NÜRNBERG: Ein Tunnelsystem soll wichtige Daten im Internet vor neugierigen Blicken schützen. Wie das genau funktioniert, erklärt Hanns Brandner*.Das "Netz der Netze" ist zwischenzeitlich eine feste Planungsgröße bei der Realisierung von Remote-Access-Lösungen. Kostenvorteile plus globale Verfügbarkeit sind unschlagbare Argumente, die für Datentransfers über das Internet gegenüber dem Di-rect-Dial-In in das Firmennetz via ISDN, Festverbindung oder analogem Fernsprechnetz sprechen. Hinzu kommt, daß Internetzugänge in nahezu jedem Unternehmen ohnehin bereits vorhanden sind. Doch die mangelnde Sicherheit hemmte bisher die Übertragung geschäftskritischer Daten über Firmennetze. Virtual Private Networks (VPN) mit ihren Tunne-
ling-Mechanismen sorgen hier für Abhilfe.
Das Konzept eines VPN
Als VPN bezeichnet man ganz allgemein ein überregionales Kommunikationsnetz, das auf unterschiedliche Übertragungsmedien aufsetzt und deren Leitungen und Kommunikationsdienste nutzt. Mit der Durchsetzung des Internets in der globalen Vernetzung wird unter VPN fast ausschließlich die sichere Übertragung von Daten über dieses Netz verstanden. Eng verbunden mit VPNs ist der Begriff Tunneling. Die Tunneling-Technologie bewirkt, daß jedes Datenpaket quasi wie in einem Umschlag in ein weiteres Datenpaket eingepackt wird.
Das VPN-Tunneling kann auf unterschiedliche Protokollstandards aufsetzen: Layer 2 Forwarding (L2F), Layer 2 Tunneling Protocol (L2TP), Point-to-Point Tunneling Protocol (PPTP) oder neuerdings Internet Protocol Security (IP Sec).
Zur Gewährleistung der Datenintegrität und Datenvertraulichkeit wird das VPN-Konzept komplettiert durch Sicherheits-Mechanismen zur Datenverschlüsselung und User-Authentisierung. Unabdingbar ist, daß die Verschlüsselung der Daten auf leistungsfähigen Algorithmen wie Triple Des, Idea oder Blowfish basiert.
Im Gegensatz zur Direkteinwahl erfolgt der Verbindungsaufbau zur Firmenzentrale über einen Internet-Service-Provider (ISP) und dessen lokalen Point of Presence (PoP). Der Telearbeiter wählt von seinem PC-Arbeitsplatz aus via ISDN, GSM oder analogem Fernsprechnetz den nächstgelegenen PoP an. Anschließend erfolgt der Tunnelaufbau zur Firmenzentrale.
Zwei Möglichkeiten
Grundsätzlich kann ein Unternehmen bei der Realisierung eines VPNs zwischen zwei Möglichkeiten wählen: ISP-supported Tunneling und End-to-End-Tunneling. Bei der ISP-Lösung liegen die Tunnel-Endpunkte in dessen Network-Access-Servern (NAS). Das Tunneling-Protokoll ist im NAS des ISP implementiert. Die Verbindungen zum und vom Internet sind nicht getunnelt. Dieses Manko umgeht man mit der Alternative: dem End-to-End-Tunneling. Die Tunnel-Endpunkte liegen ausschließlich im Einflußbereich des Unternehmens. Voraussetzung ist, daß in der Zentrale und an allen dezentralen Stellen VPN-fähige Hard- und Softwarekomponenten installiert sind: LAN-seitig ein VPN-Gateway beziehungsweise ein VPN-fähiger Access Router, PC-seitig eine Remote-Workstation-Software mit VPN-Funktionalität.
Weitere Vorteile des End-to-End-Tunneling sind: freie Wahl des ISP, Unabhängigkeit hinsichtlich des Übertragungsmediums, Vergabe der IP-Adresse aus dem Firmennetz, Eigenbestimmbarkeit für Daten-verschlüsselungs-, Authentisierungs- und Datenkompressionsverfahren, Nutzung weiterer Netzwerkprotokolle neben IP - IPX, SNA, Netbios - und die volle Integrierbarkeit in bereits bestehende IP-Netzwerke.
Ein VPN in Verbindung mit Datenverschlüsselung schafft die besten Voraussetzungen für den Transfer von vertraulichen Daten über das Internet. In der Ausprägung End-to-End-Tunneling stehen dem Unternehmen zudem alle Möglichkeiten zum Aufbau eines effizienten und sicheren unternehmensübergreifenden Datennetzes offen.
*Hanns Brandner ist Marketingleiter bei der Network Communications Products Engineering GmbH (NCP) in Nürnberg.