25.12.2004

VPN_Tunnel durchs Internet

default

 

Abhörsichere Kommunikation über das Internet

Die normale Bezeichnung für "Tunnel" ist: "Virtual-Private-Network" oder "VPN". Damit ist gemeint: Zwei Rechner verbinden sich über das Internet und tauschen Daten aus. Die Verschlüsselung verhindert, daß jemand mithören kann. Es können ganz verschiedene Datenverbindungen ("virtuelle Verbindungen") auf diese Weise hergestellt werden. Man kann Dateien übertragen, aber auch z.B. Video oder eine Sprechverbindung.

 

Beispiel: Abhörsicher telefonieren oder Rechner fernbedienen

Die Verbindung durch eine verschlüsselte VPN-Verbindung ist heute fast die einzige Möglichkeit, miteinander zu telefonieren, ohne von in- oder ausländischen Behörden belauscht zu werden.

vpn-extern

 

Beispiel: Trennung von Büro- und Maschinenrechnern mit einem internen VPN

Aufgabe: Die Firma hat einen Internetanschluß im Bürotrakt. Die Arbeitsplätze in der Produktionshalle sind über eine Glasfaserleitung damit verbunden. Die Rechner an den Maschinen sollen über diesen Internetanschluß fernprogrammiert bzw. -gewartet werden können. Das vorhandene Netzwerk der Firma muß mitbenutzt werden, die Maschinen bekommen also kein eigenes, getrenntes Netz mit einer getrennten Internetverbindung.

Das Problem dabei ist: Die Maschinenrechner müssen trotzdem vor den Bürorechnern geschützt werden, so daß ein Bürorechner, der sich etwa einen Wurm aus dem Internet herunterlädt, die Maschinenrechner nicht infizieren kann.

Lösung: Die Fernwartung erfolgt über einen kombinierten DSL- und VPN-Router (mit Linux), der den vorhandenen DSL-Router ersetzt. Die Wartungsfirma bekommt einen gleichartigen DSL- und VPN-Router. Zur Wartung wird zwischen der Wartungsfirma und dem Anlagenbetreiber ein VPN errichtet. Die Maschinenrechner werden an einen zweiten VPN-Router angeschlossen, der zwischen sich und dem anderen, dem DSL- und VPN-Router ein zweites VPN errichtet, das das Firmennetzwerk untertunnelt. So können die Maschinenrechner und die Bürorechner sich gegenseitig nicht erreichen.

vpn-intern

 

Beispiel: Ein Embedded-Linux-Rechner als VPN-Router

vpn-router-face
vpn-router-rear
Beispiel:
 
Ein Embedded-Linux-Rechner ohne bewegliche Teile als VPN-Router
 
Via C3, 667 MHz, 128 MB RAM, 256 MB Flashdisk, 3 x Ethernet, B x T x H: 20 x 24 x 6 cm
 
Debian-Linux, "Stable Branch", Sicherheitsupdates jederzeit installierbar
 
 
(läuft in Frankreich als interner VPN-Router,
das ist im obigen Bild der rechte)

 

"VPN": räumlich entfernte Rechner erscheinen wie ein privates, lokales Netz.

  • "VPN-Router" verbinden "Standorte" über das Internet
  • je "Standort" wird ein "VPN-Router" benötigt.
  • Es werden "virtuelle Verbindungen" durch "verschlüsselte Tunnel" geleitet.

 

"Standorte" können an entfernten Orten, auch in verschiedenen Ländern der Erde liegen:

  • Zweigstellen, Außenstellen, Auslandsvertretungen
  • Lokale Netzwerke von Büro-Rechnern
  • Lokale Netzwerke von Maschinen-Steuerungen
  • Maschinen-Steuerungen mit seriellen Schnittstellen
  • PCs mit Programmiersoftware und serieller Schnittstelle
  • PCs mit Visualisierung/Bediensoftware

 

"Virtuelle Verbindungen" können sein:

  • Netzwerk zu Netzwerk
  • Rechner zu Rechner
  • Intranet-Dienste (Web-, FTP-, Datei-, Mail-Server)
  • serielle Verbindung (SPS - Programmiergerät)
  • Sprechverbindung
  • Video-Konferenz
  • Fernbedienung
  • Fernwartung

 

"VPN-Router" brauchen irgendeine Art von "Internet-Zugang".

Es muß keine Standleitung sein, es geht auch mit einer Einwählverbindung. Es muß auch kein eigener Zugang sein, ein bereits vorhandener Internet-Zugang genügt:

  • ISDN-Anschluß
  • DSL-Anschluß
  • Analog-Modem
  • Minutentakt
  • Pauschalabrechnung ("Flatrate")
  • Standleitung
  • vorhandener ISDN-Router
  • vorhandener DSL-Router

Eine Einschränkung gibt es aber doch: Mindestens einer der beiden VPN-Router muß direkt ans Internet angeschlossen sein, der andere darf notfalls auch hinter einem ISDN- bzw. DSL-Router stehen. Ein Linux-VPN-Router kann aber z.B. einen vorhandenen ISDN- oder DSL-Router ersetzen und dessen Funktion mit übernehmen.

 

"Verschlüsselter Tunnel":

Der Datenverkehr wird so verschlüsselt, daß das Internet nichts mithören kann (auch nicht der Internet-Provider oder sonstige Stellen).

Die Verschlüsselung gilt für alle virtuellen Verbindungen, z.B. kann man durch den 'Tunnel' auch abhörsicher telefonieren.

Damit sich kein fremder Rechner als "der andere Tunnelrechner" ausgeben kann, müssen sich die beiden Rechner, die sich verbinden sollen, schon vorher gegenseitig "kennen".

 

Verbindung je nach Tarif und je nach Bedarf:

  • Der "Tunnel" kann morgens auf- und abends wieder abgebaut werden.
  • Oder er kann manuell auf- und abgebaut werden.
  • Oder er kann dauernd stehenbleiben.
abatz.de Jörn Abatz - Technische Software Impressum