VPN - eine Einführung
Ein virtuelles privates Netzwerk (VPN) verbindet die Komponenten eines Netzwerkes über ein anderes Netzwerk. Zu diesem Zweck ermöglicht das VPN dem Benutzer, einen Tunnel durch das Internet oder ein anderes öffentliches Netzwerk herzustellen. Hierbei gelten dieselben Sicherheits- und Leistungsmerkmale, die früher nur in privaten Netzwerken verfügbar waren.
Abbildung 1: Virtuelles privates Netzwerk (VPN)
VPNs ermöglichen es Benutzern, die zu Hause oder unterwegs arbeiten, eine sichere Verbindung mit einem Unternehmensserver unter Verwendung der Routing-Infrastruktur eines öffentlichen Netzwerkes (wie z. B. des Internets) herzustellen. Aus der Sicht des Benutzers ist das VPN eine Punkt-zu-Punkt-Verbindung zwischen dem Computer des Benutzers und einem Unternehmensserver. Die Natur des zwischengeschalteten Netzwerkes ist für den Benutzer irrelevant; aus seiner Sicht werden die Daten wie über eine Standleitung übertragen.
Mithilfe der VPN-Technik kann ein Unternehmen darüber hinaus Verbindungen mit Zweigstellen oder anderen Unternehmen über ein öffentliches Netzwerk (wie z. B. das Internet) herstellen, unter Wahrung der sicheren Kommunikation. Die VPN-Verbindung über das Internet arbeitet logisch wie eine WAN-Verbindung (Wide Area Network) zwischen den Standorten.
In beiden Fällen stellt sich die sichere Verbindung über das Netzwerk dem Benutzer wie eine Kommunikation über ein privates Netzwerk dar - obwohl die Kommunikation real über ein öffentliches Netzwerk stattfindet. Daher die Bezeichnung Virtuelles privates Netzwerk.
VPN-Technologie kommt dem aktuellen Trend in der Geschäftswelt zu vermehrter Telekommunikation und global verteilten Geschäftsstellen entgegen, in denen die Mitarbeiter die Gelegenheit haben müssen, zentrale Ressourcen zu nutzen, um miteinander kommunizieren zu können.
Damit Mitarbeiter unabhängig von ihrem Standort eine Verbindung mit den Computerressourcen des Unternehmens herstellen können, muss ein Unternehmen eine skalierbare RAS-Lösung bereitstellen. In der Regel entscheiden sich Unternehmen entweder für eine MIS-Abteilungslösung (Management Information System) oder für ein VAN-Netzwerk (Value-added Network). Bei der MIS-Lösung wird eine interne Abteilung "Informationssysteme“ mit der Beschaffung, Installation und Wartung des Modempools und der Infrastruktur für ein privates Netzwerk beauftragt. Im Fall der VAN-Lösung wird ein Fremdunternehmen für die Beschaffung, Installation und Wartung des Modempools und der Telekommunikationsinfrastruktur bezahlt.
Keine der Lösungen bietet jedoch die erforderliche Skalierbarkeit, was die Kosten, die Flexibilität der Verwaltung und die Verbindungsnachfrage betrifft. Daher ist es sinnvoll, die Modempools und die Infrastruktur für das private Netzwerk durch eine kostengünstigere, auf Internettechnologie basierende Lösung zu ersetzen - damit sich das Unternehmen auf sein Kerngeschäft konzentrieren kann. Bei einer Internetlösung erfüllen, wie nachstehend beschrieben, schon wenige Internetverbindungen über Internetdienstanbieter (Internet Service Provider, ISPs) und VPN-Servercomputer die Anforderungen von Hunderten, ja Tausenden von Remoteclients und Zweigstellen an ein Remotenetzwerk.
Typische Einsatzfelder von VPNs
Die folgenden Abschnitte beschreiben einige häufig vorkommende VPN-Anwendungen.
Zugriff von Remotebenutzern über das Internet
VPNs ermöglichen den Remotezugriff auf Unternehmensressourcen über das öffentliche Internet unter Wahrung der Informationssicherheit. Abbildung 2 zeigt ein VPN, das einen Remotebenutzer mit dem Intranet eines Unternehmens verbindet.
Abbildung 2: Verbinden eines Remoteclients mit einem privaten LAN unter Verwendung eines VPNs
Hierbei wählt sich der Benutzer nicht per Ferngespräch in einen Unternehmens- oder ausgelagerten Server für den Netzwerkzugriff (Network Access Server, NAS) ein, sondern per Ortsgespräch in einen lokalen ISP. Die VPN-Software erzeugt unter Verwendung der Verbindung mit dem lokalen ISP ein virtuelles privates Netzwerk zwischen diesem Benutzer und dem VPN-Server des Unternehmens über das Internet.
Verbinden von Netzwerken über das Internet
Man unterscheidet zwei Verfahren, um lokale Netzwerke an Remotestandorten unter Verwendung von VPNs zu verbinden:
- Verbinden einer Zweigstelle mit dem Unternehmens-LAN über eine Standleitung. Anstatt eine teure Standleitung zwischen Zweigstelle und Firmenhub zu verwenden, können die Router der Zweigstelle und des Firmenhubs die Verbindung mit dem Internet über eine lokale Standleitung und einen lokalen ISP herstellen. Die VPN-Software verwendet die lokalen ISP-Verbindungen und das Internet, um ein virtuelles privates Netzwerk zwischen den Routern der Zweigstelle und des Firmenhubs zu erstellen.
- Verbinden einer Zweigstelle mit dem Unternehmens-LAN über eine DFÜ-Verbindung. Anstatt den Router der Zweigstelle über ein Ferngespräch in einen Unternehmens- oder ausgelagerten Server für den Netzwerkzugriff (Network Access Server, NAS) einwählen zu lassen, kann sich der Router der Zweigstelle in den lokalen ISP einwählen. Die VPN-Software verwendet die Verbindung mit dem lokalen ISP, um ein virtuelles privates Netzwerk zwischen den Routern der Zweigstelle und des Firmenhubs über das Internet zu erstellen.
Abbildung 3: Verbinden von zwei Remotestandorten unter Verwendung eines VPNs
In beiden Fällen sind es lokale Einrichtungen, die die Zweigstelle und das Unternehmen mit dem Internet verbinden. Der Router des Firmenhubs, der als VPN-Server fungiert, muss mit einem lokalen ISP über eine Standleitung verbunden sein. Dieser VPN-Server muss rund um die Uhr für eingehenden VPN-Verkehr empfangsbereit sein.
Verbinden von Computern über ein Intranet
In einigen firmeneigenen Netzwerken verfügen bestimmte Abteilungen über derart vertrauliche Daten, dass das Abteilungs-LAN physisch vom übrigen firmeneigenen Netzwerk getrennt ist. Einerseits werden so die vertraulichen Abteilungsdaten geschützt, andererseits entstehen für Benutzer, die nicht physisch mit dem separaten LAN verbunden sind, Probleme beim Zugriff auf diese Daten.
Abbildung 4: Verbinden von zwei Computern im Intranet unter Verwendung eines VPNs
Über ein VPN kann das Abteilungs-LAN einerseits physisch mit dem firmeneigenen Netzwerk verbunden werden, wobei es aber andererseits durch einen VPN-Server getrennt ist. Der VPN-Server fungiert nicht als Router zwischen dem firmeneigenen Netzwerk und Abteilungs-LAN. Ein Router würde die beiden Netzwerke verbinden, so dass jeder auf das sensitive LAN zugreifen könnte. Mithilfe des VPNs kann der Netzwerkadministrator sicherstellen, dass nur Benutzer mit geeigneten Anmeldeinformationen (basierend auf unternehmensinternen Richtlinien) ein VPN mit dem Server einrichten und auf die geschützten Abteilungsressourcen zugreifen können. Darüber hinaus kann die gesamte Kommunikation über das VPN verschlüsselt werden, um die Vertraulichkeit der Daten sicherzustellen. Benutzern ohne geeignete Anmeldeinformationen bleibt das Abteilungs-LAN verborgen.
© 1999 Microsoft Corporation
Die in diesem Dokument enthaltenen Informationen stellen die behandelten Themen aus der Sicht der Microsoft Corporation zum Zeitpunkt der Veröffentlichung dar. Da Microsoft auf sich ändernde Marktanforderungen reagieren muss, stellt dies keine Verpflichtung seitens Microsoft dar, und Microsoft kann die Richtigkeit der hier dargelegten Informationen nach dem Zeitpunkt der Veröffentlichung nicht garantieren.
Dieses Whitepaper dient nur zu Informationszwecken.
MICROSOFT SCHLIESST FÜR DIESES DOKUMENT JEDE GEWÄHRLEISTUNG AUS, SEI SIE AUSDRÜCKLICH ODER KONKLUDENT.