Der Begriff virtuelles privates Netzwerk (englisch: Virtual Private Network, abgekürzt VPN) beschreibt jede Technologie, die Netzwerkdaten über ein anderes Netzwerk kapseln und übertragen kann. Ein solches System ermöglicht Benutzern den Zugriff auf Netzwerkressourcen, auf die sonst über das öffentliche Internet nicht zugegriffen werden kann. VPNs werden im Bereich der Informationstechnologie häufig verwendet, um Benutzern, die nicht physisch mit dem Netzwerk eines Unternehmens verbunden sind, z. B. Telearbeitern, Zugriff auf Ressourcen zu gewähren. VPNs werden so genannt, weil sie verwendet werden können, um virtuellen (im Gegensatz zu physischen) Zugriff auf ein privates Netzwerk bereitzustellen.

Umgangssprachlich kann der Begriff VPN verwendet werden, um sich, wenn auch nicht ordnungsgemäß, auf einen Proxy-Dienst zu beziehen, der VPN-Technologie (wie OpenVPN) im Gegensatz zu übergeordneten Proxy-Server-Protokollen (wie SOCKS) verwendet, da keine Konfiguration einzelner Anwendungen erforderlich ist Tunneln des Datenverkehrs über den Proxyserver, stattdessen Routing zum Umleiten des Datenverkehrs.

Konfigurationen

Im Allgemeinen lassen sich VPN-Konfigurationen in zwei Kategorien einteilen:

Fernzugriff
Analog zum einfachen Anschließen eines Computers an ein Netzwerk ermöglicht diese Konfiguration einer Person den Zugriff auf ein Intranet, als wäre sie physisch mit diesem verbunden. Eine solche Konfiguration kann verwendet werden, wenn ein Remote-Mitarbeiter Zugriff auf private Ressourcen benötigt oder um einem mobilen Mitarbeiter (z. B. einem Kabeltechniker) den Zugriff auf wichtige Tools zu ermöglichen, ohne diese dem öffentlichen Internet auszusetzen.
Seite zu Seite
Anstatt einen einzelnen Endpunkt mit einem größeren Netzwerk zu verbinden, verbinden Standort-zu-Standort-Verbindungen zwei Router. Diese Router leiten dann den für andere Standorte gebundenen Datenverkehr über das VPN weiter und erstellen so ein nahtloses lokales Netzwerk, das sich über mehrere physische Standorte erstreckt. Diese Konfiguration ist besonders für Unternehmen von Nutzen, da dadurch verschiedene Büros, Rechenzentren und Cloud-Computing- Plattformen nahtlos miteinander verbunden werden können.

In der Regel interagieren Einzelpersonen mit RAS-VPNs, während Unternehmen Standort-zu-Standort-Verbindungen für Business-to-Business-, Cloud-Computing- und Zweigstellenszenarien verwenden. Trotzdem schließen sich die beiden Technologien nicht gegenseitig aus und können in einem erheblich komplexen Unternehmensnetzwerk kombiniert werden, um den Remotezugriff auf Ressourcen zu ermöglichen, die sich an einem bestimmten Standort befinden, z. B. auf ein Bestellsystem, das sich in einem Rechenzentrum befindet.

Intranet- und Extranet-Site-to-Site-VPNs

Im Zusammenhang mit Site-to-Site-Konfigurationen werden die Begriffe Intranet und Extranet verwendet, um zwei verschiedene Anwendungsfälle zu beschreiben. Ein Site-to-Site-VPN im Intranet beschreibt eine Konfiguration, bei der die über das VPN verbundenen Sites derselben Organisation angehören, während ein Site-to-Site-VPN im Extranet Sites vieler Organisationen beitritt.

Sicherheitsmechanismen

VPNs können Online-Verbindungen nicht vollständig anonymisieren, sie können jedoch normalerweise die Privatsphäre und Sicherheit erhöhen. Um die Offenlegung privater Informationen zu verhindern, erlauben VPNs normalerweise nur einen authentifizierten Remotezugriff mithilfe von Tunnelprotokollen und Verschlüsselungstechniken.

Das VPN-Sicherheitsmodell bietet:

  • Vertraulichkeit, sodass ein Angreifer nur verschlüsselte Daten sehen würde, selbst wenn der Netzwerkverkehr auf Paketebene abgehört wird (siehe Netzwerk-Sniffer und Deep Packet Inspection)
  • Absender-Authentifizierung nicht autorisierte Benutzer zu verhindern, dass der Zugriff auf VPN
  • Nachricht Integrität alle Instanzen von Manipulationen übertragenen Nachrichten zu erkennen.

Sichere VPN-Protokolle umfassen Folgendes:

  • IPsec (Internet Protocol Security ) wurde ursprünglich von der Internet Engineering Task Force (IETF) für IPv6 entwickelt, die in allen standardkonformen Implementierungen von IPv6 erforderlich war, bevor
    RFC 6434 nur eine Empfehlung aussprach . Dieses auf Standards basierende Sicherheitsprotokoll wird auch häufig mit IPv4 und dem Layer 2-Tunneling-Protokoll verwendet. Das Design erfüllt die meisten Sicherheitsziele: Verfügbarkeit, Integrität und Vertraulichkeit. IPsec verwendet Verschlüsselung und kapselt ein IP-Paket in ein IPsec-Paket. Die Entkapselung erfolgt am Ende des Tunnels, wo das ursprüngliche IP-Paket entschlüsselt und an das beabsichtigte Ziel weitergeleitet wird.
  • Transport Layer Security (SSL / TLS) kann den gesamten Netzwerkverkehr tunneln (wie im OpenVPN- Projekt und im SoftEther VPN- Projekt) oder eine einzelne Verbindung sichern. Eine Reihe von Anbietern bieten VPN-Funktionen für den Remotezugriff über SSL an. Ein SSL-VPN kann von Orten aus eine Verbindung herstellen, an denen IPSec Probleme mit der Netzwerkadressübersetzung und den Firewall-Regeln hat.
  • Datagram Transport Layer Security (DTLS)-wird in Cisco AnyConnect VPN und OpenConnect VPN verwendet, um die Probleme zu lösen, die SSL / TLS beim Tunneln über TCP hat (das Tunneln von TCP über TCP kann zu großen Verzögerungen und Verbindungsabbrüchen führen).
  • Microsoft Point-to-Point-Verschlüsselung (MPPE) funktioniert mit dem Point-to-Point-Tunneling-Protokoll und in mehreren kompatiblen Implementierungen auf anderen Plattformen.
  • Microsoft Secure Socket Tunneling Protocol (SSTP) tunnelt den Point-to-Point Protocol (PPP) – oder Layer 2 Tunneling Protocol-Verkehr über einen SSL / TLS- Kanal (SSTP wurde in Windows Server 2008 und in Windows Vista Service Pack 1 eingeführt).
  • Virtuelles privates Netzwerk mit mehreren Pfaden (MPVPN). Die Ragula Systems Development Company besitzt die eingetragene Marke “MPVPN”.
  • Secure Shell (SSH) VPN-OpenSSH bietet VPN-Tunneling (im Gegensatz zur Portweiterleitung) zum Sichern von Remoteverbindungen zu einem Netzwerk oder zu Verbindungen zwischen Netzwerken. Der OpenSSH-Server bietet eine begrenzte Anzahl gleichzeitiger Tunnel. Die VPN-Funktion selbst unterstützt keine persönliche Authentifizierung.
  • WireGuard ist ein Protokoll. Im Jahr 2020 wurde die WireGuard-Unterstützung sowohl für den Linux-als auch für den Android-Kernel hinzugefügt, sodass sie von VPN-Anbietern übernommen werden kann. Standardmäßig verwendet WireGuard Curve25519 für den Schlüsselaustausch und ChaCha20 für die Verschlüsselung, bietet jedoch auch die Möglichkeit, einen symmetrischen Schlüssel zwischen Client und Server vorab gemeinsam zu nutzen. Fast alle kommerziellen VPNs haben dieses Protokoll als Standardprotokoll übernommen.

Authentifizierung

Tunnelendpunkte müssen authentifiziert werden, bevor sichere VPN-Tunnel eingerichtet werden können. Vom Benutzer erstellte RAS-VPNs können Kennwörter, biometrische Daten, Zwei-Faktor-Authentifizierung oder andere kryptografische Methoden verwenden. Netzwerk-zu-Netzwerk-Tunnel verwenden häufig Kennwörter oder digitale Zertifikate. Sie speichern den Schlüssel dauerhaft, damit der Tunnel automatisch eingerichtet werden kann, ohne dass der Administrator eingreifen muss.

Routing

Tunnelprotokolle können in einer Punkt-zu-Punkt- Netzwerktopologie arbeiten, die theoretisch nicht als VPN betrachtet wird, da von einem VPN per Definition erwartet wird, dass es beliebige und sich ändernde Sätze von Netzwerkknoten unterstützt. Da die meisten Router- Implementierungen eine softwaredefinierte Tunnelschnittstelle unterstützen, sind vom Kunden bereitgestellte VPNs häufig einfach definierte Tunnel, in denen herkömmliche Routing-Protokolle ausgeführt werden.

Vom Anbieter bereitgestellte VPN-Bausteine

Abhängig davon, ob ein vom Anbieter bereitgestelltes VPN (PPVPN) in Schicht 2 oder Schicht 3 betrieben wird, können die nachfolgend beschriebenen Bausteine ​​nur L2, nur L3 oder eine Kombination aus beiden sein. Die MPLS-Funktionalität (Multi-Protocol Label Switching ) verwischt die L2-L3-Identität. {{}}

RFC 4026 verallgemeinerte die folgenden Begriffe, um L2-MPLS-VPNs und L3-VPNs (BGP) abzudecken, sie wurden jedoch in RFC 2547 eingeführt.

Kunden (C) Geräte

Ein Gerät, das sich im Netzwerk eines Kunden befindet und nicht direkt mit dem Netzwerk des Dienstanbieters verbunden ist. C-Geräte kennen das VPN nicht.

Customer Edge-Gerät (CE)

Ein Gerät am Rand des Kundennetzwerks, das den Zugriff auf das PPVPN ermöglicht. Manchmal ist es nur eine Abgrenzung zwischen Anbieter- und Kundenverantwortung. Andere Anbieter ermöglichen es Kunden, es zu konfigurieren.

Provider Edge Device (PE)

Ein Gerät oder eine Gruppe von Geräten am Rand des Anbieternetzwerks, das über CE-Geräte eine Verbindung zu Kundennetzwerken herstellt und die Ansicht des Anbieters zum Kundenstandort darstellt. PEs kennen die VPNs, die über sie eine Verbindung herstellen, und behalten den VPN-Status bei.

Anbietergerät (P)

Ein Gerät, das innerhalb des Kernnetzwerks des Anbieters betrieben wird und keine direkte Verbindung zu einem Kundenendpunkt herstellt. Es kann beispielsweise Routing für viele von Anbietern betriebene Tunnel bereitstellen, die zu den PPVPNs verschiedener Kunden gehören. Während das P-Gerät ein wesentlicher Bestandteil der Implementierung von PPVPNs ist, ist es selbst nicht VPN-fähig und behält den VPN-Status nicht bei. Seine Hauptaufgabe besteht darin, dem Dienstanbieter die Skalierung seiner PPVPN-Angebote zu ermöglichen, indem er beispielsweise als Aggregationspunkt für mehrere PEs fungiert. P-zu-P-Verbindungen sind in einer solchen Rolle häufig optische Verbindungen mit hoher Kapazität zwischen Hauptstandorten von Anbietern.

Vom Benutzer sichtbare PPVPN-Dienste

OSI Layer 2-Dienste

Virtuelles LAN

Virtual LAN (VLAN) ist eine Layer-2-Technik, die die Koexistenz mehrerer LAN-Broadcast-Domänen (Local Area Network) ermöglicht, die über Amtsleitungen mithilfe des IEEE 802.1Q- Amtsleitungsprotokolls miteinander verbunden sind. Andere Trunking-Protokolle wurden verwendet, sind jedoch veraltet, darunter Inter-Switch Link (ISL), IEEE 802.10 (ursprünglich ein Sicherheitsprotokoll, aber eine Teilmenge wurde für Trunking eingeführt) und ATM LAN Emulation (LANE).

Virtual Private LAN Service (VPLS)

Entwickelt von Institute of Electrical and Electronics Engineers, virtuelle LANs (VLANs) ermöglichen mehrere getaggten LANs zu teilen gemeinsame Trunking. VLANs umfassen häufig nur kundeneigene Einrichtungen. Während VPLS, wie im obigen Abschnitt beschrieben (OSI Layer 1-Dienste), die Emulation von Punkt-zu-Punkt- und Punkt-zu-Mehrpunkt-Topologien unterstützt, erweitert das hier beschriebene Verfahren die Ausführung von Layer 2-Technologien wie 802.1d- und 802.1q- LAN-Trunking über Transporte wie Metro Ethernet.

In diesem Zusammenhang ist ein VPLS ein Layer-2-PPVPN, der die volle Funktionalität eines herkömmlichen LAN emuliert. Vom Standpunkt des Benutzers aus ermöglicht ein VPLS die Verbindung mehrerer LAN-Segmente über einen paketvermittelten oder optischen Provider-Kern, einen für den Benutzer transparenten Kern, wodurch sich die Remote-LAN-Segmente wie ein einziges LAN verhalten.

In einem VPLS emuliert das Anbieternetzwerk eine Lernbrücke, die optional einen VLAN-Dienst enthalten kann.

Pseudodraht (PW)

PW ähnelt VPLS, kann jedoch an beiden Enden unterschiedliche L2-Protokolle bereitstellen. In der Regel handelt es sich bei der Schnittstelle um ein WAN-Protokoll wie den asynchronen Übertragungsmodus oder das Frame Relay. Im Gegensatz dazu wäre der Virtual Private LAN-Dienst oder IPLS geeignet, wenn das Erscheinungsbild eines zwischen zwei oder mehr Standorten zusammenhängenden LAN angezeigt werden soll.

Ethernet über IP-Tunneling

EtherIP (RFC 3378) ist eine Ethernet-over-IP-Tunnelprotokollspezifikation. EtherIP verfügt nur über einen Paketkapselungsmechanismus. Es gibt keinen Schutz für Vertraulichkeit oder Nachrichtenintegrität. EtherIP wurde im FreeBSD- Netzwerkstapel und im SoftEther VPN- Serverprogramm eingeführt.

Nur-IP-LAN-ähnlicher Dienst (IPLS)

Als Teilmenge von VPLS müssen die CE-Geräte über Layer 3-Funktionen verfügen. Das IPLS präsentiert eher Pakete als Frames. Möglicherweise werden IPv4 oder IPv6 unterstützt.

OSI Layer 3 PPVPN-Architekturen

In diesem Abschnitt werden die Hauptarchitekturen für PPVPNs erläutert, bei denen das PE doppelte Adressen in einer einzelnen Routinginstanz eindeutig erkennt, und das andere, der virtuelle Router, bei dem das PE eine virtuelle Routerinstanz pro VPN enthält. Der erstere Ansatz und seine Varianten haben die größte Aufmerksamkeit auf sich gezogen.

Eine der Herausforderungen von PPVPNs besteht darin, dass verschiedene Kunden denselben Adressraum verwenden, insbesondere den privaten IPv4-Adressraum. Der Anbieter muss in der Lage sein, überlappende Adressen in den PPVPNs mehrerer Kunden zu unterscheiden.

BGP / MPLS PPVPN

Bei dem Verfahren, definiert durch RFC 2547, werben BGP Erweiterungen Routen in der IPv4-VPN-Adresse-Familie, die in der Form von 12-Byte-Strings sind, beginnend mit einer 8-Byte-Route distinguisher (RD) und endend mit einer 4-Byte-IPv4-Adresse. RDs unterscheiden ansonsten doppelte Adressen in derselben PE.

PEs verstehen die Topologie jedes VPN, die entweder direkt oder über P-Router mit MPLS-Tunneln verbunden sind. In der MPLS-Terminologie sind die P-Router Label-Switch-Router ohne Kenntnis von VPNs.

Virtueller Router PPVPN

Die Architektur des virtuellen Routers erfordert im Gegensatz zu BGP / MPLS-Techniken keine Änderung bestehender Routing-Protokolle wie BGP. Durch die Bereitstellung logisch unabhängiger Routing-Domänen ist der Kunde, der ein VPN betreibt, vollständig für den Adressraum verantwortlich. In den verschiedenen MPLS-Tunneln sind die verschiedenen PPVPNs durch ihre Bezeichnung eindeutig, benötigen jedoch keine Routing-Unterscheidungsmerkmale.

Unverschlüsselte Tunnel

Einige virtuelle Netzwerke verwenden Tunnelprotokolle ohne Verschlüsselung, um die Privatsphäre von Daten zu schützen. Während VPNs häufig Sicherheit bieten, passt ein unverschlüsseltes Overlay-Netzwerk nicht genau in die sichere oder vertrauenswürdige Kategorisierung. Beispielsweise ist ein Tunnel, der zwischen zwei Hosts mit GRE (Generic Routing Encapsulation) eingerichtet wurde, ein virtuelles privates Netzwerk, das jedoch weder sicher noch vertrauenswürdig ist.

Zu den nativen Klartext- Tunnelprotokollen gehört das Layer-2-Tunneling-Protokoll (L2TP), wenn es ohne IPSec und das Punkt-zu-Punkt-Tunnelprotokoll (PPTP) oder die Microsoft-Punkt-zu-Punkt-Verschlüsselung (MPPE) eingerichtet ist.

Vertrauenswürdige Zustellnetzwerke

Vertrauenswürdige VPNs verwenden kein kryptografisches Tunneling. Stattdessen verlassen sie sich auf die Sicherheit des Netzwerks eines einzelnen Anbieters, um den Datenverkehr zu schützen.

  • MPLS (Multi-Protocol Label Switching ) überlagert häufig VPNs, häufig mit Kontrolle der Dienstqualität über ein vertrauenswürdiges Bereitstellungsnetzwerk.
  • L2TP ist ein standardbasierter Ersatz und ein Kompromiss, der die guten Funktionen für zwei proprietäre VPN-Protokolle nutzt: Cisco Layer 2 Forwarding (L2F) (veraltet ab 2009) und Microsoft Point-to-Point Tunneling Protocol (PPTP).

Unter Sicherheitsgesichtspunkten vertrauen VPNs entweder dem zugrunde liegenden Bereitstellungsnetzwerk oder müssen die Sicherheit mit Mechanismen im VPN selbst erzwingen. Sofern das vertrauenswürdige Bereitstellungsnetzwerk nicht nur auf physisch sicheren Standorten ausgeführt wird, benötigen sowohl vertrauenswürdige als auch sichere Modelle einen Authentifizierungsmechanismus, damit Benutzer auf das VPN zugreifen können.

VPNs in mobilen Umgebungen

Mobile virtuelle private Netzwerke werden in Einstellungen verwendet, in denen ein Endpunkt des VPN nicht an eine einzelne IP-Adresse gebunden ist, sondern über verschiedene Netzwerke wie Datennetze von Mobilfunkanbietern oder zwischen mehreren Wi-Fi- Zugangspunkten wandert, ohne die sichere VPN-Sitzung zu beenden oder Anwendungssitzungen verlieren. Mobile VPNs werden häufig in der öffentlichen Sicherheit eingesetzt, wo sie Strafverfolgungsbeamten Zugriff auf Anwendungen wie computergestützte Versand- und kriminelle Datenbanken sowie in anderen Organisationen mit ähnlichen Anforderungen wie Außendienstmanagement und Gesundheitswesen gewähren.

Netzwerkbeschränkungen

Eine Einschränkung herkömmlicher VPNs besteht darin, dass es sich um Punkt-zu-Punkt-Verbindungen handelt und Broadcast-Domänen nicht unterstützt werden. Daher werden Kommunikation, Software und Netzwerke, die auf Layer 2- und Broadcast-Paketen basieren, wie z. B. NetBIOS, das in Windows-Netzwerken verwendet wird, möglicherweise nicht vollständig unterstützt wie in einem lokalen Netzwerk. VPN-Varianten wie VPLS (Virtual Private LAN Service) und Tunneling-Protokolle der Schicht 2 sollen diese Einschränkung überwinden.

 

VPN-Dienste

Eine Vielzahl von Entitäten stellen “VPNs” für verschiedene Zwecke bereit. Je nach Anbieter und Anwendung wird jedoch nicht immer ein echtes privates Netzwerk erstellt. Stattdessen stellen viele Anbieter einfach einen Internet-Proxy bereit, der VPN-Technologien wie OpenVPN oder WireGuard verwendet. Der Begriff VPN-Dienst wird manchmal verwendet, um diese Proxys zu bezeichnen, wenn sie als kommerzieller Dienst angeboten werden. Diese Dienste werden häufig von Benutzern verwendet, die ihren physischen Standort und / oder ihre IP-Adresse verschleiern oder verschleiern möchten, normalerweise um der Internet-Zensur oder der Geoblockierung zu entgehen.


Anbieter vermarkten VPN-Dienste häufig als datenschutzverbessernd und zitieren Sicherheitsfunktionen wie Verschlüsselung aus der zugrunde liegenden VPN-Technologie. Benutzer müssen jedoch berücksichtigen, dass, wenn der übertragene Inhalt vor dem Betreten des Proxys nicht verschlüsselt wird, dieser Inhalt auf dem empfangenden Endpunkt (normalerweise auf der Site des VPN-Dienstanbieters) sichtbar ist, unabhängig davon, ob der VPN-Tunnel selbst für den Transport zwischen Knoten verschlüsselt ist. Das einzige sichere VPN besteht darin, dass die Teilnehmer an beiden Enden des gesamten Datenpfads die Kontrolle haben oder wenn der Inhalt verschlüsselt wird, bevor er in den Tunnel gelangt.

Auf der Clientseite sind Konfigurationen, die VPN-Dienste als Proxys verwenden sollen, keine herkömmlichen VPN-Konfigurationen. In der Regel verwenden sie jedoch die VPN-Schnittstellen des Betriebssystems, um die Daten des Benutzers zu erfassen und an den Proxy zu senden. Dies umfasst virtuelle Netzwerkadapter auf Computerbetriebssystemen und spezielle “VPN”-Schnittstellen auf mobilen Betriebssystemen. Eine weniger verbreitete Alternative ist die Bereitstellung einer SOCKS- Proxy-Schnittstelle.

Rechtmäßigkeit

Im März 2018 wurde die Nutzung nicht genehmigter VPN-Dienste in China verboten, da sie von Bürgern zur Umgehung der Great Firewall verwendet werden können. Personen, die nicht autorisierte VPN-Dienste betreiben, wurden mit Haftstrafen und Geldstrafen belegt. Einzelpersonen wurden außerdem für den Zugriff auf Websites über einen VPN-Dienst mit einer Geldstrafe belegt.

Weiterführende Literatur

  • Kelly, Sean (August 2001). “Notwendigkeit ist die Mutter der VPN-Erfindung”. Kommunikationsnachrichten : 26–28. ISSN 0010-3632.