vpn

Inhaltsverzeichnis

Arten
- Layer 2 VPN
- Layer 3 VPN
Always On VPN
Funktion
- Phase 1
- Phase 2
Protokolle
Sicherheit
VPN Concentrator
Software
Links

Ein Virtual Private Network (VPN) verbindet mehrere Teilnehmer eines Netzwerks zu einem abgeschlossenen Teilnetzwerk. Die Verbindungen zwischen den Teilnehmern sind durch Tunnel- und Verschlüsselungstechniken vom öffentlichen IP-Netzwerk abgeschottet und ermöglichen eine geschützte Übertragung von Daten. Die Verbindung zwischen dem Client und dem Gateway kann als eine Art Tunnel betrachtet werden. Es besteht eine IP-Verbindung zwischen den Teilnehmern mit öffentlichen IP-Adressen. Über diese Verbindung übertragen die Kommunikationspartner verschlüsselte Daten. Mit Hilfe dieser Daten entsteht eine zweite geschützte Verbindung mit eigenen IP-Adressen, die von außen weder einsehbar noch manipulierbar ist. Erst an den Endpunkten, dem Sender und dem Empfänger, erfolgt das Entschlüsseln und Auspacken der im Tunnel verwendeten IP-Adressen und Daten. Das öffentliche IP-Netz stellt nur die reine Transport- und Vermittlungsleistung zur Verfügung.

Bei Konfiguration auf einem Loopback Interface muss das Loopback Interface in der „outside“ Sicherheitszone sein.

Es gibt „policy based“ und „route based“ VPNs. Der Unterschied besteht darin wie sie „interesting traffic“ (Nutz-Traffic über das VPN) identifizieren.

Route-based: Target matching based on Network Prefix, Ein „Phase 1“ und ein „Phase 2“ Tunnel für den gesamten Traffic
Policy based: Rule-Sets match traffic, different rules for different traffic, Ein „Phase 1“ und mehrere „Phase 2“ Tunnel für verschiedene Arten von Traffic.

Arten

Name	Beschreibung
Remote Access VPN	Ein Remote Access VPN ermöglicht es Benutzern, von außerhalb des Unternehmensnetzwerks sicher auf das Netzwerk zuzugreifen. Dies ist besonders nützlich für Mitarbeiter, die von zu Hause aus arbeiten oder unterwegs sind. Remote Access VPNs bieten eine verschlüsselte Verbindung über das Internet zum Unternehmensnetzwerk, um sensible Informationen und interne Ressourcen sicher zugänglich zu machen.
Site-to-Site VPN	Ein Site-to-Site VPN, auch als Router-to-Router VPN oder Netzwerk-to-Netzwerk VPN bezeichnet, ermöglicht die sichere Kommunikation zwischen verschiedenen Standorten oder Zweigstellen eines Unternehmens. Es schafft eine verschlüsselte Verbindung über das Internet oder andere öffentliche Netzwerke, um den sicheren Austausch von Daten und Ressourcen zwischen den verschiedenen Standorten zu gewährleisten. Site-to-Site VPNs werden häufig in Unternehmen eingesetzt, die über mehrere Niederlassungen oder Standorte verfügen.
Mobile VPN	Ein Mobile VPN ist speziell für mobile Geräte wie Smartphones oder Tablets entwickelt. Es ermöglicht Benutzern, sich sicher mit dem Internet zu verbinden, wenn sie sich häufig zwischen verschiedenen Netzwerken bewegen. Mobile VPNs bieten eine verschlüsselte Verbindung und schützen die Kommunikation von mobilen Geräten, wenn sie mit öffentlichen WLAN-Netzwerken oder anderen unsicheren Netzwerken verbunden sind.
SSL/TLS VPN	Ein SSL/TLS VPN, auch als Web-basiertes VPN oder Secure Socket Layer VPN bezeichnet, nutzt die Verschlüsselungstechnologie des SSL/TLS-Protokolls, das normalerweise für die sichere Übertragung von Daten im Web verwendet wird. SSL/TLS VPNs ermöglichen es Benutzern, über einen Webbrowser auf das VPN zuzugreifen, ohne dass zusätzliche Software installiert werden muss. Dies erleichtert die Einrichtung und den Zugriff auf das VPN, insbesondere für Benutzer, die auf öffentlichen Computern oder Geräten arbeiten.

Layer 2 VPN

Siehe z.B L2TPv3, VPLS.

Layer 3 VPN

Siehe z.B MPLS.

Always On VPN

Ein Always On VPN (Virtual Private Network) ist eine Technologie, die dafür sorgt, dass eine kontinuierliche und automatische VPN-Verbindung zwischen einem Endgerät (z.B. Laptop, Smartphone oder Tablet) und einem VPN-Server aufrechterhalten wird. Diese Art von VPN wird häufig in Unternehmensumgebungen eingesetzt, um sicherzustellen, dass alle Datenverbindungen eines Geräts über den VPN-Tunnel geleitet werden, wodurch die Sicherheit und der Datenschutz verbessert werden.

Funktion

Ein VPN-Tunnel besteht in der Regel (es gibt Ausnahmen) aus zwei Phasen. Diese Phasen werden oft als „Phase 1“ und „Phase 2“ bezeichnet.

WireGuard ist eine Ausnahme! Bei WireGuard handelt es sich um ein modernes, schlankes VPN-Protokoll, das auf dem Prinzip der „Always-on“-Verbindung basiert. Es verwendet eine einzige, verschlüsselte UDP-Verbindung, um den gesamten VPN-Traffic zu übertragen.

Phase 1

In dieser Phase wird der sichere Kanal für die weitere Kommunikation zwischen den VPN-Endpunkten aufgebaut.
Es werden Sicherheitsparameter ausgehandelt, wie Verschlüsselungsmethoden, Integritätsprüfungen (Integrity Checksums) und Authentifizierungsmethoden.
Es findet ein Schlüsselaustausch statt, um die weiteren Verschlüsselungsschlüssel zu generieren.
In dieser Phase wird normalerweise das Internet Key Exchange Protocol (IKEv1 oder IKEv2) verwendet.

Phase 2

In dieser Phase wird der tatsächliche verschlüsselte Datenverkehr über den sicheren Kanal übertragen.
Es werden Sicherheitsvereinbarungen getroffen, einschließlich der Zuweisung von IP-Adressen für den Tunnelverkehr.
Die verschlüsselten Datenpakete werden über den Tunnel gesendet und an den entsprechenden Endpunkt entschlüsselt.
In dieser Phase wird normalerweise das IPsec-Protokoll (Internet Protocol Security) verwendet.

Es ist wichtig zu beachten, dass die genauen Details und Parameter der beiden Phasen von den verwendeten Protokollen und den spezifischen Konfigurationen der VPN-Geräte abhängen können. Die Phasen können jedoch als allgemeine Konzepte betrachtet werden, die für die meisten VPN-Implementierungen gelten.

Protokolle

Es gibt mehrere Protokolle und Technologien, die für die Implementierung von VPNs verwendet werden.

IKE: Internet Key Exchange und ist ein Schlüsselaustauschprotokoll, das häufig in Verbindung mit dem IPSec-Protokoll verwendet wird. IKE dient dazu, die erforderlichen Sicherheitsparameter und Schlüssel zwischen VPN-Gateways oder VPN-Clients auszutauschen.
IPSec: Internet Protocol Security (IPSec) ist ein weit verbreitetes Protokoll zur Sicherung von IP-Kommunikation. Es bietet Authentifizierung und Verschlüsselung auf Netzwerkebene und kann in Kombination mit anderen Protokollen wie IKE verwendet werden.
OpenVPN: OpenVPN ist ein Open-Source-VPN-Protokoll, das eine flexible und sichere VPN-Verbindung ermöglicht. Es basiert auf SSL/TLS (Secure Sockets Layer/Transport Layer Security) und kann auf verschiedenen Plattformen eingesetzt werden. OpenVPN verwendet eine Kombination aus symmetrischer und asymmetrischer Verschlüsselung.
l2tpv3/IPsec: Layer 2 Tunneling Protocol Version 3 (L2TPv3) ist ein Protokoll, das es ermöglicht, VPN-Tunnel auf Layer 2 über bereits bestehende Netzwerke aufzubauen. Es wird häufig in Kombination mit IPsec verwendet, um Verschlüsselung und Authentifizierung bereitzustellen. L2TPv3/IPsec bietet eine gute Kompatibilität mit verschiedenen Betriebssystemen und Geräten.
SSTP: Secure Socket Tunneling Protocol (SSTP) ist ein proprietäres VPN-Protokoll, das von Microsoft entwickelt wurde. Es ermöglicht eine verschlüsselte VPN-Verbindung über den HTTPS-Port (Port 443) und bietet eine gute Integration mit Windows-Betriebssystemen.
WireGuard: WireGuard ist ein relativ neues VPN-Protokoll, das auf modernen Kryptographie-Techniken basiert. Es zeichnet sich durch hohe Geschwindigkeit, Effizienz und einfache Konfiguration aus. WireGuard ist quelloffen und wird in zunehmendem Maße in verschiedenen VPN-Lösungen eingesetzt.
PPTP: Point-to-Point Tunneling Protocol (PPTP) war eines der ersten VPN-Protokolle, das breite Verwendung fand. Es bietet eine einfache Einrichtung und gute Kompatibilität, jedoch wird es aufgrund seiner Sicherheitsmängel und Schwächen in der Verschlüsselung heutzutage weniger häufig eingesetzt.

Sicherheit

Für die Verschlüsselung kommen Techniken wie die Internet Protocol Security (IPsec) mit Encapsulating Security Payload (ESP) zum Einsatz. Diese Techniken stellen die Integrität und Vertraulichkeit der Kommunikation sicher und sorgen für die Authentisierung der Teilnehmer. Sollen sich mehrere Clients mit einem Virtual Privat Network verbinden, ist an zentraler Stelle in der Regel ein Gateway wie ein Router oder eine Firewall installiert. Diese Geräte unterstützen IPSec und ESP und kommunizieren mit den Clients der verschiedenen Geräte.

Da einige Netzwerke wie öffentliche Hotspots die direkte Übertragung von IPsec unterbinden, kann zur Vermeidung von Übertragungsproblemen ein nochmaliges Verpacken in normales IP erfolgen. Auf dem Client und dem Gateway werden Passwörter, öffentliche Schlüssel oder Zertifikate zur gegenseitigen Authentisierung genutzt.

VPN Concentrator

Ein VPN Concentrator kann den Datenverkehr von mehreren Site-to-Site VPN-Verbindungen zentral verwalten und verarbeiten. Ein VPN Concentrator ist jedoch nicht zwingend erforderlich, um ein Site-to-Site VPN einzurichten. VPN-Clients, VPN-Router und VPN-Konzentratoren führen an jedem Ende der Verbindung die Authentifizierung sowie die Ver- und Entschlüsselung durch.

Die Verschlüsselung hat zwei Modi. Der erste, Transportmodus genannt, verschlüsselt nur die Nutzlast der Daten; die ursprünglichen Paket-Header bleiben dabei intakt. Die zweite Methode, der sogenannte Tunnelmodus, verschlüsselt das gesamte Paket und kapselt es in ein neues IP-Datagramm ein.

VPN-Konzentratoren werden am Rand des Unternehmensnetzwerks eingesetzt, entweder direkt innerhalb der Grenz-Firewall über eine einzige Schnittstelle oder parallel zu der im Passthrough-Modus konfigurierten Firewall mit einer Schnittstelle nach innen und außen.

Cisco Meraki
ShoreTel
Aruba

Software

OpenVPN
FortiClient
Cisco AnyConnect
WireGuard
Netbird