Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

05.03.1999 - 

Keine einheitlichen Verschlüsselungs- und Tunneling-Verfahren

Keine einheitlichen Verschlüsselungs- und Tunneling-Verfahren Proprietärer Ballast bremst Internet-basierte VPNs aus

Hausinterne Intranets und partnerverbindende Extranets verlangen von Weitverkehrsverbindungen eine zunehmend höhere Flexibilität. Neue Wege müssen schnell eingerichtet und gegebenenfalls wieder gelöst werden. Teure und träge Festleitungen sind in einer zunehmend von Web-Technologie beeinflußten Welt kaum noch zeitgemäß. Wesentlich besser geeignet sind virtuelle private Netze (VPNs). Hadi Stiel beschreibt diese flexible Verbindungsmöglichkeit und nennt Schwächen heutiger Implementierungen.

Ein gewichtiges Argument, das jeden Anwender aufhorchen läßt, ist das der Kosteneinsparung. Setzen die Unternehmen auf VPNs inklusive den Diensten Verschlüsselung, Authentifizierung und sogar Firewalling, rechnet sich die Installation vor allem dort, wo Netzbetreiber entsprechende Dienste bereits anbieten. Eberhard Holler, Geschäftsführer von Consulting & Networks in Oberursel, veranschlagt die Kosten eines VPNs im Idealfall mit nur der Hälfte des Aufwands für Mietleitungen. Ein durchaus berechtigter Vergleich, denn inklusive Chiffrierung und Authentifizierung bietet das VPN mindestens den gleichen privaten Status wie kostspielige Festverbindungen. Zudem ist sich Holler sicher: "Mit einem bis zu 30 Prozent niedrigeren Preis gegenüber Frame Relay wird das Internet-VPN auch diesem Dienst den Rang ablaufen."

Bis Anwender in den Genuß solch verlockender Einsparungen kommen, müssen jedoch zahlreiche Hindernisse aus dem Weg geräumt werden. Bei der Verbindung von Firmennetzen über das Internet mangelt es an Bandbreite - für die Koppelung größerer Außenstellen reicht das Internet-VPN meist nicht aus. "Dort, wo Netzbetreiber hinreichend Durchsatz via Internet vorhalten, wird sie meist nicht garantiert. Oftmals werden Zusagen auch nicht eingehalten", beklagt Holler. Damit ist das Internet-VPN für Kunden, die häufig größere Mengen an Geschäftsdaten schnell und zuverlässig transportieren müssen, meist ungeeignet und zugleich himmelweit von der Bereitstellung einer verläßlichen Dienstequalität (Quality of Service = QoS) entfernt.

Aus diesem Grund kommen derzeit Internet-VPNs kaum über die Mittlerrolle zwischen kleineren Unternehmen oder zwischen der Zentrale und kleinen Außenstellen, mobilen Außendienstmitarbeitern und Telearbeitsplätzen hinaus. Oder sie fungieren zwischen größeren Unternehmensstandorten als Transportmedium für E-Mail und weniger zeitkritische und durchsatzfordernde Workflow-Prozesse. Dementsprechend bewertet Wolfgang Schwab, Berater bei der Meta Group in München, die aktuelle Situation der Internet-VPNs: "Für konkrete Anwendungen, insbesondere innerhalb großer Unternehmen mit vielen Niederlassungen, ist das VPN-Angebot meist nicht tragfähig." Oft sei zudem die Skalierbarkeit, genügend Verbindungen parallel via VPN abwickeln zu können, nicht gegeben. Und auch für Holler steht außer Frage: Ab 256 Kbit/s an garantierter und vor allem eingehaltener Anschlußbandbreite brauche der Anwender erst gar nicht über den Einsatz eines VPNs zur Abwicklung voluminöser Datenströme und interaktiver Anwendungen nachzudenken.

Ein Wirrwarr an konkurrierenden Tunneling-Verfahren, die Basistechnologie für das Internet-VPN, ist das zweite Hindernis, das sich vor dem potentiellen Anwender aufbaut. Acht verschiedene Methoden, angesiedelt auf der Netzschicht 2 oder 3, bietet der Markt. Hinzu kommen weitere proprietäre Verfahren. Die Kompatibilität bleibt auf der Strecke, so daß Anwender an einmal erworbene Produkte gebunden sind.

"Vor allem die beiden Branchenriesen Microsoft und Cisco versuchen mit aller Macht, dem Markt ihr Verständnis eines Ebene-2-Tunnels aufzudrücken", beobachtet Johann Ladwein, Beratungsingenieur Informationstechnik in Maintal. Es bleibt die Hoffnung, daß der Markt die Anbieter zwingt, daß Clients am Tunnelende alle wichtigen Tunneling-Verfahren beherrschen. Solche Lösungen sind in absehbarer Zeit jedoch kaum von diesen Unternehmen zu erwarten.

Umständliche Verfahrensweise

Zu alledem könnte sich der Weg des Ebene-2-Tunnelings als Labyrinth erweisen. Denn die Verfahren, von denen die Internet Engineering Task Force (IETF) bislang keines normiert hat, glänzt nicht gerade durch Einfachheit: Erst wird das private IP-Paket des Teilnehmers in ein Ebene-2-Paket, beispielsweise PPTP, verpackt. Dann erfolgt die Verpackung in ein IP-Paket mit einer öffentlichen, vom Netzbetreiber zugeteilten IP-Adresse. Das Ganze wird anschließend mit einem PPP-Rahmen umgeben und an den Netzbetreiber übertragen. Hier wird das öffentliche IP-Paket vom PPP-Rahmen befreit und an den Adressaten weitergeleitet. Dort, am Ende des Tunnels, wird in umgekehrter Reihenfolge das Ursprungsformat des Pakets wiederhergestellt (privates IP-Paket). Diese umständliche Verfahrensweise zieht für den Anwender gleich eine ganze Kette von Nachteilen nach sich: Der zusätzliche Ebene- 2-Rahmen generiert wegen der zusätzlichen Informationsmenge höhere Übertragungsgebühren auf den Fernverbindungen. Außerdem muß auch das Ebene-2-Paket gegebenenfalls verschlüsselt werden. Störend wirkt sich daneben aus, daß das Verfahren weniger parallele PPP- Verbindungen als der Ebene-3-Tunnel zuläßt. Der Grund hierfür liegt im hohen Rechenaufwand, der am Tunnelende durch die umständliche Entpackung der Informationen entsteht. Dieser Umstand ist mitverantwortlich für das steigende Risiko von Verbindungsabbrüchen, sofern systemspezifische Time-outs (wie innerhalb von SNA-Umgebungen) eingehalten werden müssen.

Effizienter ist der Ebene-3-Tunnel, weil hier die Zwischenverpackung in ein Ebene-2-Paket inklusive der beschriebenen Nachteile entfällt. Zudem kann der Anwender den Ebene-3-Tunnel unabhängig vom Netzbetreiber einrichten und konfigurieren, eben weil er sich in diesem Fall nicht um die Ebene-2-Funktionalität kümmern muß.

Für Holler von Consulting & Networks steht deshalb außer Zweifel: "Ebene-3-Tunneling als Basis für das VPN und speziell Ipsec ist für den Anwender die bessere Methode." Er nennt dazu zwei weitere handfeste Gründe: Nur Ipsec ist unter den Tunneling-Verfahren bisher von der IETF standardisiert worden. Außerdem bietet nur diese Methode normierte Schnittstellen für die Verschlüsselung und Authentifizierung.

Auch für René Lutze, Seniorberater bei Gora, Hecken & Partner in Sulzbach bei Frankfurt am Main, ist das Tunnelverfahren der IETF auf Dauer der richtige Weg: "Mit Ipsec lassen sich Firewall- Systeme verschiedener Hersteller im Internet-VPN einzusetzen. Darüber hinaus erschließen sich dem Anwender damit Zusatzfunktionen, etwa über den Authentication Header, der dem IP- Header vorangestellt ist." Er liefere kryptografische Informationen, die Manipulationen am IP-Datagramm aufzeigten.

Die Schwächen des Ipsec-Standards

Allerdings ist auch Ipsec nicht ohne Fehl und Tadel. Die Norm läßt den Herstellern Spielraum bei der Umsetzung von Verhandlungsprozeduren, Firewalling und Verschlüsselung. So tut sich dem Anwender im letztgenannten Punkt ein weiteres diffuses Feld auf, denn die elektronischen Schlüssel unterliegen den US- Ausfuhrbestimmungen. Data-Encryption-Standard-(DES-)Systeme, die mit einem symmetrischen 56 Bit langen Schlüssel arbeiten, sind frei exportierbar. Auch Triple-DES- und RC4-Systeme für eine 128- Bit-Verschlüsselung sind mittlerweile zu haben. Kommen diese Produkte aus den USA, lastet auf ihnen jedoch der Fluch der Restriktion: In diesem Fall muß bei der National Security Agency das Schlüssel-Wiederherstellungsverfahren (Key Recovery) hinterlegt und der Inhaber des Generalschlüssels beim Anwender benannt werden.

Auf Beschränkungen trifft der Anwender aber auch in Europa, so bei Verschlüsselungsprodukten aus Frankreich: Hier muß teils sogar symmetrische Verschlüsselungssoftware beim SCSI (Service Central de la Security des Gestion d''Informatique) angemeldet werden, die nur mit einem 40-Bit-Schlüssel arbeitet.

In solchen Fällen ist das Unternehmen letztlich nie ganz dagegen gefeit, daß seine vertraulichen Geschäftsdaten auf den VPN- Verbindungen irgendwann aufgedeckt werden. Darüber hinaus könnten in Verschlüsselungsprodukten aus Ländern mit Exporteinschränkungen sogenannte Trapdoors lauern, über die symmetrische Schlüssel rekonstruiert werden können.

Insider wie Holler raten, für eine hohe Vertraulichkeit sensibler VPN-Daten generell auf eine Verschlüsselung mit 128 Bit zurückzugreifen und sich dabei auf Triple-DES-, IDEA- und RC4- Systeme aus Europa (außer Frankreich) und Israel zu beschränken. Doch selbst wenn der Anwender diesem Ratschlag folgt: Es gibt immer noch sehr viele unterschiedliche Verschlüsselungsvarianten. Der vermeintliche Standard Triple DES existiert etwa in den Grundausprägungen mit 128, 168 und 192 Bit. Rund 250 Varianten weist der Markt derzeit allein von diesem Verschlüsselungsansatz auf. Die Kompatibilität des Ipsec-Standards wird damit ad absurdum geführt. Die Konsequenz daraus mutet anachronistisch an: In Intra- ebenso wie in Extranets müssen alle beteiligten Partner für die Chiffrierung des VPN-Verkehrs die Verschlüsselungsprodukte desselben Herstellers nutzen.

De-facto-Standard bei der Authentifizierung

Zumindest bei der Authentifizierung, dem letzten wichtigen Glied des Internet-VPN, kann der Anwender auf den allgemein verbindlichen De-facto-Standard Remote Authentication Dial-in User Service (Radius) bauen. Unabhängig von ihrer hohen Akzeptanz im Markt überzeugt diese Technik durch leistungsfähige Zusatzfunktionen. So ist es beispielsweise möglich, einzelne VPN- Teilnehmer gezielt von der Kommunikation über bestimmte Netzwerkprotokolle auszunehmen, bestimmte logische Netzwerkadressen als Ziele auszugrenzen oder den Kommunikationsweg fest zu einem bestimmten Netzsegment oder Rechner zu konfigurieren. Zudem können via Radius Anwählversuche auf spezifische Konfigurationsparameter hin überprüft werden. Darüber hinaus weiß diese Authentifizierungstechnik durch vielfältige Accounting-Möglichkeiten zu überzeugen. Auch wenn das Internet-VPN dem Anwender heute noch viele Hindernisse, Inkompatibilitäten und Herstellerabhängigkeiten in den Weg stellt: Daß ihm die Zukunft gehört, daran haben Marktkenner mittlerweile keinen Zweifel mehr. Zu überzeugend sind die Perspektiven der globalen IP- Kommunikation. Zunächst ist der Anwender jedoch speziell für den Zusammenschluß größerer Standorte und die Abwicklung interaktiver Anwendungen mit dem Einsatz von VPNs via Frame Relay besser beraten. Der fest geschaltete Permanent Virtual Circuit (PVC) bildet hier den privaten und weitgehend sicheren Tunnel durchs Frame-Relay-Netz bis zum Teilnehmeranschluß. Eine Committed Information Rate (CIR) bis zu 1 Mbit/s wird heute von vielen Netzbetreibern im Frame-Relay-VPN garantiert. Auch die Übertragung verzögerungsempfindlicher Kommunikationsformen wie Sprache und Video ist darüber bei einigen Carriern mittlerweile möglich.

Dennoch sollten sich die Unternehmen, die das Ziel Internet-VPN nicht aufgeben wollen, nur langsam vom Frame-Relay-Ansatz verabschieden. Gegenüber Verbindungsanforderungen aus dem Internet ist der Anwender letztlich nur dann gewappnet, wenn er auf den vom Netzbetreiber angemieteten PVC mit Ipsec aufsetzt. Nur so erschließen sich ihm - ohne weitere Diensteabhängigkeiten vom Netzbetreiber - nahtlos beide Übertragungswelten: das Frame-Relay- Netz und die Kommunikationsarena des globalen Internet.

Pro und Kontra

Vorteile für Internet-VPNs:

-Das Verfahren basiert auf dem Internet Protocol (IP). - Es fallen geringe Verbindungskosten bis zum nächsten Zugangsknoten an. - Neue Verbindungen lassen sich schnell einrichten und einfach administrieren. - Durch das Tunneling-Konzept kann der Anwender sein eigenes IP- Adreßkonzept unabhängig von der Adreßvergabe des Netzbetreibers weiterführen.

Nachteile der Internet-VPNs:

-Netzbetreiber garantieren nur selten feste Bandbreiten. Das schränkt die Nutzung ein. - Es gibt zu viele proprietäre und inkompatible Tunneling- Verfahren. - Die Verschlüsselung ist nicht einheitlich geregelt.

Tunneling-Verfahren

Ebene-2-Tunneling:

- Das Point-to-Point Tunneling Protocol (PPTP) ist ein herstellerspezifisches Verfahren von Microsoft. - Layer 2 Forwarding (L2F) stammt aus den Entwicklungslabors von Cisco Systems. - Layer 2 Tunneling Protocol (L2TP) bringt die zuvor genannten Protokolle unter einen Hut.

Ebene-3-Tunneling:

- IP Security (Ipsec) ist ein Standardprotokoll der Internet Engineering Task Force (IETF) - Generic Routing Encapsulation (GRE) stammat von Cisco und ähnelt dem Ipsec-Standard. - Mobile IP ist eine IETF-Standard für mobile Anwender. - DVS (Dial VPN Services) wurde von Nortel Networks entwickelt und beinhaltet GRE- und Mobile-IP-Funktionalität. - Virtual Tunneling Protocol (VTP) ist eine Implementation von 3Com.

Hadi Stiel ist freier Journalist in Bad Camberg.