Bundesamt für Sicherheit in der Informationstechnik

M 3.65 Einführung in VPN-Grundbegriffe

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, IT-Sicherheitsbeauftragter

Ein Virtuelles Privates Netz (VPN) bietet einen durch Zugriffskontrolle und Verschlüsselung abgeschotteten sicheren Kommunikationskanal zwischen IT-Systemen. Durch die Auswahl und Einbindung geeigneter kryptographischer Verfahren kann die Integrität und Vertraulichkeit der übertragenen Daten geschützt werden. Ebenso können bei geeigneter Konfiguration die Kommunikationspartner sicher authentisiert werden, auch dann, wenn mehrere Netze oder Rechner über gemietete Leitungen oder öffentliche Netze miteinander verbunden sind.

Ein VPN kann dabei über nahezu beliebige Medien aufgebaut werden. VPNs können sich in der Implementierung, den Funktionen und auch der genutzten Schicht des ISO/OSI-Schichtenmodells unterscheiden. Bereits bei der Planung eines VPNs sollte entschieden werden, wie das VPN später betrieben werden soll und ob ein externer Dienstleister mit dessen Aufbau oder Betrieb beauftragt werden sollte.

Typische VPN-Nutzungsszenarien:

Nachfolgend werden einige Einsatzszenarien, in denen VPNs üblicherweise eingesetzt werden, beschrieben.

  • Mobile Mitarbeiter:
    Mobile Mitarbeiter arbeiten an wechselnden Arbeitsplätzen in unterschiedlichen Umgebungen und benötigen dabei unter Umständen einen Fernzugriff auf Daten im LAN innerhalb der Institution. Neben der Absicherung solcher Verbindungen muss auch die Sicherheit des Endgeräts sowie dessen Einsatzumgebung beachtet werden. Je nach Aufgabengebiet kann es sein, dass sich die Mitarbeiter von beliebigen Arbeitsorten, z. B. einem Hotel oder Flughafen, ins interne Netz einwählen möchten. Um hier eine angemessene, mit einem Büroraum vergleichbare Sicherheitssituation zu erreichen, sind zusätzlich die Empfehlungen in B 2.10 Mobiler Arbeitsplatz zu beachten. Die Endgeräte der Mitarbeiter sind typischerweise Laptops oder PDAs. Auch hierfür müssen die entsprechenden IT-Grundschutz-Bausteine angewandt werden, also B 3.203 Laptop , B 3.405 Smartphones, Tablets und PDAs , etc.
  • Telearbeitsplatz:
    Bei der Anbindung eines Telearbeitsplatzes greift ein Client-System von einem festen Arbeitsort außerhalb der Büroumgebung auf das interne Netz einer Institution zu.
    Die Kommunikation zwischen Telearbeitsrechner und LAN erfolgt normalerweise über unsichere, öffentliche Netze. Die IT-Systeme des Telearbeitsplatzes sollten zentral administriert werden. Wie die Anbindung der Telearbeitsrechner abgesichert werden kann, ist in B 5.8 Telearbeit beschrieben.
  • Standortvernetzung:
    Bei der Standortvernetzung werden Teilnetze an unterschiedlichen Standorten einer Institution miteinander verbunden. Hierbei werden die vertrauenswürdigen LANs, die unter eigener Kontrolle stehen, häufig über ein unsicheres öffentliches Transportnetz verbunden. In diesem Szenario ist besonders der Transportkanal abzusichern. Zusätzlich müssen die Netze und die Client-Systeme der Standorte mittels Sicherheitsgateways gegen Angriffe aus dem Internet gesichert werden.
  • Kunden- und Partner-Anbindung:
    Häufig sollen Kunden oder Partner an das interne Netz einer Institution angebunden werden. Folgende Szenarien sind typisch
    • Es sollen bestimmte interne Informationen bereitgestellt werden, so dass diese aus einem nur eingeschränkt vertrauenswürdigen Netz, d. h. von "außen", abgerufen werden können.
    • Aus dem vertrauenswürdigen Netz heraus, d. h. von "innen", sollen externe Datenbanken abgefragt werden, z. B. um Waren aussuchen und bestellen zu können.
    • Auf internen Systemen soll durch externe Firmen Software entwickelt werden.
    Da die IT-Systeme der Kunden oder der Partner nicht unter der Kontrolle der Institution stehen, muss gewährleistet werden, dass nur auf die freigegebenen Ressourcen zugegriffen werden kann. Beispielsweise könnten alle IT-Systeme, auf die Kunden oder Partner zugreifen können, in einem separaten Netz betrieben werden, dass mit einem Sicherheitsgateway (siehe B 3.301 Sicherheitsgateway (Firewall) ) vom LAN der Institution getrennt ist.
  • Fernwartung:
    Bei der Durchführung von Fernwartungstätigkeiten sind privilegierte Administratorzugänge auf interne Systeme erforderlich. Die Fernwartung (Wartung, Support und Betrieb) interner Systeme kann durch eigene oder fremde Mitarbeiter durchgeführt werden. In beiden Fällen bestehen hohe Anforderungen an die Authentisierung des entfernten Benutzers, die Datenflusskontrolle und die Verfügbarkeit der Anbindung. Werden fremde Mitarbeiter beauftragt, die IT-Systeme zu warten, müssen die Empfehlungen des Bausteins B 1.11 Outsourcing berücksichtigt werden.

VPNs werden häufig auch verwendet, um die Kommunikation einzelner Protokolle und Anwendungen zu schützen. Unterstützen beispielsweise die vorhandenen WLAN-Komponenten selbst keine sichere Verschlüsselung, könnte die gesamte WLAN-Kommunikation mit einem VPN, das unabhängig vom WLAN ist, verschlüsselt übertragen werden. Die Signalisierung und der Medientransport einer VoIP-Verbindung könnten ebenfalls in einem VPN-Tunnel gebündelt und verschlüsselt werden.

VPN-Endpunkte

Bei den VPN-Endpunkten wird grundsätzlich zwischen VPN-Server und VPN-Client unterschieden. Derjenige Endpunkt, zu dem die Verbindung aufgebaut wird, fungiert als VPN-Server. Der initiierende Endpunkt wird als VPN-Client bezeichnet. VPN-Endpunkte lassen sich entweder per Software oder per Hardware realisieren. Bei Mitarbeitern im Außendienst besteht der VPN-Client in der Regel aus einer Software-Applikation auf einem mobilen IT-System. Ein derartiger VPN-Client greift oft sehr stark in das installierte Betriebssystem ein. Die parallele Installation mehrerer unterschiedlicher VPN-Clients auf einem Endgerät sollte daher vermieden werden. Die Vernetzung der einzelnen VPN-Endpunkte untereinander muss anhand der Ergebnisse der Anforderungsanalyse (M 2.415 Durchführung einer VPN-Anforderungsanalyse ) durchgeführt werden. Bei den VPN-Endpunkten muss, wie in M 4.321 Sicherer Betrieb eines VPNs beschrieben, für eine sichere Authentisierung gesorgt werden, damit nur Berechtigte sich über das VPN einwählen können. Hierbei ist, je nach Anwendungsgebiet, auch der Einsatz eines Authentisierungsservers, beispielsweise eines RADIUS-Servers, denkbar.

Auswahl der Kommunikationsbeziehungen zwischen den Standorten

Ist geplant, mehrere Standorte zu einem LAN zusammenzufassen, spielt es eine wichtige Rolle, zwischen welchen Standorten eine VPN-Verbindung aufgebaut wird. Folgende Topologien, oder Kombinationen hieraus, eignen sich für die Vernetzung mehrerer Standorte:

  • Sternnetz
    Beim Sternnetz wird eine zentrale Stelle (z. B. in der Unternehmenszentrale) ausgewählt, zu der jeder weitere dezentrale Standort eine eigene VPN-Verbindung aufbaut. Um Informationen von einem dezentralen Standort zu einem anderen zu übermitteln, müssen die Informationen immer über den zentralen Standort weitergeleitet werden. Der Ausfall der Zentrale führt daher zum Ausfall des gesamten Netzverbundes. Nachteilig können sich die längeren Übertragungszeiten auswirken, besonders wenn geographisch nahe Standorte miteinander kommunizieren, aber alle Informationen über die Zentrale übermittelt werden.
  • Ringnetz
    Bei einem Ringnetz ist jeder Standort mit jeweils zwei anderen Standorten verbunden. Informationen, die zu einem nicht direkt verbundenen Standort versendet werden sollen, werden von den dazwischen liegenden Standorten an den Empfänger weitergeleitet. Fällt nur ein Standort aus, können bei einem Ringnetz die Informationen über die verbleibenden Standorte übermittelt werden. Fallen mehr als zwei Standorte aus, ist die Verfügbarkeit des gesamten VPN-Verbunds bedroht.
  • Baumnetz
    Die verschiedenen VPN-Endpunkte in den Standorten werden hierarchisch angeordnet. Es wird ein zentraler Standort als "Wurzel" festgelegt. An diesem sind wiederum einer oder mehrere weitere Standorte mit einer VPN-Anbindung angeschlossen, die wiederum mit weiteren Standorten verbunden sind. Zusätzliche Standorte können bei einem Baumnetz einfach hinzufügt werden. Fällt aber ein zentrales System aus, können die VPN-Segmente, die an dem System angeschlossen sind, nicht mehr im VPN-Verbund kommunizieren.
  • Vollvermaschtes Netz
    Jeder Standort ist mit jedem anderen Standort über eine eigene Anbindung verbunden. Fällt eine Leitung aus, kann die Kommunikation über eine der anderen noch zur Verfügung stehenden Leitungen durchgeführt werden. Durch die direkte Verbindung kann die Übertragungszeit verkürzt werden. Diesen Vorteilen stehen die hohen Kosten dieser Topologie gegenüber.

Aus diesen Topologien oder Kombinationen hieraus muss eine geeignete ausgewählt werden. Um einen Kompromiss zwischen Ausfallsicherheit und Kosten zu erzielen, hat es sich in der Praxis durchgesetzt, eine Topologie mit mehreren zentralen Netzzugängen, an denen die einzelnen Standorte angeschlossen sind, einzusetzen.

VPN-Typen

VPNs können eingesetzt werden, um entfernte physische Netze zu einem logischen zusammenzufassen oder um einzelne Endgeräte, die sich in unsicheren Netzen befinden, über einen geschützten Kanal an ein zentrales LAN anzubinden. Je nachdem, welche Systeme den Endpunkt der VPN-Verbindung darstellen, wird zwischen Site-to-Site-, End-to-End- und End-to-Site-VPNs unterschieden.

  • Site-to-Site-VPN
    Mit Site-to-Site-VPNs werden Netze gekoppelt, um gemeinsame Anwendungen betreiben bzw. nutzen zu können. Es werden netzübergreifende Zugriffe benötigt. Der Transportkanal wird durch VPN-Gateways in den angeschlossenen Netzen gesichert.
    Eine typische Verwendung für Verbindungen zwischen LANs ist die Anbindung von Außenstellen oder Filialen an das institutionsinterne Netz.
  • End-to-End-VPN
    End-to-End-VPNs werden meist für die Nutzung einzelner Anwendungen verwendet. Die Verbindungen lassen sich auf spezielle Systeme und Dienste beschränken.
    Typische Verwendungen für End-to-End-VPNs sind:
    • Fernwartung dedizierter Systeme, bei der Zugriffe auf Administratorebene erforderlich sind.
    • Zugriffe auf einzelne Anwendungen oder Datenbanken. Hierbei sind Berechtigungen auf Administrator- bzw. Systemebene häufig nicht erforderlich.
    • Zugriffe über Terminalserver. Durch Fernzugriff auf ein entferntes System können viele dort installierte Anwendungen genutzt werden. Berechtigungen auf Administrator- bzw. Systemebene auf dem Terminalserver sind dafür normalerweise nicht erforderlich.
    • Integration von Geschäftspartnern oder Kunden in Teilbereiche des zentralen Datennetzes einer Institution.
  • End-to-Site-VPN (Remote-Access-VPN)
    End-to-Site-VPNs werden auch als Remote-Access-VPN (RAS-VPN) bezeichnet. Solche VPNs werden für Zugriffe eines Clients auf mehrere Anwendungen verwendet, die auf unterschiedlichen IT-Systemen im LAN einer Institution liegen. Dadurch wird Zugriff auf das gesamte Netz benötigt, so dass meist VPN-Software auf dem Client-System und ein VPN-Gateway im LAN den Transportkanal sichern. Telearbeiter und mobile Benutzer werden in der Regel mit End-to-Site-VPNs in das LAN integriert.

VPN-Varianten

Der Begriff VPN wird oft als Synonym für verschlüsselte Verbindungen verwendet. VPN-Varianten werden häufig auch nach dem eingesetzten VPN-Protokoll benannt, wie beispielsweise TLS/SSL-VPN oder IPSec-VPN. Zur Absicherung des Transportkanals können jedoch auch andere Methoden eingesetzt werden, wie beispielsweise spezielle Funktionen des genutzten Transportprotokolls. Zusätzlich werden zwei grundlegende VPN-Varianten unterschieden: Trusted-VPN und Secure-VPN.

VPNs werden als Trusted-VPN bezeichnet, wenn die VPN-Verbindung zwischen verschiedenen Standorte durch vertrauenswürdige externe VPN-Dienstleister gewährleistet wird. Dabei werden die Daten aus dem vertrauenswürdigen Netz in der Regel unverschlüsselt über einen dedizierten Kommunikationskanal zu einem Gateway-Router des Anbieters geleitet. Die Bildung des VPNs erfolgt durch logische Abschottung des VPN-Datenverkehrs vom übrigen Datenverkehr (z. B. mittels Multiprotocol Label Switching, MPLS). Für mobile Nutzer stellen Dienstleister zudem VPNs über Gateway-Router bereit, die nur über spezielle Einwahl-Knoten erreicht werden können, die vor unberechtigtem Zugriff geschützt sind.

Wird ein externer Dienstleister beauftragt, ein Trusted-VPN zur Verfügung zu stellen, sollte zusätzlich der Baustein B 1.11 Outsourcing berücksichtigt werden.

Für vertrauliche Daten sind Trusted-VPNs ohne zusätzliche Verschlüsselung auf der Anwendungsschicht nicht geeignet, da die Sicherheit solcher Verbindungen ausschließlich in Händen des VPN-Dienstleisters liegt. So bietet ein Trusted-VPN zum Beispiel keinen Schutz gegen Innentäter des Anbieters. Für die vertrauliche Datenkommunikation empfiehlt sich daher ein Secure-VPN.

Die Abhängigkeit von Dritten in Bezug auf Vertraulichkeit kann vermieden werden, wenn die Kommunikation an den Endpunkten der Verbindung durch Verschlüsselung geschützt wird, die im eigenen Verantwortungsbereich des VPN-Nutzers liegt. Diese Lösung wird auch als Secure-VPN bezeichnet.

Werden für die Realisierung des VPNs dedizierte Carrier-Leitungen eingesetzt, handelt es sich um eine Sonderform eines Trusted-VPNs. Auch in diesem Fall müssen vertrauliche Daten vor der Übertragung durch Verschlüsselung geschützt werden, die im eigenen Verantwortungsbereich des VPN-Nutzers liegt. Die Verschlüsselung kann an den VPN-Endpunkten auf Transportebene (Secure-VPN) oder auf Anwendungsebene erfolgen.

VPN-Geräte

Grundsätzlich muss eine Entscheidung darüber getroffen werden, ob das gewählte VPN-Produkt ein dediziertes VPN-Gerät, ein Kombi-Gerät oder eine software-basierte VPN-Lösung auf Standard-IT-Systemen (z. B. Linux mit IPSec) sein soll:

  • Dedizierte VPN-Gateways (Appliances):
    Diese VPN-Produkte dienen ausschließlich der Realisierung von VPN-Verbindungen und bieten keine darüber hinausgehenden Funktionalitäten, wie beispielsweise Inhaltsfilterung auf Anwendungsebene. VPN-Appliances haben den Vorteil, dass sie für den VPN-Einsatz optimiert sind und die sichere Konfiguration vereinfacht wird, da beispielsweise das Betriebssystem bereits gehärtet ist.
  • Kombi-Geräte:
    Integrierte VPN-Geräte können beispielsweise Router und andere Komponenten von Sicherheitsgateways (z. B. Application Level Gateways, ALG s) darstellen, die über eine VPN-Funktionalität verfügen oder entsprechend erweitert werden können. Kombi-Geräte haben neben den finanziellen Aspekten oft den Vorteil, dass die unterschiedlichen Funktionalitäten gemeinsam an einer Stelle administriert werden können.
    Die Kombination verschiedener Funktionalitäten auf einem Gerät kann jedoch zu Lasten der Performance gehen. Bei einer intensiven VPN-Nutzung ist daher zu prüfen, ob aus Gründen der Verfügbarkeit oder des Durchsatzes eigenständige VPN-Komponenten vorzuziehen sind. Manche Kombi-Geräte bieten die Möglichkeit, nachträglich spezielle Hardware-Verschlüsselungsmodule zur Steigerung der Performance einzubauen.
  • VPNs auf Basis von Standard-IT-Systemen:
    VPN-Geräte können mit frei verfügbaren oder kommerziellen Software-Komponenten selbst zusammengestellt werden. Diese Komponenten können oft auf handelsüblicher Hardware mit Standardbetriebssystemen installiert werden. Zusammengestellte VPN-Geräte bieten eine hohe Flexibilität und sind für viele Anwendungsfälle gut geeignet.
    Die Installation und Integration der benötigten Komponenten kann jedoch fehlerträchtig sein. Daraus können sich Sicherheitsrisiken beim Einsatz eines zusammengestellten VPN-Gerätes ergeben. Ein weiterer Nachteil ist, dass bei Support-Anfragen meist unterschiedliche Ansprechpartner für die einzelnen Komponenten des VPN-Gerätes (z. B. Hardware, Betriebssystem, VPN-Software) kontaktiert werden müssen.

Zusammenfassend werden in der nachfolgenden Tabelle die Vor- und Nachteile der unterschiedlichen Aufbauformen tabellarisch gegenübergestellt. Ein (x) kennzeichnet hierbei die positive Erfüllung, ein (-) steht für das Nicht-Erfüllen eines Kriteriums.

Eigenschaft Dedizierte VPN-Gateways Kombi-Geräte VPNs auf Basis von Standard IT-Systemen
(Selbst-) Schutz der VPN-Komponente - x -
hohe Performance x - x
günstige Anschaffungskosten - - x
geringer Aufwand bis zur Inbetriebnahme x x -
einfache Administration x x -
leichte Erweiterbarkeit - - x
Know-How-Verteilung x x -
Support aus einer Hand x x -

Tabelle 1: Vergleich der VPN-Aufbauformen

Die Tabelleneinträge sind als Erfahrungswerte aus der Praxis zu verstehen und müssen im Einzelfall anhand der tatsächlichen Produkt-Eigenschaften verifiziert werden.

Stand: 10. EL Stand 2008