asyoube logo asyoube

VPN-Grundlagen

4 min 2 Abschnitte
Was du nach diesem Konzept kannst 4

  1. Du bist in der Lage, die verschiedenen VPN-Architekturen zu differenzieren ,

    indem die Anwendungsfälle, Konfigurationen und beteiligten Komponenten von Site-to-Site-, End-to-Site- (Remote Access) und End-to-End-VPNs anhand von Netzwerkszenarien unterschieden werden.

  2. Du bist in der Lage, das Konzept des IP-Tunnelings als Kerntechnologie von VPNs zu erklären ,

    indem der Prozess der Kapselung eines inneren IP-Pakets in ein äußeres IP-Paket für die Übertragung über ein öffentliches Netz beschrieben und die Analogie zu einem Tunnel zur Verdeutlichung herangezogen wird.

  3. Du bist in der Lage, die grundlegende Rolle von IPsec bei der Absicherung von VPN-Verbindungen zu erklären ,

    indem die Funktionen zur Sicherstellung von Authentizität, Integrität und Vertraulichkeit von IP-Paketen sowie die Funktionsweise des Tunnel-Modus zur Kapselung des gesamten ursprünglichen IP-Pakets erläutert werden.

  4. Du bist in der Lage, den Zweck und die grundlegenden Vorteile eines Virtuellen Privaten Netzwerks (VPN) zu erklären ,

    indem das Problem des unsicheren Datentransfers über öffentliche Netze erläutert und die Rolle von VPNs bei der Gewährleistung von Vertraulichkeit, Integrität und Authentizität für Anwendungsfälle wie Fernzugriff (Remote Access) und Standortvernetzung dargestellt wird.

Warum benötigen wir VPNs und wie funktionieren sie?

Das VPN als sicherer Datentunnel

Stell dir vor, du sitzt in einem Café und nutzt das öffentliche WLAN, um auf sensible Firmendaten zuzugreifen. Ohne zusätzlichen Schutz ist deine Datenübertragung wie eine offene Postkarte: Jede Person im selben Netzwerk könnte theoretisch mitlesen. Ein Virtuelles Privates Netzwerk (VPN) löst dieses Problem, indem es einen abhörsicheren "Tunnel" durch ein öffentliches, unsicheres Netz (wie das Internet) etabliert.

Die Verbindung wird als virtuell bezeichnet, da sie physisch über öffentliche Leitungen läuft, sich durch die Absicherung aber so verhält, als wärst du über ein privates Kabel direkt mit dem Firmennetz verbunden. Ein VPN garantiert dabei drei zentrale Schutzziele der Informationssicherheit:

  • Vertraulichkeit: Eine starke Verschlüsselung verhindert, dass Unbefugte den Dateninhalt lesen können.
  • Integrität: Kryptografische Prüfsummen stellen sicher, dass die Daten unterwegs nicht unbemerkt manipuliert wurden.
  • Authentizität: Beide Kommunikationspartner (z. B. dein Laptop und das Firmen-Gateway) beweisen sich vor dem Verbindungsaufbau gegenseitig ihre Identität.

Das Kernprinzip: IP-Tunneling

Die technische Basis, um diesen virtuellen Tunnel aufzubauen, ist das IP-Tunneling. Dieser Vorgang nutzt das Prinzip der Kapselung (Encapsulation). Wie in der zugehörigen Grafik visualisiert, kannst du dir das vorstellen, als würdest du einen bereits adressierten Brief in einen größeren Umschlag mit einer neuen Adresse stecken:

  1. Das innere IP-Paket: Dein Computer erstellt ein normales Datenpaket. Die Absender- und Zieladressen sind die privaten IP-Adressen deines Rechners und des internen Firmenservers. Dieses Paket ist im öffentlichen Internet nicht routingfähig.
  2. Die Kapselung: Die VPN-Software nimmt dieses komplette innere Paket und verpackt es als "Fracht" (Payload) in ein neues, äußeres IP-Paket.
  3. Das äußere IP-Paket: Dieses neue Paket erhält als Absender und Ziel die öffentlichen IP-Adressen deines Routers und des VPN-Gateways der Firma.

Router im Internet sehen und verarbeiten nur das äußere Paket. Sobald es das Ziel-Gateway erreicht, wird das äußere Paket "ausgepackt" und das ursprüngliche, innere Paket sicher in das private Firmennetzwerk weitergeleitet.

VPN-Grundlagen — dec-it-networks-security-introduction-to-vpns_page1.svg

Wie werden VPNs abgesichert und architektonisch aufgebaut?

IPsec und der schützende Tunnel-Modus

Um den IP-Tunnel kryptografisch abzusichern, kommt auf der Vermittlungsschicht (Schicht 3) häufig die Protokoll-Familie IPsec (Internet Protocol Security) zum Einsatz. IPsec übernimmt die Aufgabe, die Vertraulichkeit, Integrität und Authentizität der IP-Pakete durchzusetzen.

Besonders wichtig für den Aufbau von VPNs ist der Tunnel-Modus von IPsec. Im Gegensatz zum Transport-Modus, der lediglich die reinen Nutzdaten verschlüsselt, wird im Tunnel-Modus das gesamte ursprüngliche IP-Paket – inklusive seines originalen IP-Headers mit den privaten Adressen – verschlüsselt und authentifiziert. Dieses komplett geschützte Paket wird anschließend in das neue, äußere IP-Paket mit unverschlüsseltem Header (den öffentlichen Adressen) gekapselt. Dadurch bleiben nicht nur die übertragenen Daten geheim, sondern auch die interne Netzwerkstruktur wird vor Beobachtenden im Internet verborgen.

VPN-Architekturen für jeden Anwendungsfall

Je nachdem, welche Netzwerke oder Geräte miteinander verbunden werden sollen, unterscheidest du drei grundlegende VPN-Architekturen, die auch in der Grafik gegenübergestellt werden:

  • End-to-Site-VPN (Remote Access): Der klassische Homeoffice-Zugang. Ein einzelnes Endgerät (z. B. der Laptop einer mitarbeitenden Person) nutzt eine VPN-Client-Software, um einen Tunnel zu einem zentralen VPN-Gateway (z. B. einer Firewall) im Unternehmen aufzubauen. Das Endgerät wird dadurch virtuell zu einem Teil des Firmennetzes.
  • Site-to-Site-VPN (Standortvernetzung): Verbindet zwei komplette, räumlich getrennte Netzwerke (z. B. die Zentrale in Berlin und eine Filiale in München). Der Tunnel wird hier permanent zwischen den Routern oder VPN-Gateways der beiden Standorte aufgebaut. Für die Endgeräte in den jeweiligen Netzwerken ist der Tunnel völlig transparent; sie benötigen keine eigene VPN-Software und kommunizieren, als wären sie im selben Gebäude.
  • End-to-End-VPN: Eine direkte, verschlüsselte Verbindung zwischen zwei einzelnen Endgeräten (z. B. zwei Servern). Diese Architektur wird genutzt, wenn eine hochsichere Punkt-zu-Punkt-Kommunikation erforderlich ist, bei der die Daten selbst im internen Unternehmensnetzwerk verschlüsselt bleiben sollen (z. B. für administrative Fernwartungen kritischer Datenbanken).
VPN-Grundlagen — dec-it-networks-security-introduction-to-vpns_page2.svg

Teste dein Wissen

Du arbeitest im Hotel-WLAN und verbindest dich per VPN mit der Firma. Warum wird diese Netzwerkverbindung als "virtuell" bezeichnet?

Bereit für mehr?

Thema verstanden?

Teste dein Wissen interaktiv in unserer App. 7 Tage kostenlos, dann nur 5 € im Monat.

Jetzt kostenlos testen Preise ansehen