Tunneling-Protokolle (VPN)
Das Internet hat den Nachteil, dass die Infrastruktur im Detail nicht bekannt ist und der Weg zwischen zwei Kommunikationspartnern nicht nachvollziehbar, vorhersagbar und kontrollierbar ist. So kann an jedem Knoten ein Datenpaket gespeichert, verändert oder gelöscht werden. Die Daten werden also ungesichert über das Internet übertragen.
Um eine gesicherte Datenübertragung über das unsichere Internet zu gewährleisten, wird mit einem Tunneling-Protokoll eine verschlüsselte Verbindung, der VPN-Tunnel, aufgebaut. Der Tunnel ist eine logische Verbindungen zwischen beliebigen Endpunkten. Meist sind das VPN-Clients, VPN-Server und VPN-Gateways. Man nennt diese virtuellen Verbindungen Tunnel, weil der Inhalt der Datenpakete für andere nicht sichtbar ist.
Tunneling ist die Basis eines jeden VPNs. Tunneling erlaubt es, Pakete eines Netzwerkprotokolls in die Pakete eines anderen Netzwerkprotokolls einzukapseln.
Das technische Prinzip einer VPN-Verbindung ist in der Regel immer gleich. Egal welches Protokoll. Am Startpunkt des Tunnels werden die Pakete eingekapselt. Am Endpunkt werden die Pakete wieder entkapselt. Dabei wird jedes Datenpaket verschlüsselt. Der Inhalt des ursprünglichen Pakets können andere nicht sehen.
Ein andere sinnvolle Anwendung, ist das Verstecken von privaten Netzwerkadressen, in dem man IP-Pakete in IP-Paketen tunnelt. Auf diese Weise werden Netzwerke über das Internet miteinander verbunden. Die IP-Pakete mit privaten Adressen werden in IP-Pakete mit der öffentlichen Adresse verpackt.
Tunneling im OSI-Schichtenmodell
Für das Tunneling gibt es zwei Ansätze. Im ersten Ansatz wird auf der Schicht 3 des OSI-Schichtenmodells das Tunneling aufgebaut. Dabei wird zur Adressierung der Schicht bzw. des Datenpakets das Internet Protocol (IP) verwendet. Man spricht dann vom IP-in-IP-Tunneling. In der Regel wird IPsec für diese Lösung verwendet.
Ein anderer Ansatz greift direkt auf der Schicht 2 des OSI-Schichtenmodells ein. Hier wird das Datenpaket der Schicht 3 verschlüsselt und dann mit der physikalischen Adresse adressiert. In der Regel werden PPTP oder L2TP für diese Lösung verwendet.
Standardisierte Tunneling-Protokolle
- PPTP - Point-to-Point Tunneling Protocol
- L2F - Layer 2 Forwarding (Cisco)
PPTP und L2F sind keine echten Standards. Sie haben nur einen informellen Status.
- L2TP - Layer-2-Tunneling-Protocol (Microsoft-Umgebungen)
- IPsec (im Tunnelmodus)
- MPLS - Multi-Protocol Label Switching
MPLS ist eigentlich kein Tunneling-Protokoll. Allerdings kann man damit Schicht-2-VPNs aufbauen
IPsec als Tunneling-Protokoll zu bezeichnen ist falsch. Es ist im allgemeinen Sinne ein Sicherheitsprotokoll, das auch Tunneling beherrscht und im Regelfall auch dafür eingesetzt wird.
Propritäre Tunneling-Protokolle
- Altavista Tunnel
- Bay Dail VPN Service (Bay-DVS)
- Ascend Tunnel Management Protocol (ATMP)
L2F - Layer 2 Forwarding
L2F ist mit L2TP verwandt und wurde von Cisco als Software-Modul für RAC (Remote Access Concentrator) und Router entwickelt. Es handelt sich dabei nicht um eine Client-Implementierung, wie zum Beispiel bei PPTP oder L2TP. Der Benutzer kommt mit L2F nicht in Berührung.
L2F bietet keine Verschlüsselung und auch keine starke Authentisierung. L2F kann lediglich verschiedene Netzwerkprotokolle tunneln. Zwei L2TP-Server dienen als Endpunkt für einen L2F-Tunnel.
Übersicht: Aktuelle Tunneling-Protokolle
Die Angabe Ja und Nein sind nicht als Wertungen, sondern Eigenschaften zu verstehen. In Abhängigkeit bestimmter Eigenschaften eignet sich ein bestimmtes Tunneling-Protokoll für die eine oder andere Anwendung besser oder schlechter.
| IPsec | L2TP | PPTP | MPLS | |
|---|---|---|---|---|
| OSI-Schicht | Schicht 3 | Schicht 2 | Schicht 2 | Schicht 2 |
| Standard | Ja | Ja | Nein | Ja |
| Paketauthentisierung | Ja | Nein | Nein | Nein |
| Benutzerauthentisierung | Ja | Ja | Ja | Nein |
| Datenverschlüsselung | Ja | Nein | Ja | Nein |
| Schlüsselmanagement | Ja | Nein | Nein | Nein |
| Quality of Service | Ja | Nein | Nein | Ja |
| IP-Tunneling | Ja | Ja | Ja | Ja |
| IPX-Tunneling | Nein | Ja | Ja | Ja |
| Hauptanwendung | End-to-End | Provider | End-to-End | Netzbetreiber |