Mit L2TP existiert ein VPN-Protokoll des IETF, das PPTP sehr ähnlich sieht und doch anders ist.
Fast zeitgleich zur Veröffentlichung von PPTP wurde vom IETF das Layer 2 Tunneling Protocol (L2TP) veröffentlicht. Ähnlich wie PPTP definiert es zwei Systeme, die sich die Aufgaben eines Network Access Server teilen: den L2TP Access Concentrator (LAC) und den L2TP Network Server (LNS). Ziel der Entwicklung war es, PPP-Rahmen zwischen einem entfernten System und einem LAN über einen Tunnel auszutauschen. Dabei ging man von zwei möglichen Szenarien aus.
Im ersten Fall stellt der Anwender eine PPP-Verbindung zu einem LAC her. Dieser tunnelt die PPP-Verbindung zum LNS, der seinerseits die Verbindung zum LAN herstellt. Über die PPP-Verbindung wird dem Client eine IP-Adresse aus dem LAN zugeteilt. Die Authentisierung und Authorisierung des Remote Users erfolgt ab diesem Moment so, als wäre der Anwender direkt mit einem Network Access Server verbunden.
Mit L2TP lassen sich VPN-Tunnel sowohl über spezielle L2TP Access Concentrators wie auch durch eine virtuelle PPP-Verbindung aufbauen.
Alternativ dazu ist es auch möglich, dass der Client L2TP direkt unterstützt. In diesem Fall kann er seine zu tunnelnden Daten direkt über seine bestehende Internet-Verbindung senden. Dazu baut er eine virtuelle PPP-Verbindung zum LNS auf, die den Tunnel darstellt. Die Authentifizierung und Authorisierung erfolgt wieder wie im ersten Fall.
Unsichere Datentransfers
Innerhalb des Tunnels überträgt L2TP zwei unterschiedliche Datenströme. Zum einen die Kontrollnachrichten, zum anderen die Nutzdaten. Dabei gibt es einen bemerkenswerten Unterschied. Während der Kontrollkanal über eine gesicherte Verbindung gesendet wird, erfolgt der Transport der Nutzdaten ungesichert.
Mit anderen Worten: Tritt ein Datenverlust im Nutzkanal auf, stellt L2TP keine Mechanismen bereit, eine neue Übertragung anzufordern. Diese Aufgabe überlässt es den Transportschichten, die sich später um die Verarbeitung der durch den Tunnel geleiteten Informationen kümmern.
Sicherere Kontrolle
Um zu verhindern, dass unberechtigte Nutzer eine Übertragung verfälschen oder sich gar für einen berechtigten Anwender ausgeben, bietet L2TP optionale Schutzmechanismen an. Diese bestehen aus einem Shared Secret, das nur LAC und LNS bekannt ist. Mit seiner Hilfe lassen sich wichtige, über den Kontrollkanal übertragene Informationen wie Username und Passwort verschlüsseln. Zusätzlich besteht die Möglichkeit, schon vor dem Aufbau des Kontrollkanals zu prüfen, ob beide Seiten dasselbe Secret verwenden und gegebenenfalls den Verbindungsaufbau zu verweigern.
So gesehen wäre L2TP im Vergleich zu PPTP allein schon wegen der – zugegeben minimal – höheren Sicherheit die bessere Wahl. Dafür handelt man sich allerdings auch eine etwas aufwändigere Konfiguration der eigenen Firewall ein. Ursache ist die Abwicklung des Verbindungsaufbaus:
L2TP-Pakete werden auf Port 1701 erwartet. Gemäß der Arbeitsweise von IP sendet also ein kontaktwilliger Client von einem seiner freien Ports – zum Beispiel 1234 – eine entsprechende Anfrage an den Port 1701 des Zielsystems. Dieses sucht nun aber seinerseits einen freien Port bei sich – etwa 2345 – und antwortet von diesem an den vom Anrufer verwendeten Port 1234. Eine in der Kommunikationskette hängende Firewall erwartet aber, dass die Antwort von Port 1701 kommt und blockt das Paket ab. Abhilfe schafft hier eine intelligente Firewall, die ausgehende L2TP-Pakete erkennt und sich den Absendeport merkt. Gehen für diesen dann innerhalb einer bestimmten Zeitspanne Pakete ein, werden sie weitergeleitet.
Weniger komplexe Lösungen öffnen kurzfristig alle Eingangsports. Von derartigen Geräten ist jedoch dringend abzuraten, da sie ein riesiges Sicherheitsloch aufreissen.
Für Verschlüsselung nicht zuständig
Genau wie bei PPTP bietet L2TP keine eigenen Mechanismen, den übertragenen Datenverkehr zu verschlüsseln. Diese Aufgabe übernimmt entweder das zum Verpacken der Informationen verwendete PPP oder aber das Transportprotokoll, über das die L2TP-Rahmen an den LNS geleitet werden.
Neueste Kommentare
Noch keine Kommentare zu Virtuelle Private Netze: Das bringt VPN
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.