Sicherheit-Technologie

Die VPN-Technologie beinhalten verschiedene Funktionen bzw. Mechanismen, welche für die Sicherheit der Datenkommunikation zuständig sind und dementsprechend eingesetzt werden.

Die dabei wichtigsten und zu erwähnenden Funktionen / Mechanismen sind:

Vertraulichkeit der Daten
Integrität der Daten
Schlüsselmanagement
Authentifizierung der Benutzer
Authentifizierung der Datenpakete

Nachfolgend werden die Funktionen/Mechanismen aufgezeigt und näher beleuchtet:

Vertraulichkeit der Daten
Die Vertraulichkeit von Daten besagt, dass unbefugten Dritten der Zugang zu den zu übertragenden Daten verwehrt bleiben muss. Somit darf der Klartext der übertragenen Daten nicht auslesbar bzw. kopierbar sein. Des Weiteren ist ein wichtiger Punkt, dass die Kommunikationspartner (Sender und Empfänger) anonym bleiben und so keine Rückschlüsse zu dieser Kommunikation geführt werden können. Die Vertraulichkeit soll dabei mittels Verschlüsselung der zu übertragenden Datenpakete realisiert werden. Zudem wird mittels einer Tunneling-Technologie die gesamte Kommunikationsverbindung geschützt. Die einzusetzende Verschlüsselung wird über verschiedene Verfahren, wie DES oder 3DES abgebildet. Damit eine Interoperabilität der Verschlüsselungsverfahren erfolgen kann, wird die Vorgabe der einzusetzenden VPN-Lösung einbezogen.

Integrität der Daten
Die Integrität der Daten besagt, dass die Daten bei der Übertragung nicht verändert werden dürfen. Somit darf kein Eingriff in den Transportweg erfolgen. In einer VPN-Lösung wird die Integrität der Daten und die Authentifizierung der Datenpakete mittels desselben Verfahren realisiert.

Schlüsselmanagement
Das Schlüsselmanagement besitzt die Aufgabe, eine Prüfung und Aktualisierung der Schlüssel, welche für die Verschlüsselung eingesetzt werden, durchzuführen. Dies erfolgt mittels einer automatischen Verteilung und zusätzlichen Integritätsprüfung. Die Schlüssel an sich müssen regelmäßig neu erzeugt werden, da diese nur eine geringe Lebensdauer besitzen. Somit ist eine manuelle Schlüsselvergabe ausgeschlossen und nicht realisierbar. Für die Schlüsselvergabe werden asymmetrische Verfahren eingesetzt. Dabei werden für die Verschlüsselung und die Entschlüsselung verschiedene Schlüssel verwendet. Zusätzlich zu diesen Schlüsseln wird ein öffentlicher Schlüssel (Puplic Key) eingesetzt, wodurch das Verfahren auch als so genanntes Public Key Verfahren bekannt ist.

Authentifizierung der Benutzer
Zu Begin einer Kommunikation wird eine Feststellung der Identität (Authentifizierung) der Kommunikationsteilnehmer vorgenommen. Damit soll gegen über seinem Kommunikationspartner gewährleistet werden, dass man derjenige ist, welcher man vorgibt zu sein. Die Überprüfung wird mittels einfacher Mechanismen (Passwortabfrage) bis hin zu Vergabe von Zertifikaten realisiert.

Authentifizierung der Datenpakete
Bei der Datenpaketübertragung muss jedes ankommende Datenpaket authentifiziert werden. Mittels dieser Prüfung soll gewährleistet werden, dass die eintreffenden Datenpakete unverfälscht vom zuvor authentifizierten Absender kommen. Dabei werden Prüfsummen verwendet, welche spezielle symmetrische Verschlüsselungsverfahren (MD5, SHA…) einsetzten. Hierbei ist der Schlüssel ausschließlich den Kommunikationspartnern bekannt.

Damit die Sicherheitsanforderungen gewährleistet werden können, werden verschiedene Kernmechanismen eingesetzt:

Authentifizierung (Autehtication)
Verschlüsselung (Encryption)

Im Nachfolgenden werden die beiden Kernmechanismen näher erläutert:
Authentifizierung (Authetication)
Bei einer Authentifizierung wird eine Unterteilung vorgenommen:

Paket-Authentifizierung
User-Authentifizierung

Die Authentifizierung der Datenpakete wird beispielsweise bei IPSec und bei Email-Verschlüsselungsverfahren mittels so genannter Einweg-Hash-Funktionen (z. B. MD5) eingesetzt. Die dabei erzeugten Prüfsummen werden mittels symmetrischer Verfahren verschlüsselt. IPSec setzt dabei für die Schlüsselverteilung das IKE-Protokoll ein.

Die User-Authentifizierung wird beispielsweise bei den Layer 2 Protokollen L2TP und L2F für Passwortverfahren, wie PAP und CHAP, verwendet. Diese Verfahren können durch das PPP-Protokoll bereitgestellt werden.

Verschlüsselung
In der Praxis werden, wegen ihrer enormen Geschwindigkeit, symmetrische Verfahren für die Verschlüsselung eingesetzt. Bei IPSec wird für die Verschlüsselung ESP verwendet, welches auf verschiedene Verfahren (DES, 3DES, IDEA …) zurückgreifen kann. Das sich im Layer 2 befindliche PPTP spezifiziert zudem ein separates Verfahren (MPPE). Es ist jedoch zu beachten, dass die Sicherheit von der jeweiligen Schlüssellänge abhängig ist. Dementsprechend sind Schlüssellängen von 40 bzw. 56 Bit in der heutigen Zeit, mit hochleistungsfähigen PCs, als stark bedenklich einzustufen.

vorheriger Punkt	nächster Punkt
Problematik-Sicherheit	Topologie-VPN-Technik

[ Zurück zum Anfang ]