Computernetzwerke

(EAP) für eine Authentifizierung der VPN-Teilnehmer durch bestimmte Schlüssel, Zertifikate oder auch Smartcards, was zu einem besseren Schutz gegenüber Hackerangriffen und dem Ausspionieren von Passwörtern führt. Gleichwohl gilt PPTP nicht als so sicher wie IPsec. Dem steht jedoch die Komplexität der IPsec-Konfigurierung gegenüber.
    7.10.2 IPsec-Tunnel
    IPsec arbeitet, wie es die Bezeichnung impliziert, auf IP-Ebene, sodass hiermit beispielsweise ein Heimnetzwerk mit dem Netzwerk der Firma verbunden werden und der Anwender von zu Hause aus wie gewohnt mit seinen Firmendaten und Anwendungen arbeiten kann. Bekannte IPsec-Clients für VPNs stammen von TheGreenBow (Abbildung 7.18) und NCP Communication, die es auch als zeitlich limitierte, kostenlose Versionen gibt, und Windows 7 bringt auch selbst einen IPsec-Client mit.
    Der IPsec-Standard steht im Ruf, schwierig in der Konfiguration und im Betrieb zu sein. Schuld daran ist zum größten Teil die hohe Komplexität des Schlüsselaustausch-Protokolls IKE. Die Version 2 des Internet Key Exchange -Protokolls (IKEv2) ist definiert worden, um das Aufsetzen von VPNs einfacher, flexibler und weniger fehleranfällig zu gestalten.
    Die jeweiligen IPsec-Konfigurationen unterscheiden sich zwischen den verschiedenen Systemen und Routern sehr stark voneinander. Idealerweise wird vom Hersteller des Routers ein spezielles Setup-Programm geliefert, das die Parametereinstellung erleichtert. Eine IPsec-Verbindung ist in zwei Phasen aufgeteilt. In der ersten handeln die beiden Verbindungspartner die Verschlüsselungsvereinbarung und die Authentifizierung aus. In der zweiten Phase wird neues Schlüsselmaterial ohne den Einbezug von vorherigen Schlüsseln erzeugt.
    Das Internet Key Exchange -Protokoll (IKE) definiert dabei, wie Sicherheitsparameter vereinbart und gemeinsame Schlüssel ausgetauscht werden sollen. Auf welcher Methode die Verschlüsselung basiert, lässt sich meist noch separat festlegen, wobei hier mindestens 3DES (Data Encryption Standard) verwendet werden sollte. Nicht selten scheitert der Verbindungsaufbau wegen minimaler Einstellungsunterschiede auf den Endgeräten. Deshalb ist es sehr hilfreich, wenn sich der jeweilige Status der Verbindungen in den verschiedenen Phasen im Router und/oder in der Setup-Software ablesen lässt. Grundsätzlich kann zwischen zwei unterschiedlichen Verbindungsvarianten unterschieden werden: Side-to-End und Side-to-Side.

TheGreenBow VPN Client
wmm
1 Datei VPN Konfiguration Anzeigen Tools ?
H
TH E GR EEH BOLLI
IPSec VPN Client
    Konsole (3} Parameter ^ Veibindungen
    Phase 1 (Authentisierumg)
    Name (Phsse 11 ¡CwVpnZ
    IPSec Getew^ Adresse |223 23.131
    Interface | Automatisch
    E ^ Konfiguration g£ CrixVpn2
    Preshared Key
    Bestätigen
    f* ZeilifikatE Zervikal Verwaltung
    PI Mehr...
    Tunnel :
    Verschlüsselung |30ES ~ Autlientisierung |SHA » Schüssel |OH1024
    Regeln anwenden |
    I 1 VPN betriebsbereit
    Abbildung 7.18: Konfigurierung der IPsec-VPN-Verbindung mit einem VPN-Client
    Site-to-Site
    Verbindet zwei Netzwerke miteinander, beispielsweise das lokale Netzwerk einer Hauptstelle mit dem lokalen Netzwerk einer Filiale. Die Authentifizierung wird dabei entweder über einen Preshared Key (PSK) vorgenommen, wofür ein Kennwort eingesetzt wird, das beiden Verbindungspartnern bekannt ist. Oder aber es erfolgt eine Authentifizierung per Zertifikat. Hierfür gibt es standardmäßig zwei verschiedene Internet Key ExchangeMethoden (IKE Version 1, IKE Version 2), die zum Einsatz kommen können.
    Site-to-End
    Verbindet einen oder mehrere einzelne Computer oder allgemein internetfähige Endgeräte mit einem lokalen Netzwerk. Die Verbindung wird entweder mithilfe eines sogenannten Native IPsec-Clients oder mit dem Layer 2 Tunneling Protocol aufgebaut (L2TP). L2TP ist die Kombination aus PPT- und L2F-Protokoll. Die Authentifizierung kann dabei wie bei Side-to-Side entweder über einen Preshared Key (PSK) oder mit einem Zertifikat vorgenommen werden, wofür ebenfalls IKE Version 1 und IKE Version 2 genutzt werden können. Beim Einsatz des Layer 2 Tunneling Protocol (L2TP) ist IPsec zwangsläufig notwendig, weil L2TP selbst nicht über Authentifizierungs-, Integritäts- und Verschlüsselungsmechanismen verfügt. Authentifizierungsmethoden stehen auch hier wieder per Preshared Key (PSK) oder per Zertifikat (mit IKE Version 2) zur Verfügung.

    Exkurs
    Im Allgemeinen empfiehlt es sich, für die Verbindung von Standorten - etwa Niederlassungen einer Firma