Virtual Private Network - So funktioniert es
Wer mehr als E-Mails, Kontakte und Termine mit seiner Firma austauschen will, braucht den sicheren Draht zum Firmen-Server.
Firmen-Netzwerke schützen sich gemeinhin durch eine Firewall vor Angriffen aus dem Internet. Doch wenn der Außendienstmitarbeiter Zugriff zur Firmen-Datenbank braucht, wird es schwierig. Denn schließlich sollen die Daten aus dem Netzwerk nicht nach draußen dringen. Gut, dass es eine Möglichkeit...
Firmen-Netzwerke schützen sich gemeinhin durch eine Firewall vor Angriffen aus dem Internet. Doch wenn der Außendienstmitarbeiter Zugriff zur Firmen-Datenbank braucht, wird es schwierig. Denn schließlich sollen die Daten aus dem Netzwerk nicht nach draußen dringen. Gut, dass es eine Möglichkeit gibt, Geräte mit Netzwerken und sogar Netzwerke mit Netzwerken zu verbinden: VPN - das Virtual Private Network, zu Deutsch das virtuelle private Netzwerk.
Dabei muss ein VPN zunächst nicht zwangsläufig zum Schutz vor Abhörmaßnahmen und Angriffen dienen. In erster Linie ist es dazu da, jede mögliche Art von Datenpaketen (HTTP, FTP etc.) von jedem Kommunikationspartner eines Netzes zu sammeln und in einen neuartigen Datenstrom zu verpacken.
Dieser wird vom VPN-Gateway eines Netzes zum VPN-Gateway eines anderen Netzes geschickt. Dort wird er wieder entpackt und auf die Kommunikationspartner verteilt. Dabei kann an einer Seite des sogenannten VPN-Tunnels natürlich ein Einzelgerät stehen. Durch das Verpacken unterscheiden sich die über den Tunnel geschickten Daten von ihrer Ursprungsform, doch abhörsicher wird das Ganze erst durch weitere Maßnahmen - die Authentifizierung und Verschlüsselung.
Hierbei kommt neben anderen, oft veralteten Protokollen am häufigsten IPsec (Internet Security Protocol) zur Anwendung. Die Authentifizierung ermöglicht es der Gegenstelle, zu erkennen, wenn ihr ein manipuliertes Datenpaket untergeschoben wird. Hierzu wird ein aus den verschickten Daten errechneter Wert verschlüsselt und mit übertragen. Die Gegenstelle, die den Schlüssel auch kennen muss, prüft dann, ob Daten und errechneter Wert zusammenpassen. Die Verschlüsselung verhindert, dass Außenstehende, die den Schlüssel nicht kennen, abgehörte Daten auswerten können.
Für die Authentifizierung und Verschlüsselung müssen die an der Kommunikation beteiligten Gegenstellen den nötigen Schlüssel kennen. Die Art des Schlüsselaustauschs und die Details der Kommunikation, so der zur Verschlüsselung verwendete Algorithmus, werden über sogenannte Security Associations festgelegt. Dabei erfolgt der Schlüsselaustausch heute in der Regel über das Internet; IKE (Internet Key Exchange) heißt das zugehörige Verfahren. Wer eine VPN-Verbindung mit IKE und einer modernen 128-bit-AES-Verschlüsselung einsetzt, ist auf der sicheren Seite - eine solche Verbindung lässt sich auch mit geballter Rechenpower nicht knacken.
Alle modernen Desktop-Betriebssysteme können VPN-Verbindungen zu einem Firmennetzwerk aufbauen. Auch aktuelle Smartphone-Betriebssyteme wie Blackberry OS, Symbian und Windows Mobile bringen IPsec-fähige VPN-Clients mit. Auf Firmenseite werden wegen des hohen Rechenaufwands gerne Router mit eingebauter VPN-Software genutzt, und selbst die aktuellen Fritzboxen beherrschen das Verfahren. Die Komplexität des Standards erfordert für flüssige Datenübertragung besonders schnelle Verbindungen und oft auch ein speziell auf den Router abgestimmes Client-Programm für zuverlässigen Betrieb.
