Cryptography Reference
In-Depth Information
folgt IP. Eine Besonderheit der LAN-Kopplung über das Internet liegt somit
darin, dass einige OSI-Schichten doppelt vorkommen.
Betrachten wir nun einen weiteren Fall aus der Praxis: Krypt & Co. will die
PCs einiger Außendienstmitarbeiter an das lokale Netz des Unternehmens anbin-
den (
Client-Anbindung
). Auch hier ist wiederum ein Tunneln durch das Internet
mithilfe eines Tunnelprotokolls eine gängige Möglichkeit. Die Client-Anbindung
ist so gesehen eine ähnliche Sache wie die LAN-Kopplung.
Das Tunneln des Internets zur LAN-Kopplung oder zur Client-Anbindung
wird als
Virtuelles Privates Netz
(
VPN
) bezeichnet. Das Entscheidende an einem
VPN lässt sich wie folgt zusammenfassen: Das lokale Netz nutzt zwar das Inter-
net, um ein anderes lokales Netz oder einzelne Rechner anzubinden. Dennoch
bleiben die Protokollwelten zwischen Internet und lokalem Netz strikt getrennt.
Das Tunnelprotokoll muss nicht unbedingt kryptografisch abgesichert sein, auch
wenn der Ausdruck »privat« dies nahelegt. In der Regel sieht ein VPN jedoch
Verschlüsselung vor (in Form eines sicheren Kanals), und in diesem Buch soll uns
nur dieser Fall interessieren. VPNs lassen sich in den Schichten 2, 3 und 4 realisie-
ren. In diesem Kapitel ist nur Schicht 2 relevant. Hierfür gibt es derzeit zwei Tun-
nelprotokolle, die eine Rolle spielen:
■
Das
Point to Point Tunneling Protocol
(
PPTP
) ist eine Entwicklung von
Microsoft [RFC2637]. Es sieht zwei verschiedene Teilprotokolle vor: das Tun-
nelprotokoll für den eigentlichen Zweck von PPTP und das Steuerungsproto-
koll für den Aufbau und die Verwaltung des Tunnels. Das Steuerungsproto-
koll verwendet TCP in Schicht 4, während das Tunnelprotokoll auf ein
Protokoll namens GRE (Generic Routing Encapsulation) aufbaut. Letzteres
können wir uns an dieser Stelle als UDP-ähnliches Protokoll vorstellen. PPTP
sieht keine Kryptografie vor, sondern überlässt dies anderen Protokollschich-
ten. Die von Microsoft bevorzugte Variante sieht vor, dass die Krypto-Erwei-
terungen von PPP verwendet werden, um PPTP abzusichern. Microsoft hat für
diesen Zweck eigene Versionen von CHAP und ECP entwickelt. Diese als MS-
CHAP und MPPE bezeichneten Protokolle kennen Sie bereits aus Abschnitt
33.1.1.
■
L2TP
(
Layer Two Tunneling Protocol
) wurde innerhalb der IETF entwickelt.
L2TP, das in [RFC2661] beschrieben wird, sieht wie PPTP zwei Teilproto-
kolle für Tunnel und Steuerung vor. Die Steuerung erfolgt über TCP, für den
Tunnel wird UDP verwendet. Für den Einsatz von Kryptografie gelten bei
L2TP die gleichen Überlegungen wie für PPTP. Eine Besonderheit von L2TP
ist jedoch, dass es selbst eine Authentifizierung ermöglicht: Es unterstützt eine
CHAP-ähnliche Passwortabfrage.
Für die LAN-Kopplung werden von vielen Herstellern Gateway-Produkte ange-
boten, mit denen die beiden Endpunkte eines Tunnels realisiert werden können.
Solche Gateway-Funktionen sind oft auch in Router, Firewalls oder Betriebssys-
