Definition Was ist ein VPN?

Ein VPN gestattet die verschlüsselte, sichere und zielgerichtete Kommunikation über potenziell unsichere Netzwerke wie das Internet. Hierfür werden geschützte, in sich geschlossene Tunnelverbindungen zwischen Endgeräten oder lokalen Netzwerken aufgebaut. Eine typische Anwendung ist die Anbindung eines Home-Office oder eines mobilen Mitarbeiters an das Firmennetzwerk.

VPN ist das Akronym für Virtual Private Network. Der deutsche Begriff lautet virtuelles privates Netzwerk. Es handelt sich um ein verschlüsseltes, virtuelles, auf Basis eines anderen Netzwerks betriebenes Kommunikationsnetz. Das VPN ist logisch von dem zugrundeliegenden Netzwerk getrennt. Die VPN-Teilnehmer sind in einem in sich geschützten, privaten Netzwerk miteinander verbunden.

Der Zugang zum VPN erfordert die Authentifizierung des Teilnehmers. Zwischen den Teilnehmern bestehen verschlüsselte Tunnelverbindungen, die von außen nicht einsehbar sind. So lassen sich Daten sicher vor unbefugtem Zugriff auch über potenziell unsichere, öffentliche Netzwerke wie das Internet übertragen. Virtuelle private Netzwerke sind beispielsweise als kostengünstige Alternative zu physischen, dediziert aufgebauten Netzen einsetzbar. Sie verwenden das öffentliche Internet als Transportmedium und machen den Aufbau von physischen Netzwerken oder das Anmieten von dedizierten Netzwerkverbindungen oder privaten Leitungen überflüssig. Virtuelle private Netzwerke kommen heute in vielen Bereichen zum Einsatz. Aufgrund der niedrigen Kosten für die Vernetzung und der flexibel und schnell zu etablierenden Netzwerkverbindungen haben sie konventionelle, auf Standleitungen basierende private IP-Netze teilweise abgelöst.

Typische Anwendungsbereiche sind der sichere Zugriff auf Unternehmensnetzwerke, die sichere Vernetzung von Unternehmensstandorten über das Internet, der Schutz der Online-Privatsphäre, die sichere Nutzung von öffentlichen WLANs und vieles mehr.

Die verschiedenen VPN-Arten und ihre jeweiligen Anwendungen

Der Aufbau und die Struktur von VPNs können sich unterscheiden. Ein VPN kann aus Punkt-zu-Punkt-Verbindungen, Punkt-zu-Mehrpunkt-Verbindungen oder aus vollständig vermaschten Knoten und Teilnehmern bestehen. Grundsätzlich lassen sich diese drei VPN-Arten unterscheiden:

• Site-to-Site-VPN (LAN-to-LAN-VPN)

• End-to-Site-VPN (Host-to-LAN-VPN)

• End-to-End-VPN (Host-to-Host-VPN)

Ein Site-to-Site-VPN verbindet Unternehmensstandorte oder komplette Netzwerke in einem geschützten, virtuellen Kommunikationsnetzwerk miteinander. Typische Anwendungsbereiche sind die Vernetzung von Unternehmensstandorten, Niederlassungen und Außenstellen.

Bei einem End-to-Site-VPN ist ein einzelner Host oder ein Endgerät über ein virtuelles Kommunikationsnetzwerk an ein Netzwerk angebunden. Typisch ist diese Art von VPN für die sichere Vernetzung eines Heimarbeitsplatzrechners oder eines mobilen Endgeräts mit dem Unternehmensnetzwerk.

Das End-to-End-VPN vernetzt zwei Hosts, Endgeräte oder Server über eine virtuelle, verschlüsselte Verbindung miteinander. Das VPN besteht aus nur zwei Teilnehmern. Typische Anwendungen des End-to-End-VPNs sind Wartungsarbeiten an einem Server oder Remote-Desktop-Verbindungen, bei denen Anwendungen auf einem Rechner ausgeführt und auf dem Desktop eines anderen Rechners angezeigt und bedient werden. Aufgrund dieser Anwendungsart wird das End-to-End-VPN manchmal auch als Remote-Desktop-VPN bezeichnet.

VPN-Dienste für die anonyme und sichere Internetnutzung

VPNs werden nicht nur genutzt, um Endgeräte oder Netzwerke sicher miteinander zu vernetzen. Sie lassen sich auch für die sichere, die Privatsphäre schützende Internetnutzung einsetzen. In diesem Fall wird das Endgerät, das auf Webseiten oder Internetdienste zugreifen möchte, über eine auf dem Internet basierende VPN-Verbindung verschlüsselt mit einem Server eines VPN-Anbieters verbunden. Dieser entschlüsselt den Verkehr und übernimmt die weitere Kommunikation mit den gewünschten Webseiten oder Internetdiensten. Das hat folgende Vorteile:

• Verschleierung der eigenen IP-Adresse

• Umgehung von Mechanismen wie Geoblocking, die beispielsweise von Streaming-Diensten eingesetzt werden

• Absicherung der Kommunikation über öffentliche, ungeschützt WLANs

• Schutz der Privatsphäre (Anonymisierung der Internetaktivitäten und Verschleierung der Identität oder des Standorts)

• Umgehung von Zensurmaßnahmen in bestimmten Ländern

• Schutz vor Man-in-the-Middle-Angriffen

In einigen Ländern bewegt sich die Nutzung von VPN-Services in rechtlichen Grauzonen. Bestimmte Länder wie China, Russland oder Iran schränken die Nutzung von VPNs stark ein oder verbieten sie generell.

Zu bekannten und häufig genutzten VPN-Anbietern zählen zum Beispiel NordVPN, Surfshark, ExpressVPN, CyberGhost, ProtonVPN, Mullvad, Windscribe oder PureVPN.

Prinzipielle Funktionsweise und grundlegende Funktionskomponenten eines VPN

In einem VPN werden auf Basis eines Netzwerks als Transportmedium logische Verbindungen zwischen den Endpunkten beziehungsweise zwischen den Netzwerkteilnehmern hergestellt. Diese Verbindungen sind verschlüsselt und werden als VPN-Tunnel bezeichnet. Endpunkte sind zum Beispiel VPN-Software-Clients, VPN-Server oder VPN-Gateways. Nur die Endpunkte des Tunnels können die im Tunnel übertragenen Daten entschlüsseln und interpretieren. Netze wie das öffentliche Internet stellen für die Tunnelverbindungen lediglich die grundsätzliche Konnektivität und Transportleistung zur Verfügung.

Um einen VPN-Tunnel zu einem anderen Endpunkt aufzubauen, muss sich der Teilnehmer authentifizieren, zum Beispiel per Mehr-Faktor-Authentifizierung. Die verwendeten Verfahren, Techniken oder Protokolle zur Verschlüsselung und Authentifizierung unterscheiden sich abhängig von der jeweiligen Art und Implementierung des VPNs. Sie sorgen für die eigentliche Authentizität, Vertraulichkeit und Integrität der VPN-Verbindungen und der darüber übertragenen Daten. Im OSI-Schichtenmodell arbeiten die VPN-Protokolle üblicherweise auf der Schicht zwei oder drei. So ist es beispielsweise üblich, auf der Schicht drei IP in IP zu tunneln. Aber auch andere Ansätze sind möglich, wie das Tunneln von Layer-3-Paketen in Layer-2-Paketen und umgekehrt.

Beispiele für einige typische für VPNs verwendete Protokolle und Verfahren sind:

• Internet Protocol Security (IPsec)

• L2TP/IPSec (Layer 2 Tunneling Protocol / IPSec)

• WireGuard

• OpenVPN

• IKEv2/IPSec (Internet Key Exchange Version 2 / IPSec)

• SSTP (Secure Socket Tunneling Protocol)

• SSL (Secure Sockets Layer)

Das SSL-VPN basiert auf HTTP und TLS (SSL). Es wird auch als webbasiertes VPN bezeichnet. Ein SSL-VPN lässt sich so einrichten, dass ein Teilnehmer auf zentrale Anwendungen oder Daten zugreifen kann, ohne dass dafür eine direkte Anbindung an das interne Netzwerk erforderlich ist. Da die Teilnehmer nur auf einzelne Dienste zugreifen können, handelt es sich in diesem Fall im engeren Sinn nicht um ein vollwertiges VPN.

Bei den SSL-VPNs kann grundsätzlich zwischen Fat-Client-, Thin-Client- und Clientless-Realisierungen unterschieden werden.

Für die Herstellung einer VPN-Verbindung im konventionellen Sinn kommt der Fat-Client zum Einsatz. Ein Thin-Client nutzt einen Proxy-Mechanismus eines Plug-ins und stellt die Verbindung zu entfernten Netzwerkdiensten her. Solche Plug-ins sind beispielsweise als Erweiterungen für Webbrowser verfügbar. Ohne spezielle Softwareerweiterung und der Notwendigkeit einer separaten Installation kommen Clientless-SSL-Lösungen aus. Sie gestatten es, direkt über einen Standard-Webbrowser auf Webanwendungen eines Unternehmens-Servers zuzugreifen. In diesem Fall ist der Browser der VPN-Client und der Webserver stellt die Schnittstelle zu den internen Anwendungen dar.

SSL-VPNs haben gemeinsam, dass sie das gesicherte SSL- beziehungsweise TLS-Protokoll zur Übertragung der Daten verwenden. Mit einem Fat-Client sind sie eine Alternative zu anderen VPN-Protokollen, falls sich aufgrund von Beschränkungen in einem Netzwerk zum Beispiel keine IPsec-Tunnel aufbauen lassen. SSL-VPNs haben den Vorteil, dass sie aufgrund der Verwendung von HTTPS und SSL/TLS üblicherweise über Firewalls oder NAT-Router hinweg funktionieren. Wie bei einem konventionellen Virtual Private Network muss auf dem Client die Software des Fat-Clients installiert sein. Sie bildet den clientseitigen VPN-Adapter und gestattet es, sämtlichen Verkehr zwischen den VPN-Endpunkten in einer verschlüsselten SSL-Verbindung zu übertragen.

Mögliche Nachteile und Einschränkungen durch die Nutzung eines virtuellen privaten Netzwerks

Die VPN-Nutzung kann mit Nachteilen oder Einschränkungen verbunden sein. Typische Nachteile und Einschränkungen sind:

• Die Verbindung hat aufgrund der Verwendung von VPN-Protokollen, Verschlüsselung und zusätzlicher VPN-Komponenten eine schlechtere Performance (niedrigere Übertragungsraten und höhere Verzögerungszeiten).

• Durch die Verwendung zusätzlicher VPN-Protokolle und notwendig werdende Fragmentierungen kann es zu Datenübertragungsproblemen kommen.

• Die Nutzung eines VPNs kann in bestimmten Ländern verboten sein und rechtliche Konsequenzen nach sich ziehen.

• Die Einrichtung eines VPNs erfordert zusätzlichen Konfigurationsaufwand, benötigt weitere Hard- oder Softwarekomponenten und erschwert aufgrund der höheren Komplexität die Fehlersuche.

• Nicht vertrauenswürdige oder kompromittierte Anbieter von VPN-Diensten können ein Risiko für die Integrität und Sicherheit der Internetkommunikation der Nutzer darstellen.

(ID:44790099)