VPN Funktionen

>  VPN - Virtual Privat Network - Übersicht

Mit diesem Punkt soll ein Einblick in die Sicherheitsmechanismen verschafft werden. Folgende Funktionen werden hierbei betrachtet:

- Datenvertraulichkeit
- Datenintegrität
- Schlüsselmanagement
- Paket-Authentifizierung
- Benutzer-Authentifizierung
- Benutzer-Authorisierung

Im Folgenden werden einige dieser Mechanismen näher beleuchtet:

Datenvertraulichkeit

Datenvertraulichkeit bedeutet, dass Unbefugten der Zugang zu den versendeten Daten verwehrt wird. Demzufolge darf der Klartext der Daten nicht "gelesen" oder kopiert werden. Zudem soll gewährleistet werden, dass die Netzwerkbeziehung von Sender und Empfänger ( Quell- und Zieladresse/port… ) unerkannt bleibt. Die Vertraulichkeit soll mittels Verschlüsselung der zu sendenden Datenpakete erreicht werden. Soll zusätzlich die ganze Verkehrsbeziehung geschützt werden, wird dies durch Tunneling realisiert. Für die Verschlüsselung kommen verschiedene Verfahren wie DES oder 3DES zum Einsatz. Aus Gründen der Interoperabilität wird meist das Verschlüsselungsverfahren durch die eingesetzte VPN-Technologie/Lösung vorgegeben.

Datenintegrität

Hierbei muss sichergestellt werden, dass keine Veränderungen der Daten auf deren Transportwegen erfolgen. Die Datenintegrität und die Paket-Authentifizierung werden oftmals mittels ein und dem selben Verfahren realisiert.

Schlüsselmanagement

Die Aufgabe des Schlüsselmanagement besteht darin, dass eine Prüfung und rechtzeitige Erneuerung der Schlüssel ( zur Verschlüsselung ) mittels Integritätsprüfung und deren automatischer Verteilung erfolgt. Die Schlüssel für die Datenverschlüsselung müssen oft erzeugt werden, da diese nur eine geringe Lebensdauer besitzen. Demzufolge kann nicht auf manuelle Verfahren zurückgegriffen werden. Stattdessen kommt für die Erzeugung und Verteilung ein Schlüsselmanagement zum Einsatz. Für die Verschlüsselung und Schlüsselvergabe werden asymmetrische Verfahren eingesetzt, d.h. für Vor- und Entschlüsselung werden unterschiedliche Schlüssel verwendet. Hierbei gibt es zudem einen öffentlichen Schlüssel, den so genannten Public Key. Daher wird das Verfahren auch als Public Key Verfahren bezeichnet.

Paket-Authentifizierung

Jedes einzeln eintreffende Datenpaket muss authentifiziert werden. Diese Prüfung gewährleistet, dass das ankommende Datenpaket unverfälscht vom authentischen Absender übersendet wurde. Somit soll ausgeschlossen werden, dass das Paket von Dritten durch eine gefälschte Absenderadresse zugesendet wird. Für die Prüfsummenberechnung werden spezielle symmetrische Verschlüsselungsverfahren, so genannte Keyed-Hash-Algorithmen (MD5 SHA…) verwendet. Dabei ist der Schlüssel für die Verschlüsselung nur dem Sender und Empfänger bekannt und somit für Dritte nicht berechenbar.

Benutzerauthentifizierung

Bei Kommunikationsbeginn erfolgt eine Identitätsfeststellung mittels Authentifizierung der Kommunikationspartner. Somit soll gewährleistet werden, dass der Absender auch wirklich derjenige ist, welcher er zu sein vorgibt. Hierfür kommen Verfahren zum Einsatz, welche zum einen über einfache Passwortabfragemechanismen bis hin zu Vergabe von Zugriffs-Zertifikaten (Public-Key-Mechanismen) realisiert werden können.

Um diese Sicherheitsanforderungen zu erfüllen, kommen folgenden Kern-Mechanismen in VPNs zum Einsatz:

- Authentifizierung (Authentication)
- Verschlüsselung (Encryption)

3.2.2. Authentifizierung