Virtuell über öffentliche Netze
Foto: Cisco
Im Gegensatz zum direkten Zugriff über Punkt-zu-Punkt-Verbindungen nutzen IP-basierende VPNs zur Übertragung in der Regel Teile eines öffentlichen Netzes. Über dieses wird dann quasi eine Art virtuelles Netzwerk gelegt, das noch gegen Lauscher geschützt werden muss. Im Gegensatz zu RAS, das auf den unteren Netz-Layern greift, sind diese Verfahren meist auf der Netzebene zwei beziehungsweise drei des OSI-Modells angesiedelt. Entsprechende VPNs können mit Protokollen wie L2TP, PPTP, ViPNet und anderen realisiert werden. In der Praxis kommt jedoch sehr häufig IPsec zum Einsatz, weshalb sich für diese Gattung allgemein der Begriff "IPsec-basierende VPNs" eingebürgert hat.
Für diese Art der remoten Koppelung spricht unter anderem, dass günstige und breitbandige Übertragungsarten wie WLAN-Hotspots oder DSL-Verbindungen sowie das Internet als physikalisches Transportnetz genutzt werden können. Über diese wird ein virtuelles Overlay-Netz gelegt, um etwa das heimische LAN eines Teleworkers transparent mit dem Corporate Network zu koppeln, wobei die Daten verschlüsselt durch einen Tunnel transportiert werden. "Es entsteht letztlich eine Site-to-site-Verbindung", erklärt Manager Hruby, " so dass der Anwender zu Hause ? wie von der Firma gewohnt ? mit seinen Client-Server-Anwendungen weiterarbeitet." Alle LAN-Applikationen sind also ohne Modifikation remote nutzbar, und für die Anwendungen fällt kein Integrationsaufwand an. Selbst auf File-Ebene, so ergänzt Thomas Boele, Manager Field Market Development bei Cisco, hat der Anwender transparenten Zugriff auf seine Daten. Voice over IP (VoIP) ist über ein IPsec-VPN ebenfalls kein Problem, so dass das IP-Telefon im Home Office zur Nebenstelle der Unternehmenstelekommunikation wird. Diese transparente Unterstützung von VoIP dürfte zudem an Bedeutung gewinnen, wenn sich der Konvergenzgedanke, also das Zusammenwachsen von Sprach- und Datenwelt, in der Praxis endgültig durchsetzt. Einen weiteren Vorteil sieht Andreas Baehre, Leiter Entwicklung und Forschung bei NCP, einem auf VPN-Lösungen spezialisierten Hersteller in Nürnberg, darin, dass solche VPNs quasi als Festverbindungen betrachtet werden können und damit feste IP-Adressen den Betrieb und die Konfiguration von Anwendungen vereinfachen. Ferner seien im Gegensatz zu anderen Methoden keine Network-Layer-Applets wie Active X oder Java/JRE notwendig.
Diesen Pluspunkten stehen jedoch auch eine Reihe von Nachteilen entgegen. So ist zur Realisierung des VPN in der Zentrale Equipment in Form von VPN-Gateways oder Access-Routern mit integrierter VPN-Funktionalität erforderlich. Gleiches gilt für die Gegenseite. Handelt es sich bei dieser nur um einen einfachen Rechner oder ein anderes Endgerät, so ist keine separate Hardware notwendig. Die Funktionalität kann auch über einen VPN-Client hergestellt werden. Soll ein VPN-Projekt in einem größeren Unternehmen mit heterogener Endgerätelandschaft realisiert werden, so ist darauf zu achten, ob wirklich für alle Endgeräte ein entsprechender Client erhältlich ist. Bei mobilen Endgeräten ist neben der Client-Verfügbarkeit zudem noch die Rechenleistung ein Thema, denn nicht selten sind die Prozessoren der Kleinstcomputer mit dem Rechenaufwand für die Verschlüsselung überfordert.