VPN-Tunneling auf OSI-Ebene und IPSec

VPN-Tunneling kann man auf OSI-Schicht 2 oder OSI-Schicht 3 realisieren.

·         Vertreter des Layer-2-Tunneling sind die Protokolle PPTP (Point to Point Tunneling Protocol), L2F (Layer 2 Forwarding) und L2TP (Layer 2 Tunneling Protocol). Beim Layer-2-Tunneling werden Frames der OSI-Schicht 2 in IP-Pakete gepackt. Auf diese Weise kann man auch Nicht-IP-Protokolle tunneln.

Erläuterungen zu den Protokollen:

PPTP wurde ursprünglich von Microsoft und Ascend (heute Lucent) entwickelt. Es handelt sich um eine Erweiterung des Point to Point Protokolls (PPP). PPTP ermöglicht die Protokoll-transparente Übertragung von IP-, IPX- und NetBUI-Paketen. Die einzelnen Pakete werden in eine modifizierte Form des Generic Routing Encapsulation Protocol Version 2 (GREv2) verpackt und zum Network Access Server (NAS) des ISP (Internet Service Providers) transportiert. Die Datenverschlüsselung erfolgt nach dem RC4-Verfahren mit Schlüssellängen von 40 oder 128 Bit. Eine Paket-Integritätsprüfung ist nicht implementiert. Je Kommunikationspaar kann nur ein Tunnel aufgebaut werden. Zur Authentifizierung beim Verbindungsaufbau dient PAP/CHAP; eine Authentifizierung der Tunnelenden ist jedoch nicht vorgesehen. In PPTP sind keine Key-Management-Protokolle implementiert und PPTP ist nicht standardisiert.

L2F wurde von Cisco, Nortel und Shiva entwickelt. Eine Multiplex-ID und eine Client-ID im L2F-Header erlauben den gleichzeitigen Betrieb mehrerer Tunnel und innerhalb jedes Tunnels mehrere parallele Verbindungen. Unterstützt werden Punkt-zu-Punkt und Punkt-zu-Mehrpunkt-Verbindungen. Neben PPP kann man mit L2F auch SLIP (Serial Line Internet Protocol) tunneln. Die Authentifizierung erfolgt über ein Challenge-Handshake-Verfahren. Eine Verschlüsselung der Daten ist nicht vorgesehen. L2F kann über unterschiedliche Paketnetze, z.B. X.25, Frame Relay oder ATM (RFC 2341), transportiert werden.

L2TP vereint die Vorteile von PPTP und L2F. Das Protokoll erweitert das PPP-Modell und erlaubt, daß L2- und PPP-Verbindungen auf verschiedenen Systemen terminieren können, die über ein paketorientiertes Netz miteinander verbunden sind. Der Vorteil: Anstatt eine Fernverbindung zu einem entfernten Network Access Server (NAS) aufbauen zu müssen, kann man sich auch mit einem lokalen Konzentrator verbinden, der die logische PPP-Verbindung z.B. via Internet bis zum NAS verlängert. L2TP ist ein Proposed Standard nach IETF RFC 2661. Eine Tunnel-ID im L2TP-Header erlaubt den Betrieb multipler Tunnels. Außerdem wird NAT (Network Address Translation) unterstützt.

·         Layer-3-Tunneling wird meist mit IPSec realisiert. Beim Layer-3-Tunneling werden dagegen IP-Pakete als Nutzdaten neuer IP-Pakete verschickt.

Erläuterungen zu IPSec:

IPSec (IP Security) ist ein Layer-3-Tunneling-Protokoll. Es wird die Layer-2-Protokolle langfristig als VPN-Standard ablösen, da es ein höheres Maß an Sicherheit bietet. IPSec ist für IPv4 definiert und fester Bestandteil von IPv6. IPSec ist ein Rahmenwerk verschiedener Normen (RFC 1825-1829, bzw. 2401-2412). Wesentliche Design-Ziele bei der IPSec-Definition sind:

• IPSec verhält sich transparent gegenüber den Applikationen und ist somit leicht in bestehende Netze zu integrieren,
• keine Festlegung auf bestimmte Verschlüsselungsverfahren,
• für die Authentifizierung und die Verschlüsselung können unterschiedliche Protokolle zum Einsatz kommen
• IPSec kann künftig um weitere Protokolle ergänzt werden.

Die Datenintegrität und die Authentifizierung des Datenursprungs wird mittels des Authentication Headers (AH) erreicht. Der AH-Header schützt die Daten und einige Header-Teile des zu übertragenden IP-Pakets vor Verfälschung. Dazu wird mittels bekannter Hash-Funktionen wie MD-5 (Message Digest) oder SHA-1 (Secure Hashing Algorithmus) eine Prüfsumme aus der IP-Payload gebildet und im AH-Header an den Empfänger übertragen. Wenn dieser dieselbe Prüfsumme aus dem empfangenen Paket errechnet ist sichergestellt, daß die Nachricht während der Übertragung nicht verändert wurde und nur von dem Absender stammen kann, der den geheimen Schlüssel für das gewählte Authentifizierungsverfahren kennt.

Man unterscheidet den AH-Transport- und den AH-Tunnel-Modus. Im Transport-Modus wird der AH-Header zwischen IP-Header und den Headern der Transportschicht eingefügt und somit die IP-Payload gesichert. Beim Tunnel-Modus wird eine Prüfsumme aus fast dem gesamten ursprünglichen Paket gebildet. Der AH-Header wird in diesem Fall dem ursprünglichen Paket vorangestellt und mit einem neuen IP-Header versehen. Ausgenommen von der Prüfsummenbildung sind einige Felder, wie TOS (Type of Service), TTL (Time to Live), Header-Checksum etc.. Im Tunnel-Modus enthält das innere IP-Paket im IP-Header die Source- und Destination-Adressen der miteinander kommunizierenden Rechner. Der äußere IP-Header enthält die IP-Adressen der Tunnelendpunkte.

Letzte Bearbeitung:      06/2002

Copyright ©    www.datahelp.de

Modifizierung oder Weitergabe an Dritte nur mit Einverständnis des Autors gestattet !