Der Feind im Kinderzimmer

20.04.2009
Von Eckhart Traber
Mit Remote Access verschwimmen die Grenzen der Netze immer mehr. Gefahren lauern an vorher undenkbaren Stellen. Ein Ansatz, um diese Bedrohung in den Griff zu bekommen, ist die Router-Virtualisierung.

Mit dem Siegeszug von Remote Access und dem damit verbundenen Wunsch der Anwender, auch mal im Home Office zu arbeiten, sehen sich die IT-Verantwortlichen mit neuen Gefahrenquellen konfrontiert: Der Feind lauert nicht mehr in den Weiten des Internets. Er befindet sich im Home Office hinter der Tür zum Kinderzimmer, wenn der Nachwuchs beim unbedarften Surfen digitale Schädlinge ins heimische LAN einschleppt.

Eine Möglichkeit, dieser Gefahr vorbeugend zu begegnen, ist die Trennung von Heim-LAN und Teleworking-Umgebung in zwei virtuelle Netze (VLANs). Dabei wird ein einziges physisches Netz durch Virtualisierung zur Grundlage einer Vielzahl von Anwendungen. Sogar die gemeinsame Nutzung eines LAN durch mehrere Firmen – eine typische Situation in Technologiezentren – ist ohne Gefahr möglich.

Waren VLANs früher eine klassische Domäne der Switches, stellt sich heute die Frage, ob diese Funktion nicht besser im Router integriert ist. Schließlich funktioniert fast kein Netz mehr ohne Anbindung an das Internet – etwa bei einem Teleworker zum Remote Access in Firmennetz. Letztlich muss der Virtualisierungsgedanke weitergesponnen werden: Um unnötige Infrastruktur – also mehrere Router an einem Netz – zu vermeiden, wären Geräte sinnvoll, die ein Virtualisierungskonzept unterstützen.

Die Vorteile

Das bringt die Router-Virtualisierung:

  • Trennung in virtuelle LANs (VLANs);

  • jedes Netz erhält eigenen IP-Kontext;

  • logische statt physische Schnittstellen;

  • lokales Routing zwischen den VLANs;

  • regelgesteuerter Zugriff auf lokale Ressourcen;

  • für die VLANs können unterschiedliche Access-Provider gewählt werden.

Letztlich geht es darum, für unterschiedliche Anwendungen einen separaten IP-Kontext einzurichten. Jeder IP-Kontext wird wie ein eigenes Netzwerk beispielsweise mit DHCP- und DNS-Server konfiguriert und gegen alle anderen Netze abgeschirmt. Auf diese Art und Weise können mehrere externe Teilnehmer mit unterschiedlichen Anforderungen in das firmeninterne IP-Netzwerk eingebunden werden, ohne ihnen einen Zugang zum eigenen Intranet einzuräumen. Ein Ansatz, wie ihn etwa Lancom mit dem "Advanced Routing and Forwarding" (ARF) realisiert.

Logische statt physische Interfaces

Wesentliche Voraussetzung für den sicheren Betrieb von unterschiedlichen IP-Netzen in einem Gerät ist die Möglichkeit, den Datenverkehr der einzelnen Netze voneinander abzuschirmen. Die Netzwerke sind über die physischen Schnittstellen mit dem Router verbunden. Diese Interfaces werden aber nicht direkt für das Routing verwendet. Um eine möglichst hohe Flexibilität zu erreichen, werden die physischen Schnittstellen an logische Interfaces gebunden.

Bei kabelgebundenen LAN-Anschlüssen findet die Zuordnung durch ein Ethernet-Port-Mapping statt: Für jeden Ethernet-Port kann gezielt die gewünschte Verwendung als logisches LAN-Interface konfiguriert werden. Für WLAN-Schnittstellen entstehen durch den Aufbau von Point-to-Point-Strecken (PtP) beziehungsweise durch die Verwendung von Multi-SSID auf jedem physischen WLAN-Modul mehrere WLAN-Interfaces.

Die Entscheidung über die Datenübertragung zwischen den einzelnen IP-Netzen ist also in den Router verlagert, in dem die Datenströme aus allen IP-Netzen zusammenlaufen. Grundsätzlich wird dabei das Routing zwischen den verschiedenen lokalen IP-Netzen erlaubt – ebenso ist aber auch das komplette Abschalten des Routings zwischen den IP-Netzen möglich. Über die Firewall kann nun gezielt eingestellt werden, welches IP-Netz über den Router auf welche Bereiche zugreifen darf. Bei einer größeren Anzahl von Netzen können dazu aber viele Firewall-Regeln erforderlich sein.

Verschiedene Schnittstellen-Tags

Um das Routing zwischen den logischen Interfaces zu vereinfachen, wird jedes IP-Netz mit einem Schnittstellen-Tag versehen. Dieses Tag regelt auf sehr elegante Art und Weise, welche IP-Netze über den Router miteinander verbunden werden: Die Netzwerkgeräte in einem IP-Netz können nur auf Ressourcen in Netzwerken mit dem gleichen Schnittstellen-Tag zugreifen. Das Schnittstellen-Tag "0" kennzeichnet ein Supervisor-Netz: Geräte haben von dort aus auch zu Ressourcen in allen anderen Netzen Zugang.

Das Schnittstellen-Tag steuert die Sichtbarkeit von IP-Netzen vom Typ "Intranet". Neben den Intranets können die Netzwerke auch als "DMZ" (demilitarisierte Zone) konfiguriert werden. Damit ist ein IP-Netzwerk gemeint, auf dessen Ressourcen Teilnehmer aus allen anderen IP-Netzen zugreifen können – unabhängig von den verwendeten Schnittstellen-Tags. Dies könnte im Home Office etwa der Laserdrucker sein, den alle Familienmitglieder benutzen, während der im Unterhalt teure Fotodrucker in einem zugriffsbeschränkten IP-Netz installiert wird.

Mit der Definition der IP-Netze und der Separierung des Datenverkehrs wird der parallele Betrieb mehrerer LANs an einem zentralen Router gewährleistet. Für die Verbindung mit anderen Netzen ist der IP-Router zuständig. Die in der Routing-Tabelle angelegten Routen gelten grundsätzlich für alle an das Gerät angeschlossenen lokalen Netze – anders als etwa die DHCP-Einstellungen, die für jedes IP-Netz separat eingerichtet werden.

Zuordnung der Gegenstelle

Der große Vorteil der virtuellen Router wird in folgendem Beispiel deutlich: Anhand der Quelle eines Datenpakets kann die Firewall ein Routing-Tag zuweisen, das im IP-Router zur Auswahl der geeigneten Route genutzt wird. Dieses Verfahren reicht aber dann nicht mehr, wenn der Router mehrere IP-Netze mit gleichem Adresskreis verwaltet: Eine eindeutige Zuweisung des Tags anhand der Quelladresse wäre dann nicht mehr möglich. Über das Schnittstellen-Tag gelingt jedoch die Zuordnung der Gegenstelle auch hier. Das virtuelle Routing funktioniert nur durch die Auswertung der Schnittstellen-Tags, eine Konfiguration von zusätzlichen Firewall-Regeln ist nicht nötig. Für jedes lokale Netz kann so ein separater Provider-Zugang über eine getaggte Default-Route in der Routing-Tabelle angesteuert werden.

Die Firewall wird nur dann benötigt, wenn in den LANs mit gleichen IP-Adressen auch Server stehen, die aus dem Internet erreichbar sein sollen. In diesem Fall wird der Verbindungsaufbau von außen nach innen ausgelöst. Die beim Router-Modul aus dem Internet eintreffenden Datenpakete verfügen aber über keine Schnittstellen-Tags, die für die weitere Verarbeitung verwendet werden könnten. In diesem Fall kann jedoch die externe Gegenstelle ausgewertet werden, über welche die Pakete empfangen werden. Mit einer speziellen Firewall-Regel können Verbindungen von dieser Gegenstelle über den entsprechenden Port (etwa Port 80 für Web-Server) in das jeweilige Netz erlaubt werden.

Fazit

Mit der Virtualisierung der Router lässt sich nicht nur der interne Datenverkehr im LAN lenken, sondern auch der Weg nach draußen und die Zugriffe von außen. Unternehmen erhalten damit ganz neue Möglichkeiten, ihre Infrastruktur externen Teilnehmern oder Teleworkern zu öffnen, ohne gleich den Zugriff auf das ganze LAN zu ermöglichen.

Router-Virtualisierung ermöglicht den parallelen Betrieb mehrerer LANs, etwa für Home Office, Ladengeschäft und Gebäudesteuerung.
Router-Virtualisierung ermöglicht den parallelen Betrieb mehrerer LANs, etwa für Home Office, Ladengeschäft und Gebäudesteuerung.