Bei OpenVPN handelt es sich um eine plattformunabhängiges Software-Produkt, das unter einer GNU-GPL-Lizenz entwickelt und vertrieben wird und mit dem sich sichere VPNs (Virtual Private Network) aufbauen lassen. OpenVPN ist für alle aktuellen Betriebssysteme erhältlich und kann gleichermaßen gut eingesetzt werden, um einzelne Clients oder auch gesamte Netz zu koppeln.

Allgemeine Informationen zu OpenVPN

OpenVPN kann verwendet werden, um verschlüsselte und sichere private Netzwerke zwischen einzelnen Clients oder gesamten Netzwerken zu implementieren. Um eine Verbindung aufzubauen, muss auf beiden Seiten die Software vorhanden und korrekt konfiguriert sein. Die VPN-Lösung lässt sich auf traditionellen Rechnern, Servern, mobilen Endgeräten sowie Netzwerkgeräten wie beispielsweise Router installieren. Unterstützt werden alle modernen Betriebssysteme, wie zum Beispiel:

–       Windows

–       Linux

–       MacOS

–       Solaris

–       OpenBSD

–       Android

Der Datenstrom zwischen den Clients wird durch die Software verschlüsselt und wahlweise über TCP– oder UDP-Verbindungen übertragen. OpenVPN ist auch über NAT-Grenzen hinweg nutzbar, bei der viele ähnliche Lösungen auf Ihre Grenzen stoßen. Die Nutzerdaten, die über die VPN-Verbindung übertragen werden, sind per SSL-TLS verschlüsselt. Für die Entschlüsselung wird die kryptografische Bibliothek OpenSSL eingesetzt.

Funktionsweise im Überblick

Ein beliebtes Einsatzszenario für VPN-Lösungen ist die sichere Verbindung eines Außendienstmitarbeiters oder eines Home-Office-Computers über das Internet mit dem Firmennetzwerk. In solchen Fällen baut der Client, also der Rechner der sich außerhalb des Firmennetzwerks befindet, eine Verbindung zum zentralen Server des Firmennetzwerks auf. Dieser ist grundsätzlich unter einer statischen IP-Adresse oder Domain im öffentlichen Internet ansprechbar und wartet auf eingehende Client-Anfragen zum Verbindungsaufbau. Bei dynamischen IP-Adressen, die kontinuierlichen Änderungen unterzogen werden, können auch dynamischen DNS-Dienste eingesetzt werden, die den Verbindungsaufbau zum zentralen VPN-Server ermöglichen.

Im Prozess des Verbindungsaufbaus wird der Client vom Server über ein Passwort oder ein sogenanntes „Trust-Zertifikat identifiziert. Sind die Zugangsdaten korrekt, kann eine sichere Verbindung zwischen Client und Server realisiert werden, sodass die übertragenen Daten von unbefugten Personen nicht mehr gelesen werden können. Die Verschlüsselung und die Entschlüsselung des Datenstroms erfolgten an den jeweiligen Endpunkten der VPN-Verbindung, also beim Server und Client. Das Besondere an OpenVPN ist, dass sich neben einzelnen Clients auch gesamte Netzwerke über OpenVPN verbinden lassen.

Vorteile von OpenVPN

Der Einsatz der VPN-Software bringt zahlreiche Vorteile mit sich. OpenVPN bietet Unterstützung für sämtliche moderne Betriebssysteme und zeichnet sich durch eine äußerst hohe Stabilität aus. Um große VPN-Infrastrukturen zu realisieren, lässt sich die VPN-Lösung auf tausende von Clients schnell und problemlos skalieren, ohne irgendwelche Performance-Einbrüche in Kauf nehmen zu müssen. Durch den Einsatz von OpenSSL sowie durch die beiden Verschlüsselung- und Authentifizierungs-Verfahren SSL-TLS und PKI gelten Virtual Private Networks als sehr sicher. Die Installation der VPN-Software gestaltet sich relativ einfach und unkompliziert und sie kann auch ohne größere Probleme mit IP-Adressen genutzt werden, die dynamisch oder hinter NAT-Routern vergeben werden. Vorteile von OpenVPN im Überblick:

Mehr zum Thema:
Was ist eigentlich... eine Domain?

–       Unterstützung für eine große Bandbreite an Betriebssystemen

–       erstklassige Skalierbarkeit

–       hohe Stabilität und Sicherheit

–       ist auch hinter Firewalls und NAT-Geräten funktionsfähig

–       einfach zu installieren und zu konfigurieren

–       kann wahlweise über TCP- oder UDP-Verbindungen verwendet werden

Hohe Sicherheit bei OpenVPN

OpenVPN bietet Unterstützung für verschiedene Arten der Authentifizierung. Es lassen sich sowohl digitale Trust-Zertifikate, als auch sogenannte „preshared Keys“ implementieren, um Benutzer der VPN zu authentifizieren. Im Rahmen der preshared Keys-Authentifizierungs-Methode werden statische Schlüssel oder Passwörter an alle Kommunikationspartner verteilt, die im Virtual Private Network aktiv sind. Der Missbrauch der jeweiligen Schlüssel wird durch entsprechende Sicherheitsmechanismen effektiv verhindert. Die zertifikatsbasierte Authentifizierung basiert auf öffentlichen und privaten Schlüsselpaaren sowie auf digitalen Trust-Zertifikaten nach dem X.509-Standard.

Die Schlüsselpaare werden in der Regel von einer zentralen Certification Authority (CA) unterzeichnet. Die CA-Autorität gewährleistet die Echtheit der Schlüssel. Clients und Server sind jeweils mit eigenen Zertifikaten und öffentlichen/privaten Schlüsselpaaren versehen. Nach der erfolgreichen gegenseitigen Bestätigung der Echtheit der Zertifikate bzw. Schlüssel erfolgt die Erstellung eines sogenannten „Sitzungsschlüssels“ (Session Key). Dieser wird für die Verschlüsselung der zu übertragenen Daten eingesetzt und wird durch OpenVPN automatisch in zufälligen zeitlichen Abständen ersetzt.

Die verschiedenen Netzwerkmodi: Bridging und Routing

OpenVPN kann in zwei verschiedenen Modi betrieben werden, und zwar in :

–       Routing

–       Bridging

Bei dem Routing-Modus handelt es sich um die einfachste Art einen sicheren und verschlüsselten Tunnel zwischen zwei Kommunikationspartnern herzustellen. Über diesen werden ausschließlich IP-Pakete (Layer 3) übertragen. Um dies zu realisieren, wird jeder Gegenstelle eine virtuelle IP-Adresse eines fiktiven Subnetzes zugeteilt, wie zum Beispiel 10.9.8.10 und 10.9.8.20. Der direkte Zugriff auf das Netzwerk, das sich hinter dem VPN befindet, ist in der Regel nicht möglich. Um auf die dortigen IP-Adressen zugreifen zu können, muss die Gegenstelle die erhaltenen Datenpakete entweder durch IP-Forwarding oder durch Einträge in der Routingtabelle weiterleiten.

Im Gegensatz zum Routing-Modus erlaubt das Bridging-Verfahren Ethernet-Frames (Layer 2) vollständig zu tunneln. Der Routing-Modus erlaubt auch den Einsatz von anderen Protokollen, wie beispielsweise das IPX. Ein Client wird im Rahmen des Routing-Verfahrens vollständig in das Einwahlnetzwerk integriert und erhält eine IP-Adresse des dortigen Subnetzes.

 

Letzte Artikel von Daniel Faust (Alle anzeigen)