Tag 11: VPN & Netzwerksicherheit

AP Teil 1 – Relevanz VPN

AP1

„Einrichten eines IT-gestützten Arbeitsplatzes" – sicherer Fernzugriff, Netzwerkkonzepte

AP Teil 2 – relevante Bereiche

2 Bereiche

„Konzeption & Administration" + Betriebliche Projektarbeit (Netzwerksicherheit Pflichtbestandteil)

AP Teil 1

Einrichten eines IT-gestützten Arbeitsplatzes

Hier sind grundlegende VPN- und Netzwerksicherheitskenntnisse prüfungsrelevant:

VPN-Typen unterscheiden: Site-to-Site vs. Remote Access (End-to-Site)
Einsatzzweck und Funktionsweise von VPN erklären können
Tunneling: Verschlüsselung und Kapselung von Datenpaketen
Unterschied IDS und IPS benennen und Einsatzbereiche nennen
Typische VPN-Protokolle: IPsec, SSL/TLS, OpenVPN, WireGuard
Sicherheitsmaßnahmen im Heimarbeitsplatz (Homeoffice/Mobile Work)

AP Teil 2

Konzeption und Administration von IT-Systemen (90 Min. · 10%)

Vertieftes Fachwissen zu VPN und Netzwerksicherheit:

Standortvernetzung konzipieren und geeignete VPN-Variante wählen
Sicherheitsanforderungen an VPN analysieren und begründen
IDS/IPS im Netzwerk positionieren und konfigurieren
Firewall-Regeln und DMZ im Zusammenhang mit VPN
Split Tunneling vs. Full Tunneling – Vor- und Nachteile
VLAN und VPN im Unternehmenskontext kombinieren

Betriebliche Projektarbeit (50%)

VPN im Projekt

Wenn das Projekt Netzwerke, Fernzugriff oder Standortanbindungen betrifft, muss VPN angemessen berücksichtigt werden:

Anforderungsanalyse: Welcher VPN-Typ ist für den Anwendungsfall geeignet?
Sicherheitskonzept: Schutzziele (Vertraulichkeit, Integrität) durch VPN absichern
Im Fachgespräch: VPN-Lösung gegen Alternativen begründen können
Betriebskosten, Administration und Skalierbarkeit berücksichtigen

Grundlagen

Was ist ein VPN?

Ein Virtual Private Network (VPN) ist ein verschlüsselter „Tunnel" durch ein öffentliches Netz (z. B. das Internet). Daten werden so übertragen, als ob sie in einem privaten Netz unterwegs wären – geschützt vor Abhören und Manipulation.

Kernprinzip: Tunneling + Verschlüsselung + Authentifizierung. Das Original-Paket wird in ein neues Paket eingekapselt (Kapselung), verschlüsselt übertragen und auf der Gegenseite wieder entschlüsselt.

VPN-Typen im Überblick

🏢

Site-to-Site-VPN (LAN-to-LAN)

Zwei oder mehr Standorte (Firmenniederlassungen, Rechenzentren) werden dauerhaft über das Internet verbunden. Die VPN-Tunnel-Endpunkte sind Router oder Firewalls – einzelne Clients merken nichts vom VPN.

IPsec Standortvernetzung Dauerhafter Tunnel Router/Firewall als Endpunkt

🧑‍💻

Remote-Access-VPN (End-to-Site)

Ein einzelner Client (z. B. Homeoffice-Mitarbeiter) verbindet sich mit dem Unternehmensnetz. Die VPN-Software läuft auf dem Endgerät. Verbindung wird bei Bedarf aufgebaut.

SSL/TLS OpenVPN WireGuard Homeoffice Mobiles Arbeiten

🔗

End-to-End-VPN (selten in IHK)

Verschlüsselung zwischen zwei einzelnen Endgeräten (z. B. Peer-to-Peer). Kein zentraler Gateway involviert. In der IHK meist nur zur Abgrenzung gefragt.

Peer-to-Peer direkte Verbindung

Site-to-Site vs. Remote Access – Vergleich

Merkmal	Site-to-Site	Remote Access
Endpunkte	Router / Firewall ↔ Router / Firewall	Client-PC ↔ VPN-Gateway
Nutzer spürt VPN	Nein (transparent)	Ja (Software starten)
Verbindungsdauer	Dauerhaft / immer aktiv	Bedarfsweise
Typische Protokolle	IPsec (IKEv2)	SSL/TLS, OpenVPN, WireGuard, IPsec
Einsatz	Filial-Vernetzung, RZ-Anbindung	Homeoffice, Außendienst, Mobile
Administration	Zentral (Netzwerkadmin)	Verteil (Client + Server)

Split Tunneling vs. Full Tunneling

	Full Tunneling	Split Tunneling
Routing	Gesamter Traffic über VPN	Nur Firmen-Traffic über VPN; Internet direkt
Sicherheit	Höher (zentrales Monitoring möglich)	Geringer (Internet-Traffic unkontrolliert)
Performance	Schlechter (Gateway als Flaschenhals)	Besser (Internet-Traffic kürzer)
Prüfungstipp	Bevorzugt bei hohem Schutzbedarf	Spart Bandbreite am Gateway

Prüfungsrelevant

VPN-Protokolle im Überblick

Häufig gefragt: Protokolle benennen, OSI-Schicht zuordnen, Vor- und Nachteile nennen.

IPsec

Internet Protocol Security · Schicht 3 (Netzwerk)

Protokoll-Suite zur Absicherung von IP-Verbindungen. Besteht aus AH (Authentication Header – Integrität) und ESP (Encapsulating Security Payload – Verschlüsselung + Integrität). Schlüsselaustausch via IKEv2. Standard für Site-to-Site-VPNs. Betriebsmodi: Tunnelmodus (gesamtes IP-Paket kapseln) und Transportmodus (nur Payload).

SSL/TLS

Secure Sockets Layer / Transport Layer Security · Schicht 4–7

Basis für HTTPS und SSL-VPNs. Vorteil: Funktioniert über Port 443 (HTTPS) → in fast allen Netzwerken erlaubt, kaum durch Firewalls blockiert. Typisch für clientlose Webzugänge (Browser-basiertes Remote Access). TLS ist der Nachfolger von SSL (SSL gilt als veraltet/unsicher).

OpenVPN

Open-Source VPN · Schicht 2/3

Setzt auf SSL/TLS auf. Sehr flexibel, plattformübergreifend, hohe Sicherheit durch OpenSSL. Nachteil: Höherer Konfigurationsaufwand, benötigt Client-Software. Weit verbreitet im Remote-Access-Umfeld.

WireGuard

Modernes VPN-Protokoll · Schicht 3

Neueres Protokoll (seit Linux-Kernel 5.6 integriert). Sehr geringer Code-Umfang → kleines Angriffsfläche, einfach auditierbar. Sehr schnell und energieeffizient (gut für mobile Geräte). Nutzt moderne Kryptographie (ChaCha20, Curve25519). Zunehmend prüfungsrelevant.

L2TP

Layer 2 Tunneling Protocol · Schicht 2

Tunnelt auf Schicht 2. Bietet selbst keine Verschlüsselung – wird daher fast immer mit IPsec kombiniert (L2TP/IPsec). Heute weitgehend durch modernere Protokolle ersetzt, taucht aber in Prüfungen noch auf.

IPsec: AH vs. ESP – Prüfungsdetail

Merkmal	AH (Authentication Header)	ESP (Encapsulating Security Payload)
Verschlüsselung	❌ Nein	✅ Ja
Integrität	✅ Ja	✅ Ja
Authentifizierung	✅ Ja (inkl. IP-Header)	✅ Ja (ohne IP-Header)
NAT-kompatibel	❌ Nein (IP-Header wird verändert)	✅ Ja (mit NAT-T)
Praxis	Selten alleine eingesetzt	Standard in der Praxis

Merkhilfe: ESP = alles was man braucht (Verschlüsselung + Integrität). AH = nur Integrität, kein NAT → in der Praxis kaum noch eingesetzt.

Merkhilfe: Protokoll-Zuordnung für die Prüfung

Site-to-Site → meistens IPsec (IKEv2)
Remote Access, Homeoffice → SSL/TLS, OpenVPN oder WireGuard
Ältere Windows-Umgebungen → L2TP/IPsec
Browserbasierter Zugriff ohne Client → SSL-VPN (Port 443)
Höchste Performance auf Linux/Mobile → WireGuard

Prüfungsklassiker

IDS vs. IPS – Grundunterschied

Ein häufig gestelltes Prüfungsthema: Beide Systeme erkennen Angriffe – der entscheidende Unterschied liegt darin, was danach passiert.

🔍 IDS – Intrusion Detection System

Erkennt und meldet Angriffe (passiv)
Greift nicht in den Traffic ein
Erzeugt Alarme / Logs für Admins
Parallelbetrieb zum Netz (Out-of-Band / Tap)
Kein Einfluss auf Latenz/Verfügbarkeit
Risiko: Angriff läuft weiter bis Mensch reagiert

🛡️ IPS – Intrusion Prevention System

Erkennt und blockiert Angriffe (aktiv)
Sitzt inline im Datenstrom
Kann Pakete verwerfen, Verbindungen trennen
Reagiert in Echtzeit ohne menschliches Zutun
Risiko: False Positives → legitimer Traffic blockiert
Einfluss auf Latenz / Single Point of Failure

Erkennungsmethoden (für beide Systeme)

Signatur Signaturbasiert: Bekannte Angriffsmuster (Signaturen) werden mit dem Traffic verglichen. Zuverlässig bei bekannten Angriffen, blind gegen neue (Zero-Day). Signaturdatenbank muss aktuell gehalten werden.

Anomalie Anomaliebasiert: Abweichungen vom „normalen" Verhalten werden erkannt. Kann auch unbekannte Angriffe erkennen, aber höhere False-Positive-Rate. Benötigt Lernphase (Baseline).

Heuristik Heuristisch / regelbasiert: Kombiniert Regeln und Verhaltensanalyse. In modernen Systemen oft Kombination aus allen drei Methoden.

Platzierung im Netzwerk

Position	IDS	IPS
Netzwerktopologie	Parallel / Sniffer-Port (Port Mirroring)	Inline (zwischen Firewall und internem Netz)
Typische Position	Hinter Firewall oder im DMZ-Bereich	Zwischen Internet-Router und Firewall ODER hinter Firewall
Auswirkung bei Ausfall	Kein Traffic-Ausfall (passiv)	Kann Netzausfälle verursachen (Bypass-Modus nötig)

Praxistipp: Viele moderne Firewalls (Next-Generation Firewall, NGFW) integrieren IPS-Funktionalität direkt. In der Prüfung kann gefragt werden, wie IDS/IPS in eine bestehende Netzwerktopologie eingebettet wird.

NIDS vs. HIDS – Netzwerk vs. Host

🌐

NIDS – Network-based IDS

Überwacht den gesamten Netzwerkverkehr eines Segments. Erkennt netzwerkweite Angriffe wie Port-Scans, DoS, ARP-Spoofing. Kann bei verschlüsseltem Traffic (VPN, HTTPS) blind sein.

💻

HIDS – Host-based IDS

Läuft auf einem einzelnen System und überwacht Log-Dateien, Systemaufrufe, Dateiintegrität (z. B. Tripwire). Erkennt Angriffe, die das Netzwerk-IDS übersieht (z. B. lokale Eskalation). Kein Problem mit Verschlüsselung.

Konzeptionsaufgaben

Standortvernetzung – Anforderungsanalyse

Vor der Auswahl einer Vernetzungslösung müssen folgende Anforderungen geklärt werden – typische Prüfungsaufgabe: gegeben sind Anforderungen, gesucht ist die passende Lösung.

Bandbreitenbedarf: Welche Datenmenge muss zwischen den Standorten übertragen werden?
Verfügbarkeit: Wie hoch ist die geforderte Uptime? Redundanzpfade nötig?
Schutzbedarf: Welche Daten werden übertragen? (Personenbezogen? Finanzdaten?)
Kosten: Einmalige Investition vs. laufende Betriebskosten
Anzahl Standorte / Nutzer: Zentral-Hub oder vollvermascht?
Latenzanforderungen: Echtzeitanwendungen (VoIP, Video) brauchen niedrige Latenz

Vernetzungsoptionen im Vergleich

Option	Technik	Vorteile	Nachteile
VPN over Internet	IPsec / OpenVPN / WireGuard über öffentliches Internet	Günstig, flexibel, einfach skalierbar	Abhängig von Internetqualität, variable Latenz
MPLS-VPN	Anbieter-Backbone (Telekom, etc.) mit garantierter QoS	Garantierte Bandbreite, niedrige Latenz, SLA	Teuer, wenig flexibel, Anbieterabhängigkeit
SD-WAN	Softwaregesteuerte WAN-Verwaltung (mehrere Leitungen)	Automatisches Failover, QoS, zentral verwaltbar	Höhere Komplexität, neueres Konzept
Standleitung (Mietleitung)	Dedizierte physische Leitung zwischen Standorten	Maximale Sicherheit, konstante Performance	Sehr teuer, langer Vorlauf, unflexibel

VPN-Topologien bei der Standortvernetzung

⭐

Hub-and-Spoke (Stern)

Alle Filialen (Spokes) verbinden sich mit einer Zentrale (Hub). Kommunikation zwischen Filialen läuft über die Zentrale. Einfach zu verwalten, Zentrale ist Flaschenhals und Single Point of Failure.

🔗

Vollvermascht (Full Mesh)

Jeder Standort ist direkt mit jedem anderen verbunden. Hohe Ausfallsicherheit, optimale Latenzen. Aber: hoher Administrationsaufwand – bei n Standorten werden n*(n-1)/2 Tunnel benötigt. Ab ~5 Standorten sehr aufwändig.

🌐

Teilvermascht (Partial Mesh)

Kompromiss: Kritische Standorte werden mehrfach verbunden, kleinere Filialen nur zur Zentrale. Gutes Kosten-Nutzen-Verhältnis in der Praxis.

Praxisbeispiel: Firmenstruktur analysieren

Ein Unternehmen hat: Zentrale (Hamburg), 3 Filialen (München, Berlin, Köln), 50 Homeoffice-Mitarbeiter.

Verbindung	Empfohlener VPN-Typ	Protokoll	Begründung
Zentrale ↔ Filialen	Site-to-Site	IPsec IKEv2	Dauerhaft, transparent, hohe Bandbreite nötig
Homeoffice-Mitarbeiter	Remote Access	WireGuard / OpenVPN	Bedarfsweise, Client nötig, flexibel
Filialen untereinander	Hub-and-Spoke	über Zentrale	Einfache Verwaltung, kein Direktbedarf
Kritische Anbindung RZ	MPLS oder Redundanz	MPLS + VPN	SLA-gesichert, sehr hoher Schutzbedarf

Merkhilfe: Typische Prüfungsfragen zur Standortvernetzung

„Nennen Sie zwei VPN-Typen und erläutern Sie deren Einsatzgebiete" → Site-to-Site + Remote Access mit Begründung
„Ein Unternehmen möchte seine drei Standorte verbinden. Welche VPN-Topologie empfehlen Sie?" → Hub-and-Spoke mit Begründung (Kosten, Verwaltung)
„Was ist der Unterschied zwischen IDS und IPS?" → Erkennung vs. Erkennung + Blockierung; passiv vs. aktiv/inline
„Welche Vor- und Nachteile hat Full Tunneling gegenüber Split Tunneling?" → Sicherheit vs. Performance/Bandbreite
„Welche Schicht des OSI-Modells nutzt IPsec?" → Schicht 3 (Vermittlungsschicht / Network Layer)

1. Welcher VPN-Typ verbindet zwei Unternehmensniederlassungen dauerhaft über das Internet?

2. Was ist der wichtigste Unterschied zwischen IDS und IPS?

3. Auf welcher OSI-Schicht arbeitet IPsec?

4. Welche Aussage zu Split Tunneling trifft zu?

5. Ein Unternehmen hat 5 Filialen, die alle miteinander direkt kommunizieren sollen. Wie viele VPN-Tunnel werden bei einer Vollvermaschung (Full Mesh) benötigt?

6. Welche Komponente von IPsec bietet sowohl Verschlüsselung als auch Integrität und ist NAT-kompatibel?