clientsoftware oder ein VPN Router eines anderen Herstellers.
    SA Name:
    Der Erste Sicherheitsaspekt. Dieser Name muss exakt der selbe Name wie auf der Gegenstelle sein. Gleichgültig welche VPN Art aktiviert ist. Da eine SA gleichzeitig einen Tunnel darstellt, wird anhand des SA Namens der Weg zum Ziel definiert.
    Encryption Algorithm:
    Hier wird die Stärke der Verschlüsselung definiert. Eine schwache Verschlüsselung bedeutet in der Regel schnellere Verarbeitung aber gleichzeitig geringerer Schutz. Eine starke Verschlüsselung genau das Gegenteil. Abhängig vom SA Typ gibt es folgende Verschlüsselungsalgorithmen:
    SA Type: Peer Netgear Router
    Fast Encrypt (ESP* ARCFour*): Eine schnelle 56Bit Verschlüsselung auf der Basis DES*.
    Strong Encrypt (ESP* 3DES*): Eine starke 168Bit Verschlüsselung auf der Basis 3DES*.
    SA Type: VPN Client
    Encrypt+Authenticate (ESP* DES* HMAC MD5*): Um mit unterschiedlichen Fremdanbietern kompatibel zu sein, entspricht diese Variante der Fast Encrypt mit verschiedenen Verschlüsselungskonzepten, wie DES* und HMAC MD5*.
    Strong Encrypt+Authenticate (ESP* 3DES* HMAC MD5*): Auch hier will man mit den unterschiedlichsten Fremdanbietern kompatibel sein. Entspricht dem Strong Encrypt mit den Verschlüsselungskonzepten: 3DES* und HMAC MD5*.
    *Definition der Abkürzungen:
    ESP: Encrytion Service Protocol.
    ARCFour: 56Bit Authentifikations- und Verschlüsselungsverfahren auf Basis DES.
    3DES: 168Bit (Authentifikations-) und Verschlüsselungsverfahren.
    DES: 56Bit Verschlüsselungsverfahren.
    HMAC MD5: Authentifizierungsverfahren.
    Shared Key:
    Der eigentliche Schlüssel. Unter Berücksichtigung des Verschlüsselungsalgorithmus und des Schlüsselwortes wird hier das IPSec erzeugt. Der Schlüssel darf aus Buchstaben, Zahlen und Sonderzeichen bestehen. Groß- und Kleinschreibung wird beachtet! Achten Sie also auf korrekte Schreibweise, auch auf der Gegenstation.
    Internet Key Exchange (IKE):
    Die Stelle, welche den Schlüssel besitzt. Meist in Form einer IP Adresse. Bei der SA Type: Peer NETGEAR Router muss der IKE der Router selbst sein.

    Statisches VPN

    Unter statischem VPN versteht man eine VPN Strecke, wo die Partner bekannt sind. Bekannt werden die Partner durch Ihre IP Adresse. Ein statisches VPN setzt also auf allen VPN Enden eine feste, öffentliche IP Adresse voraus. Dies ist natürlich eine kostspielige Lösung.

    In diesem Fall ist es den NETGEAR VPN Routern egal, welchen Unique Firewall Identifier (UFI) sie besitzen.

    Durch Angabe der Gateway IP Adresse der Gegenstation in der SA finden sich die Router. Vorausgesetzt die Verschlüsselung ist authentisch, kann die Kommunikation sofort stattfinden.

    Statisches VPN

    Teildynamisches VPN

    Im Falle teildynamisch ist ein Partner bekannt, der Andere jedoch nicht. Dies tritt auf, wenn die Zentrale eine Standleitung mit fester, öffentlicher IP Adresse besitzt, die Filiale sich allerdings über eine Einwahlleitung oder DSL bei einem Internet Service Provider (ISP) einloggt. In diesem Fall ist die Filiale der Zentrale nicht permanent bekannt.

    Hier spielt der Unique Firewall Identifier (UFI) eine sehr große Rolle. Der Zentrale UFI muss zwingend mit dem Filiale UFI identisch sein.

    Teildynamisches VPN

    Durch die Bekanntheit des Zentrale Routers am Filiale Router, wird dem Zentrale Router bei Kommunikationsstart die derzeitige IP Adresse des Filiale Routers mitgeteilt. Die Richtigkeit, dass der Filiale Router auch dazu berechtigt ist, wird durch die gemeinsame UFI geregelt. Die Kommunikation kann beginnen.

    Dynamisches VPN

    In diesem Modell kennen sich die Partner überhaupt nicht. Hier muss eine vermittelnde dritte Hand die Bekanntmachung vornehmen. Das reine dynamische VPN kann nur erreicht werden, wenn alle Stellen NETGEAR VPN Produkte sind, bzw. die VPN Client Software auf mobilen Stationen die Remote LT der Firma SafeNet ist.
    Dieser VPN Client kann mit der Bekanntmachungsstelle von NETGEAR kommunizieren und somit eine Verbindung aufbauen.

    Auch wenn diese Variante die am Gebundenste ist, ist sie immerhin die kostengünstigste.

    Natürlich könnte jetzt die Frage auftreten: Was ist, wenn mehrere unabhängige Firmen zufällig die gleiche UFI verwenden?

    In der Tat eine gerechtfertigte Frage. Da sind aber noch die SA’s. Die Wahrscheinlichkeit, dass die UFI, die SA’s der Verschlüsselungsalgorithmus und der Schlüsselname bei unterschiedlichen Organisationen übereinstimmt ist jedoch sehr unwahrscheinlich, um nicht zu sagen unmöglich!!!

    Dynamisches VPN

    Der Zentrale Router wählt sich bei seinem ISP ein und erhält eine öffentliche IP Adresse für die Internetsitzung. Das Gleiche vollzieht der Filiale Router. Beide Router haben keinen Bezug durch die Gateway Adresse (0.0.0.0). Somit sehen beide Router auf dem Bekanntmachungsserver nach, ob es dort eine UFI gleichen Namens gibt. Ist das der Fall wird kontrolliert, ob es in dieser UFI auch die gleiche SA gibt. Ist das auch der Fall, teilt der Bekanntmachungsserver den jeweiligen Routern die derzeitige Gegenstellen IP-Adresse als Gateway Adresse mit. Das eigentliche Handshaking und die Kommunikation handeln die Router unter sich aus.

    Dieses Verfahren hat übrigens eine verblüffende Ähnlichkeit mit dynamischem DNS. Allerdings etwas komplexer.

    Mobile VPN User und Drittanbieter

    In den letzten Kapiteln hat es vielleicht den Anschein erweckt, dass das VPN von NETGEAR sehr NETGEAR orientiert arbeitet und auch nur NETGEAR-Produkte untereinander kommunizieren können.

    In der Tat ist das auch so beim dynamischen VPN. Mit Ausnahme des VPN Clients von SafeNet.

    Das statische VPN und auch eingeschränkt, dass teildynamische VPN ist zu Fremdanbieterprodukten sehr offen.

    Gerade beim statischen VPN können Sie die Produkte mit jedem erdenklichen Hersteller kombinieren. Die Einstellung "SA Type: VPN Client" bedeutet nicht gleich, dass die Gegenstelle ausschließlich eine VPN Client Software ist. NETGEAR versteht darunter die Aktivierung der Kompatibilität zu anderen Anbietern. Setzen Sie diese Einstellung auf Peer NETGEAR Router, dann sind Sie allerdings auch gezwungen, NETGEAR Produkte auf der Gegenseite einzusetzen.

    Übrigens: Auch bei Verwendung des Remote LT VPN Client von SafeNet muss der SA Type auf VPN Client gestellt werden.

    Beim teildynamischen VPN liegt es am Hersteller, ob sein Produkt mit dieser Funktionalität umgehen kann.