computerwoche.de

Archiv

Herstellerspezifisch oder standardisiert?

VPN-Produkte von NCP kennen zwei Tunnelmodi

21.01.2000
MÜNCHEN (sra) - Glaubt man dem Hersteller NCP Engineering aus Nürnberg, so steht derzeit jeder, der Virtual Private Networks (VPNs) einrichten möchte, vor einem Dilemma: Entweder er greift auf den Standard IP Security zurück und nimmt einen geringen Funktionsumfang in Kauf, oder er setzt auf eine proprietäre Lösung. In künftigen Produkten will NCP daher beides unterstützen.

Die hohen Kosten für die Anbindung von Telearbeitern oder Filialen über traditionelle Wählnetze sind vielen Anwendern ein Dorn im Auge. Da oft bereits eine Standleitung von der Unternehmenszentrale zum Internet vorhanden ist, liebäugelt so mancher mit der Einrichtung eines VPN. Diese Netze übertragen Informationen verschlüsselt und damit vergleichsweise sicher über das öffentliche Medium Internet.

Zur heutigen Produktpalette von NCP gehören das "Narac Enterprise VPN Gateway" und der "Narac Enterprise VPN Network Access Server". Diese Lösungen unterstützen zwar erst ein Tunnelverfahren, decken aber - anders als Produkte anderer Hersteller - den Zugang über alle öffentlichen Netze (ISDN, GSM, ADSL und analoges Fernsprechnetz) ab.

Die vorhandenen Produkte basieren auf Schicht 2 des OSI-Modells, das heißt, sie verwenden die Protokolle L2F und L2TP für das Verpacken der zu sendenden Daten in IP-Pakete sowie das Point-to-Point Protocol (PPP) für das Verschicken über das Internet. Das Schicht-2-Verfahren verfügt in dieser Form jedoch nicht über ausreichende Sicherheits-Features.

Anders sieht das bei Layer-3-VPNs aus, denn die basieren auf dem Standard IP Security (Ipsec). Dafür handelt man sich ein anderes Manko ein: Laut NCP lassen sich damit nicht alle Topologien unterstützen, die Kunden einsetzen. Ein Ipsec-Gateway arbeitet ausschließlich mit IP-Adressen. Soll nun etwa ein Einzelplatz-PC an das VPN angeschlossen werden, entsteht ein Problem, denn dieser Rechner erhält bei jedem Einwählen eine andere IP-Adresse. Außerdem bieten herstellerübergreifende Ipsec-VPNs immer nur ein Minimum an Funktionen - nämlich die gemeinsamen Features der Einzellösungen.

"Die Bewältigung dieser Schwierigkeiten bei Ipsec dürfte noch ein paar Jahre in Anspruch nehmen", mutmaßt NCP-Geschäftsführer Peter Söll. "Darum haben wir uns entschieden, zuerst Layer-2-Tunneling zu implementieren." Die notwendigen zusätzlichen Sicherheits-Features wie dynamischer Schlüsselaustausch und starke Authentisierung hat der Hersteller durch eine Erweiterung der PPP-Verhandlungen geschaffen. Das so entstandene herstellerspezifische Verfahren "L2 Sec" will NCP als Draft beim zuständigen Standardisierungsgremium IETF einbringen. Für die Zukunft plant das Unternehmen eine Lösung, die sowohl L2 Sec als auch Ipsec beherrscht. Sie soll Ende Februar auf der CeBIT in Hannover angekündigt werden.