Wie Funktioniert Vpn; Ipsec - Die Basis Für Vpn; Sicherheit Im Ip-Gewand; Alternativen Zu Ipsec - LANCOM LCOS 9.00 Referenzhandbuch

Referenzhandbuch
10 Virtual Private Networks - VPN

10.17 Wie funktioniert VPN?

Ein VPN muss in der Praxis einer Reihe von Ansprüchen gerecht werden:
1
Unbefugte Dritte dürfen die Daten nicht lesen können (Verschlüsselung)
1 Ausschluss von Datenmanipulationen (Datenintegrität)
1
Zweifelsfreie Feststellung des Absenders der Daten (Authentizität)
1 Einfache Handhabung der Schlüssel
1
Kompatibilität mit VPN-Geräten verschiedener Hersteller
Diese fünf wichtigen Ziele erreicht VPN durch die Verwendung des weitverbreiteten IPSec-Standards.
10.17.1 IPSec – Die Basis für VPN
Das ursprüngliche IP-Protokoll enthält keinerlei Sicherheitsvorkehrungen. Erschwerend kommt hinzu, dass Pakete unter
IP nicht gezielt an den Empfänger gesendet werden, sondern über das gesamte Netzwerksegment an alle angeschlossenen
Rechner gestreut werden. Wer auch immer möchte, bedient sich und liest die Pakete mit. Datenmissbrauch ist so möglich.
Deshalb wurde IP weiterentwickelt und es gibt IP inzwischen auch in einer sicheren Variante: IPSec. VPN basiert auf
IPSec.
IPSec steht für „IPSecurity Protocol" und ist ursprünglich der Name einer Arbeitsgruppe innerhalb des Interessenverbandes
IETF, der Internet Engineering Task Force. Diese Arbeitsgruppe hat über die Jahre ein Rahmenwerk für ein gesichertes
IP-Protokoll entwickelt, das heute allgemein als IPSec bezeichnet wird.
Wichtig ist, dass IPSec selber kein Protokoll ist, sondern nur der Standard für ein Protokoll-Rahmenwerk. IPSec besteht
in der Tat aus verschiedensten Protokollen und Algorithmen für die Verschlüsselung, die Authentifizierung und das
Schlüssel-Management. Diese Standards werden in den folgenden Abschnitten vorgestellt.

Sicherheit im IP-Gewand

IPSec ist (nahezu) vollständig innerhalb in Ebene 3 des OSI-Modells implementiert, also in der Vermittlungsebene (dem
Network Layer). Auf Ebene 3 wird in IP-Netzwerken der Verkehr der Datenpakete auf Basis des IP-Protokolls abgewickelt.
Damit ersetzt IPSec das IP-Protokoll. Die Pakete werden unter IPSec intern anders aufgebaut als IP-Pakete. Ihr äußerer
Aufbau bleibt dabei aber vollständig kompatibel zu IP. IPSec-Pakete werden deshalb weitgehend problemlos innerhalb
bestehender IP-Netze transportiert. Die für den Transport der Pakete zuständigen Geräte im Netzwerk können IPSec-Pakete
mit Blick aufs Äußere nicht von IP-Paketen unterscheiden.
Ausnahmen sind bestimmte Firewalls und Proxy-Server, die auch auf den Inhalt der Pakete zugreifen. Die Probleme
resultieren dabei aus (teilweise funktionsbedingten) Inkompatibilitäten dieser Geräte mit dem geltenden IP-Standard.
Diese Geräte müssen entsprechend an IPSec angepasst werden.
In der nächsten Generation des IP-Standards (IPv6) wird IPSec fest implementiert werden. Man kann deshalb davon
ausgehen, dass IPSec auch in Zukunft der wichtigste Standard für virtuelle private Netzwerke sein wird.

10.17.2 Alternativen zu IPSec

IPSec ist ein offener Standard. Er ist unabhängig von einzelnen Herstellern und wird innerhalb der IETF unter Einbezug
der interessierten Öffentlichkeit entwickelt. Die IETF steht jedermann offen und verfolgt keine wirtschaftlichen Interessen.
Aus dieser offenen Gestaltung zur Zusammenführung verschiedener technischer Ansätze resultiert die breite Anerkennung
von IPSec.
Dennoch gab und gibt es andere Ansätze zur Verwirklichung von VPNs. Nur die beiden wichtigsten seien hier erwähnt.
Sie setzen nicht auf der Netzwerkebene wie IPSec an, sondern auf Verbindungs- und auf Anwendungsebene.
650