Der gesamte Prozess, vom Einkapseln über das Routen bis zur Entkapselung, wird Tunneln genannt. Tunneling oder Einkapselung "versteckt" das Originalpaket in einem neuen Paket bzw. kapselt es darin ein. Dieses neue Paket weist unter Umständen neue Daten für die Adressierung und das Routing auf, so dass das neue Paket über Netzwerke weitergeleitet werden kann. Wird Tunneling mit Datenschutz kombiniert, sind die ursprünglichen Paketdaten (und auch die ursprünglichen Angaben zu Quelle und Ziel) für abfragende Computer im Netzwerk nicht mehr sichtbar. Das Netzwerk kann ein beliebiges Netzwerk sein, d. h. ein privates Intranet oder das Internet. Erreichen die eingekapselten Pakete ihr Ziel, wird der Einkapselungsheader entfernt und das Originalpaket wird anhand seines Originalheaders an sein endgültiges Ziel gesendet.
Der Tunnel selbst ist der logische Datenpfad, über den die eingekapselten Pakete geleitet werden. Für den ursprünglichen Quell- und Zielpeer ist der Tunnel in der Regel transparent; er erscheint wie jede andere Punkt-zu-Punkt-Verbindung im Netzwerkpfad. Die Peers besitzen keine Informationen zu Routern, Vermittlungen, Proxyservern oder anderen Sicherheitsgateways, die zwischen dem Anfangs- und dem Endpunkt des Tunnels liegen. Wird Tunneling mit Datenschutz kombiniert, können Sie hiermit virtuelle privaten Netzwerke (VPNs) einrichten.
Windows 2000 enthält zwei Arten von Tunneling mit IPSec:
- Layer-2-Tunneling-Protokoll (L2TP/IPSec): L2TP zur Verwaltung der Einkapselung und des Tunnels für alle Arten von Netzwerkdatenverkehr, IPSec im Transportmodus zur Gewährleistung der Sicherheit für die L2TP-Tunnelpakete.
- IPSec im Tunnelmodus: IPSec selbst für die Einkapselung von IP-Datenfluss.
Zum Einsatz dieser Tunneltypen benötigen Sie gründliche Kenntnisse der jeweiligen Funktionen. Weitere Informationen finden Sie unter "Virtual Private Networking and IPSec" im Windows 2000 Resource Kit.
Die eingekapselten Pakete werden im Inneren des Tunnels durch das Netzwerk geleitet. (In diesem Beispiel ist das Netzwerk das Internet.) Bei dem Gateway kann es sich um einen Grenzgateway, der sich zwischen der Außenwelt (dem Internet) und dem privaten Netzwerk befindet, einen Router, eine Firewall oder einen anderen Sicherheitsgateway handeln. Darüber hinaus können Sie den Datenfluss zwischen weniger vertrauenswürdigen Teilen des Netzwerkes mit Hilfe von zwei Gateways innerhalb des privaten Netzwerkes schützen.
IPSec und L2TP werden kombiniert, um Tunneling und Sicherheit für IP-, IPX- und andere Pakete durch alle IP-Netzwerke hindurch zu gewährleisten. IPSec kann Tunneling auch ohne L2TP durchführen, dies ist aber nur dann empfehlenswert, wenn einer der Gateways L2TP oder PPTP nicht unterstützt.
Bei L2TP werden die ursprünglichen Pakete zunächst in einen PPP-Rahmen eingekapselt. Anschließend werden die Pakete komprimiert (falls möglich) und in ein UDP-Paket eingekapselt, das dem Port 1701 zugewiesen ist. Das UDP-Paket ist ebenfalls ein IP-Paket. L2TP verwendet daher automatisch IPSec, um den Tunnel zu sichern (basierend auf den Sicherheitseinstellungen in der Benutzerkonfiguration des L2TP-Tunnels). Mit dem IPSec-IKE(Internet Key Exchange)-Protokoll wird die Sicherheit für den L2TP-Tunnel standardmäßig anhand der Authentifizierung auf Grundlage von Zertifikaten ausgehandelt. Bei dieser Authentifizierungsmethode wird die Vertrauensstellung zwischen Quellcomputer und Zielcomputer über Computerzertifikate anstelle von Benutzerzertifkaten überprüft. Sobald die IPSec-Transportsicherheit vorliegt, wird der Tunnel durch L2TP ausgehandelt (einschließlich Komprimierung und Benutzerauthentifizierungsoptionen). Die Zugriffssteuerung wird anhand der Benutzeridentität vorgenommen. L2TP/IPSec ist daher die unkomplizierteste, flexibelste, anpassungsfähigste und sicherste Option für das Tunneling, sowohl für VPNs mit Remotezugriff durch Clients als auch für Gateway-zu-Gateway-VPN-Tunnel.
Zur Konfiguration der L2TP/IPSec-VPN-Remotezugriffsclients verwenden Sie Netzwerk- und DFÜ-Verbindungen. Zur Konfiguration des VPN-Remotezugriffsservers und der Gateway-zu-Gateway-Tunnel verwenden Sie die Konsole von Routing und RAS.
Der Header des Originalpakets wird hier als IP- oder IPX-Header dargestellt. Dieser Header enthält die ursprünglichen und die endgültigen Adressen für die Quelle und das Ziel (Adressen im privaten Netzwerk). Der äußere IP-Header (Neuer IP-Header) umfasst die Quell- und Zieladresse der Tunnelendpunkte (Adressen im öffentlichen Netzwerk). Im L2TP-Header befinden sich Daten zur Tunnelsteuerung. Der PPP-Header gibt das Protokoll des ursprünglichen Pakets an, beispielsweise IP oder IPX. Weitere Informationen zu L2TP/IPSec finden Sie unter Netzwerk- und DFÜ-Verbindungen in der Hilfe zu Windows 2000 Server.
Der wichtigste Grund für den Einsatz des IPSec-Tunnelmodus liegt in der Interoperabilität mit anderen Routern, Gateways oder Endsystemen, die keine Unterstützung für L2TP/IPSec oder die PPTP-VPN-Tunneling-Technologie bieten. Der IPSec-Tunnelmodus wird lediglich bei Gateway-zu-Gateway-Tunneling-Szenarien unterstützt, außerdem bei einigen Server-zu-Server- oder Server-zu-Gateway-Konfigurationen (als erweiterte Funktion). Im Kapitel zu IPSec im Windows 2000 Resource Kit finden Sie ausführlichere Beschreibungen dieser Szenarien und Konfigurationen. Bearbeiten Sie dieses Kapitel, bevor Sie den IPSec-Tunnelmodus einsetzen. Beim VPN-Clientremotezugriff wird der IPSec-Tunnelmodus nicht unterstützt. Verwenden Sie statt dessen L2TP/IPSec oder PPTP.
Die beiden Formate für IPSec-Pakete können auch im Tunnelmodus genutzt werden:
- ESP-Tunnelmodus
Der ursprüngliche IP-Header (der Header des Originalpakets) enthält für gewöhnlich die endgültigen Quell- und Zieladressen, während der äußere IP-Header in der Regel die Quell- und Zieladressen von Sicherheitsgateways enthält. Das ESP-Tunnelformat bietet eine starke Integrität und Authentizität für den Datenfluss innerhalb des Tunnels. Der ESP-Tunnel wird hauptsächlich eingesetzt, um den Datenschutz für die Tunnelpakete mit der DES- oder 3DES-Verschlüsselung zu gewährleisten. Der Verschlüsselungsgrad wird in der Filteraktion der Tunnelregel festgelegt. Es ist daher möglich, den Grad Keine Verschlüsselung zu bestimmen, wenn kein Datenschutz für den Datenfluss im Tunnel erforderlich ist.
In der vorangegangenen Abbildung wurde das Originalpaket zwischen der ursprünglichen Quelle und dem ursprünglichen Ziel mit einem neuen IP- und ESP-Header eingekapselt. Der Bereich Mit Signatur zeigt die Teile des Pakets an, deren Integrität geschützt wurde. Aus dem Bereich Verschlüsselt geht hervor, ob das gesamte Originalpaket verschlüsselt wurde.
Die im neuen IP-Header enthaltenen Informationen dienen zum Routen des Pakets vom Ursprung zum Endpunkt des Tunnelziels, normalerweise ein Sicherheitsgateway. Der neue IP-ESP-Header wird nicht durch den Integritätshash geschützt. Mit diesem IETF-RFC kann der Paketheader nach Bedarf durch die Netzwerkkomponenten geändert werden, so dass zusätzliche Dienste zur Verfügung stehen (beispielsweise Ändern der Quell- oder Ziel-IP-Adresse oder Heraufsetzen der Priorität gegenüber anderen Paketen).
- AH-Tunnelmodus
Der AH-Tunnelmodus bietet lediglich starke Integrität und Authentizität für den Inhalt des Tunnels, nicht jedoch Datenschutz durch Verschlüsselung.
Das gesamte Paket wird zur Sicherung der Integrität signiert, auch der neue Tunnelheader. Aus diesem Grund können keine Änderungen an der Quell- oder Zieladresse vorgenommen werden, sobald das Paket durch den Quellpunkt des Tunnels gesendet wurde. Bei diesem IETF-RFC sind Änderungen an bestimmten Felder im neuen IP-Header durch Netzwerkkomponenten weiterhin möglich, beispielsweise Ändern der Priorität oder Löschen von fehlgeleiteten oder veralteten Paketen. ESP und AH können für das Tunneln auch kombiniert werden, so dass die Integrität des gesamten Pakets und Vertraulichkeit für das ursprüngliche IP-Paket gewährleistet werden.
Bei IPSec-Tunneln wird die Sicherheit lediglich für den IP-Datenfluss gewährleistet. Dieser Tunnel ist so konfiguriert, dass der Datenfluss zwischen zwei IP-Adressen oder der Datenfluss zwischen zwei IP-Subnetzen geschützt wird. Falls Sie den Tunnel nicht zwischen zwei Gateways nutzen, sondern zwischen zwei Hosts, stimmt die äußere IP-Adresse mit der äußeren IP-Adresse überein. Bei Windows 2000 bietet IPSec keine Unterstützung für protokollspezifische, portspezifische oder anwendungsspezifische Tunnel. Die Konfiguration erfolgt über die Konsole der IPSec-Richtlinie. Hierbei wird eine Sicherheitsregel mit einem Filter (zur Beschreibung des Datenflusses durch den Tunnel), einer Filteraktion (zur Sicherung des Tunnels) und einer Authentifizierungsmethode (für die Endpunkte des Tunnels) festgelegt. Es werden drei Arten der Authentifizierung unterstützt: Zertifikate, freigegebene Schlüssel, Kerberos.
Grundlegende Information zu Tunneleinstellungen in IP-Sicherheitsrichtlinien finden Sie unter IPSec-Tunneling Informationen darüber, wie Sie einen IPSec-Tunnel konfigurieren können, finden Sie unter So legen Sie einen IPSec-Tunnel fest