VPN-Knigge

Verschiedene Techniken bieten sich zum Aufbau eines virtuellen privaten Netzwerks an, aber nicht alle passen zum gedachten Einsatzszenario. Eine Übersicht über Standards und Protokolle erleichtert die Auswahl

In Pocket speichern vorlesen Druckansicht
Lesezeit: 24 Min.
Von
  • Daniel Bachfeld
Inhaltsverzeichnis

Das derzeit am häufigsten eingesetzte VPN-Protokoll ist IPSec (IP Security). Mittlerweile findet man es so gut wie in jedem Firewall-Produkt, einige Heim-Router im oberen Preissegment haben es eingebaut und seit Windows 2000 ist es Bestandteil von Microsofts Betriebssystem. Mit IPSec ist es möglich, IP-Pakete kryptographisch gesichert über öffentliche Netze zu transportieren. Mehrere RFCs (RFC2401 - 2409) beschreiben die bei IPSec zum Einsatz kommenden Verfahren und Protokolle.

IPSec bietet zwei Sicherungsarten: Authentication Header (AH) und Encapsulation Security Payload (ESP) jeweils in Kombination mit den Betriebsmodi Tunnel oder Transport. Mit AH kann der Anwender nur die Integrität und Echtheit der Daten sicherstellen, indem über jedes verschickte Paket ein HMAC (siehe Glossar) gebildet wird. AH wird nur selten eingesetzt, da es kaum Anwendungen gibt, in denen nur die Integrität zählt.

Für die Vertraulichkeit der Kommunikation sorgt ESP, das die Pakete verschlüsselt. Zusätzlich schützt eine Integritätssicherung vor Manipulationen, allerdings nicht für das gesamte Paket wie bei AH. Bei ESP fließt etwa die IP-Adresse nicht in die Berechnung des HMAC ein, sodass sich diese manipulieren lässt. Dies erlaubt aber trotzdem kein IP-Spoofing, da eine Authentisierung der Kommunikationspartner beim Tunnelaufbau stattfindet.

Beim Transport-Mode bleiben die äußeren Header erhalten.

Zusätzlich zur Wahl zwischen AH und ESP hat der Anwender die Möglichkeit, die Pakete im Transport- oder Tunnel-Mode über das Netz zu verschicken. Beim Transport-Mode wird der Original-IP-Header, also IP-Adresse plus IP-Optionen, weiter benutzt. Im Tunnel-Mode kapselt IPSec das ganze Paket samt IP-Header und schreibt einen neuen IP-Header davor -- die Original-IP-Adresse ist nicht mehr sichtbar. Erst bei der Entschlüsselung auf der gegenüberliegenden Seite kommt die IP-Adresse mitsamt des restlichen Paketes wieder zum Vorschein.

Der Tunnel-Mode verschleiert die Original-Adresse des Absenders.

Üblicherweise kommt die Kombination ESP und Tunnelmode auf VPN-Gateways zum Einsatz, wenn entfernte Subnetze miteinander über ein unsicheres Netz gekoppelt werden. Sollen zwei Rechner miteinander über IPSec im LAN kommunizieren, so wählt man meist den Transport-Mode.

Die kryptographischen Funktionen von AH und ESP beruhen auf symmetrischen Schlüsseln. Um diese nicht vorab austauschen zu müssen, handelt das Internet-Key-Exchange-Protokoll (IKE) diese beim Aufbau der Verbindung dynamisch aus. Nebenbei erledigt IKE auch noch die Authentifizierung der Teilnehmer und das Aushandeln der Security Associations (SA), in denen die Konfiguration der Verbindung festgehalten wird.

Beim Verbindungsaufbau durchläuft IKE zwei Phasen: In Phase 1 (Main Mode) tauschen die Partner in vier Nachrichten Schlüsselmaterial aus, um sich auf einen gemeinsamen symmetrischen Schlüssel (SKEYID) zu einigen. Aus SKEYID werden ein Schlüssel zur Authentisierung und einer zur Verschlüsselung der weiteren IKE-Nachrichten abgeleitet sowie ein Schlüssel für die spätere Phase 2. Anschließend erfolgt über zwei weitere, nun verschlüsselte Nachrichten die Authentifizierung der VPN-Teilnehmer durch digitale Signaturen, RSA-Schlüssel oder Pre-Shared Keys (PSK). Letztere sind nichts anderes als geheime Passwörter, die auf beiden Seiten der IPSec-Verbindung identisch sein müssen.

PSKs sind wesentlich einfacher zu handhaben als Zertifikate, haben aber im Main Mode einen entscheidenden Nachteil: Sie funktionieren nur mit statischen IP-Adressen. Das liegt daran, dass im Main Mode ein PSK fest an die IP-Adresse der Gegenstelle gekoppelt ist und nicht nur zur Authentifizierung dient. Der PSK geht nämlich in die Berechnung des Schlüssels SKEYID ein. Ohne die feste Zuordnung könnte eine Gegenstelle die beiden letzten chiffrierten Nachrichten nicht entschlüsseln. Im Unterschied dazu wird bei der Authentifizierung durch Zertifikate der Schlüssel mittels des Diffie-Hellman-Key-Exchange-Verfahrens immer neu berechnet.

Dieser Artikel ist eine gekürzte Fassung des ursprünglich in c't 07/06, Seite 114, erschienen Artikels.