 |
Die Art der VPN-Implementation hängt von der vorhandenen Netzwerkarchitektur und von der Firmenphilosophie ab. Ein VPN sollte sich leicht in das vorhandene Netzwerk integrieren lassen und möglichst einfach zu installieren sein. Werden leistungsfähige Router verwendet ist es naheliegend, diese für ein VPN zu verwenden. Gibt es eine Firewall die den gesamten Datenverkehr managt, wäre diese ein guter Ansatzpunkt. Baut das Netzwerk mehr auf Servern auf, kommt eine reine Softwarelösung in Frage. Bei hohen Anforderungen an den Datendurchsatz empfiehlt sich eine reine Hardwarelösung.
Bei vielen Firmen ist der Router die zentrale Schnittstelle zum Internet. Es ist daher naheliegend den Router als VPN-Gateway zu benützen. Routerhersteller haben VPN-Funktionen meist schon in das Betriebssystem implementiert oder bieten ein passendes Softwareupgrade an um den Router VPN-fähig machen zu können. Die Installation ist so relativ einfach und hat den Vorteil, dass die Netzwerkarchitektur und –konfiguration nicht verändert werden muss und auch keine neuen Geräte hinzukommen. Die zusätzliche Software ist vom selben Hersteller wie das Betriebssystem des Routers, was die Konfiguration des VPN erleichtert, da sie ähnlich der des Routers ist. Eine zusätzliche Schulung ist meist nicht mehr notwendig. Das VPN Add-On besteht aus Verschlüsselungs- und Tunnelingmechanismen, oft ist auch noch eine Firewall inkludiert.
Firewall, Verschlüsselung und Tunneling werden durch Software implementiert, die den Prozessor zusätzlich belastet. Router sind von ihrer Leistungsfähigkeit nur auf das Routing selbst ausgelegt. Kommen zusätzliche Dienste dazu, kann es passieren, dass der Prozessor überlastet wird. Deshalb gibt es von einigen Herstellern Zusatzkarten für ihre Router, die speziell für die Verschlüsselung ausgelegt sind und so den Prozessor entlasten. Ist ein Router überlastet betrifft das nicht nur das VPN, sondern sämtlichen Datenverkehr der über den Router geschickt wird. Ist der Router die einzige Verbindung zum Internet, kann der gesamte Datenverkehr einer Firma beeinträchtigt werden.
Als Folge davon kann es notwendig werden, einen leistungsfähigeren Router anzuschaffen. Das, was zuerst als günstige VPN-Lösung ausgesehen hat, kann so schnell kostenintensiv werden. Man sollte deshalb zuerst einmal das VPN installieren und im Probebetrieb die Belastung und Performance ausprobieren um später teure Neuanschaffungen vermeiden zu können.
Werden hohe Bandbreiten benötigt wird die Entscheidung auf eine reine Hardwarelösung fallen. Solche Hardwarelösungen sind im wesentlichen Router mit speziell für Verschlüsselung optimierten Prozessoren und Hardware. Die Hersteller versprechen hohe Datendurchsätze mit starker Verschlüsselung und einfacher Installation bzw. Administration. Diese Systeme besitzen alle Komponenten, die für ein VPN benötigt werden.
Leider entwickeln viele Hersteller eigene Standards bzw. eine eigene VPN-Infrastruktur, sodass es schwierig sein kann, Produkte anderer Hersteller (wie z.B. eine Firewall) in das VPN zu integrieren. Die Unterstützung für die Einwahl mobiler Clients wird auch nicht bei jedem Produkt berücksichtigt. Die Anwendung von VPN Hardware liegt eher bei LAN-to-Lan Verbindungen. Dabei wird die VPN-Hardware als Brücke zwischen dem Netzwerkrouter und dem Internetanschluss implementiert. Es muss also zusätzliche Hardware im Netzwerk installiert werden. Bei einem Ausfall der VPN-Hardware fällt dann aber ebenfalls die gesamte Internetverbindung aus. Redundante Ausführungen mit automatischem Failover sind aus technischen Gründen sehr aufwendig und deshalb nur selten verfügbar.
Die Preise von VPN Hardware hängen von der möglichen Bandbreite des Produkts ab. Diese fängt ca. bei 2-3 Mbps an, Spitzenmodelle schaffen eine Leistung von knapp 100 Mbps bei 3DES Verschlüsselung. Die Preise für solche Spitzenmodelle liegen dann aber auch schon bei 75.000 bis 100.000 € (Stand Jänner 2001). Hersteller für High End Lösungen wären z.B: VPNet (www.vpnet.com) oder Fortress Technologies (www.fortresstech.com).
Reine Softwarelösungen werden zusätzlich zu anderen Diensten auf einem Server installiert. VPN-Software bietet eine große Anzahl von Features an. Am Anfang steht eine komfortable Installation mit vorkonfigurierten Einstellungen. Die Administration wird durch zahlreiche Assistenten und anderen Hilfen erleichtert. Meist werden die gängigsten Standards unterstützt, sodass eine gute Integration in die Netzwerkstruktur gewährleistet ist.
Die Qualität solcher Software ist oft vom darunter liegendem Betriebssystem abhängig. Hat das Betriebsystem Sicherheitslücken (z.B. TCP/IP Stack) können diese auch die Sicherheit des VPN beeinträchtigen. Es ist also wichtig, nicht nur die VPN-Software am neuesten Stand zu halten sondern auch das Betriebssystem.
Softwarelösungen haben den Nachteil, dass die mögliche Bandbreite von der Rechenleistung des Servers abhängig ist. Der Server wird kein Problem mit Modembenutzern oder einer ISDN Standleitung zum Internet haben. Ist es aber nötig Bandbreiten in der Größenordnung eines 10 Mbps Netzwerkes zu realisieren, kann ein Server schnell überfordert sein. Stellt der Server dann auch noch andere Dienste zur Verfügung, wird das gesamte Netzwerk darunter leiden. Eine billige Softwarelösung kann durch die Kosten für Aufrüstung oder Neuanschaffung des Servers zu einer teuren Implementierung werden.
Der Preis für VPN-Software ist eher in der unteren Preisklasse anzusiedeln, je nachdem wie viele Features das Produkt haben soll. Einige Produkte sind sogar als Freeware mit zum Teil eingeschränkten Fähigkeiten verfügbar. Bei diesen Produkten gibt es aber keinen Support oder gar Hotline. Treten Probleme bei der Installation oder Administration auf, ist man meist auf sich selbst gestellt. Hilfe findet man nur im Internet auf diversen Webseiten und in Newsgroups.
Zu einigen Softwarelösungen werden spezielle Zusatzkarten angeboten, die im Server installiert werden um einen höheren Datendurchsatz zu ermöglichen.
Viele Firmen leiten ihren gesamten externen Datenverkehr über eine zentrale Firewall, die oft auch noch auf Viren und anderen bösartigen Code überprüft. Es ist daher naheliegend auch das VPN auf der Firewall zu installieren. Viele Firewallhersteller bieten deshalb eine VPN-Lösung für ihre Firewallprodukte an.
Durch Installation zusätzlicher Software oder durch einen neuen Lizenzschlüssel werden die Funktionen des VPN auf der Firewall aktiviert. Die Konfiguration erfolgt über das Management der Firewall, es werden zusätzliche VPN-Regeln installiert. Am Netzwerk selber sind normalerweise keine besonderen Änderungen vorzunehmen.
Da durch den Ausfall der Firewall hoher Schaden entstehen kann, ist sie oft redundant ausgeführt, d.h. fällt die Firewall aus, so übernimmt automatisch eine zweite Firewall. Eine VPN-Verbindung kann zwar nicht so einfach übernommen werden, doch ist es mit geringem Aufwand und in geringer Zeit möglich, das VPN wieder zum Funktionieren zu bringen.
Trotzdem ist auch diese VPN-Lösung nur Software, d.h. es können Performanceprobleme bei großen Bandbreiten entstehen. Der Server muss sämtlichen Datenverkehr kontrollieren, den des VPN authentifizieren und verschlüsseln und im schlimmsten Fall auch noch komprimieren. Für einige Firewalls gibt es deshalb Zusatzkarten, die den Prozessor entlasten und höhere Bandbreiten ermöglichen sollen.
Als realistische mögliche Bandbreite bei Firwall-VPNs kann mit ca. 3-5 Mbit bei 3DES Verschlüsselung gerechnet werden. Dies hängt aber von vielen Faktoren ab, wie Anzahl der Regeln der Firewall, Inhaltsüberwachung des Datenverkehrs oder Virenkontrolle. Mit Zusatzkarten kann diese Bandbreite je nach Hersteller auf ca. 40 Mbit erhöht werden.
Firewalls schützen Netzwerke vor Zugriffen von außen. Sie kontrollieren den Zugriff auf interne Ressourcen anhand der IP-Adresse und des Anwendungstyps. Es gibt kaum ein Netzwerk, dass nicht durch eine Firewall geschützt ist wenn es permanent mit dem Internet verbunden ist.
Von der Funktionsweise her können drei Typen von Firewalls unterschieden werden: Paket Filter-, Proxy- und Stateful Inspection Firewalls.
Paket Filter Firewalls waren die erste Generation von Firewalls. Paket Filter überprüfen anhand der Absende- und Zieladresse ob IP-Pakete durchgelassen werden dürfen oder nicht. Dazu werden vom Administrator Regeln erstellt, die eine Verbindung zulassen oder verbieten. Vorteil dabei ist, dass die Firewall transparent für den Anwender funktioniert. Oft sind solche Paket Filter schon auf Routern installiert und müssen nur mehr richtig konfiguriert werden. Diese Konfiguration kann dabei schnell sehr aufwendig werden, wenn eine große Anzahl von IP-Adressen verwaltet werden muss. Nachteil der Paket Filter ist, dass die Berechtigungen auf IP-Adressen basieren und nicht auf Authentifizierung durch Benutzer.
Bei einer Proxy Firewall wird eine Verbindung von außen vom Proxy entgegengenommen. Dieser überprüft anhand der Regeln ob der Zugriff erlaubt ist und öffnet dann eine neue Verbindung nach innen. Ein Benutzer von außen ist also nie direkt mit einem Rechner von innen verbunden, sondern immer nur über den Umweg des Proxy. Proxy Firewalls können weiter unterschieden werden in Circuit Proxies und Application Proxies.
Application Proxies arbeiten auf der Applikationsschicht und können deshalb den Inhalt der Pakete überprüfen. Dabei ist jeweils ein Proxy für einen Dienst zuständig. Man braucht also z.B. für FTP und Telnet zwei Proxies. Deshalb haben Application Firewalls zwei Nachteile: wird ein neuer Dienst benötigt muss zuerst ein neuer Proxy installiert werden; und da die Pakete genauer untersucht werden müssen wird auch mehr Rechenzeit benötigt, was zu Verzögerungen führen kann. Ein weiterer Nachteil ist, dass die Clients speziell auf die Verwendung von Proxies konfiguriert werden müssen, die Anwendung erfolgt also nicht transparent für die Benutzer. Vorteil eines Application Proxy ist die mögliche Benutzerauthentifizierung anhand von Passwörtern oder anderer Authentifizierungsmechanismen.
Circuit Proxies sind typischerweise zwischen dem Netzwerkrouter und der Internetverbindung stationiert. Dabei wird das ganze interne Netzwerk über die IP-Adresse des Proxies abgebildet. Sie sind deshalb sicherer als Packet Filter, da keine Informationen (IP-Adressen oder Portnummern) des internen Netzwerks nach außen dringen. Gleichzeitig sind sie aber auch langsamer, weil sie den IP-Header verändern müssen.
Wird auch als dynamischer oder kontextabhängiger Paketfilter bezeichnet. Dabei werden alle Schichten eines Pakets nach Informationen untersucht und dessen Kontext in dynamischen Tabellen gespeichert. Dabei können nicht nur TCP-Pakete analysiert werden, sondern auch UDP-Pakete. Nach außen gesendete UDP-Pakete werden bis zur entsprechende Antwort gespeichert. So kann jedes eingehende UDP-Paket gegen die dynamischen Tabellen und den Sicherheitsregeln geprüft werden.
Stateful Inspection Firewalls lassen sich leicht installieren und an die benötigten Dienste anpassen. Durch die dynamischen Zustandstabellen bieten sie einen Schutz vor einer Vielzahl von Angriffen. Nachteil ist die erhöhte Rechnerbelatung, die durch die intensive Überwachung des Datenstroms benötig wird.
Bei der Planung eines VPN stellt sich die Frage nach dem Standort. Bei einem Firewall-VPN ist der Standort identisch mit der Firewall. Wird aber ein Hardware- oder Software-VPN verwendet kommen als Standorte in Frage: vor oder hinter der Firewall.
Eine Firewall (im besonderen eine Proxy-Firewall) bildet meist alle internen IP-Adressen auf eine öffentliche IP-Adresse ab. Soll die gesamte Kommunikation mit dem Internet verschlüsselt werden, so ist dies in der Anordnung „VPN vor der Firewall“ relativ einfach möglich, da das VPN-Gateway einfach den gesamten Datenverkehr verschlüsselt. Sollen nur einzelne Dienste verschlüsselt werden muss das VPN die Möglichkeit besitzen den Destination Port zu erkennen. Verbindungen zu einzelnen Rechnern können nur schwer verschlüsselt werden, da die internen IP-Adressen dem VPN nicht bekannt sind.
Ist das VPN hinter der Firewall wird der Datenverkehr vor der Firewall verschlüsselt, wo die internen IP-Adressen noch bekannt sind. Soll aber auf der Firewall anhand der Portnummer gefiltert werden, ist dies mit verschlüsselten Daten nicht mehr möglich, da bei VPN-Produkten meist der gesamte Inhalt des Datenpakets einschließlich der Portnummer verschlüsselt wird. Bei einigen Firewalls ist es möglich, gefährlichen Code bzw. Viren zu filtern. Das ist bei dieser Anordnung ebenfalls nicht mehr möglich.
Werden Dienste der Öffentlichkeit zugänglich gemacht, sind die Server, die diese Dienste anbieten oft in einer sog. Demilitarized Zone (DMZ), also einer entmilitarisierten Zone positioniert. Eine DMZ ist ein eigener Bereich hinter einer Firewall, für den nicht so strenge Sicherheitsregeln gelten. Der Vorteil einer DMZ liegt darin, dass die Firewall die Pakete die von und zu einer DMZ gehen, nicht so genau kontrollieren muss und deshalb ein höherer Datendurchsatz erreicht wird. Trotzdem bietet sie noch einen Schutz vor „Denial of Service“ oder ähnlichen Attacken.
In einer DMZ werden z.B. Webserver, FTP-Server, Datenbankserver oder aber auch VPN-Server aufgestellt. Ein VPN-Server in einer DMZ erleichtert die Konfiguration für mobile Klienten und für Geschäftspartner, die auf in der DMZ geschützte Ressourcen zugreifen.
Eine DMZ kann auf zwei Arten implementiert werden: entweder besitzt die Firewall eine eigene Schnittstelle bzw. Netzwerkkarte für eine DMZ, oder sie entsteht indem zwei Firewalls hintereinander angeordnet werden.
Mann kann drei Bereiche von Bedrohungen in verteilten System unterscheiden: Abhören von Daten, Manipulieren von Daten und Verhindern von Diensten.
Ein Angreifer versucht durch Belauschen des Datenverkehrs Informationen aus dem Netzwerk zu bekommen. Dabei wird nur mitgehört ohne dabei Daten zu verändern, weshalb es sehr schwierig ist, den Abhörversuch zu entdecken. Dieser Vorgang wird auch als „sniffen“ bezeichnet. Aus dem abgehörtem Datenstrom kann der Angreifer z.B. Passwörter, Dokumente, E-Mails oder ähnliches herausfiltern bzw. rekonstruieren. Alles was unverschlüsselt übertragen wird kann vom Hacker gelesen werden.
Sniffen ist relativ einfach, da eine Vielzahl von Tools zur Verfügung stehen. Da diese Tools auch von Administratoren verwendet werden um den Datenverkehr zu analysieren, sind diese oft schon im Betriebssystem enthalten (z.B. Netzwerkmonitor bei Windows NT, TCPdump für Linux). Die Schwierigkeit für den Hacker besteht darin, eine physische Verbindung zum Netzwerk zu bekommen. Sniffing funktioniert nur, wenn die Netzwerkkarte des Sniffers im selben Segment (Hub, Ethernetstrang) hängt, in dem die Daten übertragen werden.
Bei der Manipulation von Daten versucht der Angreifer Daten zu verändern oder falsche Informationen einzuspielen. Weiter kann er versuchen, Daten wiederholt in das System einzuspielen. Ein praktischer Fall wäre, wenn er eine Banküberweisung zu seinen Gunsten abändert.
IP-Spoofing ist eine Angriffsmethode, bei der falsche IP-Nummern verwendet werden, um dem angegriffenen System eine falsche Identität vorzuspielen. Bei vielen Protokollen der TCP/IP-Familie erfolgt die Authentisierung der kommunizierenden Systeme nur über die IP-Adresse, die aber leicht gefälscht werden kann. Nutzt man darüber hinaus noch aus, dass die von den Rechnern zur Synchronisation beim Aufbau einer TCP/IP-Verbindung benutzten Sequenznummern leicht zu erraten sind, ist es möglich, Pakete mit jeder beliebigen Absenderadresse zu verschicken. Damit können entsprechend konfigurierte Dienste wie rlogin benutzt werden. Allerdings muss ein Angreifer dabei in Kauf nehmen, dass er u.U. kein Antwortpaket von dem missbräuchlich benutzten Rechner erhält. Leider sind auch die in Schicht 2 des OSI-Modells eingesetzten Adressen wie Ethernet- oder Hardware-Adressen leicht zu fälschen und bieten somit für eine Authentisierung keine zuverlässige Grundlage. [26]
DNS-Spoofing: Um im Internet mit einem anderen Rechner kommunizieren zu können, benötigt man dessen IP-Adresse. Da solche Nummern nicht sehr einprägsam sind, wird einer solchen IP-Adresse fast immer ein Name zugeordnet. Das Verfahren hierzu nennt sich DNS (Domain Name System).
Die Datenbanken, in denen den Rechnernamen die zugehörigen IP-Adressen zugeordnet sind und den IP-Adressen entsprechende Rechnernamen, befinden sich auf den sog. Nameservern. Für die Zuordnung zwischen Namen und IP-Adressen gibt es zwei Datenbanken: In der einen wird einem Namen eine IP-Adresse zugewiesen und in der anderen einer IP-Adresse der zugehörige Name. Diese beiden Datenbanken müssen miteinander nicht konsistent sein. Von DNS-Spoofing ist die Rede, wenn es einem Angreifer gelingt, die Zuordnung zwischen einem Rechnernamen und der zugehörigen IP-Adresse zu fälschen, d.h. dass ein Name in eine falsche IP-Adresse bzw. umgekehrt aufgelöst wird. Dadurch sind unter anderem die folgenden Angriffe möglich:
Replay-Attacken: Der Angreifer zeichnet Daten aus dem System auf und spielt sie später unverändert oder auch zu seinen Gunsten verändert wiederholt ein.
Bei einem Man-in-the-Middle-Angriff sitzt der Angreifer zwischen zwei Teilnehmern A und B. Er nimmt die Daten von A auf, manipuliert sie und gibt sie an B weiter. Da er sich durch Vortäuschen einer falschen IP-Adresse als B ausgibt, erhält er auch die Antworten von B zurück.
Session Hijacking versucht nicht wie Spoofing eine Verbindung aufzubauen, sondern übernimmt eine bereits bestehende. Zuerst muss der Angreifer einen Rechner im Netzwerk übernehmen um den Datenverkehr mithören zu können. Nachdem er die Sequenzummern der beiden Rechnern A und B erfahren hat, kann er Pakete erzeugen, die von einem der beiden Parteien zu kommen scheinen. Um die Übernahme zu vervollständigen, muss er diesen Rechner oder die zugehörige Leitung überlasten, damit er keine weiteren Daten mehr übermitteln kann.
Missbrauch des Source-Routing: In einem IP-Paket besteht die Möglichkeit mittels des Source Routing Eintrages dessen Weg durch das Netz vorzugeben, so dass die eigentlichen Routing-Tabellen der Router einfach übergangen werden. Der Angreifer kann das z.B. so ausnutzen, dass seine Datenpakete nicht die durch die Routingeinträge vorgesehenen sicheren Wege (z.B. über die Firewall) benutzen, sondern andere, unkontrollierte Wege.
Missbrauch der Routing-Protokolle: Wenn sich die Route zwischen zwei Netzen ändert, ist es mittels RIP-Paketen (Routing Information Protocol) möglich, diese Änderungen an die angeschlossenen Hosts zu übermitteln, damit diese ihre Routing-Tabellen anpassen. Da es möglich ist, falsche RIP-Pakete in das System einzuspielen, kann man ähnlich wie beim Missbrauch des Source-Routing ungeschützte Wege durch das Netzwerk vorgeben.
Unter der Verhinderung von Diensten, auch häufig „Denial of Service“ (DoS) genannt, versteht man, dass der Angreifer versucht, den Informationsfluß im System zu verhindern. Dabei versucht er z.B. Teile des Systems mit Datenmüll zu überlasten oder einzelne Komponenten eines Systems vom Netzwerk zu trennen. Manche Angreifer machen sich dabei Fehler in Betriebsystemen oder Software zu nutze, um diese zum Absturz zu bringen. So gibt es z.B. zahlreiche Sicherheitslücken im Internet Information Server (IIS) von Microsoft, die den Dienst oder den ganzen Rechner zum Absturz bringen können. Oft reicht es, eine bestimmte Anfrage (URL) zu schicken (siehe z.B. „IIS Invalid URL vulnerability“ vom 7.Sept. 2000 auf http://neworder.box.sk )