Virtual Private Network (VPN)

  1. Ideen und Definition
  2. Corporate Network versus öffentliche Kommunikationsinfrastruktur
  3. Arten von VPNs

Ideen und Definition

Die grundsätzliche Idee von Virtual Private Network (VPN) ist, die Vorteile einer offenen Kommunikationsinfrastruktur zu nutzen. Dazu zählt zum Beispiel die kostengünstige, weltweit verfügbare "shared infrastructure" des Internets. Die Anforderungen an solche Netze sind aber unterschiedlich, will man doch Authentizität, Integrität und Vertraulichkeit sicherstellen. Bewegt man sich im Internet, dann muss man allen Gefährdungen der Informationssicherheit sinnvoll und angemessen entgegenwirken.

Ein VPN soll gewährleisten, dass sensible Daten während der Übertragung über verschiedene, sicherheitstechnisch nicht einschätzbare Netzwerke (LANs und WANs, private und/oder öffentliche Netze) vertrauenswürdig übertragen werden, so dass nur die dazu berechtigten Organisationen oder Personen auf die zu schützenden Daten zugreifen und den Informationsgehalt verändern können.

Zum Seiteninhalt

Corporate Network versus öffentliche Kommunikationsinfrastruktur

Corporate Network

Pro

  • völlige Freiheit bei der Gestaltung der Infrastruktur,
  • Sicherheit und Verfügbarkeit höher,
  • Sicherheitspolitik kann auf allen Ebenen eigenverantwortlich umgesetzt werden.

Contra

  • hohe Investitionen, Wartungs- und Betriebskosten müssen selbst getragen werden,
  • Innovationen im IT-Bereich zwingen zu neuen Investitionen,
  • maximaler Durchsatz bestimmt die maximale Bandbreite und damit die Kosten.
Maximaler Durchsatz bestimmt die maximale Bandbreite und damit die Kosten in Cooperate Networks.

X = maximale Bandbreite

öffentliche Kommunikationsinfrastruktur

Pro

  • Innovation durch Anbieter unmittelbar verfügbar ohne eigene Investitionen,
  • Kosten in der Regel niedriger,
  • Infrastruktur kann flexibel benutzt werden,
  • Anbieter ist für gleich bleibende Qualität verantwortlich,
  • durchschnittliche Bandbreite bestimmt die Kosten.

Contra

  • Anwender ist vom Anbieter und dessen Sicherheitsstrategie abhängig,
  • es sind auch Benutzer angeschlossen, die einen anderen Schutzbedarf haben,
  • Security Policy des Anbieters nicht immer klar nachvollziehbar und überprüfbar.
Durchschnittliche Bandbreite bestimmt die Kosten in öffentlichen Kommunikationsinfrastrukturen.

X = maximale Bandbreite

Zum Seiteninhalt

Arten von VPNs

Branche-Office VPN

  • ersetzen herkömmliche WAN-Verbindungen (eigentliche Bezeichnung: Site-to-Site-VPN) wie Standardfestverbindungen, Frame Relay oder ATM,
  • Kosten nur jeweils bis zum POP des Providers,
  • Einsparungen sind nicht so hoch wie bei Remote-Access-VPNs, es ist jedoch möglich, die Gebühren um bis zu 50 Prozent zu reduzieren (im internationalen Bereich sogar mehr).
Abbildung BrancheOffice VPN

Ein Branche-Office-VPN verbindet die drei Standorte redundant durch virtuelle Verbindungen (Tunnel) über das Internet.

Extranet VPN

  • Öffnet das private Netz auch für externe Personen oder Organisationen und gewährt diesen Zugriff auf Ressourcen im Unternehmensnetzwerk.
  • Datenpakete müssen gesondert behandelt werden (entweder vom Gateway oder die Firewall).
  • Firewall ist für dynamische und zustandsabhängige Filterung, die Zugriffsbeschränkung, das Auditing und das Logging zuständig.
Abbildung Extranet VPN

Ein Extranet-VPN verbindet auch fremde Standorte oder Benutzer mit dem Intranet.

Für diese Verbindungen sind spezielle Sicherheitsregeln anzuwenden.

Intranet VPN

Bei einem Intranet-VPN werden auf einem privaten, meist lokalen Netzwerk verschiedene logische Netzwerke auf der OSI-Ebene 2 (Sicherungsschicht) oder 3 (Vermittlungsschicht) abgebildet. Dieses wird verwendet, um bestimmte Gruppen oder Organisationseinheiten auf Netzwerkbasis voneinander zu trennen.

Remote-Access VPN

Abbildung Remote-Access VPN 1

Der Remote-Access-Konzentrator muss Verbindungen mit unterschiedlicher Technologie terminieren.

  • Üblicherweise durch Einsatz von Remote-Access-Concentrators (RAC):
    • ist an das öffentliche Telefonnetz angeschlossen,
    • ermöglicht analoge und digitale Einwahl ins Netz.
  • technisch sehr komplex und daher sehr teuer:
    • relativ teure Technologie für die Verbindung zum öffentlichen Netz beschaffen,
    • Technologie muss ständig an neue technischen Gegebenheiten angepasst werden,
    • vergleichsweise hohe Grundgebühr für die benötigten Primärmultiplexanschlüsse,
    • Verbindungsgebühren ebenfalls hoch, besonders bei internationalen Einwahlen,
    • andere Dienste wie Kabelmodem oder DSL in RACs nicht verarbeitbar.
Abbildung Remote-Access VPN 2

Der VPN-Konzentrator terminiert nur eine IP-Verbindung, die Einwahl der Clients erfolgt beim Internet Service Provider (ISP).
Remote-Access-VPN bestehen aus dem VPN-Konzentrator (VPN-K), der die virtuellen Remote-Access-Verbindungen terminiert und einen Software-Client.

  • VPN-K terminiert nur logische Verbindungen (Tunnel).
  • Clients verbinden sich mit beliebiger Technologie zum Service Provider.
  • Viel günstigere Methode, da nur eine Verbindung zum nächstgelegenen RAC des Providers aufgebaut werden muss. Im Kostenvergleich ist die VPN-K Methode bis zu 70-80 Prozent günstiger.
  • Deutlich geringerer Portpreis eines VPN-K im Vergleich zu einem RAC.

VPN vom Service-Provider

VPN-Dienste, die von einem Service-Betreiber geliefert werden.

IP-VPN-Dienst

IP-VPNs ermöglichen Betrieb in Eigenregie, vollständiges Outsourcing oder Zwischenstufen.

Abbildung VPN-Dienst

Die verschiedenen Stufen von IP-VPN-Diensten und der Grad der Beteiligung durch Kunde, Service Provider und Carrier.

Layer-2 VPN-Dienste

Abbildung VPN Layer

Fast ausschließlich zum Betreiben virtueller PPP-Verbindungen. Es wird eine Verbindung über die Einwahlknoten der ISPs aufgebaut. Die Telefonverbindung wird am POP terminiert, die Datenverbindung erst beim VPN-Gateway.

Quelle: Manfred Lipp: VPN-Virtuelle Private Netzwerke, Aufbau und Sicherheit