MEPPEN: Der Aufbau von virtuellen privaten Netzen (VPNs) dient zunehmend der Integration von Remote-Access-Lösungen in unternehmensweite Infrastrukturen. Dadurch wird dieser Dienst, der über öffentliche IP-Netze verläuft, zur Verringerung der Betriebskosten und zur Erhöhung der Sicherheit beim Austausch von Daten verwendet, wie Autor Wilhelm Mack* schreibt.Da die VPN-Technik erst jetzt zu einem ernstzunehmenden Thema wird, stehen vielfach keine verläßlichen Fakten zur Auswahl der richtigen Dienstaspekte zur Verfügung. Nachfolgend werden die wesentlichen Kriterien beschrieben, die für die Auswahl der richtigen VPN-Lösung als Leitfaden dienen können.
In den vom Wettbewerb geprägten Märkten muß vom Provider eine hundertprozentige Verfügbarkeit des Netzwerks garantiert werden. Die Kunden sollten daher von ihren Providern eine Garantie der Verfügbarkeit der Netze und der darauf erbrachten Leistungen fordern. Erst durch vertraglich vereinbarte Konventionalstrafen kann Druck auf den Netzbetreiber für das Nichtbereitstellen der vereinbarten Leistung (Überschreitung der festgelegten durchschnittlichen Ausfall- und Wartungszeiten) ausgeübt werden. Der Provider kann sich gegen diese Regreßansprüche absichern, indem er diese Anforderungen an die Lieferanten beziehungsweise Hersteller von Netzkomponenten weitergibt.
Skalierbarkeit der Netze
Die Services müssen an eine sich ständig verändernde Anzahl von Anwendern angepaßt werden. Dabei muß sichergestellt sein, daß dies mit dem Einsatz eines Minimums an unterschiedlichen Netzkomponenten möglich ist. Netzarchitekturen, -komponenten und -management müssen aus diesem Grund skalierbar sein.
Bei Verwendung des Layer-2-Tunneling-Verfahrens werden die gesamten PPP-Pakete und -Inhalte als Nutzlast durch das Netzwerk transportiert. Dies stellt jedoch eine ineffiziente Nutzung der verfügbaren Bandbreite dar. Der Transport des gesamten PPP-Pakets birgt darüber hinaus auch Risiken für die Verläßlichkeit des Netzes. Das "PPP-Link-Control"-Protokoll (LCP) und das "Network-Control"-Protokoll (NCP) reagieren sehr empfindlich auf Zeitverzögerungen im Netz. Da die Endpunkte der Tunnel in der Regel über lange Strecken und/oder viele Hops getrennt sind, kann es unter Umständen zu erheblichen Zeitverzögerungen im Layer-2-Tunnel kommen. Im schlimmsten Fall wird dadurch ein Neustart der Verbindung erforderlich.
Beim Layer-2-Tunneling-Verfahren entstehen Skalierungsprobleme auf Seiten der Kundensysteme. Die Infrastruktur (einschließlich der Router und File-Server) ist selten in der Lage, die Anzahl der gleichzeitig aufrechtzuerhaltenden PPP-Sessions zu bewältigen, um einer großen Anzahl von Anwendern den Zugriff auf die unternehmensweiten Netze zu gewährleisten. Daher empfehlen die Hersteller von Layer-2-Tunneling-Lösungen ihren Kunden in der Regel die Aufrüstung der bestehenden Infrastruktur. Nur so kann das System an zusätzliche Anforderungen und neue Dienste angepaßt werden. Ein Dial-VPN-Komplettangebot muß daher sowohl das Layer-2- als auch das Layer-3-Tunneling-Verfahren unterstützen.
Sicherheit
Die Verfügbarkeit von Sicherheitsfunktionen ist bei der Nutzung von Dial-VPN-Lösungen von entscheidender Bedeutung. Dies gilt insbesondere, wenn Informationen über öffentliche Datennetze transportiert werden. Das Netzwerk muß durch die Implementierung von externen Sicherheitskomponenten vor unberechtigten Zugriffen geschützt werden.
Bei der Umsetzung der Sicherheitsfunktionen in VPN-Diensten ist es notwendig, sowohl die Teilnehmer (Unternehmen oder Internet-Service-Provider) als auch einzelne Anwender im Netz zu identifizieren und für den Zugriff auf die verschiedenen Dienste zu autorisieren. Zusätzlich sollte ein IP-basierendes VPN über eine Ende-zu-Ende-Datenverschlüsselungsfunktion verfügen.
Auf dem Layer-2-Tunneling-Verfahren können relativ einfach die Verschlüsselungsverfahren der IPSEC- oder der PPP-Encryption-Verfahren umgesetzt werden. Da beim Layer-3-Tunneling die PPP-Verbindungen am Remote-Access-Server enden, müssen in diesen Netzen Layer-3-Verschlüsselungsverfahren zur Anwendung kommen.
Die Remote-Access-Server dienen der Zugangskontrolle, während die Identifikation der Teilnehmer über die Management-Station erfolgt. Bei der Anmeldeprozedur der Anwender beim Remote-Access-Server wird der individuelle Domain-Name beziehungsweise der "Dialed Number Identification String" (DNIS) übergeben.
Das Management-System vergleicht den Domain-Namen zunächst mit der User-Datenbank. Daraufhin werden die folgenden Schritte des Identifizierungsprozesses ausgeführt:
- Der Anwender meldet sich mit seinem Domain-Namen an.
- Der Remote-Access-Server gibt den Login-Namen, einschließlich des Domain-Namens, an das Management-System weiter.
- Das Management-System überprüft die integrierte Datenbank auf die Übereinstimmung des Domain-Namens.
- Nach der Bestätigung des Domain-Namens, sendet das Management-System ein Bestätigungspaket zum Remote-Access-Server.
- Der Remote-Access-Server startet den Tunnel-Registrierungs-Prozeß und konfiguriert auf dem Gateway alle relevanten Parameter.
Anhand der vom Management-System erstellten Log-Informationen ("Audit Trail") erhält der Netzbetreiber ein umfassendes Bild der im Netz abgelaufenen Aktionen. Die Log-Informationen dienen der detaillierten Anzeige von beispielsweise fehlgeschlagenen Verbindungsversuchen oder anderen Störungen der Netz-Ressourcen.
Das Management-System stellt darüber hinaus folgende Audit-Trail-Informationen bereit:
- wann und wo neue Teilnehmer an das System angeschlossen wurden
- wann und wo Veränderungen am System durchgeführt wurden
- wann und wo neue Verbindungen aufgebaut wurden.
Eine zufriedenstellende Realisierung der Netzdienste ist, unabhängig davon, wieviel Funktionalitäten ein System bietet, nur dann möglich, wenn diese Services vom jeweiligen Provider effizient bereitgestellt und verwaltet werden können. Die Anforderungen an das Management der Dial-VPNs teilen sich in folgende Bereiche auf:
- das Komponenten- oder Element-Level-Management,
- Mehrwert-Management-Applikationen,
- flexible, auf Kundenanforderungen zugeschnittene, Managementlösungen.
Von besonderer Bedeutung ist der Umfang der in den jeweiligen Komponenten implementierten Netzmanagement-Funktionen. Das Gesamtsystem muß eine einfache Konfiguration sämtlicher Netzelemente wie beispielsweise der Remote-Concentrators, Gateways, Switches und Router ermöglichen. Eine unzulängliche Konfiguration der Netzwerklösungen kann zu Verzögerungszeiten der Dienste führen.
Komponenten- oder Element-Level-Management
Ein weiteres grundlegendes Kriterium stellt die einfache und flexible Überwachung des Netzbetriebs dar. Der Adminstrator muß, entsprechend den jeweiligen Veränderungen, die notwendigen Parameter modifizieren, zusätzliche Komponenten hinzufügen und diese flexibel im Gesamtsystem positionieren können. Zudem müssen die eingesetzten Produkte dynamisch auf sämtliche Abweichungen im Netz reagieren und sich automatisch an die neuen Bedingungen anpassen.
Management-Applikationen
Die meisten Hersteller bieten für die Verwaltung von ihren Netzkomponenten eine auf ihre Lösung optimierte Management-Applikation an. Nur wenige Anbieter stellen jedoch alle für die Netzverwaltung notwendigen Funktionalitäten komplett bereit. Hierzu zählen beispielsweise Anwendungen zur Optimierung des Netzdesigns, die Netzsimulation, die Netzvisualisierung und die entsprechenden Netzbetriebssysteme. Eine Vielzahl der Hersteller konzentriert sich ausschließlich auf den Aspekt des Netzbetriebs ihrer Komponenten.
Bereitstellung von Diensten
Bei der Auswahl eines Dial-VPN-Anbieters sollte daher an erster Stelle eine genaue Untersuchung der Netz-Management-Produkte und der jeweiligen Netz-Management-Strategie stehen. Die Produkte sollten mit anderen im Markt angebotenen standardbasierenden Lösungen interoperabel sein und Funktionen zur Integration weiterer Anwendungen bieten.
Dadurch ist es beispielsweise möglich, Funktionalitäten wie das Accounting in einer heterogenen Netzumgebung zu implementieren, Netzdesign-Tools zu integrieren und gemeinsam mit den herkömmlichen Überwachungs- und Troubleshooting-Applikationen zu nutzen.
Die einfache Bereitstellung von Diensten gehört für einen Service-Provider ebenso zu den Hauptaufgaben wie die einfache Konfiguration der Netzkomponenten. Daher werden an das System folgenden zusätzlichen Anforderung gestellt:
- Das Diensteangebot auf der bestehenden Infrastruktur muß bis hin zum Kunden ausgedehnt werden können.
- Komplette Ende-zu-Ende-Dienste müssen bereitgestellt werden können.
- Das jeweilige System muß unterschiedliche Plattformen unterstützen.
- Das System muß verschiedene Autorisierungsstufen unterstützen.
Zur Verwaltung der Kundendaten für den Netzbetrieb werden die Datensätze in der Regel in relationalen Datenbanken abgespeichert und über diese verwaltet. Auf Basis dieser Systeme können einfach sowie kostengünstig graphische Konfigurations- und Zugangsservice-Tools aufgebaut werden.
Überwachung und Fehlerbehebung
Mit dem Begriff Netzmanagement werden in der Regel die Überwachung und die Fehlerbehebung assoziiert. Hierzu zählen die Möglichkeiten, bestimmte Verbindungen auf ihren jeweiligen Status hin zu überprüfen oder die Anzahl der über einen Port übertragenen Pakete zu ermitteln. Es sollten jedoch auch Informationen zu sämtlichen Netzkomponenten bereitgestellt werden, die es einem Netzadministrator ermöglichen, sich schnell einen umfassenden Überblick über das Gesamtsystem zu verschaffen. Diese Funktionen gehören zu den wesentlichen Bausteinen, die in ihrer Gesamtheit für den Netzbetrieb und die Integration von VPN-Diensten notwendig sind. Zur Problemdiagnose und zur Fehlerbehebung muß das System über Log-Funktionalitäten verfügen. Aus der Vielzahl an Informationen kann der Netzadministrator einfach und schnell die momentan nicht benötigten Log-Nachrichten ausfiltern und einen tatsächlichen Überblick über das Verhalten einzelner Benutzer beziehungsweise einzelner Netzkomponenten gewinnen. Eine Fehlerdiagnose und die Überwachung muß von allen Remote-Standorten aus möglich sein. In der Praxis hat sich gezeigt, daß reine graphikorientierte Benutzeroberflächen für die Überwachung und die Fehlerbehebung nicht ausreichen. Daher müssen die Netzkomponenten neben den Standard-GUI-Interfaces über eine Telnet- beziehungsweise eine Terminalverbindung verfügen, um eine detaillierte Überwachung und Fehlerbehebung zu ermöglichen.
Abrechnung der Betriebskosten
Über ein modernes Netzmanagement-System müssen ebenso die Kosten- und Nutzungsgebühren für jeden einzelnen Anwender ermittelt werden können. Die vom System bereitgestellten Benutzerinformationen müssen sich effizient in das Abrechnungssystem des Service-Providers integrieren lassen. Die Kosten für die Netznutzung durch den Anwender werden in der Regel auf Basis der Zeit vorgenommen, die dieser mit dem VPN verbunden ist. Vielerorts wird der Internet-Zugang durch die Provider bereits zum Pauschalpreis angeboten. Die geringen Anschlußkosten locken zwar viele neue Kunden auf das jeweilige Netz, verhindern jedoch die notwendige Diversifizierung der Service-Angebote.
Auf lange Sicht wird deshalb ein kostenorientiertes Abrechnungssystem immer wichtiger. Die Bereitschaft der Nutzer von Internet- oder VPN-Diensten für ein Extra an Zuverlässigkeit, Leistung und das Angebot spezieller Dienstgüten zu zahlen, steigt durch die ständig verstopften Internet-Daten-Highways. Für bestimmte Dienste wie beispielsweise der Bereitstellung von Online-Spielen oder Multimedia-Applikationen sind erhöhte Durchsatzraten, geringe Verzögerungszeiten oder die Unterstützung von Multicast-Funktionen notwendig.
Die Abrechnung dieser zusätzlichen Leistungen kann über ein modernes Netzmanagement-System erfolgen. Die Kosten werden auf Paketebene ermittelt. Dies bietet den Vorteil, daß bestimmte Paket- beziehungsweise Verkehrstypen aus dem Datenstrom zur gesonderten Abrechnung selektiert werden können. Ein Service-Provider kann seinen Kunden dadurch beispielsweise unterschiedliche Durchsatz- oder Serviceklassen anbieten.
Die meisten Hersteller bieten nur eine auf die von ihnen angebotenen Hardwaresysteme optimierte Netzmanagement-Software an. Dieser etwas kurzsichtige Lösungsansatz berücksichtigt nicht, daß viele Kunden bereits über bestehende Netzmanagement-Applikationen verfügen. Daher zählt zu den Mindestanforderungen, daß die jeweiligen Produkte der Hersteller problemlos in bestehende Netzwerkumgebungen integriert werden können. Dabei sollte der Betrieb der bereits installierten Tools nicht beeinträchtigt werden.
Da die Anforderungen der jeweiligen Netzbetriebszentren immer nur individuell zu lösen sind, müssen beim Systemanbieter auch die notwendigen Ressourcen zur Anpassung des Systems an die jeweiligen Bedingungen im Auswahlverfahren berücksichtigt werden.
Die Zukunft
Momentan sind folgende Trends im Markt zu beobachten, die sich auf die Entwicklung des VPN-Marktes auswirken:
1. Outsourcing des gesamten Netzwerks
Viele Unternehmen stehen inzwischen vor der Entscheidung, den Betrieb ihrer Remote-Access-Infrastruktur kompetenten Dienstleistern zu überlassen. Zukünftig werden Firmen dazu übergehen, den Betrieb ihres gesamten Netzes auf externe Service-Provider auszulagern. Bei dieser Lösung stellt der Kunde nur noch seine Rechner und Daten einer genormten Schnittstelle zur Verfügung. Das Netz wird vollständig vom jeweiligen Service-Provider aufgebaut und betrieben.
2. Alternative VPN-Zugänge
Die heute angebotenen Dial-VPNs bauen auf Basis von geswitchten Verbindungen auf. Der Zugang zu den Intranetzen der Unternehmen oder dem Internet erfolgt über öffentliche Telefonnetze (analog oder digital). Neue Zugangsmechanismen wie beispielsweise die CATV-Kabelmodems oder die xDSL Technik (Digital Subscriber Line) stehen vor der Markteinführung. Diese neuen Komponenten und Techniken ermöglichen es Netzbetreibern, ihr Spektrum an Serviceleistungen auszubauen.
3. Neue Protokolle
Zur Realisierung der VPN-Funktionalitäten müssen heute spezielle Tunneling-Protokolle wie beispielsweise "Mobile IP" oder "L2TP" eingesetzt werden. In die neuen Standards wie zum Beispiel IPSEC oder das IP-Protokoll Version 6 wurden die Sicherheit, die Datenverschlüsselung und das Tunneling der Daten bereits vollständig integriert. Bei der Auswahl einer umfassenden VPN-Lösung steht der Markt noch am Anfang. Es muß noch viel Entwicklungs- und Aufklärungsarbeit geleistet werden, bis diese neuen Services flächendeckend zur Verfügung stehen.
Die Standards für eine effiziente Umsetzung der Dienste befinden sich vielfach noch im Entwicklungsstadium. Daher muß ein Netzbetreiber darauf achten, daß seine Lösung keine Einbahnstraße darstellt und bereits in der Grundversion Möglichkeit der Migration hin zu Standards garantiert.
* Wilhelm Mack arbeitet als unabhängiger Systemberater in Meppen.