Kapitel 6. Virtuelle Private Netzwerke

Unternehmen mit mehreren Zweigstellen sind h�ufig �ber spezielle Leitungen miteinander verbunden, um Effizienz und Schutz empfindlicher Daten zu gew�hren. Viele Firmen nutzen zum Beispiel Frame Relay oder Asynchronous Transfer Mode (ATM) Leitungen als End-to-End Netzwerkl�sung, um B�ros miteinander zu verbinden. Dies kann eine teurere L�sung darstellen, insbesondere f�r kleine bis mittlere Unternehmen, die sich vergr��ern, jedoch nicht die hohen Kosten f�r hochrangige Digitalschaltungen in Kauf nehmen wollen.

Virtuelle Private Netzwerke (VPN) stellen eine L�sung f�r dieses Problem dar. Dem Prinzip besonders zugewiesener Digitalschaltungen folgend, erm�glichen VPNs gesicherte, digitale Kommunikation zwischen zwei Parteien (oder Netzwerken) und erstellen somit ein Wide-Area-Netzwerk (WAN) aus bestehenden Local-Area-Netzwerken (LANs). Der Unterschied zum Frame Relay oder ATM ist das Transportmedium. VPNs �bertragen �ber IP- oder Datagram (UDP)-Schichten, und sorgen somit f�r einen sicheren Transfer durch das Internet zum Bestimmungsort. Die meisten frei verf�gbaren VPN-Implementierungen enthalten Open Standard, eine Open Source Verschl�sselung f�r das Maskieren von Daten w�hrend der �bertragung.

Einige Unternehmen setzen VPN-Hardwarel�sungen ein, um die Sicherheit zu erh�hen, w�hrend andere Software- oder Protokoll-basierte Implementierungen verwenden. Es gibt mehrere Hersteller f�r Hardware-VPN-L�sungen, wie z.B. Cisco, Nortel, IBM und Checkpoint. Es gibt eine kostenlose, Software-basierte VPN-L�sung f�r Linux mit dem Namen FreeS/Wan, die eine standardisierte IPSec (Internet Protocol Security) Implementierung verwendet. Diese VPN-L�sungen verhalten sich wie spezielle Router, die sich in der IP-Verbindung von einem B�ro zum n�chsten befinden.

Wird ein Paket von einem Client �bertragen wird, wird dies durch den Router oder das Gateway geschickt, die wiederum Header-Informationen f�r Routing und Authentifizierung hinzuf�gen, die Authentication Header (AH) genannt werden. Die Daten sind verschl�sselt und mit Anleitungen zur Entschl�sselung und Handhabung versehen, die Encapsulating Security Payload (ESP) genannt werden. Der empfangende VPN-Router holt sich die Header-Information und leitet diese zum Zielort weiter (entweder zu einer Workstation oder einem Knoten im Netzwerk). Unter Verwendung einer Netzwerk-zu-Netzwerk Verbindung erh�lt der empfangende Knoten am lokalen Netzwerk die Pakete unverschl�sselt und bereit zur Verarbeitung. Der Verschl�sselungs-/Entschl�sselungsprozess in einer Netzwerk-zu-Netzwerk VPN-Verbindung, ist f�r den lokalen Knoten transparent.

Durch solch einen erh�hten Grad an Sicherheit muss ein Cracker nicht nur ein Paket abfangen, sondern dies auch entschl�sseln. Eindringlinge, die eine Man-in-the-Middle-Attacke zwischen einem Server und einem Client durchf�hren, m�ssen daher auch Zugang zu mindestens einem der Schl�ssel besitzen, die f�r die Authentifizierung verwendet werden. VPNs sind ein sicheres und effektives Mittel f�r die Verbindung mehrerer entfernter Knoten, die sich dann als ein vereinheitlichtes Intranet verhalten.