computerwoche.de

Archiv

IP-Adreßverwaltung in VPNs bereitet noch Probleme

IP-Adreßverwaltung in VPNs bereitet noch Probleme IBM-Initiative zielt auf eine verbesserte Ipsec- Implementierung

12.02.1999
MÜNCHEN (CW/IDG) - IBM arbeitet an einer neuen Version des Sicherheitsstandards Ipsec, mit dem die Kommunikation in virtuellen privaten Netzen (VPNs) geschützt wird. Dreh- und Angelpunkt ist die Anbindung externer Mitarbeiter an Unternehmensnetze und die damit einhergehenden IP- Adressenkonflikte.

Erst kürzlich hatte eine Arbeitsgruppe der Internet Engineering Task Force (IETF) dem Ipsec-Standard die Absolution erteilt. Dennoch sind beileibe nicht alle strittigen Punkte des Verfahrens geklärt. Beispielsweise bereitet die IP-Adreßverwaltung von externen Anwendern Probleme, wenn diese auf ein Ipsec- basiertes Intranet zugreifen wollen.

Sobald der Nutzer das Unternehmens-Gateway erreicht, müsse ihm eine neue IP-Adresse aus dem firmeneigenen Pool zugewiesen werden, so IBMs VPN-Projektleiter Charles Kunzinger. Nur dann könne das System den Anwender als Teil des lokalen Netzes erkennen. Big Blue arbeitet jetzt an einer neuen Technologie, mit der die Zuweisung von IP-Adressen automatisch erfolgt. Ferner sollen sich die verfügbaren Netzressourcen je nach der Berechtigung des Anwenders freigeben lassen.

Dabei bedient sich IBM der Schützenhilfe des texanischen Unternehmens Ashley Laurent Inc. Die Neun-Mann-Firma hat ein System namens "Vpcom" entwickelt, das die Anwender und deren IP- Adressen in einem gesonderten Internet Name Space des VPNs auflistet. Neben einer effizienteren Administration verspricht sich das Unternehmen auch eine Entlastung des Netzverkehrs, da sichere und unsichere Übertragungen auf getrennten Servern ablaufen können.

Darüber hinaus läßt sich das Ipsec-Verfahren mit der Ashley- Laurent-Technologie über reine TCP/IP-Netze hinaus erweitern. Vpcom unterstützt neben Microsofts Netbios über TCP auch Novells IPX/SPX-Protokoll, so ein Firmensprecher. Die Zusammenarbeit mit IBM hat inzwischen auch dazu geführt, daß der Vpcom-Server als Zusatz für IBMs "E-Network"-Firewall angeboten wird. Ferner will Big Blue die texanische Ipsec-Implementierung künftig in sein Produktspektrum - von Routern bis zum OS/390-Betriebssystem - integrieren.

Um die Ipsec-Arbeitsgruppe der IETF für die neue Version zu begeistern, ist allerdings noch einige Überzeugungsarbeit nötig: IBM müßte beweisen, so der Arbeitsgruppen-Chef Bob Moskowitz, daß es nicht das einzige Großunternehmen ist, das die Technologie unterstützt. Er kenne mindestens sechs verschiedene Projekte, die sich gegenwärtig mit der Ipsec-Systemkonfiguration befassen.

Ipsec

Ipsec (Internet Protocol Security) ist ein Sicherheitsstandard auf Paketebene für die Errichtung virtueller privater Netze (VPNs). Er wird durch eine Arbeitsgruppe der Internet Engineering Task Force (IETF) geregelt. Ein zwischen dem IP-Header und dem Originaldokument eingefügtes Element (AH = Authentication Header) soll die Datenintegrität sicherstellen. Darüber hinaus ermöglicht das Encapsulating Security Payload (ESP) eine gleichzeitige Verschlüsselung der Daten. Als Vorteil von Ipsec gilt, daß Sicherheitsparameter im Netz konfiguriert werden können, ohne Änderungen an den Rechnern der Endanwender vornehmen zu müssen. Weitere technische Informationen in englischer Sprache finden sich im Internet unter http://www.ietf.org/html. charters/ipsec- charter.html.