{{{#!vorlage Wissen [:Pakete installieren: Installation von Programmen] [:Programme_starten: Starten von Programmen] [:Terminal: Ein Terminal öffnen] [:mit Root-Rechten arbeiten:] }}} [[Inhaltsverzeichnis(1)]] [wikipedia:Virtual_Private_Network:VPN] steht als Abkürzung für '''V'''irtuelles '''P'''rivates '''N'''etzwerk, und ist ein Sammelbegriff für die verschlüsselte Verbindung zweier oder mehrerer Rechner oder Netzwerke. Konkret werden damit in der Praxis folgende Anwendungsfälle umgesetzt: * Site-to-Site - Verbinden zweier oder mehrerer Netzwerke über das Internet * End-to-Site - Anbindung eines Clients an ein Netzwerk über das Internet * Anbindung eines Clients oder eines Netzwerkes an das Internet Da alle Netzwerkverbindungen über eine verschlüsselte und somit geschützte VPN-Verbindung laufen können, spricht man auch gerne von einem VPN-Tunnel. Welche Technologie für eine VPN-Verbindung eingesetzt werden darf, ist dabei nicht festgelegt. Für VPN-Protokolle sind der Kreativität daher kaum technische Grenzen gesetzt: Die Datenübertragung kann auf den unterschiedlichsten Netzwerkebenen aufbauen und andere bereits existierende Protokolle nutzen, wie z.B. TLS, HTTPS, DNS, etc. Einzig das Ziel ist entscheidend, nämlich beliebige Netzwerkdaten möglichst effizient und sicher zwischen den VPN-Endpunkten hin und zurück zu übertragen. = Einsatzgebiete = [[Anker(VPNSiteToSite)]] == Site-to-Site == [[Bild(./vpn-s2s.png)]] Bei einer Site-to-Site-Verbindung werden zwei Netzwerke über einen VPN-Tunnel verbunden (z.B. eine Zweigniederlassung in Frankfurt mit dem Hauptfirmensitz in Berlin). [[Anker(VPNEndToSite)]] == End-to-Site == [[Bild(./vpn-e2s.png)]] Bei einer End-to-Site-Verbindung werden Endbenutzer über einen VPN-Tunnel an ein Netzwerk angebunden (z.B. Außendienstmitarbeiter an ein Firmennetzwerk). [[Anker(VPNInternet)]] == Anbindung ans Internet == [[Bild(./vpn-e2i.png,align=right)]] Ein VPN-Tunnel kann auch für eine TLS-verschlüsselte Verbindung zu einem öffentlichen VPN-Anbieter genutzt werden, über die der gesamte Internet-Verkehr gelenkt wird. Obwohl man dafür einen bereits funktionierenden Internet-Zugang benötigt, können damit z.B. [:WLAN/Sicherheit:Sicherheitsmängel im WLAN-Netzwerk] umgangen werden. Sobald ein gesicherter VPN-Tunnel aufgebaut ist, laufen alle Netzwerkverbindungen nur noch innerhalb des durch TLS-Verschlüsselung geschützten Tunnels. Am anderen Tunnel-Ende leitet der VPN-Anbieter den Netzwerkverkehr dann ins Internet weiter. Da man zudem auch noch mit der IP-Adresse des VPN-Anbieters surft, werden diese VPNs auch gerne dazu benutzt um Internet-Dienste verwenden zu können, die für das eigene Land gesperrt sind ([wikipedia:Geoblocking:]). Aus diesem Grund sind in den letzten Jahren sehr viele kommerzielle VPN-Anbieter, die ihre Server in unzähligen Ländern zur Verfügung stellen, entstanden. Für bereits wenige Euro pro Monat erhält man frei wählbaren Zugang zu allen diesen Server, mit einer Volumenbegrenzung, die meist derer gängiger Mobilfunkverträge entspricht. Bei der Nutzung von öffentlichen VPN-Anbietern ist allerdings Folgendes zu beachten: * Der VPN-Server muss über ein [:CA:]-Zertifikat identifiziert werden. Nur so kann sichergestellt werden, dass sich kein Angreifer als vermeintlicher VPN-Anbieter ausgibt. Das Zertifikat erhält man zusammen mit der VPN-Konfiguration vom VPN-Anbieter. * Der VPN-Anbieter sollte vertrauenswürdig sein (s. [https://www.golem.de/news/security-viele-vpn-dienste-sind-unsicher-1507-115006.html viele VPN-Dienste sind unsicher] {de}). * Da VPN-Dienste häufig für das netzwerkbelastende [wikipedia:Streaming_Media:Streaming von Medien] verwendet werden, drosseln einige VPN-Anbieter diese Art des Netzwerkverkehrs. Außerdem ist wegen der zusätzlichen Verschlüsselungsschicht generell mit geringfügigen Performanceeinbußen zu rechnen. * Einige Anbieter von Internet-Diensten blockieren bekannte IP-Adressen von VPN-Anbietern, eben weil mit der Nutzung von VPN-Tunneln [wikipedia:Geoblocking:] umgangen bzw. die eigene private IP-Adresse verborgen wird. * Will man neben dem Surfen im Internet auch gleichzeitig auf Dienste im lokalen Netz zugreifen, hat man das Problem den Netzwerkverkehr entsprechend zu routen: Der Internet-Verkehr muss über den VPN-Tunnel laufen, alles andere geht direkt in das lokale Netz. Insbesondere für [wikipedia:Domain_Name_System:DNS] ist diese Aufteilung meist schwierig zu realisieren. * Einige Programme / Dienste cachen netzwerkrelevante Informationen und verwenden diese weiter, auch nachdem ein VPN-Tunnel gestartet wurde. Diese Programme / Dienste sollten nach dem Aufbau eines VPN-Tunnels ebenfalls neu gestartet weren (z.B. dirmngr von GnuPG, s. [:GnuPG/Web_of_Trust/#Problembehebung:Problembehebung im Artikel "Web of Trust"]). * VPN-Client-Software bietet einen zusätzlichen Angriffsvektor (s. [heise:security/meldung/Sicherheitsluecken-Angreifer-koennten-OpenVPN-crashen-3751852.html: Sicherheitslücken: Angreifer könnten OpenVPN crashen] {de}). [[Anker(VPNProtokolle)]] = Protokolle = ||<-4 cellstyle="text-align: center;" rowclass="titel">Gängige VPN-Protokolle || ||<- rowclass="kopf">'''Protokoll''' ||'''Symmetrischer Verschlüsselungsalgorithmus''' ||'''Einsatzgebiet''' ||'''Beschreibung''' || ||[wikipedia:Point-to-Point_Tunneling_Protocol:PPTP] ||MS-CHAP v2 ||- ||[heise:security/artikel/Der-Todesstoss-fuer-PPTP-1701365.html:Gilt als unsicher] {de} und sollte nicht mehr verwendet werden || ||[wikipedia:Layer_2_Tunneling_Protocol:L2TP/IPSec] ||abhängig von IPsec ||Wenig verbreitet wegen Gerüchte um mögliche Schwachstellen ||Keine bekannten Sicherheitslücken, obwohl es Gerüchte um mögliche Schwachstellen gibt || ||[wikipedia:Secure_Socket_Tunneling_Protocol:SSTP] ||AES256 und andere ||End-To-Site im Windows-Umfeld ||Keine bekannten Sicherheitslücken || ||[wikipedia:IPsec:IPsec/IKEv2] ||AES256 und andere ||Hauptsächlich im Unternehmensumfeld ||IKE in Version 1 (Protokoll zum Schlüsselaustausch) gilt als überholt; Gerüchte über mögliche Schwachstellen im Schlüsselaustauch (IKE und ISAKMP); ansonsten keine konkreten bekannten Sicherheitslücken || ||[wikipedia:OpenVPN:OpenVPN][[BR]][wikipedia:SSL-VPN:] ||AES256 und andere ||Große Verbreitung im privaten und Unternehmensumfeld ||Gilt als stabil und sicher || Weitere Informationen zu symmetrischen Verschlüsselungsalgorithmen gibt es im Wiki-Artikel [:GnuPG/Symmetrische_Verschlüsselung:]. [[Anker(VPNProgramme)]] = Programme = VPN-Programme können je nach unterstütztem Protokoll unterteilt werden: ||<-4 cellstyle="text-align: center;" rowclass="titel">Auswahl an gängigen Programmen und deren unterstützte VPN-Protokolle || ||<- rowclass="kopf">'''Programm''' ||'''VPN-Protokoll''' ||'''Einsatzgebiet''' ||'''Beschreibung''' || ||[:OpenVPN:] ||OpenVPN / SSL ||End-To-Site[[BR]] Site-To-Site[[BR]] Internetanbindung ||Client und Server im privaten und geschäftlichen Bereich; in mehreren Untersuchungen in 2017 wurden Schwachstellen gefunden und beseitigt || ||[https://www.strongswan.org/ StrongSwan] {en}[[BR]][https://libreswan.org/ LibreSwan] {en} ||IPsec ||Site-To-Site ||Server im geschäftlichen Bereich || ||[https://www.softether.org SoftEther] {en} ||OpenVPN, IPsec, SSTP, Ethernet over HTTPS, VPN over ICMP, VPN over DNS, EtherIP ||End-To-Site[[BR]] Site-To-Site ||Client und Server in gemischten Umgebungen (Windows) und Netze mit sehr eingeschränktem Zugriff || ||[:VPNC:vpnc] ||IPsec ||End-To-Site ||Client im geschäftlichen Bereich || = Links = == Intern == * [:OpenVPN:] - Server- und Client-Installation für OpenVPN * [:VPNC:] * [:NetworkManager/VPN_Plugins:] # tag: Netzwerk, Internet, Sicherheit, Übersicht, Server, Kommunikation