Virtuelle private Netzwerke (VPN) in IPSec

Als Tunneling wird der gesamte Prozess von Kapselung, Routing und Entkapselung bezeichnet. Beim Tunneling wird das Originalpaket in ein neues Paket "gepackt", d. h., es wird gekapselt. Dieses neue Paket weist unter Umständen neue Adressierungs- und Routingdaten auf, sodass es über ein Netzwerk gesendet werden kann. Wenn Tunneling mit Datenschutz kombiniert wird, sind die ursprünglichen Paketdaten (und auch die ursprünglichen Angaben zu Quelle und Ziel) für Computer, die Daten im Netzwerk abrufen, nicht mehr sichtbar. Wenn die gekapselten Pakete ihr Ziel erreichen, wird die Kapselung entfernt, und das Originalpaket wird anhand seines Originalheaders an das endgültige Ziel gesendet.

Der Tunnel selbst ist der logische Datenpfad, über den die gekapselten Pakete geleitet werden. Für den ursprünglichen Quell- und Zielpeer ist der Tunnel in der Regel transparent und wird wie jede andere Point-to-Point-Verbindung im Netzwerkpfad angezeigt. Die Peers erkennen keine Router, Switches, Proxyserver oder andere Sicherheitsgateways, die zwischen dem Anfangs- und dem Endpunkt des Tunnels liegen. Wenn Tunneling mit Datenschutz kombiniert wird, können Sie ein virtuelles privates Netzwerk (VPN) einrichten.

Die gekapselten Pakete werden im Inneren des Tunnels über das Netzwerk übermittelt. In diesem Beispiel ist das Netzwerk das Internet. Bei dem Gateway kann es sich um ein Edge-Gateway handeln, das zwischen dem Internet und dem privaten Netzwerk geschaltet ist. Bei dem Edge-Gateway kann es sich um einen Router, einen Firewall, einen Proxyserver oder ein anderes Sicherheitsgateway handeln. Darüber hinaus können Sie den Datenverkehr zwischen nicht vertrauenswürdigen Teilen des Netzwerks mithilfe von zwei Gateways innerhalb des privaten Netzwerks schützen.

Tunneltypen, die IPSec verwenden

Unter Windows XP und der Windows Server 2003-Produktfamilie stehen zwei Typen von Tunneling zur Verfügung, die IPSec verwenden:

  • Die Kombination von Layer Two Tunneling Protocol (L2TP) und IPSec (L2TP/IPSec)
    L2TP wird verwendet, um die Daten über ein freigegebenes oder ein öffentliches Netzwerk wie das Internet zu übermitteln. Zum Verschlüsseln der Daten wird IPSec ESP (Encapsulating Security Payload) verwendet. L2TP/IPSec kann für das Tunneling von IP- oder IPX-Datenverkehr (Internetwork Packet Exchange) verwendet werden.

  • IPSec im Tunnelmodus
    Wenn IPSec im Tunnelmodus verwendet wird, stellt IPSec selbst nur für IP-Datenverkehr die Kapselung bereit. Der wichtigste Grund für das Verwenden des IPSec-Tunnelmodus liegt in der Interoperabilität mit Routern, Gateways oder Endsystemen, die L2TP/IPSec oder PPTP-VPN-Tunneling nicht unterstützen. Der IPSec-Tunnelmodus wird lediglich bei Gateway-zu-Gateway-Tunneling-Szenarien unterstützt, darüber hinaus als erweiterte Funktion bei einigen Server-zu-Server- oder Server-zu-Gateway-Konfigurationen. Bei VPN-Remotezugriff wird der IPSec-Tunnelmodus nicht unterstützt. L2TP/IPSec oder PPTP sollte für VPN-Verbindungen mit Remotezugriff verwendet werden.

Funktionsweise von L2TP und IPSec

IPSec und L2TP werden kombiniert, um Tunneling und Sicherheit für IP-, IPX- und andere Pakete durch alle IP-Netzwerke hindurch zu ermöglichen. IPSec kann Tunneling auch ohne L2TP ausführen. Dies ist aber nur dann empfehlenswert, wenn einer der Gateways L2TP oder PPTP nicht unterstützt.

L2TP kapselt Originalpakete zuerst in einem PPP-Rahmen (ggf. komprimiert) und dann in einer UDP-Nachricht, wobei Port 1701 verwendet wird. Da es sich bei der UDP-Nachricht um ein IP-Aufkommen handelt, verwendet L2TP den IPSec-Transportmodus für die Sicherung des Tunnels. Dieser Entwurf unterstützt RFC 3193 ("Securing L2TP Using IPSec"), und er ist mit Windows XP und Windows 2000 kompatibel. Das IPSec-IKE-Protokoll (Internet Key Exchange, IKE) handelt die Sicherheit für den L2TP-Tunnel mithilfe der zertifikatbasierten Authentifizierung oder der auf vorinstallierten Schlüsseln basierenden Authentifizierung aus. Wenn die IPSec-Hauptmodus- und Schnellmodus-Sicherheitsaushandlungen erfolgreich eingerichtet sind, handelt L2TP den Tunnel, einschließlich der Kompressions- und Benutzerauthentifizierungsoptionen, aus und führt eine PPP-basierte Benutzerauthentifizierung aus.

Das Originalpaket, hier als PPP-Nutzlast dargestellt, enthält die ursprüngliche Quell- und Zieladresse im privaten Netzwerk. Der äußere IP-Header, als IP-Header dargestellt, enthält die Quell- und Zieladresse des VPN-Clients und -Servers im öffentlichen Netzwerk. Die L2TP-Header enthält Daten für die Steuerung des L2TP-Tunnels. Durch den PPP-Header wird das Protokoll des ursprünglichen Pakets angegeben, beispielsweise IP oder IPX.

Hinweis
Das IPX/SPX-Protokoll ist in Windows XP 64-Bit Edition (Itanium) und den 64-Bit-Versionen der Windows Server 2003-Produktfamilie nicht verfügbar.

Gängige L2TP/IPSec-Szenarien

Zwei gängige Szenarien für L2TP/IPSec sind das Sichern des Datenaustauschs zwischen RAS-Clients und dem Firmennetzwerk über das Internet und das Sichern des Datenaustauschs zwischen verschiedenen Niederlassungen.

RAS-Clients mit L2TP/IPSec

Das Sichern der über das Internet ausgeführten Datenübertragung zwischen RAS-Clients und dem Firmennetzwerk ist ein häufig auftretendes Erfordernis. Ein solcher Client kann ein häufig im Außendienst tätiger Verkaufsberater oder ein von zuhause arbeitender Angestellter sein.

Diese Abbildung zeigt einen Server, der als Remotegateway für ein Firmenintranet die Sicherheit nach außen sicherstellt. Der Remoteclient stellt einen mobilen Benutzer dar, der regelmäßig auf die Netzwerkressourcen und -informationen zugreifen muss. In diesem Beispiel wird ein Internetdienstanbieter (Internet Service Provider, ISP) verwendet, um den Kommunikationsweg zu demonstrieren, wenn der Client mit einem ISP auf das Internet zugreift. Durch die Kombination von L2TP mit IPSec wird eine einfache und effiziente Methode der Tunnelerstellung und der geschützten Datenübertragung über das Internet bereitgestellt.

Herstellen von Verbindungen mit Zweigniederlassungen mithilfe von L2TP/IPSec

Große Organisationen haben häufig mehrere Standorte, die untereinander kommunizieren müssen, z. B. eine Unternehmenszentrale in München und ein Verkaufsbüro in Paris. In diesem Fall wird L2TP mit IPSec kombiniert, um die VPN-Verbindung bereitzustellen und die zwischen den Standorten übertragenen Daten zu schützen.

In dieser Abbildung sorgen die Router unter der Windows Server 2003-Produktfamilie für die Sicherheit nach außen. Die Router verfügen über eine Standleitung, eine DFÜ-Verbindung oder eine andere Art von Verbindung mit dem Internet. Der IPSec-Sicherheitszuordnungs- und L2TP-Tunnel verläuft nur zwischen den Routern und garantiert geschützte Kommunikation über das Internet.