Verbreitete Protokolle f\u00fcr die Erstellung eines VPN-Tunnels sind z.B.<\/p>\n
- \n
- PPTP, <\/strong><\/li>\n
- L2TP\/IPSec,<\/strong><\/li>\n
- SSL basierte<\/em> VPN-Protokolle wie SSTP<\/strong><\/li>\n
- oder in Sonderf\u00e4llen\u00a0 auch natives IPSec<\/strong> im Tunnelmodus (siehe IPSec<\/span>).<\/li>\n<\/ul>\n
1. Verbindungsaufbau der einzelnen VPN Protokolle<\/span><\/p>\n
Alle diese Protokolle benutzen zum Verbindungsaufbau<\/em> das PPP (Point-to-Point)<\/strong> <\/em>Protokoll zusammen mit Benutzerauthentifizierungsmethoden,<\/strong><\/em> verwenden dabei aber unterschiedliche Herangehensweisen:<\/p>\n
- \n
- PPTP<\/strong> bspw. verschl\u00fcsselt die Daten erst<\/em> (!),<\/strong>\u00a0wenn bereits \u00fcber PPP eine erfolgreiche Benutzerauthentifizierung stattgefunden hat,<\/li>\n
- hingegen erstellen SSTP<\/strong> und L2TP\/IPSec<\/strong> schon vorab eine gesicherte Verbindung. Hierzu verwendet SSTP ein X.509 Serverzertifikat am Gateway<\/strong><\/em>, das sich gegen\u00fcber dem VPN-Client authentifiziert – damit kann der Anwender auch sicher sein, dass er seine Zugangsdaten dem richtigen Server anvertraut.<\/li>\n
- L2TP\/IPSec<\/strong> setzt zus\u00e4tzlich noch Client Zertifikate<\/em><\/strong> voraus, damit sich auch die VPN-Clients gegen\u00fcber dem Server authentifizieren m\u00fcssen.<\/li>\n<\/ul>\n
Nur mit Zertifikaten kann eine echte, eindeutige Authentifizierung zwischen den Device-Identit\u00e4ten auf Gateway und Clientseite stattfinden<\/span><\/strong><\/p>\n
![\"VPN_Certificate_Based_Device_Authentication\"](\"http:\/\/lkl-it.de\/blog\/wp-content\/uploads\/VPNDeviceAuthentication.jpg\" "\\"VPNDeviceAuthentication\\"")
<\/a><\/p>\n2.\u00a0Benutzerauthentifizierung im VPN<\/span>
\nOhne eine PKI ist man bei der VPN-Benutzerauthentifizierung auf\u00a0 passwortbasierte Methoden (PAP, CHAP, MSCHAPv2<\/strong><\/em>) beschr\u00e4nkt und die Sicherheit des Systems korreliert direkt mit der Komplexit\u00e4t der verwendeten Benutzerpassw\u00f6rter.<\/p>\nDurch die Verwendung des EAP-Frameworks ist es aber m\u00f6glich verschiedene erweiterte Authentifizierungsmethoden in die PPP Authentifizierung mit einzubinden, damit kann die Benutzerauthentifizierung z.B. auch \u00fcber Benutzerzertifikate<\/em> oder Smartcards<\/em> <\/a>erfolgen (z.B. EAP-TLS, PEAP-TLS<\/strong>), womit das Problem der schwachen Passw\u00f6rter behoben wird.<\/p>\n
![\"X.509](\"http:\/\/lkl-it.de\/blog\/wp-content\/uploads\/VPNBenutzerauthentifizierung.jpg\" "\\"VPNBenutzerauthentifizierung\\"")
<\/a>
\nErweiterte Flexibilit\u00e4t bei der Kontrolle des VPN-Zugriffs kann zudem durch den Einsatz von RADIUS <\/a>erzielt werden<\/p>\n\n\u00a0Vgl. Coleman, David et al.: \u201eCertified Wireless Security Professional \u2013 Official Study Guide\u201c, <\/a>S. 138-159.<\/em><\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"
Immer dann, wenn Mitarbeiter\u00a0 au\u00dferhalb des Unternehmens (z.B. Roadwarrior im Vertrieb, Homeworker, Smartphone-Einsatz) auf das interne Firmennetzwerk zugreifen m\u00fcssen, ist besondere Vorsicht geboten. Um die Kommunikation \u00fcber ein unsicheres \u00f6ffentliches Netzwerk wie das Internet sicher zu gew\u00e4hrleisten, werden VPN Tunnel\u00a0 … Weiterlesen
- hingegen erstellen SSTP<\/strong> und L2TP\/IPSec<\/strong> schon vorab eine gesicherte Verbindung. Hierzu verwendet SSTP ein X.509 Serverzertifikat am Gateway<\/strong><\/em>, das sich gegen\u00fcber dem VPN-Client authentifiziert – damit kann der Anwender auch sicher sein, dass er seine Zugangsdaten dem richtigen Server anvertraut.<\/li>\n
- L2TP\/IPSec,<\/strong><\/li>\n