Kapitel 6. Virtuelle Private Netzwerke

Unternehmen mit mehreren Zweigstellen sind häufig über spezielle Leitungen miteinander verbunden, um Effizienz und Schutz empfindlicher Daten zu gewähren. Viele Firmen nutzen zum Beispiel Frame Relay oder Asynchronous Transfer Mode (ATM) Leitungen als End-to-End Netzwerklösung, um Büros miteinander zu verbinden. Dies kann eine teurere Lösung darstellen, insbesondere für kleine bis mittlere Unternehmen, die sich vergrößern, jedoch nicht die hohen Kosten für hochrangige Digitalschaltungen in Kauf nehmen wollen.

Ingenieure haben eine kosteneffektive Lösung in der Form von Virtuellen Privaten Netzwerken (VPN) für dieses Problem gefunden. Dem Prinzip besonders zugewiesener Digitalschaltungen folgend, ermöglichen VPNs gesicherte, digitale Kommunikation zwischen zwei Parteien (oder Netzwerken), und erstellen somit ein Wide-Area-Netzwerk (WAN) aus einem bestehenden LAN. Der Unterschied zum Frame Relay oder ATM ist das Transportmedium. VPNs übertragen über IP- oder Datagram (UDP)-Schichten, und sorgen somit für einen sicheren Transfer durch das Internet zum Bestimmungsort. Die meisten frei verfügbaren VPN-Implementierungen enthalten Open Standard, eine Open Source Verschlüsselung für das Maskieren von Daten während der Übertragung.

Einige Unternehmen setzen VPN-Hardwarelösungen ein, um die Sicherheit zu erhöhen, während andere Software- oder Protokoll-basierte Implementierungen verwenden. Es gibt mehrere Hersteller für Hardware-VPN-Lösungen, wie z.B. Cisco, Nortel, IBM und Checkpoint. Es gibt eine kostenlose, Software-basierte VPN-Lösung für Linux mit dem Namen FreeS/Wan, die eine standardisierte IPSec (Internet Protocol Security) Implementierung verwendet. Diese VPN-Lösungen verhalten sich wie spezielle Router, die sich in der IP-Verbindung von einem Büro zum nächsten befinden.

Wird ein Paket von einem Client übertragen, wird dies durch den Router oder das Gateway geschickt, die wiederum Header-Informationen für Routing und Authentifizierung hinzufügen, Authentication Header (AH) genannt. Die Daten sind verschlüsselt und mit Anleitungen zur Entschlüsselung und Handhabung versehen, die Encapsulation Security Payload (ESP) genannt werden. Der empfangende VPN-Router holt sich die Header-Information und leitet diese zum Zielort weiter (entweder zu einer Workstation oder einem Knoten im Netzwerk). Unter Verwendung einer Netzwerk-zu-Netzwerk Verbindung erhält der empfangende Knoten am lokalen Netzwerk die Pakete unverschlüsselt und bereit zur Verarbeitung. Der Verschlüsselungs-/Entschlüsselungsprozess in einer Netzwerk-zu-Netzwerk VPN-Verbindung, ist für den lokalen Knoten transparent.

Durch solch einen erhöhten Grad an Sicherheit muss ein Cracker nicht nur ein Paket abfangen, sondern dies auch entschlüsseln (bei den meisten VPNs werden die Pakete mit dem dreifachen Daten-Verschlüsselungs-Standard [3DES] mit 168-bit Code verschlüsselt). Eindringlinge, die eine Man-in-the-Middle-Attacke zwischen einem Server und einem Client durchführen, müssen daher auch Zugang zu den Schlüsseln, die für die Authentifizierung verwendet werden, haben. VPNs sind ein sicheres und effektives Mittel für die Verbindung mehrerer entfernter Knoten, die sich dann als ein Intranet verhalten.

6.1. VPNs und Red Hat Enterprise Linux

Red Hat Enterprise Linux Benutzer und Administratoren haben verschiedene Optionen in Bezug auf die Implementierung einer Softwarelösung zur Verbindung und Sicherung ihres WAN. Es gibt jedoch zwei Methoden zur Implementierung von VPN-Verbindungen, die zur Zeit von Red Hat Enterprise Linux unterstützt werden. Eine gleichwertige Lösung, die eine sichere Alternative zu VPN darstellt, ist das Ausführen von OpenSSH als Tunnel zwischen zwei entfernten Knoten. Diese Lösung ist eine vernünftige Alternative zu Telnet, rsh und anderen Remote-Host-Kommunikations-Methoden, kommt jedoch den Usability-Bedürfnissen aller Firmen-Telecommuter und Zweigstellen nicht vollständig entgegen. Zwei unterstützte und mit Red Hat Enterprise Linux ausgelieferte Lösungen, die mehr der eigentlichen Definition eines VPN entsprechen, sind Crypto-IP-Encapsulation (CIPE) und Internet Protocol Security (IPSEC).