2.4. Virtual Private Networks (VPNs)
Unternehmen mit mehreren Zweigstellen sind häufig über spezielle Leitungen miteinander verbunden, um die Effizienz und den Schutz sensibler Daten zu gewährleisten. Viele Unternehmen nutzen zum Beispiel Frame Relay oder Asynchronous Transfer Mode (ATM) Leitungen als Netzwerklösung, um Büros miteinander zu verbinden. Dies kann jedoch eine teure Lösung sein, insbesondere für kleine bis mittelständische Unternehmen, die sich zwar vergrößern möchten, jedoch nicht die hohen Kosten für dedizierte Digitalleitungen der Unternehmensklasse in Kauf nehmen wollen.
Virtual Private Networks (kurz VPN) stellen eine Lösung für dieses Problem dar. Dem Prinzip dedizierter Digitalschaltungen folgend, ermöglichen VPNs gesicherte, digitale Kommunikation zwischen zwei Parteien (oder Netzwerken) und bilden somit ein Wide-Area-Netzwerk (WAN) aus bestehenden Local-Area-Netzwerken (LANs). Der Unterschied zum Frame Relay oder ATM ist das Transportmedium. VPNs übertragen via IP-Datagrammen, und sorgen somit für eine sichere Übertragung über das Internet zum Bestimmungsort. Die meisten frei verfügbaren VPN-Implementierungen verwenden offene Standards als Verschlüsselungsmethode, um die Daten während der Übertragung weiter zu maskieren.
Einige Unternehmen setzen VPN-Hardware-Lösungen ein, um die Sicherheit zu erhöhen, während andere Software- oder Protokoll-basierte Implementierungen verwenden. Es gibt mehrere Hersteller für Hardware-VPN-Lösungen, wie z. B. Cisco, Nortel, IBM und Checkpoint. Es gibt eine kostenlose, Software-basierte VPN-Lösung für Linux namens FreeS/Wan, die eine standardisierte IPSec (Internet Protocol Security) Implementierung verwendet. Diese VPN-Lösungen, egal ob Hardware- oder Software-basiert, verhalten sich wie spezielle Router, die sich zwischen der IP-Verbindung von einem Büro zum anderen befinden.
2.4.1. Funktionsweise eines VPNs
Wenn ein Paket von einem Client verschickt wird, wird es durch den VPN-Router oder -Gateway gesendet. Dieser fügt ein Authentication Header (AH) für das Routing und zur Authentifizierung hinzu. Die Daten werden dann verschlüsselt und schließlich in ein Encapsulating Security Payload (ESP) Paket eingeschlossen. Letzteres enthält die Verschlüsselung und Anweisungen zur Verarbeitung.
Der empfangende VPN-Router holt sich die Header-Information, entschlüsselt die Daten und leitet diese zum Zielort weiter (entweder an einen Arbeitsplatzrechner oder einen Knoten im Netzwerk). Unter Verwendung einer Netzwerk-zu-Netzwerk Verbindung erhält der empfangende Knoten am lokalen Netzwerk die Pakete schon entschlüsselt und bereit zur Verarbeitung. Der Verschlüsselungs-/Entschlüsselungsprozess in einer Netzwerk-zu-Netzwerk VPN-Verbindung ist für den lokalen Knoten transparent.
Durch solch einen erhöhten Grad an Sicherheit muss ein Angreifer nicht nur ein Paket abfangen, sondern dies auch noch entschlüsseln. Angreifer, die eine Man-in-the-Middle-Attacke zwischen einem Server und einem Client durchführen, müssen daher auch Zugang zu mindestens einem der privaten Schlüssel besitzen, die für die Authentifizierung der Sessions verwendet werden. Aufgrund ihrer verschiedenen Schichten zur Authentifizierung und Verschlüsselung sind VPNs ein sicheres und effektives Mittel für die Verbindung mehrerer entfernter Knoten, die sich dadurch wie ein einziges Intranet verhalten können.