Heillose Verwirrung um einen Begriff: VPN

21.10.1999

MÜNCHEN: Die Tendenz zum ortsunabhängigen Arbeiten ist unverkennbar. Ob als Außendienstler oder Teleworker, der mobile Mitarbeiter ist bereits heute Realität. Ihn kostengünstig an das interne Netz anzubinden, stellt viele Firmen vor unüberwindliche Schwierigkeiten. Hier schlägt die Stunde des Lösungsanbieters.Bei dem Begriff VPN (Virtual Private Networks - virtuelle private Netze) herrscht heillose Verwirrung. Nach einer Marktuntersuchung der Banner Corp. wußten lediglich 15 Prozent der befragten Firmen, daß es sich dabei um eine gesicherte Kommunikation im Internet handelt. Beinahe die Hälfte der 551 interviewten DV-Fachleute konnte mit dem Begriff überhaupt nichts anfangen, mehr als ein Viertel glaubte, daß damit "private" Netzwerke oder Benutzergruppen gemeint wären. Immerhin 17 Prozent der Panel-Teilnehmer kreiste VPN insoweit näher ein, als daß sie "vom Internet für Fernzugriffe und Zweignieder-lassungen" sprachen.

VPN beliebig tief implementieren

Doch was ist VPN nun genau? Grob gesprochen handelt es sich dabei um das Ummanteln der im Internet zu versendenden Daten. Diese werden wie gewohnt als IP-Pakete verschickt, doch für einen Hacker stellen sie sich nur als ein undurchschaubarer Zeichensalat dar. Erst der berechtigte Empfänger weiß diesen zu entwirren und vermag ihn als Klartext zu entziffern. Die Verschlüsselung der Daten kann auf den verschiedenen Layers des OSI-Referenzmodells (siehe Grafik unten) stattfinden. Auf der Anwendungs-ebene, etwa bei HTTP-Anfragen, setzt Netscapes Secure Socket Layer (SSL) an. Hier erfolgt eine sichere Verbindung bis zum Web-Browser und via https (Hypertext Transfer Protocol, Secure) können Surfer ihre Bankgeschäfte sicher online abwickeln. E-Mails lassen sich beispielsweise mit PGP (Pretty Good Privacy) von Network Associates verschlüsseln. Mit S/MIME (Secure/Multipurpose Internet Mail) existiert hierfür bereits ein anerkannter IETF-Standard.

VPN-Implementierung greifen aber auch in den Layers 4 (Transportschicht) oder 3 (Vermittlungsschicht) ein. Im ersten Fall sind die Protokolle TCP (Transmission Control Protocol) oder UDP (User Datagram Protocol) betroffen, im zweiten Szenario werden IP-Pakete einer Modifikation unterzogen. Unabhängig vom Netzwerkprotokoll auf Layer 3 kann eine VPN-Implementierung durchaus auch darunter ansetzen, eben auf Layer 2, der Sicherungsschicht. Hier haben sich besonders zwei Verfahren hervorgetan, das von Ascend und Microsoft entwickelte Point-to-Point Tunneling Protocol (PPTP) und der IETF-Standard L2TP (Layer 2 Tunneling Protocol).

Wer baut den Tunnel auf?

Für die Realisierung einer VPN-

Lösung existieren grundsätzlich zwei Möglichkeiten: Bei der ersten geschieht die eigentliche Einkapselung der Daten ("Tunneling") direkt am Client, das heißt dort muß lokal die entsprechende VPN-Software

installiert sein (siehe Grafik links, oberer Teil).

Alternativ kann aber auch der Internet-Service-Provider (ISP) diese Aufgabe übernehmen (siehe Grafik links, unterer Teil). Dann kann der mobile Mitarbeiter an einem beliebigen Client auf die Unternehmens-

daten zugreifen oder auch aktuelle Abschlüsse mit seinen Kunden an die Zentrale senden, ohne befürchten zu müssen, daß diese Kommunikation abgehört werden könnte. Vertrauen zu seinem ISP gehört hier aber natürlich schon dazu.

Vom technischen Standpunkt aus ist es unerheblich, welche Lösung installiert wird. Doch eine gewichtige Rolle spielt hier der Kostenaspekt. Will man etwa nicht von einem bestimmten ISP abhängig werden, besteht eben die Notwendigkeit, auf jedem Client die entsprechende VPN-Software einzuspielen. Bei einer größeren Anzahl von Anwendern kann diese ISP-unabhängige Lösung beträchtliche Kosten verursachen, etwa für die Wartung der Programme, eventuelle Up-dates oder Neukonfigurationen.

Erfolgt hingegen die VPN-Implementierung erst am POP (Point-of Presence) des lokalen Internet Service Providers, so hält sich der mögliche Verwaltungsaufwand in Grenze. Beliebige Clients können VPN-Ses-sions aufbauen, notwendig ist bei ihnen lediglich eine einfache Einwähllösung. Man kann sogar mit dem ISP fest vereinbaren, welcher Qualitätsstufe die VPN-Session genügen muß. Nachteilig wirkt sich jedoch aus, daß man nur auf bestimmte VPN-fähige Einwählpunke ins Internet angewiesen ist. Für mobile Mitarbeiter ist dies oft zu mühsam.

Verbindliche Standards: Fehlanzeige

Erschwerend kommt hinzu, daß es im Markt noch keine allgemeingültigen VPN-Standards gibt. So ist das mit der VPN-Implementierung beauftragte Systemhaus oft auf Gedeih und Verderb einem Anbieter ausgeliefert. Ein Umstieg auf andere Produkte kann hier oft teuer werden oder ist nur mit hohem Programmieraufwand möglich.

Ein speziell vom Internet her gut bekanntes Problem sollte ebenfalls nicht außen vor bleiben - keine garantierte Bandbreite während der Datenübertragung. Diese fehlenden Quality-of-Service-Funktionen machen sich vor allem bei längeren Sessions oder bei höherem Daten-volumen oft unangenehm bemerkbar. Dieser möglicherweise auftretende Flaschenhals sollte dem Kunden vor Augen geführt werden. Wenn die Daten in einer bestimmten Zeit zur Firmenzentrale transferiert werden müssen, bleibt die klassische Einwähllösung übers Telefonnetz oft die einzige Möglichkeit.

Wirtschaflichkeitsrechnung

Bei einem solchen herkömmlichen Remote-Access über ein Dial-in-

Gateway fallen die übliche Telefongebühren an. Diese können bei weit entfernten oder gar im Ausland tätigen Mitarbeitern erhebliche Ausmaße annehmen. Im Falle einer VPN-Lösung entstehen Telekomkosten lediglich für ein Ortsgespräch. Hinzu kommt aber noch die Vergütung beim Provider für die Nutzung des Internet. Bei höherem zu übertragenden Datenvolumen können durchaus Zusatzkosten entstehen. Investitionen in die VPN-Software selbst sowie für die Neukonfiguration der Firewall sollten ebenfalls in Betracht gezogen werden. Die Entscheidung für die Direktwahl über das öffentliche Telefonnetz oder für eine VPN-Lösung über das Internet sollte daher von Fall zu Fall neu gefällt werden. Fallen bei der Einwahl ins Unternehmensnetz nur Telekomgebühren für Ortsgespräche an, macht VPN sicherlich wenig Sinn. Sind hingegen die Mitarbeiter oft und weit unterwegs, kann sich die Investition in die VPN-Infrastruktur durchaus lohnen. Bevor man sich jedoch endgültig zu einer VPN-Lösung durchgerungen hatte, sollten die Bedürfnisse des Kunden hinreichend genau bekannt sein. Folgende Fragen sind im Vorfeld zu klären:

- Wieviele Anwender dürfen maximal gleichzeitig aus der Ferne auf das LAN zugreifen?

- Welche Anwendungen stehen im Vordergrund beim Remote Ac-

cess: E-Mails abrufen, im Web surfen oder Datenbankabfragen?

- Welche Art von Benutzern werden vorwiegend in den Genuß des VPNs kommen: Teleworker, Heimarbeiter, mobile Beschäftigte oder Geschäftsreisende?

So kann es durchaus vorkommen, daß ein Unternehmen mit vielen Außendienstmitarbeitern eine höhere VPN-Bandbreite benötigt als etwa eine Firma ohne eigene Vertriebsleute. Ferner ist auch die Tageszeit, in der die Fernzugriffe erfolgen, von Bedeutung. Denn wenn jeweils nur morgens und abends die E-Mail-Boxen geleert werden, und ansonsten den ganzen Tag in puncto Remote Access tote Hose herrscht, ist eine VPN-Lösung sicherlich nicht so dringend vonnöten. Bei den günstigen Telekomtarifen vor 9 und nach 18 Uhr kann sich durchaus auch eine klassische Direktwahllösung lohnen.

Datensicherheit

Im Internet werden die Daten als Klartext übertragen. Jeder, der Zugang zu einem Knotenpunkt erhält, kann diese Informationen lesen. Zwar sind in VPNs die übertragenen Daten nicht so ohne weiteres ein-

sehbar, doch die hohen Anforderungen bezüglich Abhörsicherheit

erfüllen sie nicht unbedingt. Da hilft das Tunneling auf Layer 2 mit den Protokollen PPTP oder L2TP. Im speziellen hat sich hier der IP-Sec-Mechanismus (Internet Protocol Security) zur Datenverschlüsselung hervorgetan.

Dieser von der IETF verabschiedete Standard modifiziert den IP-Header des zu übertragenden Pakets. Er fügt dem Ganzen einerseits den sogenannten Authentication Header (AH) zu. Dieser definiert eine Prüfsumme, mit der sichergestellt wird, daß die übertragenen Daten tatsächlich aus der Quelle herstammen, die im IP-Header angegeben ist. Außerdem wird mit der Prüfsumme jegliche Manipulation des Pakets sichtbar gemacht. Die eigentliche Verschlüsselung der Daten besorgt schließlich der sogenannte Encapsulating Security Payload Header (ESP). Befindet sich nun der Empfänger im Besitz des korrekten Schlüssels, kann er die ihm zugestellte Nachricht in Klartext umwandeln und gleichzeitig sicherstellen, daß diese Daten unverfälscht vom im Kopf genannten Absender herkommen. Sowohl bei einer Direktwahl als auch einer VPN-Lösung muß natürlich vorausgesetzt werden, daß die Hardware-Ausstattung am Client mit der in der Unternehmenszentrale stimmig ist. Denn was nutzt einem Heimarbeiter sein Kabelmodem für Datenübertragungsraten jenseits der

Mbit/s-Grenze, wenn auf der Gegenstelle in der Unternehmenszentrale nur ein Rack mit den gewöhnlichen 33,6-Kbit/s-Modems vorhanden ist? In Zukunft ist jedenfalls zu erwarten, daß sich die DSL-Technologie (Digital Subscriber Line) als ISDN-Nachfolger durchsetzen wird. Dann hätte der Teleworker Durchsatzraten zur Verfügung stehen, die den Bandbreiten im LAN in nichts nachstehen

würden. (rw)

Zur Startseite