Virtuelle Private Netze: Das bringt VPN

Windows-basierte VPN-Lösungen nutzen meist das Point to Point Tunneling Protocol (PPTP) – ein guter Grund, sich dessen Arbeitsweise einmal näher anzusehen.

Die Ursprünge von PPTP liegen in einer Zeit, in der die meisten Remote-Verbindungen zu einem Firmennetzwerk noch über einen Network Access Server (NAS) liefen. Dabei handelt es sich um einen zentralen Rechner, der über mehrere Modem- und ISDN-Leitungen verfügt, mit deren Hilfe er externen Anwendern eine Einwahl in das lokale Netz ermöglicht.

Geteiltes Leid – Admins Freud‘
PPTP wurde primär entwickelt, um die Arbeiten des NAS auf mehrere Systeme zu verteilen: den PPTP Access Concentrator (PAC) und den PPTP Network Server (PNS). Dem PAC obliegt dabei die Verwaltung des physikalischen Interfaces – also der Modems oder ISDN-Adapter. Der PNS hingegen verantwortet das Routing und Bridging der empfangenen Daten. PPTP kommt nur zwischen PAC und PNS zum Einsatz, alle anderen beteiligten Systeme merken davon nichts.

Beim Dial-In-Verfahren übernimmt ein zentraler Network Access Server die ganze Arbeit.

Nun werden Sie zu Recht einwenden, dass Dial-In-Verbindungen heute nur noch sehr selten im Einsatz sind. Wie sieht also der Einsatz von PPTP über das Internet aus?

Unter PPTP verteilen sich die Aufgaben des Network Access Server auf den PPTP Access Concentrator und den PPTP Network Server.

Ganz einfach: Dem Client beim Anwender wird per Software das Protokoll PPTP beigebracht. Er mutiert also zum PAC. Als Verbindung zum PNS dient der normale Internet-Anschluss. Über diesen baut der Client zunächst eine weitere, virtuelle PPP-Verbindung zum PNS auf, authentisiert sich dort und beginnt, die zu tunnelnden Daten per PPTP zu übertragen. Da ihm bei diesem Vorgang eine Adresse aus dem lokalen Netz zugewiesen wurde, kann er nun im Rahmen der ihm zugeteilten Rechte schalten und walten als wäre er direkt vor Ort.

Bei einer PPTP-Verbindung über das Internet wird der angesprochene Server zum PNS, der Rechner des Anwenders zum PAC.

Der eigentliche Tunnel besteht aus zwei Übertragungskanälen: einer für die Nutzdaten, der andere für die Control Connection Über diese signalisieren sich die Systeme Verbindungsauf- und -abbau und tauschen Fehlerinformationen aus. Dass diese Informationen im Klartext gesendet werden, ist eine der Sicherheitslücken, wegen der PPTP zunehmend in die Kritik geraten ist.

Nicht wirklich sicher
Auch die Übertragung der Nutzdaten ist unter PPTP nicht zwangsläufig sicher. Das verwendete System der General Routing Encapsulation (GRE) verwendet PPP, um beliebige Protokolle zu übertragen. PPTP selbst definiert für diese Übertragungen keine eigene Verschlüsselung, sondern vertraut darauf, dass eine entsprechende Option beim Aufbau der PPP-Session ausgehandelt wurde. So kann es bei nachlässig konfigurierten PPP-Verbindungen durchaus vorkommen, dass die Nutzdaten im Klartext über die Leitung gehen.

Gleiches gilt für die Authentifizierung der Kommunikationspartner. Hier setzt PPTP ebenfalls auf die von PPP bereitgestellten Mechanismen. Somit sind gegebenenfalls auch Klartext-Logins möglich, was die Sicherheit des PPTP-Tunnels weiter herab setzt.

Leicht macht es PPTP allerdings dem Administrator der Firewall: die Control Connection erwartet ihre Pakete auf Port 1723 und sendet die Antworten auch von dort. Es sind also keine zusätzlichen Ports für etwaige Übertragungen von anderen Ports frei zu schalten.