Bisherige Ansätze haben ihre Tücken

Es gibt immer noch Probleme mit der Quality of Services in VPNs

13.08.1999
FRAMINGHAM (IDG) - Einen Königsweg, wie sich Dienstegüte in Virtual Private Networks (VPNs) garantieren läßt, gibt es offensichtlich nicht. Zwar existieren verschiedene Ansätze wie ein Klartext- Header vor jedem getunnelten Paket, doch sind noch längst nicht alle Probleme gelöst.

Wer auf einen baldigen Durchbruch bei der Garantie von Quality of Services (QoS) in VPNs hofft, könnte enttäuscht werden. Entsprechende Bemühungen stoßen auf Schwierigkeiten, weil der Standard IP Security (IP Sec) sowohl Daten als auch Header verschlüsselt. Letzterer enthält aber das Feld Type of Service (ToS), das über die Dienstegüte bestimmt. Eine Verschlüsselung dieses Felds verändert die enthaltenen Bits und damit die Information.

Hersteller versuchen das Problem zu umgehen, indem sie dem getunnelten Datenpaket einen unverschlüsselten (Klartext-)Header voranstellen. Cisco hat diese Fähigkeit beispielsweise seit Januar in "IOS 12.0" integriert, Nortel Networks seit Juni in die Version 2.5 des "Contivity Extranet Switch". Doch der Ansatz hat zwei Schönheitsfehler: Zum einen ist er nicht standardisiert. In einem Netz mit Switches und Routern unterschiedlicher Hersteller läßt sich keine Aussage über QoS-Garantien treffen. Zum anderen verspricht das Verfahren lediglich Dienstegüte auf Netz-Ebene und nicht auf Applikationsebene. Letztere ist aber entscheidend für Service Level Agreements (SLA) zwischen Unternehmen und Service-Providern, die Antwortzeiten für geschäftskritische Anwendungen festlegen. Die für Dienstegüte auf Applikationsebene notwendigen Informationen sind nicht im IP-Header, sondern tiefer im eigentlichen Datenpaket versteckt. Wird diese Information nicht verschlüsselt, öffnet das nach Meinung von Experten eine Sicherheitslücke.