Virtuelle Private Netze sind heutzutage nicht mehr aus Unternehmen wegzudenken. Das gilt nicht erst seit Beginn der durch das Corona-Virus ausgelösten weltweiten Krise. Auch vorher schon wurde die Technik verwendet, um etwa entfernte Niederlassungen sicher miteinander zu verbinden. Welche Verschlüsselungsprotokolle spielen dabei eine Rolle?
Zum Schutz vertraulicher Daten, die über offene Netzwerke wie das Internet übertragen werden, wurde vor etwa 25 Jahren das Konzept der Virtuellen Privaten Netzwerke (VPN) entwickelt. Alle Daten, die ein solches VPN durchlaufen, werden vor der Übertragung verschlüsselt und erst am Zielort wieder entschlüsselt. Dieser „Tunnel“ schützt sie vor Angreifern, die ansonsten unterwegs Daten leicht ausspionieren oder manipulieren könnten.
Für die Verschlüsselung der Kommunikation über ein VPN gibt es verschiedene Protokolle, die im Laufe der Jahre entwickelt wurden. Manche wie IKE und die Weiterentwicklung IKEv2 haben sich vor allem in Unternehmen durchgesetzt, in anderen wie PPTP wurden jedoch mittlerweile Sicherheitslücken entdeckt, so dass sie an Bedeutung verloren haben. Die Entwicklung neuer Verschlüsselungsprotokolle ist nicht stehen geblieben. So verfolgt etwa Wireguard ein interessantes Konzept, ist aber noch nicht wirklich reif für den Einsatz in Firmen.
Netzwerkprotokolle: die Grundlagen
Ein Netzwerkprotokoll regelt den Austausch von Daten zwischen mehreren Computern. Zu den bekanntesten gehören TCP/IP sowie UDP. Während das Internet Protocol (IP) dafür sorgt, dass ein Datenpaket auch wirklich sein Ziel erreicht, kontrollieren das Transmission Control Protocol (TCP) oder das User Datagram Protocol (UDP) die Übertragung der Daten. Diese Protokolle haben sich zwar breit durchgesetzt, aus Sicherheitssicht haben sie jedoch eine Reihe von gravierenden Nachteilen:
- Die Daten werden unverschlüsselt übertragen,
- jeder Knoten, über den die Pakete laufen, kann die Inhalte lesen und manipulieren,
- weder Sender noch Empfänger lassen sich authentifizieren,
- außerdem ist nicht ermittelbar, ob die Daten ohne Fehler übertragen wurden und ob sie den Empfänger überhaupt erreicht haben und
- nicht zuletzt kann die Absenderadresse relativ leicht mittels IP-Spoofing gefälscht werden.
Man spricht daher auch von Klartextprotokollen. Sie erlauben es einem Angreifer, vertrauliche Daten wie zum Beispiel Passwörter oder andere sensible Informationen auszulesen oder sogar heimlich zu verändern. Zum Schutz der übertragenen Daten wurden daher Verschlüsselungsprotokolle entwickelt. In den folgenden Abschnitten stellen wir sie vor.
Die sechs wichtigsten Verschlüsselungsprotokolle für VPNs
Für VPNs verwendete Protokolle lassen sich in zwei Kategorien einteilen. Bei Variante Eins wird nur ein Protokoll für sowohl den Transport durch den Tunnel als auch den Schutz der Daten verwendet. Anders ist es bei Variante Zwei, bei der eine Kombination aus zwei Protokollen genutzt wird, die sowohl für den Transport und den Schutz der Daten sorgen.
1) PPTP
PPTP (Point to Point Tunneling Protocol) ist eines der ältesten VPN-Protokolle, das ursprünglich von Microsoft und 3Com bereits in den 90er Jahren des vergangenen Jahrhunderts für den Einsatz in Einwahlnetzen entwickelt wurde. PPTP wird jedoch aufgrund der immer wieder darin entdeckten Schwachstellen heutzutage kaum noch eingesetzt. Bereits 1998 veröffentlichte der bekannte Sicherheitsexperte Bruce Schneier eine Analyse, die zahlreiche Sicherheitslücken aufdeckte.
2) L2TP/IPSec
Das Layer 2 Tunnel Protocol (L2TP) verfügt über keine eigenen Verschlüsselungs- oder Authentifizierungsfunktionen, so dass es meist zusammen mit IPSec eingesetzt wird. In dieser Kombination gilt L2TP als sehr sicher. IPSec selbst ist kein einziges Protokoll, sondern eine Suite aus mehreren Protokollen, mit der Daten sicher über zum Beispiel öffentliche Netzwerke übertragen werden können. IPSec kümmert sich dabei um die Verschlüselung und Authentifizierung, über die L2TP selbst nicht verfügt.
3) OpenVPN
OpenVPN ist eine freie Software zum Aufbau von VPN-Verbindungen, die zur Verschlüsselung der übertragenen Daten meist mit OpenSSL oder TLS verbunden wird. Trotz der zahlreichen bewährten Sicherheitsfunktionen wird OpenVPN nur in relativ wenigen Unternehmen eingesetzt. Im privaten Umfeld erfreut sich das Protokoll jedoch einer vergleichsweise hohen Verbreitung.
4) SSTP
Die Abkürzung SSTP steht für Secure Socket Tunneling Protocol, ein weiteres von Microsoft entwickeltes und dann mit Windows Vista eingeführtes Protokoll. Seine enge Verzahnung mit der Windows-Welt ist jedoch Fluch und Segen zugleich. Einerseits ist es durch seine Integration in Windows relativ leicht nutzbar, andererseits funktioniert es nahezu ausschließlich mit Windows- PCs und -Servern.
5) IKE beziehungsweise IKEv2 mit IPSec
Eine besonders hohe Verbreitung in Unternehmen hat das Verschlüsselungsprotokoll Internet Key Exchange, das in Version 1 und 2 zu finden ist. IKE basiert auf IPSec und arbeitet daher sehr gut damit zusammen. Ähnlich wie L2TP wird es nahezu nur in Verbindung mit IPSec eingesetzt. Auch HCD Consulting setzt auf IKE beziehungsweise IKEv2 in Verbindung mit IPSec. Diese werden sowohl von den VPN-tauglichen Produkten von Juniper Networks als auch von Cisco sowie Cisco Meraki in vollem Umfang unterstützt.
Ein Vorteil von IKE ist, dass unterbrochene Verbindungen automatisch wiederhergestellt werden können. Das erleichtert zum Beispiel den Umgang mit per VPN an die Zentrale angebundenen Mobilgeräten, da dies auch für Übergänge vom WLAN- ins Mobilfunknetz und umgekehrt gilt. Außerdem ist das Protokoll auf der Client-Seite leicht zu konfigurieren und gilt als schneller als L2TP, SSTP und sogar PPTP.
Die Version 1 von IKE ist auf Server-Seite relativ schwierig einzurichten. Schon bei minimalen Unterschieden in der Konfiguration von Client und Server ist dann kein Verbindungsaufbau möglich. Das gilt immer wieder auch für Produkte unterschiedlicher Hersteller. IKEv2 ist hier toleranter. Zu beachten ist jedoch, dass IKEv2 nicht mit dem Vorgänger kompatibel ist. Insbesondere die Einrichtung neuer VPNs ist mit der Version 2 einfacher, flexibler und zugleich weniger anfällig für Fehler geworden.
6) Wireguard
Ähnlich wie OpenVPN ist WireGuard eine freie Software, die unter einer Open-Source-Lizenz entwickelt wird. Sie befindet sich derzeit allerdings noch in einem geradezu rasanten Entwicklungszyklus. Immer wieder werden neue Versionen veröffentlicht. Einer der wichtigsten Vorteile ist die sehr kleine Codebasis von Wireguard. Dadurch lassen sich sicherheitsrelevante Bugs weit leichter finden als etwa in OpenVPN. Ähnlich wie IKEv2 unterstützt Wireguard einen Wechsel zwischen verschiedenen Netzen. Das und die hohe Energieeffizienz machen das Protokoll auch für einen Einsatz in Verbindung mit mobilen Endgeräten interessant.
Bis vor kurzem benötigte der Anwender jedoch Admin-Rechte auf seinem Computer, um einen VPN-Tunnel mit Wireguard zu aktivieren. Administrative Rechte für Endanwender sind in den meisten Unternehmen aber aus guten Gründen nicht vorgesehen. Erst mit einem Ende 2020 veröffentlichten Update konnte dieses Problem behoben werden. Jetzt ist es möglich, eine VPN-Verbindung auf einem Endgerät auch ohne erweiterte Rechte zu starten.
Fazit
VPN-Nutzer haben die Qual der Wahl zwischen verschiedenen Verschlüsselungsprotokollen. Während gerade in Firmen kaum noch jemand PPTP einsetzt, können sich auch SSTP, L2TP und OpenVPN nur in bestimmten Umgebungen halten. Aufgrund ihrer hohen Sicherheit und Verbreitung empfiehlt sich daher der Einsatz von IKE oder IKEv2 in Verbindung mit IPSec. Der Neuling Wireguard ist zwar vom Konzept her interessant, in den meisten Unternehmen spielt er aber noch keine Rolle. Gerne beraten wir Sie zu allen Fragen rund um das VPN-Thema.
Fragen? Fragen!
Ich bin Sebastian Wiedemann aus dem HCD Vertriebsteam. Ich berate Sie gerne oder helfe Ihnen bei Fragen weiter. Sie erreichen mich telefonisch unter +49 89 215 36 92-0 oder per Kontaktformular.
Jetzt beraten lassen