Begriffe

Einige Erklärungen zu Begriffen rund um VPN

VPN

Das konventionelle VPN dient dazu, Teilnehmer eines privaten (in sich geschlossenen) Netzes an ein anderes privates Netz zu binden, ohne dass die Netzwerke zueinander kompatibel sein müssen. Stark vereinfacht ausgedrückt wird das ursprüngliche Netz aus Sicht der VPN-Verbindung auf die Funktion eines Verlängerungskabels reduziert, das den VPN-Teilnehmer ausschließlich mit der Anschlussstelle des anderen Netzes verbindet, dem VPN-Gateway. Dieser VPN-Teilnehmer (VPN-Partner) wird nun zum Teilnehmer des anderen Netzes – mit direktem Zugriff, so als wäre sein Netzwerkanschluss nicht mit dem ursprünglichen Netz verbunden, sondern direkt am anderen Netz angeschlossen.

Der sich daraus ergebende Nutzen eines VPNs kann je nach verwendetem VPN-Protokoll durch eine zusätzliche Verschlüsselung ergänzt werden, die eine abhör- und manipulationssichere Kommunikation zwischen den VPN-Partnern ermöglicht.

SSL-VPN (auch Web-basierendes VPN) unterstützt einen VPN-Modus im Sinne des konventionellen VPNs (Fat Client SSL VPN). Daneben werden seit 2002 unter dem Begriff SSL-VPN auch Lösungen verstanden, die einen Fernzugriff auf Unternehmensanwendungen und gemeinsam genutzte Ressourcen realisieren, ohne dass sich die SSL-VPN-Partner dafür an das Unternehmensnetzwerk binden. Stattdessen basieren diese Lösungen auf einem Proxy-Mechanismus (Thin Client SSL VPN) oder darauf, dass die begehrte Unternehmensanwendung selbst eine Webanwendung ist (Clientless SSL VPN), auf die ein SSL-VPN-Partner über eine gesicherte Verbindung zugreifen kann, ohne jedoch einen direkten Zugriff auf das Unternehmensnetz zu erhalten.

VPN ist ein reines Softwareprodukt
Die erreichbaren Netze bilden zusammen die Hardware (die Technik) und Software (die notwendigen Programme).
Um ein Gerät aus seinem ursprünglichen Netz heraus an ein von dort aus erreichbares Netz zu binden, wird zusätzlich zu der oben beschriebenen Verbindung eine VPN-Software benötigt.
In der klassischen Konfiguration wird sie zum einen auf dem Gerät installiert, das die Netzwerke miteinander verbindet, und zum anderen auf das einzubindende externe Gerät gebracht.

VPN-Tunnel

Für die Kommunikation des Netzes mit einem seiner VPN-Partner werden am VPN-Gateway die ursprünglichen Netzwerkpakete in ein VPN-Protokoll gepackt. Daher spricht man bei VPN vom Tunnel.

Dann gilt es, die verfügbaren Wege des Netzes, in dem sich der VPN-Partner befindet, zu nutzen, um die Pakete zum Kommunikationspartner zu übertragen. Der Trick besteht darin, dass sich die VPN-Pakete unabhängig von ihrem Inhalt separat adressieren lassen. Dank dieser sekundären Adressierung lässt sich das Paket in einer zum Fremdnetz kompatiblen Form auf den Weg bringen.

Auf dem VPN-Partner läuft eine VPN-Client-Software, die dort die Beschaffenheit des zugeordneten Netzes virtuell nachbildet. Sie nimmt die Pakete in Empfang und packt sie aus. Dadurch kommen wieder die ursprünglichen Pakete aus dem zugeordneten Netz samt primärer Adressierung zum Vorschein und können entsprechend behandelt werden.

Die Kommunikation des VPN-Partners mit dem Netz funktioniert genau andersherum: Die VPN-Client-Software packt die Pakete in ein VPN-Protokoll und schickt diese zum VPN-Gateway, welches die Pakete auspackt und in das Netz zum tatsächlichen Kommunikationspartner leitet.

VPN funktioniert weitgehend unabhängig von der physischen Topologie und den verwendeten Netzwerkprotokollen auch zwischen zwei vollkommen unterschiedlichen Netzwerken. Denn das Netz, in dem sich die VPN-Partner befinden, dient lediglich als Transportmittel bei der Kommunikation mit den eingebundenen Geräten. Da die tatsächlichen Netzwerkpakete in dem VPN-Protokoll verpackt sind, müssen sie nur von den VPN-Partnern, nicht aber von den Netzwerkkomponenten dieses Netzes verstanden werden.

Gegenüber anderen Tunnelarten eines TCP/IP-Netzes zeichnet sich der VPN-Tunnel dadurch aus, dass er unabhängig von höheren Protokollen (HTTP, FTP etc.) sämtliche Netzwerkpakete weiterleitet. Auf diese Weise ist es möglich, den Datenverkehr zweier Netzkomponenten praktisch uneingeschränkt durch ein anderes Netz zu transportieren, weshalb damit sogar komplette Netzwerke über ein benachbartes Netz hinweg miteinander verbunden werden können.

Gateway

Ein Gateway verbindet Rechnernetze, die auf völlig unterschiedlichen Netzwerkprotokollen basieren können. Als Beispiel könnte ein Gateway E-Mails in SMS oder umgekehrt konvertieren. Die Protokolle für E-Mail und SMS sind inkompatibel zueinander, aber mittels E-Mail-zu-SMS-Gateway können Daten vom einen Netzwerktyp in das andere übertragen werden. Ein anderes Beispiel wäre E-Mail zu Fax.

VPN-Gateway
Ein VPN-Gateway ermöglicht über ein öffentliches Netz, wie dem Internet, beispielsweise den sicheren Zugriff auf ein entferntes Firmennetzwerk, das normalerweise nicht öffentlich zugänglich ist. Somit können verschiedene Dienste, wie E-Mail, Intranet oder Laufwerksfreigaben, die eigentlich nur LAN-intern zur Verfügung stehen, über eine getunnelte Verbindung genutzt werden.

Routing

Routing bezeichnet in der Telekommunikation das Festlegen von Wegen für Nachrichtenströme bei der Nachrichtenübermittlung in Rechnernetzen. Insbesondere in paketvermittelten Datennetzen ist hierbei zwischen den beiden verschiedenen Prozessen Routing und Forwarding zu unterscheiden: Das Routing bestimmt den gesamten Weg eines Nachrichtenstroms durch das Netzwerk; das Forwarding beschreibt hingegen den Entscheidungsprozess eines einzelnen Netzknotens, über welchen seiner Nachbarn er eine vorliegende Nachricht weiterleiten soll.

Häufig werden jedoch Routing und Forwarding unter dem Begriff „Routing“ miteinander vermengt; in diesem Fall bezeichnet Routing ganz allgemein die Übermittlung von Nachrichten über Nachrichtennetze. Im Unterschied zu Verteilern (Hubs und Switches) arbeitet das Routing ohne Einschränkungen auch in vermaschten Netzen

Router und Routing-Protokolle
Eine Route ist eine Information, die einem Gerät sagt, wie es ein Paket in ein bestimmtes Ziel-Subnetz senden kann. Eine Route heißt asymmetrisch, wenn die Rückroute einen anderen Pfad benutzt.
Ein Router ist ein Gerät, das zwei Subnetze verbindet. Geräte in beiden Subnetzen geben ihre Pakete für das jeweils andere Subnetz beim Router ab.
Ein Routing-Protokoll ist ein Mechanismus für das dynamische Entdecken der Pfade für Datenpakete durch das Internet.

Virtualisierung

Virtualisierung bezeichnet in der Informatik die Erzeugung von virtuellen (d. h. nicht physikalischen) Dingen wie einer emulierten Hardware, eines Betriebssystems, Datenspeichers oder Netzwerkressource. Dies erlaubt es etwa, Ressourcen von Computern (insbesondere im Server-Bereich) transparent zusammenzufassen oder aufzuteilen, oder ein Betriebssystem innerhalb eines anderen auszuführen.

Die virtuelle Netzwerkkarte einer VPN-Sitzung
Die auf dem PC installierte VPN-Client-Software sorgt in der Regel dafür, dass der PC nur noch die Kommunikationspartner des VPN-Netzes erreicht. In diesem Modus können die Teilnehmer des ursprünglichen Netzes auch keine Verbindung zu einem (möglichen) Netzwerkdienst des PCs aufbauen, solange die VPN-Verbindung besteht. Dafür kann der PC nun für das zugeordnete (VPN-)Netz Netzwerkdienste bereitstellen.



Weitere Möglichkeiten für VPN-Verbindungen, die derzeit nicht von IDR angeboten werden

  • Es ist auch möglich, dass sich der Rechner des Mitarbeiters per VPN nicht in ein entferntes physisches Firmennetz hängt, sondern direkt an einen Server bindet. VPN dient hier dem gesicherten Zugriff auf den Server. Diese Verbindungsart wird Ende-zu-Ende (englisch „end-to-end“) genannt. Auf diese Weise ist es auch möglich, ein logisch (jedoch nicht physisch) abgekapseltes virtuelles Netz aufzubauen, welches lediglich aus weiteren VPN-Partnern besteht, die sich ebenfalls mit dem Server verbunden haben. Die VPN-Partner können nun gesichert miteinander kommunizieren.
  • Es besteht auch die Möglichkeit, dass sich zwei Server über VPN miteinander unterhalten können, ohne dass die Kommunikation durch Dritte eingesehen werden kann (das entspricht einer Ende-zu-Ende-Verbindung, welche für einen solchen Fall mitunter auch Host-to-Host genannt wird).
  • Ähnlich wie bei der Einwahl von zu Hause in ein Firmennetz können sich auch beliebige Clients aus dem Firmennetz in ein separates, speziell gesichertes Netz innerhalb der Firma per VPN einwählen: ein privates (datentechnisch abgekapseltes) Netz innerhalb des Firmennetzes also, bei dem die Clients bis zum VPN-Gateway dieselbe physikalische Leitung verwenden, wie alle anderen Clients des Netzes auch – mit dem Unterschied, dass sämtliche VPN-Netzpakete bis zum Gateway verschlüsselt übertragen werden können.

(c) 2003-2013 IDR Informationssysteme Dieter Rogoll