computerwoche.de

Archiv

IETF will Interoperabilität verbessern

Probleme mit Firewalls und VPNs

07.09.2001
FRAMINGHAM (IDG) - Das Zusammenspiel von Firewalls und Lösungen zum Aufbau von Virtual Private Networks (VPNs) funktioniert nicht immer reibungslos. Ein neuer Standard, an dem die Internet Engineering Task Force derzeit arbeitet, könnte die Probleme beseitigen helfen.

Firewalls und VPNs gehören inzwischen zu den Standardverfahren zur Absicherung von Unternehmensnetzen und zum Schutz der Kommunikation über öffentliche Infrastrukturen wie das Internet hinweg. Während die Firewall unerlaubte Zugriffe auf Unternehmensressourcen abblockt, erledigen VPNs ihre Arbeit mit Hilfe von Verschlüsselungstunnels, die zwischen den an der Kommunikation teilnehmenden Partnern aufgebaut werden. Leider harmonieren beide Lösungen nicht immer optimal miteinander, und oft bedarf es einigen Aufwands, bis die Firewall die verschlüsselte Kommunikation durchlässt. Besonders wenn es sich um Lösungen verschiedener Hersteller handelt, sind Konflikte vorprogrammiert.

Häufig liegt die Ursache in der Network Adress Translation (NAT) oder anderen Verfahren, die die intern häufig benutzten, privaten IP-Adressen für die Kommunikation mit der Außenwelt auf öffentliche IP-Adressen abbilden. Da eine Reihe von VPN-Lösungen auf dem IETF-Standard IP-Security (Ipsec) aufsetzt, das den verschlüsselten Datenpaketen einen neuen Header voranstellt, kann der Packet-Authentication-Prozess der Firewall bei der NAT scheitern. Das hat zur Folge, dass sie die Daten verwirft: Der Tunnel bricht zusammen oder wird gar nicht erst aufgebaut.

Lösung in SichtObwohl einzelne Anbieter für ihre Produkte Verfahren entwickelt haben, dieses Problem zu umgehen, existiert derzeit kein herstellerübergreifender Ansatz, um dieses Dilemma zu beseitigen. Das will die IETF nun ändern: Der Vorschlag des Standardisierungsgremiums sieht vor, dass der Ipsec-Datenverkehr im Netz noch einmal mit Hilfe des User Datagram Protocol (UDP) verpackt wird, bevor die NAT erfolgt. Wer sich für die Details des Verfahrens interessiert, kann den Entwurf im Internet unter http://search.ietf.org/internet-drafts/draft-ietf-ipsec-udp-encaps-00.txt nachlesen.

Mehrere Hersteller, darunter Microsoft, Nortel, Cisco, F-Secure und der Anbieter Redcreek, waren an der Entwicklung des Vorschlags beteiligt. Es bedarf nun der Zustimmung der Internet Engineering Steering Group (IESG), damit er zum Standardvorschlag (proposed standard) erhoben werden kann. Treten keine Probleme auf, könnte der endgültige Standard im Frühjahr 2002 vorliegen.