VPN (Virtual Private Network)#
Ein VPN erstellt einen verschlüsselten Tunnel durch ein unsicheres Netzwerk (z.B. das Internet), sodass entfernte Standorte oder Nutzer so kommunizieren können, als wären sie direkt verbunden.
VPN-Arten#
flowchart TD
A["VPN-Typen"] --> B["Site-to-Site VPN\n(Standort ↔ Standort)"]
A --> C["Remote Access VPN\n(Einzelner Nutzer ↔ Firmennetz)"]
A --> D["SSL/TLS VPN\n(browserbasiert)"]
B --> E["Zwei Firmenstandorte\npermanent verbunden"]
C --> F["Homeoffice-Mitarbeiter\nverbindet sich ins Büronetz"]
D --> G["Zugriff per HTTPS\nkein Client nötig"]Site-to-Site vs. Remote Access#
| Site-to-Site | Remote Access | |
|---|---|---|
| Verbindet | Netz ↔ Netz | Einzelner Client ↔ Netz |
| Authentifizierung | Zertifikate / Pre-Shared Key | Benutzername + Passwort / Zertifikat |
| Konfiguration | Auf VPN-Gateways (Router/Firewall) | VPN-Client auf Endgerät |
| Typisch | Zweigstellen | Homeoffice, Außendienst |
VPN-Protokolle#
| Protokoll | Port | Merkmale |
|---|---|---|
| IPsec | UDP 500/4500 | Industriestandard, sehr sicher; zwei Modi: Tunnel (ganzes Paket) / Transport (nur Payload) |
| OpenVPN | UDP/TCP 1194 | Open Source, sehr flexibel, TLS-basiert |
| WireGuard | UDP 51820 | Modern, sehr schnell, schlanker Code |
| L2TP/IPsec | UDP 1701 | L2TP für Tunnel + IPsec für Verschlüsselung |
| PPTP | TCP 1723 | Veraltet, unsicher — nicht mehr verwenden! |
| SSL/TLS VPN | TCP 443 | Browserbasiert, kein extra Client, gut durch Firewalls |
IPsec — Modi und Phasen#
Zwei Betriebsmodi:
| Modus | Was wird verschlüsselt? | Einsatz |
|---|---|---|
| Tunnel-Modus | Komplettes IP-Paket (inkl. Header) wird in neues Paket gepackt | Site-to-Site VPN |
| Transport-Modus | Nur der Payload, Original-IP-Header bleibt | End-to-End (z.B. Host ↔ Host) |
IPsec-Protokolle:
| AH (Authentication Header) | ESP (Encapsulating Security Payload) | |
|---|---|---|
| Authentifizierung | ✓ | ✓ |
| Verschlüsselung | ✗ | ✓ |
| Integrität | ✓ | ✓ |
| Praxis | Selten | Standard |
IKE-Phasen (Schlüsselaustausch):
sequenceDiagram
participant A as VPN-Gateway A
participant B as VPN-Gateway B
Note over A,B: Phase 1 — IKE SA aufbauen
A->>B: Verschlüsselungsparameter vorschlagen
B->>A: Parameter bestätigen
A->>B: Diffie-Hellman Schlüsselaustausch
B->>A: Gegenseitige Authentifizierung
Note over A,B: Phase 2 — IPsec SA aufbauen
A->>B: IPsec-Parameter aushandeln
B->>A: IPsec-Tunnel steht ✓Split Tunneling#
| Kein Split Tunneling | Split Tunneling | |
|---|---|---|
| Datenfluss | Alles über VPN-Tunnel | Firmendaten via VPN, Rest direkt |
| Sicherheit | Höher (alles kontrolliert) | Geringer (lokaler Datenverkehr unkontrolliert) |
| Performance | Schlechter (mehr Tunnel-Traffic) | Besser (Internet direkt) |
Prüfungsbeispiel#
Ein Mitarbeiter arbeitet im Homeoffice. Er verbindet sich per Remote Access VPN mit dem Firmennetz. Welche Vorteile bietet das?
- Sicherer Zugriff auf interne Ressourcen (Dateiserver, ERP) über verschlüsselten Tunnel
- Daten sind auch in unsicheren WLANs (Hotel, Café) geschützt
- Mitarbeiter erscheint im Netz mit einer internen IP-Adresse
Zwei Filialen sollen permanent miteinander verbunden sein. Welcher VPN-Typ?
→ Site-to-Site VPN mit IPsec zwischen den beiden Gateways/Routern.
Siehe auch#
- [[../06_it-sicherheit/verschluesselung]] — Verschlüsselungsverfahren (IPsec, TLS)
- vlan routing nat — NAT und Netzwerksegmentierung
- protokolle ports — Relevante Ports (443, 1194, 500)