asyoube logo asyoube

VPN-Grundlagen

Lernfeld 11: Betrieb und Sicherheit vernetzter Systeme gewährleisten

Wie schafft ein VPN eine sichere Verbindung über unsichere Netze?

Das VPN als sicherer Datentunnel

Stell dir vor, du sitzt in einem Café und nutzt das öffentliche WLAN. Deine Datenübertragung ist hier wie eine Postkarte, die du verschickst: Jede Person, die die Postkarte auf ihrem Weg in die Hände bekommt, kann sie mitlesen. Ein Virtuelles Privates Netzwerk (VPN) verwandelt diese Postkarte in einen versiegelten und gepanzerten Briefumschlag. Es schafft einen verschlüsselten "Tunnel" durch das öffentliche Netz (wie das Internet) hindurch, direkt zu einem Zielnetzwerk (z.B. deinem Firmennetzwerk). Die Verbindung ist also virtuell, da sie eine öffentliche Infrastruktur nutzt, verhält sich aber durch die Absicherung so, als wäre sie privat.

Ein VPN gewährleistet die drei Grundwerte der Informationssicherheit:

  • Vertraulichkeit: Durch starke Verschlüsselung wird sichergestellt, dass niemand den Inhalt deiner Daten lesen kann, selbst wenn der Datenverkehr abgefangen wird.
  • Integrität: Kryptografische Verfahren stellen sicher, dass die Daten während der Übertragung nicht unbemerkt verändert wurden.
  • Authentizität: Bevor eine Verbindung aufgebaut wird, müssen sich beide Seiten (z.B. dein Laptop und der Firmenserver) gegenseitig ihre Identität beweisen, oft durch Zertifikate oder Passwörter.

Typische Anwendungsfälle sind der Fernzugriff (Remote Access), bei dem Mitarbeitende aus dem Homeoffice sicher auf das Firmennetzwerk zugreifen, oder die Standortvernetzung, bei der zwei Firmenstandorte (z. B. in Berlin und München) über das Internet sicher miteinander verbunden werden.

Das Kernprinzip: IP-Tunneling

Die Kerntechnologie hinter einem VPN ist das IP-Tunneling. Dieser Prozess ist eine praktische Anwendung der Kapselung, ein Konzept, das du bereits vom TCP/IP-Modell kennst. Stell dir den Prozess wie den Versand eines vertraulichen Dokuments per Kurier vor:

  1. Dein Computer erstellt ein normales Datenpaket (das innere IP-Paket), das für die Kommunikation innerhalb des privaten Firmennetzwerks bestimmt ist. Die Adressen in diesem Paket sind die privaten IP-Adressen deines PCs und des Zielservers im Firmennetz.
  2. Die VPN-Software "verpackt" dieses gesamte Paket, ohne es zu verändern, in ein neues, äußeres IP-Paket. Das ursprüngliche Paket wird dabei zur "Fracht".
  3. Dieses äußere Paket wird mit den öffentlichen IP-Adressen deines Routers zu Hause und des VPN-Gateways der Firma als Absender und Empfänger versehen. Es ist der eigentliche "Transport-Container".

Für das Internet ist nur der äußere Container sichtbar, der sicher zwischen den beiden öffentlichen VPN-Endpunkten transportiert wird. Der eigentliche Inhalt – das innere Paket mit den privaten Netzwerkadressen – bleibt verborgen und wird zusätzlich verschlüsselt. Am Ziel angekommen, wird das äußere Paket "ausgepackt" und das ursprüngliche, innere Paket wird ins Firmennetz weitergeleitet.

dec-it-networks-security-introduction-to-vpns_page1.svg

Wie wird der VPN-Tunnel abgesichert?

IPsec: Der Sicherheitsbaukasten für VPNs

Damit der IP-Tunnel nicht nur ein einfacher "Container", sondern ein gepanzerter und bewachter Transportweg ist, kommt sehr häufig die Protokoll-Suite IPsec (Internet Protocol Security) zum Einsatz. IPsec ist kein einzelnes Protokoll, sondern ein flexibler Baukasten aus verschiedenen Werkzeugen, der auf der Internetschicht (Schicht 3) ansetzt und IP-Pakete absichert. Die wichtigsten Bausteine sind:

  • Encapsulating Security Payload (ESP): Dies ist der am häufigsten verwendete Teil. ESP sorgt für sowohl Verschlüsselung (Vertraulichkeit) als auch optional Authentifizierung und Integrität der Datenpakete. Es ist wie der gepanzerte, versiegelte Briefumschlag, der den Inhalt schützt und sicherstellt, dass er vom richtigen Absender stammt und ungeöffnet ankommt.
  • Authentication Header (AH): Dieses Protokoll sorgt ausschließlich für Authentizität und Integrität. Es verschlüsselt die Daten nicht, stellt aber sicher, dass der Absender echt ist und das Paket unterwegs nicht verändert wurde. Das wäre wie ein Brief mit einem offiziellen, unzerbrechlichen Siegel, dessen Inhalt aber lesbar bleibt. In der Praxis wird heute meist ESP bevorzugt, da es die Vertraulichkeit mit abdeckt.
  • Internet Key Exchange (IKE): Wie tauschen die beiden VPN-Endpunkte sicher die Schlüssel für die Verschlüsselung aus, bevor der Tunnel überhaupt steht? Genau das ist die Aufgabe von IKE. Es ist der "diplomatische Dienst", der vorab eine sichere Verbindung aushandelt, die Partner authentifiziert und die Security Association (SA) etabliert. Eine SA ist eine Vereinbarung zwischen den beiden Seiten, die festlegt, welche Algorithmen (z.B. AES-256 für die Verschlüsselung) und welche Schlüssel für die Dauer der Verbindung verwendet werden.

VPN-Architekturen für jeden Anwendungsfall

Je nach Anwendungsfall werden unterschiedliche VPN-Architekturen eingesetzt, die sich darin unterscheiden, wer mit wem verbunden wird:

  • End-to-Site-VPN (Remote Access VPN): Dies ist die klassische "Homeoffice-Brücke". Ein einzelner Computer (das "Ende") baut über eine VPN-Client-Software einen Tunnel zum zentralen Netzwerk der Firma (der "Site") auf. So kann eine mitarbeitende Person von überall auf der Welt sicher auf Firmendaten und -anwendungen zugreifen, als säße sie direkt im Büro.
  • Site-to-Site-VPN: Diese Architektur verbindet zwei komplette Netzwerke über das Internet, zum Beispiel die Standorte eines Unternehmens in Hamburg und Stuttgart. Der VPN-Tunnel wird hier nicht von einzelnen PCs, sondern zwischen den Routern oder Firewalls der beiden Standorte aufgebaut. Alle Geräte in einem Standort können so sicher und für die Nutzenden transparent mit allen Geräten im anderen Standort kommunizieren.
  • End-to-End-VPN: Hier wird eine direkte, verschlüsselte Verbindung zwischen zwei einzelnen Endgeräten (z.B. zwei Computern) hergestellt, ohne dass ein ganzes Netzwerk angebunden wird. Dieser Ansatz wird für besonders sichere Punkt-zu-Punkt-Kommunikation verwendet, beispielsweise wenn eine administrierende Person eine direkte und hochsichere Wartungsverbindung zu einem einzelnen kritischen Server aufbauen möchte, um Konfigurationsänderungen vorzunehmen.
dec-it-networks-security-introduction-to-vpns_page2.svg

Lernziele

  • den Zweck und die grundlegenden Vorteile eines Virtuellen Privaten Netzwerks (VPN) erklären, indem das Problem des unsicheren Datentransfers über öffentliche Netze erläutert und die Rolle von VPNs bei der Gewährleistung von Vertraulichkeit, Integrität und Authentizität für Anwendungsfälle wie Fernzugriff (Remote Access) und Standortvernetzung dargestellt wird.
  • das Konzept des IP-Tunnelings als Kerntechnologie von VPNs erklären, indem der Prozess der Kapselung eines inneren IP-Pakets in ein äußeres IP-Paket für die Übertragung über ein öffentliches Netz beschrieben und die Analogie zu einem Tunnel zur Verdeutlichung herangezogen wird.
  • die verschiedenen VPN-Architekturen differenzieren, indem die Anwendungsfälle, Konfigurationen und beteiligten Komponenten von Site-to-Site-, End-to-Site- (Remote Access) und End-to-End-VPNs anhand von Netzwerkszenarien unterschieden werden.
  • die grundlegende Rolle von IPsec bei der Absicherung von VPN-Verbindungen erklären, indem die Funktionen zur Sicherstellung von Authentizität, Integrität und Vertraulichkeit von IP-Paketen sowie die Funktionsweise des Tunnel-Modus zur Kapselung des gesamten ursprünglichen IP-Pakets erläutert werden.
🚀 Bereit für mehr?

Vertiefe dein Wissen!

Du hast die Grundlagen verstanden? Perfekt! In unserer App findest du interaktive Übungen, praktische Projekte und erweiterte Inhalte zu VPN-Grundlagen.

Download on the App Store Get it on Google Play
💼 Für Unternehmen

Ab 5€/Monat • Kostenloser Test verfügbar