Virtuellt privat nätverk

Virtual Private Network ( tyska " virtuellt privat nätverk "; kort : VPN ) beskriver en nätverksanslutning som inte är synlig för åskådare och har två olika betydelser:

  • Den konventionella VPN beskriver ett virtuellt privat (fristående) kommunikationsnätverk. Virtuellt i den meningen att det inte är en separat fysisk anslutning, utan ett befintligt kommunikationsnätverk som används som transportmedium. VPN används för att binda deltagare i det befintliga kommunikationsnätverket till ett annat nätverk.
    Till exempel kan en anställds dator komma åt företagsnätverket hemifrån, precis som om han satt mitt i det. Ur VPN -anslutningens synvinkel reduceras nätverken däremellan (dess hemmanätverk och Internet) till funktionen för en förlängningskabel som endast ansluter datorn ( VPN -partner ) med det tilldelade nätverket ( VPN -gateway ). Han blir nu en del av detta nätverk och har direkt tillgång till det. Effekten är jämförbar med att byta datorns nätverkskabel till det nätverk som tilldelats via VPN.
    Denna process fungerar oavsett den fysiska topologin och de nätverksprotokoll som används, även om det associerade nätverket är av en helt annan typ.
    De resulterande fördelarna med ett VPN kan, beroende på vilket VPN-protokoll som används, kompletteras med kryptering som möjliggör tryckskyddad och manipulationssäker kommunikation mellan VPN-partnerna. Att etablera ett krypterat (virtuellt) nätverk via ett okrypterat nätverk kan vara ett viktigt kriterium, och ibland till och med huvudorsaken till att använda en VPN.
  • SSL-VPN (även webbaserat VPN ) har stött lösningar sedan 2002 som implementerar krypterad fjärråtkomst till företagets applikationer och delade resurser utan att SSL-VPN-partnerna är knutna till företagets nätverk. I det här fallet är nätverkskabeln inte symboliskt ansluten till ett annat nätverk; endast säker åtkomst till vissa tjänster i det andra nätverket möjliggörs.
    Delen av namnet "VPN" för dessa lösningar är kontroversiell, men vanlig på marknaden. Ur teknisk synvinkel är de baserade på en proxymekanism ( Thin Client SSL VPN ) eller på det faktum att den eftertraktade företagsprogrammet i sig är en webbapplikation ( Clientless SSL VPN ), som en SSL VPN -partner kan komma åt via en säker anslutning, men utan att få en direktåtkomst till företagsnätverket. Dessutom stöder SSL-VPN också ett VPN-läge i den mening som konventionella VPN ( Fat Client SSL VPN ).
Struktur för en konventionell VPN: Nedan visas hemmakontor ("fjärr- / roaminganvändare") som ringer in till ett företags högkvarter via VPN via Internet ("huvudkontor"), varvid den blå rutan är en VPN -gateway (kallas också VPN-uppringningsnod ). Dessutom är huvudkontoret också anslutet till två av sina filialer via VPN ("Regional Office"), varvid nätverket däremellan också är Internet här, som fungerar som en transportväg för VPN (ur synvinkel från VPN -anslutningen är Internet beroende av funktionen hos en förlängningskabel).

Konventionella VPN: er

Grunderna

Nätverket som en VPN ansluter sina abonnenter till kallas ibland också ett tilldelat nätverk .Det tilldelade nätverket kan strömma in i ett fysiskt nätverk där externa enheter kan integreras med hjälp av VPN via en speciell (VPN) gateway ("end-to-site" VPN). De VPN partners bli en del av den tilldelade nätverket och kan nu åtgärdas direkt därifrån - praktiskt taget som om de vore rätt i mitten av det. På grund av denna illusion kallas VPN -partnern för ett virtuellt nätverk.

Gatewayen kan också peka på ett rent virtuellt nätverk, som bara består av ytterligare VPN-partners ("end-to-end" VPN).

Dessutom finns det möjlighet att ansluta två kompatibla nätverk som ligger i anslutning till ett och samma grannät ("site-to-site" VPN), varvid grannnätet däremellan också kan vara av en helt annan typ.

Ömsesidigt tillgängliga nätverk

Så snart minst två separata nätverk är anslutna till varandra via en enhet är dessa nätverk som är tillgängliga för varandra. Anslutningsanordningen möjliggör kommunikation mellan nätverken och kan till exempel vara en ( NAT ) router eller en gateway ; När det gäller rent virtuella nätverk (som är inbäddade i ett annat nätverk) kan en av deltagarna också ta på sig denna funktion.

Till exempel kan anslutningsenheten vara en DSL -router som ansluter ett företagsnätverk till Internet . Tack vare denna enhet kan en arbetsstationsdator också hämta internetsidor. Tillgången till företagets nätverk för dem på Internet är fortfarande begränsad. Till skillnad från en deltagare som är direkt ansluten till företagsnätverket kan en deltagare som är ansluten till Internet inte helt enkelt komma åt alla företagets nätverksresurser (t.ex. fil- och skrivarresurser). För detta måste den vara ansluten till företagets nätverk. Detta är exakt vad som kan göras via ett VPN, varigenom åtkomstbehörigheten kan begränsas till vissa deltagare.

I den klassiska VPN -konfigurationen spelar anslutningsenheten en central roll; VPN -programvara är installerad på den. Den anslutande enheten blir sålunda - förutom sin tidigare funktion - en VPN -gateway (även VPN -inloggningsnod ).

Routing med VPN

Exemplet kan vara Netz Aett hemnätverk, Netz BInternet och Netz Cett företagsnätverk. Om kommunikation med det intilliggande nätverket till och med VPN -inloggningsnoden är möjlig fungerar VPN över flera nätverk - så att inte bara deltagare kan ringa in Netz B, utan även deltagare kan ringa Netz Ain via VPN Netz C.

VPN är en ren mjukvaruprodukt

De ömsesidigt åtkomliga nätverken bildar tillsammans hårdvaran (själva enheterna, plus kablar) och programvara , vilket i sin tur krävs av enheterna för att "berätta" för dem vad de ska göra i första hand.

VPN -programvara krävs för att ansluta en deltagare från sitt ursprungliga nätverk till ett nätverk som kan nås där. I den klassiska konfigurationen är den installerad å ena sidan på enheten som ansluter nätverken och å andra sidan på deltagaren som ska integreras. VPN fungerar utan att behöva lägga en extra kabel eller lägga till något annat till hårdvara. När det gäller konceptet är VPN därför en ren mjukvaruprodukt. Det betyder dock inte att VPN inte kan implementeras med separata enheter kan optimeras för en sådan lösning. Det finns hårdvara, så kallade VPN-apparater, som är baserade på ett speciellt säkrat (härdat) operativsystem och där till exempel en motsvarande hårdvarudesign hjälper till att påskynda delar av (valfri) kryptering. Att använda speciella VPN -enheter kan vara en vettig åtgärd. Detta är dock bara ett alternativ, eftersom VPN också kan implementeras utan dessa enheter.

funktionalitet

En VPN -partner från nätverk A har ringt till nätverk B och kommunicerar med B2.
  • Nätverk A
  • Nätverk B

    • Med hänvisning till Netzwerk-Anschluss A2exempelexemplet körs en VPN -klientprogramvara på enheten som Netz Btilldelar enheten detta . Den förra PC A2blir " Netz B" deltagaren PC B7, vår VPN -partner .

    Denna VPN -partner skickar nu ett meddelande till exempelvis PC B2. Meddelandet VPN-Adapterskickas till vem som är en del av VPN -klientprogramvaran för vidarebefordran . Han lägger meddelandet bildligt i ett kuvert (adress = " PC B2", avsändare = " PC B7") och levererar sedan brevet till Netzwerk-Anschluss A2. Brevet läggs i ett annat kuvert (adress = " Netzwerk-Anschluss A3" (VPN-Gateway), avsändare = " Netzwerk-Anschluss A2") och Netz Aöverlämnas till det.

    Tricket är att VPN -paketen kan adresseras separat (yttre kuvert) oavsett innehåll och originaladressering (inre kuvert) för att skicka brevet i en form som är kompatibel Netz A. Ur teknisk synvinkel placeras de ursprungliga nätverkspaketen (inre bokstav) i ett VPN -protokoll för transport. Det är därför VPN kallas en tunnel .

    Han Netzwerk-Anschluss A3tar emot brevet och överlämnar det till programvaran som „VPN-Gateway“körs på enheten. Denna programvara tar bort det yttre kuvertet och vidarebefordrar den inre bokstaven till nätverket från Netzwerk-Anschluss B6till PC B2(adressaten för det inre kuvertet).

    Hans svar är att skicka PC B2tillbaka till PC B7. Det Netzwerk-Anschluss B6avlyssnar brevet eftersom det VPN-Gatewayerkänner att " PC B7" adressen tillhör en av dess VPN -partner. Detta brev VPN-Gatewayläggs också visuellt i ett andra kuvert (adress = " Netzwerk-Anschluss A2", avsändare = " Netzwerk-Anschluss A3") och Netz Ariktas in i det. Han Netzwerk-Anschluss A2tar brevet och lämnar över det till honom VPN-Adapter. Han tar bort det yttre kuvertet och lämnar det inre brevet till PC B7.

    I mycket förenklade termer, Netz Aur VPN -partnerns synvinkel, reducerades detta till funktionen av en förlängningskabel som ansluts PC B7direkt till Netz B. För både kommunikationspartners PC B7och PC B2det ser ut som att det är i PC B7mitten Netz Boch inte i Netz A. Du märker inte någon av mekanismerna däremellan.

    Den resulterande fördelen med ett VPN kan kompletteras med kryptering, beroende på vilket VPN -protokoll som används, vilket säkerställer att kommunikationen mellan PC B7och VPN-Gatewayinte Netz Akan ses eller manipuleras av någon . Denna valfria VPN -kryptering är en del av det yttre kuvertet. Så det når inte in i det Netz B, utan slutar eller börjar (långt tillbaka) VPN-Gateway.

    I en verklig miljö, Netz Btill exempel, kan det finnas ett företagsnätverk och Netz AInternet (i en mycket förenklad representation här), via vilken en enhet som är ansluten direkt till Internet ringer till företaget via VPN. Alternativt kan det Netz Aockså vara den anställdes privata hemnätverk, då Internet ligger mellan Netz Aoch Netz B(betecknas som ” Punkt X” i exemplet ). Vid denna tidpunkt kan det vara flera nät som ligger emellan, vilket bokstaven kommer att passera genom tack vare det yttre kuvertet innan det VPN-Gatewaynår.

    VPN fungerar i stort sett oberoende av den fysiska topologin och de nätverksprotokoll som används, även om den tilldelade är Netz Bav en helt annan typ. För eftersom de faktiska nätverkspaketen är packade i VPN -protokollet måste de (de interna bokstäverna, det är " Netz Bbara förstås av VPN -partnerna" nätverkskomponenterna från Netz A. De behöver bara förstå transportdata för det yttre kuvertet, det vill säga känna till nätverksprotokollet som används för transporten.

    Anslut nätverk

    Två grenar är anslutna till varandra via ett eller flera närliggande nätverk via VPN.
  • Nätverk A
  • Nätverk X

    • Jämfört med andra typer av tunnlar i ett TCP / IP -nätverk kännetecknas VPN -tunneln av att den vidarebefordrar alla nätverkspaket oberoende av högre protokoll ( HTTP , FTP, etc.) . På detta sätt är det möjligt att transportera datatrafiken för två nätverkskomponenter genom ett annat nätverk med praktiskt taget inga begränsningar, varför även hela nätverk kan anslutas till varandra över ett eller flera närliggande nätverk (hänvisas till som i figuren ) . Till exempel kan en databasanslutning också användas på fjärrdatorn. Punkt X

    Så snart den VPN-Gateway 1upptäcker att ett meddelande är adresserat till en deltagare Filiale 2( PC A2-...), sätts det symboliskt in i det andra kuvertet och skickas till, enligt det ovan beskrivna operationssättetVPN-Gateway 2 . Om, å andra sidan VPN-Gateway 2, inser att ett meddelande är adresserat till en deltagare Filiale 1( PC A1-...), skickar det det till enligt samma princip VPN-Gateway 1.

    Inkapslat nätverk

    Inkapsling av tre nätverk.
  • Nätverk A
  • Nätverk B
  • Nätverk C

    • I exempelfiguren finns det två virtuella nätverk (här och ) Netz Aförutom de vanliga deltagarna (t.ex. ). Var och en av dessa är ett privat (fristående) nätverk som följer sina egna regler, som börjar med typen av adressering och distribution till det kommunikationsprotokoll som används. Ändå delar de (åtminstone delvis) samma fysiska linje och infrastruktur, vilket möjliggörs symboliskt av det andra kuvertet enligt det ovan beskrivna arbetssättet . A1Netz BNetz C

    I förhållande till VPN-Partner, inklusive VPN-Gateway, kan man säga att VPN är ett oberoende nätverk, inkapslat i ett annat nätverk.

    Detta kan referera till hela nätverket om det uteslutande består av VPN -partners, som är Netz Bfallet. Det kan emellertid också hänvisa till endast en del av kommunikationsvägen, som är Netz Cfallet i detta fall. Där slutar VPN i sitt eget fysiska nätverk; När Netz Cen abonnent som är direkt ansluten till den anslutna abonnenten (t.ex. C1) kommunicerar med en " Netz C" VPN -partner (t.ex. C6), börjar eller slutar inkapslingen (returväg) här VPN-Gateway.

    Enligt deras ursprung bildar VPN sådana stängda virtuella nätverk inom ett offentligt uppringt nätverk. Dessa inkluderar röstkommunikationsnätverk , X.25 , Frame Relay och ISDN , som tack vare detta koncept kan drivas parallellt över en och samma fysiska infrastruktur, det offentliga kopplade nätverket. De är fysiskt (åtminstone delvis) inbäddade i uppringningsnätet ovan, men för abonnenterna ser det ut som om varje nätverk har sin egen linje.

    Idag används VPN i vardagsspråk för att beteckna ett (mestadels krypterat) virtuellt IP- nätverk som inte är inbäddat i ett uppringt nätverk utan i ett annat IP-nätverk (vanligtvis det offentliga Internet ).

    Egenskaper för ett VPN

    VPN bildar sitt eget logiska nätverk, som är inbäddat i ett fysiskt nätverk och använder de adresseringsmekanismer som är vanliga där, men transporterar sina egna nätverkspaket när det gäller datateknik och fungerar därmed oberoende av resten av detta nätverk. Det möjliggör kommunikation mellan VPN-partnerna i det och det tilldelade nätverket, är baserat på tunnelteknik , kan konfigureras individuellt, är kundspecifikt och är fristående (därför " privat ").

    Praktiska användningsområden för ett VPN

    Så snart en dator upprättar en VPN -anslutning är processen jämförbar med att byta sin nätverkskabel från sitt ursprungliga nätverk till det nyligen tilldelade nätverket, med alla effekter som ändrade IP -adresser och skillnader i routing .

    Till exempel, om datorn ringer upp en webbplats, dirigeras begäran nu från det nyligen tilldelade nätverket till Internet. Begäran omfattas därför av begränsningarna för det tilldelade nätverket och inte längre de för det ursprungliga nätverket. Journalister i länder där fri tillgång till Internet inte är möjlig, till exempel använder detta för att kringgå åtkomstbegränsningar. Det enda kravet är att datorn kan upprätta en anslutning till VPN -gatewayen från sitt ursprungliga nätverk . VPN -gatewayen ligger vanligtvis i ett annat land eller ett nätverk med gratis internetåtkomst. Det sägs att internetförfrågningarna (liksom alla andra nätverksförfrågningar ) tunnlas via VPN .

    En annan anledning till att tunnla till Internet är att skydda integriteten. För mobiltelefoner, bärbara datorer, surfplattor och andra enheter kan datatrafiken enkelt läsas av tredje part så snart allmän åtkomst används för internetåtkomst. Inte all åtkomst kan upprättas krypterad via den direkta rutten, och även om användaren använder en krypterad anslutning för vissa processer förblir informationen om var han har upprättat en anslutning synlig. En VPN -tunnel löser båda problemen eftersom (beroende på VPN -protokollet) alla nätverkspaket fram till utgången av VPN -tunneln kan krypteras . Dessutom kan alla som läser datatrafiken för allmänhetens åtkomst bara se en anslutning till VPN -gatewayen. Den faktiska destinationen förblir dold för honom eftersom han inte kan se var förbindelsen vidarebefordras därifrån.

    Detta är bara två exempel, å ena sidan som visar fördelarna med att byta nätverk och å andra sidan tittar på fördelarna med en möjlig kryptering. De möjliga tillämpningarna är olika.

    Möjliga tillämpningar

    • Lokala nätverk av flera filialer kan anslutas till varandra på ett säkert sätt via Internet (en så kallad plats-till-plats- anslutning).
    • En anställds dator kan få säker åtkomst till företagsnätverket hemifrån via VPN. För att göra detta upprättar han en anslutning till Internet. Sedan startar han en VPN -programvara (VPN -klienten, som praktiskt taget simulerar strukturen i företagsnätverket på den lokala datorn). Detta upprättar en anslutning till företagets VPN -gateway via Internet . Efter autentisering har medarbetaren tillgång till företagets nätverk - precis som om han satt mitt i det. Denna typ av anslutning kallas end-to-site . Proceduren används också för att säkra WLAN och andra radiolänkar.
    • Till skillnad från slut-till-plats-VPN använder vissa tillverkare (till exempel på MSDN , på VoIP-Info.de, på tomsnetworking.de) mobil VPN som ett namn för ett VPN som tillåter sömlös roaming mellan till exempel GPRS , UMTS och WiFi stöds. Detta bör möjliggöra en permanent nätverksanslutning utan konstant uppringning.
    • Det är också möjligt att den anställdes dator inte är ansluten till ett avlägset fysiskt företagsnätverk via VPN, utan snarare är länkad direkt till en server. VPN används här för säker åtkomst till servern. Denna typ av anslutning kallas end-to-end ( engelska end-to-end ). På detta sätt är det också möjligt att skapa ett logiskt (men inte fysiskt) inkapslat virtuellt nätverk, som bara består av andra VPN -partners som också har anslutit till servern. VPN -partnerna kan nu kommunicera säkert med varandra.
    • Det finns också möjlighet att två servrar via VPN kan prata med varandra utan att kommunikationen kan ses av tredje part (vilket motsvarar en end-to-end-anslutning, som i ett sådant fall ibland värd-till-värd heter) .
      FreeS / WAN och dess efterträdare Openswan och strongSwan erbjuder också möjligheten till så kallad "opportunistisk kryptering" : En tunnel upprättas till varje dator som den egna datorn utbyter data om den tillhandahåller en nyckel via DNS .
    • I likhet med att ringa in i ett företagsnätverk hemifrån kan alla klienter från företagsnätverket också ringa in i ett separat, särskilt säkrat nätverk inom företaget via VPN: ett privat (datakapslat) nätverk inom företagsnätverket där kunderna upp till Använd samma fysiska linje till VPN -gatewayen som alla andra klienter i nätverket - med den skillnaden att alla VPN -nätverkspaket kan överföras i krypterad form upp till gatewayen.
    • Datorspel vars ursprungliga infrastruktur inte längre är tillgänglig över Internet, men som har ett LAN-baserat flerspelarläge, kan fortsätta spelas över Internet med hjälp av VPN. VPN -lösningar för detta ändamål är t.ex. B. LogMeIn Hamachi och Tunngle .
    • Med den fritt tillgängliga spelplattformen Voobly, som erbjuder enkel administration av multiplayer -spel (främst Age of Empires II), kan "Fast Proxy" förhindras när du använder ett VPN. Detta är särskilt användbart för spelare som har NAT aktiverat i sitt lokala nätverk.

    säkerhet

    Genom att använda lösenord , offentliga nycklar eller med ett digitalt certifikat som kan verifiera VPN -slutpunkterna garanteras. Hårdvarubaserade system som SecurID erbjuds också.

    Kryptering

    Beroende på vilket VPN -protokoll som används kan nätverkspaketen vanligtvis krypteras . Eftersom detta gör anslutningen trycksäker och manipuleringssäker kan en anslutning till VPN-partnern upprättas via ett osäkert nätverk utan att medföra en ökad säkerhetsrisk. Alternativt kan oskyddade klartextanslutningar upprättas via VPN.

    Inkludering av tredje parts datorer i VPN

    Vissa VPN -anslutningar upprättas med separata servrar. Detta tjänar bland annat för att göra ömsesidig tillgänglighet för delnät som är anslutna via VPN lätt för användaren, även med ändrade IP -adresser. Även när VPN -anslutningen inte används, utbyter bakgrundsprogram installerade med sådan VPN -programvara kontinuerligt data med den externt drivna servern. Omdirigering av känslig data genom ett sådant system kräver en bedömning av de ytterligare riskerna för datasäkerhet, t.ex. B. beträffande tjänsteleverantörens läge och trovärdighet samt den krypteringsmetod som ska användas.

    Interaktion med andra säkerhetskomponenter

    Programvaran för att upprätta VPN -anslutningen fungerar oberoende av de specifika säkerhetsinställningarna för den enhet som fysiskt används för att upprätta anslutningen. Till exempel kan programvara i routerns brandväggsinställningar uttryckligen uteslutas från att få använda internetanslutningar, men ändå upprätta VPN -anslutningen.

    Gränser för VPN

    Emellertid visar de krypterade paketen också vilka VPN -fjärrstationer som är involverade i kommunikationen; datapakternas antal och storlek kan göra det möjligt att dra slutsatser om typen av data. Därför är en liknelse som ibland används med en osynlig tunnel vilseledande; en jämförelse med ett mjölkglasrör är mer exakt. Även om en VPN kan installeras snabbt och enkelt med modern programvara, kräver driften av en VPN alltid en korrekt genomförd riskbedömning avseende datasäkerhet.

    Implementeringar

    VPN är baserade på följande underliggande protokoll:

    • DMVPN för att konfigurera IPsec-baserade VPN: er.
    • fastd skriven av Matthias Schiffer som fungerar på Layer 2 eller Layer 3 VPN med små resurskrav och därför god lämplighet för inbyggda system , i synnerhet i mesh - nät sådana. B. Freifunk .
    • getVPN från Cisco utvecklade en metod för att konfigurera IPsec -tunnlarna praktiskt taget automatiskt med hjälp av en central nyckelserver på alla routrar som tillhör nätverket.
    • IPsec är lämplig för både VPN-till-plats-VPN och slut-till-plats-VPN.
    • PPPD (PPP daemon ) och SSH i kombination kan leda all IP -trafik genom en tunnel . Lösningen liknar PPTP utan dess säkerhetsproblem.
    • PPTP (trasig) och L2TP ( Layer-2 VPN-protokoll)
    • SSTP Secure Socket Tunneling Protocol introducerades av Microsoft i Windows Server 2008 och Windows Vista Service Pack 1. SSTP tunnlar PPP- eller L2TP -trafik via en SSL 3.0 -kanal.
    • TLS / SSL används huvudsakligen för slut-till-plats-VPN.
    • ViPNet är särskilt lämpligt för end-to-end VPN, men tillåter också VPN från slut till sida och från plats till plats.
    • SVR är lämpligt för plats-till-plats-VPN, det sessionsbaserade konceptet härstammar från SBC

    Många moderna operativsystem innehåller komponenter som kan användas för att konfigurera ett VPN. Linux har en IPsec-implementering sedan Kernel 2.6, äldre kärnor kräver KLIPS-IPsec-kärnmodulen, som tillhandahålls av Openswan och strongSwan . Även BSD , Cisco IOS , z / OS , macOS och Windows är IPsec-kompatibla.

    Se även: SSL-VPN , OpenVPN , CIPE

    Det virtuella nätverkskortet för en VPN -session

    VPN -programvaran som används ger vanligtvis ingången till VPN -tunneln som en extra virtuell (inte maskinvara) nätverkskort. På detta sätt, ur operativsystemets och applikationens synvinkel, är det ingen skillnad mellan VPN -tunneln och ett fysiskt existerande nätverk. Det virtuella nätverkskortet kan inkluderas i routningen på exakt samma sätt som det riktiga nätverkskortet och kan transportera paket med alla tjänster precis så här.

    Stängd tunnel
    Standardvägen (standardgateway) till VPN -nätverkskortet kan ändras. Detta är ofta önskvärt eftersom det säkerställer att alla anslutningar av applikationsprogramvaran faktiskt dirigeras via VPN -nätverkskortet och därmed till VPN -programvaran, som krypterar dem innan de sedan överförs från datorn till VPN via ett nätverkskort som finns som hårdvara Fjärrstation (VPN-gateway / uppringningsnod). Internetförfrågningar är fortfarande möjliga, men inte längre direkt. Dessa dirigeras nu först till det tilldelade nätverket (t.ex. företagsnätverket). Om det tilldelade nätverket tillåter internetåtkomst skickas begäran därifrån till den internetserver som du har kontaktat. Beroende på typ av internetgränssnitt kan det hända att användaren inte ens märker denna skillnad (för honom ser det ut som att han fortfarande kan komma åt Internet direkt).
    Delad tunnel
    Svårigheter uppstår om du bara vill nå enskilda kommunikationspartners via VPN -tunneln (t.ex. dator i ett företagsnätverk), men måste vända dig till andra kommunikationspartners utan VPN parallellt (skrivare eller dator i ditt eget LAN). Här måste du justera routningstabellerna för att nå företagsnätverket och lämna standardrutten på nätverkskortet tillgängligt i maskinvaran.
    Om VPN -programvaran byter namnservern som ska användas till en namnserver i VPN är svårigheten att den inte kan lösa namn utanför VPN. Även här är manuell konfiguration nödvändig genom att lägga till en annan namnserver från ditt eget LAN till nätverkskortet. Detta kan dock leda till en så kallad DNS-läcka, som gör att användaren kan identifieras från en sida utanför nätverket. Detta händer när begäran om namnupplösning inte först görs via det säkra nätverket utan fortsätter att göras via det osäkrade nätverket. I det här fallet - trots VPN -anslutningen - finns det möjlighet att spela in hela begäran om en part utanför nätverket. Som ett resultat är det därför möjligt att läsa av användarens IP -adress. Problemet kan åtgärdas genom att tilldela nätverkskortet en DNS -server från VPN -nätverket som har högre prioritet än DNS -servern i det lokala LAN.
    Se även: Split Tunneling

    Nackdelar med en VPN

    Att använda en VPN -tjänst innebär ytterligare arbete, eftersom all kommunikation är krypterad. På grund av detta är bandbredden alltid lite högre när du använder VPN. Hur stor skillnaden i prestanda beror främst på vilken VPN -tjänst som används och avståndet från leverantören.

    Trots användningen av VPN kan användaren inte anta 100% anonymitet. VPN -leverantören har möjlighet att spåra alla aktiviteter som äger rum på hans server. Det finns också risk för dataläckage på VPN -serversidan. Det är därför leverantörens trovärdighet spelar en stor roll, särskilt med känslig data.

    VPN som planeras av Mozilla Foundation för Tyskland 2021 med Mullvad och WireGuard -programvara förväntas debiteras , liksom i andra länder.

    VPN på routrar

    Med den ökande användningen av VPN har många företag börjat använda VPN -anslutning på routrar för ytterligare säkerhet och kryptering av dataöverföring med olika kryptografiska tekniker. Hemanvändare använder vanligtvis VPN på sina routrar för att skydda enheter som smart -TV eller spelkonsoler som inte stöds av lokala VPN -klienter. Enheter som stöds är inte begränsade till de som kan köra en VPN -klient.

    Många routertillverkare levererar routrar med integrerade VPN -klienter. Vissa använder firmware med öppen källkod som DD-WRT , OpenWRT och Tomato för att stödja ytterligare protokoll som OpenVPN .

    SSL VPN: er

    SSL VPN använder det säkra SSL- eller TLS -protokollet för överföring av dina data.

    Även om en fullständig VPN i betydelsen av den konventionella VPN är möjlig här, har plats-till-plats- lösningar nästan helt ersatts av IPsec-baserade VPN: er.

    Detta gäller dock inte för slut-till-plats- VPN: er. Ett så kallat Fat Client SSL VPN (ett heltäckande konventionellt VPN) kan till exempel ge en mobil dator tillgång till ett företagsnätverk. Detta är en vanlig VPN -variant eftersom den också fungerar i miljöer där en anställd inte kan skapa en IPsec -tunnel på grund av kundens begränsningar . Som vanligt med andra konventionella VPN är det också nödvändigt här att installera VPN -klientprogramvara på datorn som praktiskt taget simulerar det tilldelade nätverket där (se VPN -adapter ). Det är sedan möjligt att överföra hela nätverkstrafiken för VPN -partnern via den krypterade SSL -anslutningen och därmed binda datorn till fjärranätet.

    Med alla andra SSL -VPN är installationen av den annars vanliga VPN -klientprogramvaran åtminstone delvis utelämnad.

    En Thin Client SSL VPN behöver bara ett plug-in (ett slags expansionsmodul) för en webbläsare , där webbläsaren redan är förinstallerad på de vanligaste operativsystemen . Det nedladdade insticksprogrammet fungerar som en proxyklienten och möjliggör därmed åtkomst till motsvarande nättjänster från fjärranätet.

    Ett klientfritt SSL VPN får åtkomst till företagets internetservers webbplatser via en webbläsare utan speciella programtillägg. Fjärråtkomst är endast möjligt för serverns webbapplikationer. Företagets webbserver kan internt implementera en implementering för kommunikation med andra företagsapplikationer och därmed fungera som ett gränssnitt till dessa applikationer. Webbåtkomst till dem är dock ofta endast i begränsad omfattning möjlig om dessa applikationer inte också är webbaserade.

    Se även

    litteratur

    • Joseph Davies, Elliot Lewis: Virtuella privata nätverk med Windows Server 2003. (Säker nätverksanslutning med VPN). Microsoft Press, Unterschleißheim 2004, ISBN 3-86063-962-5 ( specialistbibliotek ).
    • Kai-Oliver Detken , Evren Eren: Extranät. VPN -teknik för att bygga säkra företagsnätverk. Addison-Wesley, München et al. 2001, ISBN 3-8273-1674-X ( Datacom Academy ).
    • Gerhard Lienemann: Virtuella privata nätverk. Struktur och användning. Vde-Verlag, Berlin m.fl 2002, ISBN 3-8007-2638-6 .
    • Manfred Lipp: VPN - virtuella privata nätverk. Konstruktion och säkerhet. Helt reviderad och utökad upplaga. Addison-Wesley, München et al. 2006, ISBN 3-8273-2252-9 ( net.com ).
    • Ralf Spenneberg : VPN med Linux. Grunder och tillämpning av virtuella privata nätverk med verktyg för öppen källkod. 2: a helt uppdaterade upplagan. Addison-Wesley, München et al. 2010, ISBN 978-3-8273-2515-0 ( Open Source Library )
    • Daniel Bachfeld: VPN -etikett . I: c't , 07/06, s. 114

    webb-länkar

    Individuella bevis

    1. a b c d e f g Paul Ferguson, Geoff Huston: Vad är en VPN? (PDF; 652 kB) April 1998
    2. a b c d tunnelprotokoll för VPN från tcp-ip-info.de
    3. a b Gör plats för den nya VPN: n : Network World den 23 december 2002, ISSN  0887-7661 , volym 19, nr 51, s. 64 ( begränsad förhandsvisning i Google boksökning).

    4. Exempel på att använda termen "VPN" i betydelsen "Reverse Web Proxy": Cisco ASA: Clientless SSL VPN (WebVPN) i ASA -konfigurationsexempel . Hämtad den 20 oktober 2013: ”Klientlös SSL VPN [...] En fjärrklient behöver bara en SSL-aktiverad webbläsare för att få åtkomst till http- eller https-aktiverade webbservrar i företagets LAN. [...] Ett bra exempel på http -åtkomst är Outlook Web Access (OWA) -klienten. "
    5. Exempel på att använda termen "VPN" i betydelsen "Reverse Web Proxy": Citrix Access Gateway: Hur man konfigurerar Clientless VPN till Sharepoint Access . Nås den 20 oktober 2013: "klientlös läge VPN tillgång till Sharepoint ger en säker, funktionsrik och noll kund fotavtryck lösning Åtkomst företagets resurser"  ( Inga fler sida finns , söker webbarkivInfo: Länken automatiskt anses märkt defekt. Kontrollera länken enligt instruktionerna och ta sedan bort detta meddelande.@1@ 2Mall: Dead Link / support.citrix.com  
    6. Exempel på att använda termen "VPN" i betydelsen "Reverse Web Proxy": Check Point: Access Web Portal Check Point Remote Access Solutions . Hämtad 20 oktober 2013: “Mobile Access Portal är en klientlös SSL VPN -lösning. [...] Mobile Access Portal ger åtkomst till webbaserade företagsresurser. "
    7. a b c d e Välja rätt VPN -teknik , av Jürgen Hill, Computerwoche, 2 november 2007, arkiverat på tecchannel.de
    8. End-to-Site VPN från virtuella privata nätverk-världsomspännande LAN av Tobias Zimmer, 1999, teco.edu
    9. End-to-end VPN från virtuella privata nätverk-världsomspännande LAN av Tobias Zimmer, 1999, teco.edu
    10. Webbplats-till-plats-VPN från virtuella privata nätverk-världsomspännande LAN av Tobias Zimmer, 1999, teco.edu
    11. Säker dataöverföring trots Internet - virtuella privata nätverk av Marcel Binder, mars 2008, på tomshardware.de
    12. a b c VPN: virtuellt privat nätverk: Virtuellt privat nätverk. I: itwissen.info. 8 april 2012, åtkomst 9 februari 2015 .
    13. Mobilt VPN. I: msdn.microsoft.com. Hämtad 9 februari 2015 .
    14. 3GSM: SafeNet med en ny VPN-klient för mobila enheter ( Memento från 11 februari 2010 i Internetarkivet ) I: voip-info.de
    15. Götz Güttich: Test NetMotion Wireless Mobility XE 8.5: VPN utan stamning. I: tomsnetworking.de. 26 juni 2009, åtkomst 9 februari 2015 .
    16. a b Sudhanshu Chauhan, Nutan Kumar Panda: Hacking Web Intelligence: Open Source Intelligence and Web Reconnaissance Concepts and Techniques . Syngress, 2015, ISBN 978-0-12-801912-2 , s. 167 ( begränsad förhandsvisning i Google boksökning).
    17. Mitch Tulloch: SSTP gör säker fjärråtkomst enklare. I: biztechmagazine.com. 22 januari 2008, åtkomst 9 februari 2015 .
    18. ^ Fixa Internet med Secure Vector Routing. I: 128 Teknik. 8 juni 2017, hämtad 10 februari 2020 (amerikansk engelska).
    19. Undvik DNS -läckage. I: spyoff.com. Hämtad 4 februari 2016 .
    20. m vita: Komplett guide till fördelar och nackdelar med VPN: er. I: Medium. 25 april 2017. Hämtad 5 februari 2019 .
    21. ^ Datorbildsmeddelande den 3 februari 2021
    22. Hur VPN fungerar. 14 april 2011, öppnade 7 februari 2019 .
    23. Så här installerar du ett VPN på din router
    24. VPN. Hämtad 7 februari 2019 .
    25. ^ Daniel Bachfeld: VPN -etikett - VPN -protokoll och standarder . c't . 13 april 2006. Hämtad 7 mars 2011.