Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

07.09.2001 - 

Tunnelling, Authentisierung und Verschlüsselung für Virtual Private Networks

Sicherheit darf nicht unendlich viel kosten

Steigende Sicherheitsanforderungen und zunehmender Kostendruck bestimmen den Markt für Virtual Private Networks (VPNs). Wie sicher die VPN-Technik sein muss und wie teuer sie dabei sein darf, beleuchtet der folgende Beitrag. Von Petra Borowka*

Infonetics Research prognostiziert ein Wachstum bei VPN-Software von 121 Prozent mit einem Gesamtvolumen von 269 Millionen Dollar und mehr als einer Million verkauften VPN-Routern. IDC stellt ein Wachstum des VPN-Marktvolumens bei Internet-basierenden VPN-Lösungen von heute zwei Milliarden Dollar auf 17,6 Milliarden Dollar in 2004 in Aussicht. Selbst bei einer um 20 Prozent weniger optimistischen Schätzung bleiben immer noch 14 Milliarden übrig. Nur: Wofür sind Anwender bereit, diese 14 Milliarden auszugeben?

VPNs werden nach dem Motto vermarktet: Lässt sich eine Kommunikationsverbindung zu günstigeren Konditionen als bei Festverbindungen realisieren, so nutzt dies den Endanwendern (und gleichermaßen Netz-Providern/ISPs), gleichgültig für welche Anwendungsszenarien. Dabei taucht folgendes Problem auf: "Normaler" Datenverkehr überträgt sensible Parameter wie etwa Web-Seite (URL), Benutzername, Account-Nummer, Server-Adresse oder persönliche Informationen sichtbar über das Netzwerk - eine regelrechte Einladung für Hacker. Das obige Motto lautet angepasst: Wenn sich eine Kommunikationsverbindung ohne Sicherheits- und Integritätseinbußen und zu günstigeren Konditionen als bei Festverbindungen realisieren lässt, so ist dies erstrebenswert.

Glücklicherweise gibt es so viele verschiedene VPN-Definitionen, dass jeder Hersteller eine gute Chance hat, sein Produkt so zu vermarkten, als ob es genau das erfüllt, was ein gutes VPN ausmacht. Für den Anwender ist das nicht sonderlich hilfreich. Im Regelfall bedeutet VPN: Ein privates Netz wird über ein öffentliches Netz betrieben, jedoch so, dass "Privatheit", das heißt Zugangssicherheit und Integrität erhalten bleiben. Ein einzelnes VPN kann zwei bis mehrere Tausend Endsysteme beinhalten. Der Anwenderzugang zu einem VPN ist keine dauerhafte sondern eine dynamische Verbindung, die für den Datentransfer aufgebaut und danach wieder abgebaut wird. Die erforderliche Abschottung verschiedener Anwender-VPNs gegeneinander erfolgt durch Tunnel-Techniken, also definierte Verbindungen zwischen einem Start- und Endpunkt, und durch Sicherheits-Maßnahmen: Mindestens Daten und Kennungen beziehungsweise Passwörter werden verschlüsselt und somit nicht mehr sichtbar übertragen.

Sicherheit bezieht sich auf mehrere Bereiche:

-Zugangskontrolle (Access Control)

-Vertraulichkeit (Privacy)

-Authentisierung (Authentication)

-Integrität (Integrity)

Das Maß an "Privatheit" und Flexibilität eines VPN hängt stark vom Konzept und der Technologie ab, mit der das VPN realisiert wurde: Routen-Filterung bietet den geringsten, Tunneltechnik höherwertigen Schutz und zusätzliche Authentisierung, Autorisierung, Paketfilterung via Firewall/VPN Gateway bis hin zur Teil- oder Vollverschlüsselung den höchsten Schutz.

Eine mögliche Unterscheidung von VPNs kann anhand der genutzten Dienste in Kombination mit den eingesetzten Produkten erfolgen: Es gibt Non-Internet-VPNs (auf Basis von Frame Relay, ATM oder Provider-Netzen), private VPNs (eine VPN-Komponente gehört zum privaten Netz/ LAN und wird auch vom firmeneigenen Personal betrieben) sowie IP- oder Internet-VPNs. Während die ersten beiden Alternativen traditionelle, "legacy"-VPN-Produkte nutzen, tut sich mit Internet-VPNs ein neuer Markt auf.

Keine eigenen KomponentenBei Internet-basierenden VPNs betreibt der Anwender keine eigenen VPN-Komponenten mehr, sondern nutzt einen vom ISP angebotenen VPN-Dienst, bei dem der ISP eigene VPN-Komponenten am Zugangspunkt in seinem Netzwerk betreibt. Für die IP-VPNs oder Internet-VPNs wird im Vergleich mit den zuvor genannten Alternativen das höchste Wachstum auf fünf Milliarden Dollar für 2005 geschätzt, stellt doch die günstige Internet-Tarifstruktur eine besondere Attraktion für sparwillige Netzbetreiber dar.

Allerdings sind Anwender nicht nur skeptisch gegenüber den oft proprietären Lösungen und der damit verbundenen Abhängigkeit von einem einzelnen Provider, sondern auch gegenüber der Leistung, Dienstgüte und Einhaltung von SLAs im Internet allgemein. Zudem fehlen noch Betriebserfahrungen hinsichtlich der maximalen Skalierbarkeit.

Eingesetzte VPN-Komponenten reichen von Low- bis Highend, von nichtdedizierten Servern mit VPN-Gateway-Software über Firewalls mit VPN-Erweiterungssoftware, normale Router mit VPN-Erweiterungssoftware, spezielle Router mit Hardware-implementierten VPN-Funktionen (meist Verschlüsselung und Tunneling-Protokoll-Unterstützung) bis hin zu Standalone-VPN-Gateways, die mit externen Routern kombiniert werden, IP Service Switches und Virtual Private Router in Provider-Netzen. Die Funktionsbereiche dieser Komponenten überschneiden sich teilweise.

Um die notwendige Sicherheit und Vertraulichkeit zu gewährleisten, werden für VPNs verschiedene Techniken kombiniert:

-Tunnelling (Enkapsulierung)

-Authentisierung

-Verschlüsselung

Aktuelle Tunneling-Verfahren stammen im Wesentlichen von Cisco und Microsoft: Als Zusammenführung des RFC 2341 für Ciscos L2F und des nie über IETF-Draft-Zustand hinausgekommenen PPTP von Microsoft entstand L2TP. Die meist unterstützten Verfahren sind L2TP und PPTP. Beide nutzen PPP als Link-Protokoll und konkurrieren mit Tunneling nach IPsec, das sich als neue Sicherheitsarchitektur etabliert. Je nach Einsatzgrund wie zum Beispiel entweder Ersatz von Remote-Access-Server-Systemen oder Nutzung von Verschlüsselung wird die Wahl auf unterschiedliche Tunnel-Protokolle fallen.

Tunnel-Endpunkte können Einzelstationen (VPN-Clients) oder LANs mit VPN-Gateways/Security-Gateways (Routern, Firewalls, Standalone-VPN-Geräten) sein, die komplette Netze an den VPN-Verbund anschalten. Mögliche Kombinationen sind LAN-to-LAN und Client-to-LAN. LAN-to-LAN-Tunnel sind mit je einem VPN-Gateway an jedem Tunnel-Endpunkt als Sicherheits-Interface zwischen LAN und Tunnel bestückt und können von beiden Seiten initiiert werden. Clientto-LAN-Tunnel erfordern eine VPN-Software auf dem Clientsystem (zum Beispiel PPTP) und werden stets vom Client initiiert. Während PPTP, L2F und L2TP eher auf Client-to-LAN abzielen, ist IPsec für LAN-to-LAN-VPNs besser geeignet. Soll Tunneling mit Verschlüsselung kombiniert werden, entsteht ein Problem: Bei einer Verschlüsselung des IP-Headers müsste an jedem Router eine Decodierung erfolgen, um die Routing-Informationen erkennen zu können. Als Abhilfe können das Originalpaket komplett verschlüsselt und der (zweite) IP-Header der Enkapsulierung unverschlüsselt übertragen werden. Somit sind die originalen Sender-Empfänger-Adressen sowie höhere Protokoll-Header für Hacker nicht mehr erkennbar, der Start- und Endpunkt des Tunnels jedoch schon. Zu beachten ist: Weder L2TP noch PPTP noch L2F berücksichtigen Verschlüsselung oder Schlüssel-Management-Systeme.

IPsec ist eine Sicherheitsarchitektur, die verschiedene Protokolle und Verfahren für Verschlüsselung, Authentisierung und Tunneling spezifiziert und sich auch für VPNs zunehmend im Markt etabliert. Soll nur Authentisierung erfolgen, wird ein Header gemäß dem Authentication Header Protokoll eingefügt (AH), erfolgt Verschlüsselung, wird ein Header gemäß dem Encapsulation Security Payload Protocoll (ESP) eingesetzt.

Für Authentisierung sind folgende Varianten mit steigender Komplexität und Sicherheit denkbar: erstens der Benutzername - diese Variante ist unsicher; zweitens Passwörter, die mindestens verschlüsselt und unter Einsatz von Authentisierungs-Servern wie Radius verwendet werden sollten. Eine dritte Möglichkeit stellen Secure-Token dar. Dieser Weg ist sicherer, da das Passwort zufällig ausgewählt wird. Digitale Zertifikate als die vierte Variante gilt als das sicherste; es wird sich ein De-facto-Standard entwickeln.

*Dipl.-Inform. Petra Borowka leitet das Planungsbüro UBN in Aachen.

KriterienkatalogWelche Produkte eignen sich? Was ist beim Einsatz von VPN-Technologie oder VPN-Diensten zu beachten, um die gewünschte Funktionalität und Kostenersparnis zu erreichen? Wichtige Kriterien sind insbesondere:

-Einsatz von Standardverfahren für Tunnelling, Verschlüsselung und Authentisierung;

-Bei Bedarf integrierte Routing-Funktion (MPLS, BGPv4)

-Unterstützung von anderen Client-Server-Protokollen außer IP, soweit erforderlich, zum Beispiel SNA und IPX

-Unterstützung der geforderten WAN-Zugangsdienste wie Frame Relay, ATM, Dial Up ISDN, DSL, Wireless

-Ausreichender Durchsatz bei Nutzung einer oder mehrerer 2-Mbit/s-Verbindungen

-Flexible Skalierbarkeit auf mehr Standorte, andere Zugangsverfahren (DSL, ATM) und höhere Zugangskapazität

-Flächenabdeckung für alle gewünschten Standorte und Länder

-Nachweis der Sicherheit gegen gängige bekannte Attacken

-Einfache Bedienbarkeit und Unterstützung von remotem Management der gegebenenfalls eingesetzten VPN-Client-Software, Verschlüsselung und Passwortschutz für Remote-Management, am besten über einen separaten VPN-Kanal;

-Gute Monitoring- und Log-Funktionen; Möglichkeiten, SLA-Einhaltung durch den Provider zu kontrollieren

-Für Amortisationsrechnungen nicht nur Erstinvestition betrachten, sondern auch die laufenden Betriebskosten bei Einsatz eigenen VPN-Equipments berücksichtigen

-Genau prüfen, welche Funktionalität bei einem angebotenen VPN-Dienst wirklich vorhanden ist (Tunnel, Verschlüsselung, Zertifikate, Durchsatz)

-Doppelberechnung des Netzzugangs beim VPN-Dienstangebot zurückweisen / minimieren

-Detailrechnungen anfordern, um versteckte Kosten zu erkennen

-Berichtswesen für VPN-Dienst bei Vertragsabschluss definieren und festlegen

-konstantes und deterministisches Leistungsverhalten prüfen

-Einhaltung der zugesagten Verfügbarkeiten prüfen.

Abb.1: Funktionsbereiche

Die Funktionsbereiche von VPN-Gateways, Firewalls und Routern überschneiden sich teilweise. Quelle: UBN

Abb.2: Variationen eines IP-Pakets

Erfolgt die Verschlüsselung im Zusammenhang mit Ipsec, wird ein Header gemäß dem Encapsulation-Security-Payload (ESP) -Protokoll eingefügt. Quelle: UBN