Das Virtual Private Network wird als logisches privates Netzwerk installiert und basiert auf öffentlich zugänglichen Infrastrukturen, in der Regel dem Internet. Durch Verschlüsselungsmechanismen können nur dem VPN angehörende Kommunikationspartner in diesem Nachrichten austauschen. Die Begrifflichkeit „privat“ ist irreführend, denn es geht durchaus nicht nur, nicht einmal vorrangig um private Kommunikation. Vielmehr kommen VPNs verstärkt als Extranet für Firmen zum Einsatz.
Anforderungen an ein VPN
Das Virtual Private Network muss Vertraulichkeit, Integrität und Sicherheit der Teilnehmer gewährleisten. Die Vertraulichkeit gewährleisten Verschlüsselungstechnologien, die Integrität stellt ebenfalls über Verschlüsselung und Zugangscodes sicher, dass die Daten nicht von unautorisierten Teilnehmern verändert wurden. Zur Sicherheit gehört auch die Authentizität der Teilnehmer, die sich digital ausweisen müssen (meist über Zugangscodes). VPNs verfügen daher über interne Sicherungsmechanismen, die eine höhere Datenintegrität als nur über das verwendete öffentliche Netzwerk gewährleisten. Die Zuordnung von jedwedem Intra- oder Extranet beziehungsweise jedem beliebigen sozialen Netzwerk zu VPNs ist daher nicht zulässig, denn die hier definierten Anforderungen erfüllt längst nicht jedes Netz. Hier ist die Einrichtung unter Windows 7 beschrieben.
VPN-Typen
Die verschiedenen Arten von Virtual Private Networks werden vorrangig hinsichtlich der Nutzungsstruktur unterschieden. Technisch gibt es die unterschiedlichsten Lösungen, die dementsprechend mehr oder weniger teuer und aufwendig ausfallen. Nicht immer muss die höchste Sicherheitsstufe angestrebt werden, das Sicherheitsbedürfnis wägen die Betreiber vielmehr gegen den möglichen Schaden bei Integritätsverletzungen ab.
- Remote-Access-VPN: Mit diesem Szenario binden Firmen die Heimarbeitsplätze von Mitarbeitern und ebenso den mobilen Zugriff des Außendienstes in ihr VPN ein. Mithilfe der VPN-Technik entsteht die logische Verbindung zum Unternehmens-Netzwerk, wofür ausschließlich das Internet zum Einsatz kommt. Der technische und finanzielle Aufwand fällt sehr gering aus, lediglich VPN-Clienten sind auf die Endgeräte der Mitarbeiter zu installieren.
- Branch-Office-VPN: Dieses auch LAN-to-LAN- oder Site-to-Site-VPN genannte Netzwerk verbindet Außenstellen des Unternehmens mit dessen Zentrale zu einem dynamischen Gesamtfirmennetzwerk. Um dem erhöhten Sicherheitsbedürfnis angesichts der hohen Datenmengen entgegenzukommen, mietet das Unternehmen Standleitungen, also physikalische, relativ angriffssichere Festverbindungen. Diese fallen sehr kostenintensiv aus, die Gebühren richten sich dabei nach der Bandbreite, Datenmenge und Entfernung. Mittels LAN-to-LAN-Kopplung können mehrere solcher Netzwerke über das Internet verbunden werden, doch das läuft der Sicherheitsintention zuwider. Wenn das Unternehmen aber sehr hackersichere Verschlüsselungstechnologien nutzt, stellt das Internet stets die kostengünstigere Alternative dar.
- Extranet-VPN: Mit diesem Virtual Private Network verbinden sich unterschiedliche Firmen miteinander, vielfach Zulieferer mit ihrem Abnehmer. Die Vorteile sind gravierend, modernes CRM (Customer Relationship Management) im B2B-Bereich und ERP (Enterprise Resource Planning) kann gar nicht anders betrieben werden. Die Lieferanten rufen den Bedarf beim Abnehmer auf, dieser kann sogar – für jeden Lieferanten gesondert – flexible Preise festlegen. Voraussetzung ist hier die strenge Administration des Netzwerkes, denn die einzelnen Teilnehmer sollen nicht auf die Daten anderer Firmen zugreifen können.
Gerade beim Remoting durch Supporter können sich die Administrierung und der Einsatz einer Firewall widersprechen. VPN-Strukturen sind also in einem ambivalenten Umfeld zwischen Sicherheitsbedürfnis und Zugangsadministration zu designen.
Ein Computerserver, wie er auch für ein VPN genutzt wird © Sashkin – Fotolia.com
VPN-Tunneling
Der Tunnel- oder Transportmodus sichert die Datenübertragung ab. Das Internet gilt aus Sicht der VPN-Betreiber per se als unsicher, also gehört zu jedem Virtual Private Network ein Tunneling-Protokoll für die verschlüsselte Datenübertragung. Die Endpunkte des Tunnels sind die Server, Clients und Gateways im VPN. Die Daten sind für Außenstehende nicht zugänglich (nicht „sichtbar“, daher „Tunnel“). Der VPN-Tunnel beginnt oder endet am VPN-Endpunkt, an dieser Stelle des Netzwerkes muss für die Integrität, Authentizität und Vertraulichkeit Sorge getragen werden. Technisch besteht der VPN-Endpunkt aus einem Software-Clienten, Router oder Gateway, hierfür existieren entsprechende Hardware-Lösungen.