Grundlagen

Bevor wir uns mit den einzelnen VPN-Protokollen beschäftigen, sollten wir die Grundlagen für den Aufbau eines VPN klären. VPNs können auf zwei verschiedene Schichten des OSI-Schichtenmodells betrieben werden, auf Schicht 2 und auf Schicht 3. Die verschiedenen Protokolle arbeiten auf den verschiedenen Schichten. Genauere Informationen über das OSI-Schichtenmodell erhalten Sie in den Netzwerkkursen. Ich werde an dieser Stelle nicht ins Detail gehen. Beginnen wir mit Schicht 2. Das ist die Sicherungsschicht, Data Link Layer. Hier werden die Zugriffsmethoden auf das Kabel definiert. Diese Schicht bündelt die Daten zu Paketen und fügt ihnen im Kopf (Header) und Ende (Trailer) Informationen hinzu, die zur Weiterleitung benötigt werden. Die zweite Schicht ist für den Transport der Datenpakete von Station zu Station zuständig und übernimmt die Fehlerkontrolle. VPNs, die auf Schicht 2 eingerichtet werden, benutzen die Ethernet-Technologie einer Brücke, auch Bridg genannt. Daher werden Sie auch als Bridged VPN bezeichnet. An dieser Stelle möchte ich noch den Begriff TAP erwähnen. Tab ist ein virtueller Netzwerke Kerneltreiber, der Netzwerkgeräte über Software simuliert. TAP bedeutet Netzwerkausleitung. Das englische Wort Tab bedeutet zu Deutsch Wasserhahn und simuliert eine Punkt-zu-Punkt-Verbindung, via Ethernet-Gerät auf der OSI-Schicht 2. Die virtuelle Schnittstelle wird bei einem Schicht 2 VPN als TAB bezeichnet. Die nächsthöhere Schicht im OSI-Schichtmodell ist Schicht 3, Network Layer oder auch Vermittlungsschicht genannt. Diese Schicht adressiert Meldungen innerhalb und zwischen Netzwerken. In dieser Schicht werden Routen zu Übertragung von Datenpaketen festgelegt. Sie regelt die Weiterleitung von Datenpaketen unter zur Hilfenahme von Schicht 2. Sie übernimmt die Adressierung der Pakete und die Auswahl des richtigen Pfads. Dieses Vorgehen wird auch Routing genannt und wird meistens vom Protokoll IP ausgeführt. Eine auf Schicht 3 eingerichtetes VPN wird als geroutetes VPN bezeichnet, da es auf IP-Routing angewiesen ist, um Pakete zwischen Netzwerken zu verschieben. Genau wie in Schicht 2, gibt es auch hier einen virtuellen Netzwerk Kerneltreiber, den Netzwerkgeräte über Software simuliert. Auf Schicht 3 werden die virtuellen Schnittstellen TUN genannt. TUN steht hierbei für Netzwerktunnel. TUN simuliert ein Ende-zu-Ende-Netzwerkgerät, OSI-Layer 3, und kommuniziert per IP-Paketen mit der Software. Lassen Sie uns nun zum ersten Protokoll kommen, dem Kernstück des Aufbaus einer Kommunikation über VPN dem Protokoll PPP. PPP bedeutet Point-to-Point-Protokoll und arbeitet auf OSI-Schicht 2. PPP richtet eine Verbindung zwischen den beiden Hosts ein und ermöglicht so den Transport der Daten zwischen diesen beiden Punkten. Die beiden Endpunkte, zwischen denen die Verbindung eingerichtet wird, sind die beiden virtuellen Netzwerkadapter mit ihren IP-Adressen. PPP ist ein Protokoll, dass als Standard benutzt wird und nicht nur für VPNs eingesetzt werden kann. Viele Internetprovider verwenden PPP, um eine Netzwerkverbindung über Telefonleitungen herzustellen. In jedem Fall stellt PPP die Basis für die Kommunikation dar, indem eine Endpunkt-Verbindung eingerichtet wird. VPNs setzen auch die Einrichtung eines sicheren Kanals voraus, der durch Schlüsselaustausch abgewickelt wird. Die Vorgehensweisen sind bei verschiedenen Protokollen unterschiedlich. Eine mögliche Variante des Schlüsselaustauschs ist der vorinstallierte Schlüssel Preshared Key, häufig als PSK abgekürzt. Dieser vorinstallierte Schlüssel ist für beide Seiten verfügbar. Mit ihm wird dann die Verschlüsselung vorgenommen. Es gibt auch die Möglichkeit, dass Sicherheitsprotokolle erst beim Beginn der Verbindung ausgehandelt werden. Bei vielen VPNs umfasst dieses Aushandeln die Generierung eines Sitzungsschlüssels, mit dem zwischen den Systemen gesendete Daten verschlüsselt und entschlüsselt werden. Dies wird Forward Secrecy genannt, das bedeutet Vorwärts gerichtete Geheimhaltung. Auch der Begriff Perfeckt Forward Secrecy ist gebräuchlich und hat die gleiche Bedeutung. Das Prinzip dahinter ist, dass für jede Sitzung ein neuer Schlüssel generiert wird. Die Aushandlung erfolgt jeweils am Anfang einer Sitzung und ist ausschließlich für diese Sitzung gültig. Der Vorteil hierbei ist, dass es nicht möglich ist, mit einem Schlüssel für eine vorherige Sitzung eine andere Sitzung zu entschlüsseln. Sollte also jemand Sitzungsschlüssel berechnen können, sind diese wertlos, da sie nicht auf eine andere Kommunikationssitzung angewendet werden können. Der Aufwand ist bei Perfect Forward Secrecy natürlich relativ hoch, da immer wieder neue Schlüssel generiert werden müssen, aber es ist ein sehr sicherer Weg. Einen weiteren Begriff sollten wir noch klären, bevor wir in die Welt der Protokolle eintauchen, nämlich die Bedeutung von Ports. Ports sind die Schnittstellen zwischen den Transportprotokollen und den Anwendungsprotokollen. Man kann sie sich als Endpunkte der TCP-, UDP-Kommunikation vorstellen als definierte Übergabevereinbarungen. Für jede Kommunikation werden zwei Ports benötigt, auf jeder Seite einen. Auch die VPN-Protokolle übergeben Daten an Ports. Für alle VPN-Protokolle sind Ports auf dem Server definiert, zu denen der Client Kontakt aufnimmt. Damit eine Kommunikation stattfinden kann, müssen diese Ports natürlich in der Firewall freigegeben werden.