Ein virtuelles privates Netzwerk (Virtual Private Network, VPN) ist eine Punkt-zu-Punkt-Verbindung über ein privates oder ein öffentliches Netzwerk, beispielsweise über das Internet. Ein VPN-Client verwendet spezielle TCP/IP-basierte Protokolle, so genannte Tunneling-Protokolle, mit denen ein sicherer Kanal zwischen zwei Computern hergestellt wird, über die sie Daten senden können. Aus der Perspektive der beiden beteiligten Computer ist eine dedizierte Punkt-zu-Punkt-Verbindung zwischen ihnen vorhanden, obwohl die Daten tatsächlich wie jedes andere Paket über das Internet weitergeleitet werden. In einer typischen VPN-Bereitstellung initiiert ein Client über das Internet eine virtuelle Punkt-zu-Punkt-Verbindung mit einem RAS-Server. Der RAS-Server beantwortet den Anruf, authentifiziert den Anrufer und übermittelt Daten zwischen dem VPN-Client und dem privaten Netzwerk der Organisation.

Zur Emulierung einer Punkt-zu-Punkt-Verbindung werden die Daten in einen Header gekapselt bzw. eingebunden. Dieser Header enthält Routinginformationen, die es den Daten ermöglichen, das freigegebene oder öffentliche Netzwerk zu durchqueren und ihren Endpunkt zu erreichen. Zur Emulierung einer privaten Verbindung werden die gesendeten Daten verschlüsselt, um die Vertraulichkeit der Informationen zu wahren. Weitere Informationen (möglicherweise in englischer Sprache) zu den in dieser Version von Windows unterstützten Tunneling-Protokollen finden Sie unter VPN-Tunneling-Protokolle.

Informationen zu den Installationsanforderungen finden Sie unter Anforderungen für das Installieren von RRAS als VPN-Server.

VPN-Verbindung

VPN-Verbindung

Es gibt zwei Typen von VPN-Verbindungen:

Remotezugriff-VPN

Eine Remotezugriff-VPN-Verbindung ermöglicht einem Benutzer, der außerhalb des Büros arbeitet, den Zugriff auf einen Server in einem privaten Netzwerk über die Infrastruktur eines öffentlichen Netzwerks wie dem Internet. Aus der Perspektive des Benutzers ist das VPN eine Punkt-zu-Punkt-Verbindung zwischen dem Clientcomputer und dem Server der Organisation. Die Infrastruktur des freigegebenen oder öffentlichen Netzwerks ist nicht relevant, da es logisch so dargestellt wird, als ob die Daten über eine dedizierte private Verbindung gesendet werden würden.

Standort-zu-Standort-VPN

Eine standortübergreifende VPN-Verbindung (auch als Router-zu-Router-VPN-Verbindung bezeichnet) ermöglicht einer Organisation die Verwendung gerouteter Verbindungen zwischen separaten Büros oder mit anderen Organisationen über ein öffentliches Netzwerk bei gleichzeitiger Unterstützung einer sicheren Kommunikation. Wenn für Netzwerke Verbindungen über das Internet hergestellt werden, wie in der folgenden Abbildung dargestellt ist, leitet ein VPN-fähiger Router Pakete über eine VPN-Verbindung an andere VPN-fähige Router weiter. Für die Router stellt die VPN-Verbindung logisch eine dedizierte Sicherungsschichtverbindung dar.

Eine standortübergreifende VPN-Verbindung verbindet zwei private Netzwerke miteinander. Der VPN-Server stellt eine geroutete Verbindung zum Netzwerk bereit, mit dem der VPN-Server verbunden ist. Zur gegenseitigen Authentifizierung authentifiziert sich der anrufende Router beim antwortenden Router, und der antwortende Router authentifiziert sich beim anrufenden Router. Bei einer Standort-zu-Standort-VPN-Verbindung stammen die Pakete, die von den Routern über die Verbindung gesendet werden, in der Regel nicht von den Routern selbst.

VPN-Verbindung zwischen zwei Remotestandorten über das Internet

VPN verbindet Remotesites über das Internet

Eigenschaften von VPN-Verbindungen

  • Kapselung Private Daten werden in einen Header mit Routinginformationen gekapselt, die es den Daten ermöglichen, das Durchgangsnetzwerk zu durchqueren. Beispiele (möglicherweise in englischer Sprache) für die Kapselung finden Sie unter VPN-Tunneling-Protokolle (https://go.microsoft.com/fwlink/?linkid=140602).

  • Authentifizierung Es gibt drei Formen der Authentifizierung für VPN-Verbindungen:

    1. Authentifizierung auf Benutzerebene mithilfe der PPP-Authentifizierung (Point-to-Point-Protokoll) Zum Herstellen einer VPN-Verbindung authentifiziert der VPN-Server den VPN-Client, der die Verbindung herstellten möchte, mithilfe einer PPP-Authentifizierungsmethode auf Benutzerebene und überprüft, ob der VPN-Client über die entsprechende Autorisierung verfügt. Bei Verwendung der gegenseitigen Authentifizierung authentifiziert der VPN-Client auch den VPN-Server und wird dadurch vor Computern geschützt, die sich nur als VPN-Server ausgeben.

    2. Computerebenenauthentifizierung durch Verwendung des Internetschlüsselaustauschs (Internet Key Exchange, IKE) Zum Herstellen einer IPsec-Sicherheitszuordnung (Internet Protocol Security) verwenden der VPN-Client und der VPN-Server das IKE-Protokoll für den Austausch von Computerzertifikaten oder eines vorinstallierten Schlüssels. In beiden Fällen authentifizieren sich der VPN-Client und -server gegenseitig auf Computerebene. Die Computerzertifikatauthentifizierung stellt eine viel stärkere Authentifizierungsmethode dar und wird daher dringend empfohlen. Die Authentifizierung auf Computerebene wird von Verbindungen über das Layer Two Tunneling-Protokoll (L2TP)/IPsec oder IKE, Version 2, verwendet.

    3. Datenursprungsauthentifizierung und Datenintegrität Zur Überprüfung, dass die über die VPN-Verbindung gesendeten Daten vom anderen Ende der Verbindung stammen und bei der Übertragung nicht verändert wurden, enthalten die Daten eine kryptografische Prüfsumme, die auf einem Verschlüsselungsschlüssel basiert, der nur dem Absender und dem Empfänger bekannt ist. Die Datenursprungsauthentifizierung und die Datenintegrität sind für Verbindungen über L2TP/IPsec und IKE, Version 2, verfügbar.

  • Datenverschlüsselung Damit die Vertraulichkeit der Daten bei der Durchquerung des freigegebenen oder öffentlichen Durchgangsnetzwerks gewährleistet wird, werden die Daten vom Absender verschlüsselt und anschließend vom Empfänger entschlüsselt. Die Verschlüsselungs- und Entschlüsselungsprozesse sind sowohl vom Absender als auch vom Empfänger abhängig, da beide einen gemeinsamen Verschlüsselungsschlüssel verwenden.

    Pakete, die beim Senden über die VPN-Verbindung im Durchgangsnetzwerk abgefangen werden, können nur mithilfe des gemeinsamen Verschlüsselungsschlüssels gelesen werden. Die Länge des Verschlüsselungsschlüssels ist ein wichtiger Sicherheitsparameter. Der Verschlüsselungsschlüssel kann mithilfe von Rechenmethoden ermittelt werden. Diese Rechenmethoden erfordern jedoch mehr Rechenleistung und Rechenzeit, je größer die Verschlüsselungsschlüssel werden. Daher ist es wichtig, stets den größtmöglichen Schlüssel zu verwenden, um die Vertraulichkeit der Daten sicherzustellen.

Weitere Verweise


Inhaltsverzeichnis