computerwoche.de

Archiv

Weniger Bedenken, aber auch weniger Euphorie als am Anfang

VPNs legen Schwächen der Frühphase langsam ab

10.11.2000
MÜNCHEN (sra) - Ihre Kinderkrankheiten lassen Virtual Private Networks (VPNs) immer weiter hinter sich. Erste Installationen zeigen, dass viele Hürden der Anfangszeit mittlerweile beiseite geräumt wurden. Doch die erhofften Kosteneinsparungen fallen geringer aus als erwartet.

In den vergangenen Jahren scheiterte der Siegeszug von VPNs vor allem an Bedenken bezüglich der Sicherheit und Zuverlässigkeit des Internet als Übertragungsmedium. Inzwischen haben sich die Rahmenbedingungen jedoch teilweise geändert. Beispielsweise haben die USA ihre Restriktionen für den Export von Sicherheitslösungen gelockert. Für die Ausfuhr symmetrischer Schlüssel liegt die erlaubte Obergrenze nun bei 128 Bit. "Die Vereinigten Staaten haben erkannt, dass die alten Regelungen rückwärts gewandt waren", kommentiert Eric Paulak, Analyst bei der Gartner Group.

Dieser Erkenntnis konnten sich auch andere Länder mit ehemals strengen Sicherheitsvorkehrungen wie etwa Frankreich nicht verschließen. "Die restriktivsten Sicherheitsregeln finden sich jetzt nicht mehr im Westen, sondern eher in Ländern wie China", beobachtet Paulak. Dort muss jegliche Verschlüsselungstechnologie bei der Regierung hinterlegt und außerdem von chinesischen Firmen als Co-Inhaber oder -Entwickler mitgetragen werden. Unternehmen, deren Filialen allesamt in Europa oder Nordamerika liegen, haben es also generell leichter. "Unsere Produkte unterstützen derzeit eine Schlüssellänge von 448 Bit, und die können wir auch in ganz Europa einsetzen", bestätigt Peter Söll, Geschäftsführer von NCP aus Nürnberg. Die Anbindung von Töchtern in anderen Ländern mag aber noch Kopfzerbrechen bereiten.

Ganz so erfreulich wie die Rahmenbedingungen bei der Sicherheit hat sich die Situation bezüglich der Zuverlässigkeit des Internet nicht entwickelt: In VPN-Netzen hängt die Quality of Service (QoS) in erster Linie von der Qualität des unter dem VPN-Dienst liegenden Netzes ab. Diese lässt sich zwar durch Technologien wie etwa Multiprotocol Label Switching (MPLS) anheben, die Qualität des Internet ist laut Paulak jedoch seit Jahren die gleiche geblieben. Allenfalls ein paar Bandbreitenengpässe sind beseitigt worden. Insgesamt bieten private IP-Netze eine bessere Qualität als das Internet.

Doch möglicherweise ist dieses Handicap nicht so gravierend wie anfangs befürchtet. "Unsere Großkunden, die über das Internet arbeiten, melden keine Probleme mit der Zuverlässigkeit", berichtet Andreas Baehre, Chefentwickler bei NCP. Außerdem bieten fast alle nationalen und internationalen ISPs die Möglichkeit, Service-Level-Agreements (SLAs) abzuschließen. Für unternehmenstaugliche VPNs offerieren die Provider größere Garantien als für öffentliche IP-Services.

Nach Meinung von Paulak sollten die garantierten Leistungen auf jeden Fall eine Verfügbarkeit von 99,9 Prozent beinhalten. Doch das reicht nicht. Anwender benötigen ebenso eine garantierte Antwortzeit. Sie sollte 120 bis 150 Millisekunden innerhalb eines Landes nicht überschreiten. Wichtig ist, dass die Antwortzeit ab dem Router am Standort des Kunden gemessen wird.

Paketverluste maximal ein ProzentViele Angaben von Service-Providern beziehen sich nur auf den Backbone. Außerdem gehört eine Beschränkung der Paketverluste auf maximal ein Prozent in den Vertrag. Je nach Bedarf könnten in Zukunft zudem Bandbreiten-Garantien an Bedeutung gewinnen - noch gibt es so etwas allerdings selten.

Der Anwender sollte zudem ein Augenmerk darauf richten, was geschieht, wenn ein ISP seine Garantien nicht erfüllt. In der Regel erhalten Kunden heute in diesem Fall zehn Prozent des Servicewerts zurück. Doch Strafen müssen schmerzen, wenn sie Sinn machen sollen. Gartner-Analyst Paulak schlägt darum vor, Grenzwerte zu definieren und gestaffelte Sanktionen für verschieden schwere Verletzungen zu verhängen. Für geringfügige Überschreitungen, die der Kunde kaum bemerkt, kann er drei bis fünf Prozent der monatlichen Gebühr zurückverlangen, bei groben Verletzungen wie Nichterreichbarkeit oder einer Paketverlustrate von mehr als der Hälfte aller Pakete 25, 50 oder sogar 100 Prozent.

Im Gegensatz zur Frühphase der VPNs hegen Experten heute im Allgemeinen wenig Bedenken dagegen, geschäftskritische Anwendungen über ein IP-VPN zu betreiben. Allein bei besonders zeitempfindlichen Applikationen wie IP-Telefonie oder SAP-Software raten sie zur Vorsicht. "Zwar mag SAP beteuern, Mysap.com funktioniere blendend, die Anwender wissen es aber besser", begründet Paulak seine Zurückhaltung in diesem Fall. Der Ansicht, man solle SAP-Software prinzipiell nicht über ein VPN betreiben, schließt sich Andreas Baehre von NCP allerdings nicht an. "Wir haben Kunden, die damit über einen Tunnel arbeiten", hält er entgegen. Man müsse vor der Inbetriebnahme lediglich die internen Timer der Software umkonfigurieren.

Neben dem Abschluss von SLAs empfiehlt es sich, mit nur einem ISP zusammenzuarbeiten, so dass der Verkehr dessen Netz nicht verlässt. Allerdings lässt sich das oft nicht realisieren, weil ein ISP nur eine beschränkte geografische Reichweite besitzt. Wenigstens sollte der Anwender dann darauf achten, dass die beteiligten ISPs untereinander direkte Peering-Abkommen haben, damit der Verkehr nicht über die öffentlichen Übergabepunkte fließen muss. Andernfalls leidet die Performance.

Die meisten heute eingesetzten VPNs sind Remote-Access-VPNs. Sollen mit dem VPN nicht nur mobile Mitarbeiter angebunden, sondern verschiedene Unternehmen vernetzt werden (Extranet-VPN), kommt noch ein anderes Problem hinzu - die Adressierung. Weil die meisten IP-Adressen schon vergeben sind, benutzen viele Firmen intern eine eigene Adressierung. Daraus erwächst das Problem, dass die Adressierung zwischen verschiedenen Unternehmen nicht immer eindeutig ist. "Es gibt Wege, das zu lösen", weiß Paulak. "Einige VPN-Produkte, die vornehmlich an Firewall-Hersteller verkauft werden, enthalten Network-Adress-Translation-(NAT-)Features." An dem damit verbundenen Aufwand hat sich laut Peter Söll, Geschäftsführer von NCP, jedoch seit der Erfindung von VPNs wenig geändert. Deswegen sind Extranet-VPNs noch sehr selten.

Zusammenfassend lässt sich sagen, dass viele Gründe, die noch vor einigen Jahren gegen ein VPN sprachen, zumindest für den Bereich Fernzugriff an Bedeutung verloren haben. Allerdings gibt es auch einen Wermutstropfen. So sind die versprochenen Kosteneinsparungen geringer ausgefallen als erwartet. Laut Paulak existieren eine Reihe versteckter Kosten: Zum Beispiel fallen nicht allein Verbindungskosten an, sondern auch die Lizenzen für die Remote-Client-Software gehen ans Geld. Oft glauben Unternehmen auch, sie könnten mit der bestehenden Verbindung zum Internet den ganzen zusätzlichen Verkehr der Telearbeiter aufnehmen. Das entpuppt sich in der Regel als Irrglaube.

Eine unangenehme Überraschung erleben nicht zuletzt einige Anwender, die ihren Frame-Relay-Dienst durch einen billigeren IP-Service zu ersetzen hoffen. Viele der heute erhältlichen IP-Services basieren nämlich auf Frame Relay oder ATM-Netzen. Dann kann der neue Dienst nicht billiger sein als der alte. Schließlich addieren sich zu den Kosten für den Frame-Relay-Service noch die für die geroutete IP-Umgebung.

Trotzdem existieren Gründe, VPNs einer Frame-Relay-Lösung vorzuziehen, auch wenn es nicht weniger kostet. Beispielsweise ist es einfacher, an einem neuen Standort VPN-Client-Software einzuspielen, als neue Frame-Relay-Verbindungen zu installieren. Neue Standorte in einem VPN lassen sich innerhalb weniger Minuten hinzufügen. In FrameRelay-Netzen kann das im Extremfall Monate beanspruchen. Darüber hinaus verfügen VPNs über eine vermaschte Infrastruktur. Im Gegensatz dazu wird bei Frame Relay der Verkehr über ein oder zwei zentrale Punkte geleitet. Diese Vorteile müssen bei der Entscheidung für oder gegen ein VPN berücksichtigt werden.

Eine deutliche Sprache sprechen in diesem Zusammenhang auch die Marktzahlen der Yankee-Group: Einer Umfrage zufolge setzen heute bereits fünf Prozent aller Anwender IP-VPNs für die Anbindung von Telearbeitern und Filialen ein. Der Löwenanteil wird allerdings noch über Mietleitungen (30 Prozent), Frame Relay (27 Prozent) oder ISDN (21 Prozent) vernetzt.

Blick in die KristallkugelIn zwei Jahren sollen sich diese Verhältnisse gewaltig verschieben: Dann werden nach Angaben der Marktforscher bereits 40 Prozent der Benutzer IP-VPNs für den Fernzugriff verwenden. Damit verdrängen sie die anderen Technologien auf die hinteren Plätze. Lediglich ATM soll eine Zunahme von acht auf 14 Prozent verzeichnen.

Noch hemmt die Vorherrschaft von Wählzugängen mit ihren geringen Bandbreiten den Fortschritt bei der Implementierung von VPNs. Es gibt aber einen Trend weg von dieser Internet-Zugangstechnologie. Daran ist vor allem die wachsende Verbreitung von DSL sowie ein Verfall der Bandbreitenpreise schuld. Noch weiter in der Zukunft sehen die Marktforscher den Trend, Zusatznutzen durch Application Hosting zu bieten. Die VPNs würden dann zur Übertragung remoter Anwendungen genutzt.

Abb.1: Magisches Quadrat

VPN-Anbieter stammen aus unterschiedlichen Richtungen: Kleine Spezialisten gehören ebenso dazu wie große Netzwerkfirmen. Quelle: Gartner Group

Abb.2: Technologien zur Fernanbindung

Innerhalb von zwei Jahren sollen VPNs den größten Anteil am Markt für Lösungen zur Anbindung von Filialen und Telearbeitern erobern. Quelle: Yankee Group

Abb.3: Anbindung an ISP

Die Anbindung an den Internet-Service-Provider erfolgt über immer breitbandigere Zugänge. Quelle: Yankee Group