Ipsec als kleinster gemeinsamer Nenner reicht nicht

VPNs mangelt es noch an Interoperabilität

18.05.2001
SAN MATEO (IDG) - In Umgebungen eines einzigen Herstellers bereiten Virtual Private Networks (VPNs) keine Schwierigkeiten mehr. Oft können Firmen externen Partnern aber nicht diktieren, welches Produkt sie einsetzen sollen. Die Lösung von Interoperabilitätsproblemen kostet Zeit und bindet Ressourcen.

VPN-Standards existieren, aber sie reichen nicht aus. Ipsec ist schon seit mehreren Jahren im Einsatz und Bestandteil der meisten kommerziellen VPN-Produkte. Aber um sich von der Konkurrenz abzuheben, integrieren viele Anbieter proprietäre Funktionen, die nicht in Umgebungen mit Erzeugnissen verschiedener Hersteller verwendbar sind und die Konfiguration erschweren. Ipsec unterstützt beispielsweise keine User-Authentisierung, sondern nur eine Authentisierung der Geräte. Darum fügen viele Anbieter Erweiterungen hinzu. Ergänzungen für Network Address Translation (NAT) sind ebenfalls an der Tagesordnung.

Einen weiteren Standard enthält beispielsweise die in Microsofts Windows 2000 integrierte VPN-Implementierung: das Layer Two Tunneling Protocol (L2TP). L2TP ist allerdings nicht weit verbreitet. Darum funktioniert der Support für Microsofts Lösung durch andere Hersteller mehr schlecht als recht. Positiv lässt sich vermerken, dass das Protokoll User-Authentisierung für Remote-Access-VPNs ermöglicht. Das schützt vor Hackern, die sich einen fremden Laptop angeeignet oder einen Heimarbeitsplatz unter ihre Kontrolle gebracht haben. Noch gibt es keinen Standard für die Sicherung von L2TP-Verkehr mit Ipsec. Deshalb hat jeder VPN-Hersteller einen anderen Weg für die Zusammenarbeit mit Windows 2000 entwickelt - Interoperabilitätsprobleme sind unausweichlich. Teilweise führen sogar Änderungen an den Clients, um sie Windows-2000-kompatibel zu machen, zur Inkompatibilität mit anderen VPN-Produkten. Bei den Herstellern wächst die Unzufriedenheit mit der bestehenden Situation. Die IETF entwickelt derzeit Standards für L2TP/Ipsec-User-Authentisierung (www.ietf.org/ids.by.wg/ipsec.html) sowie Fernzugriff (www.ietf.org/ids.ba.wg/ipsra.html). Noch existieren keine fertigen Lösungen, aber einige zeichnen sich am Horizont ab.

TestergebnisseDie Sicherheitsberatungsfirma Arcsec Technologies hat im Auftrag der CW-Schwesterpublikation "Infoworld" drei VPN-Produkte auf ihre Interoperabilität getestet. Zwischen den an verschiedenen Orten eingesetzten Produkten von Cisco, Netscreen und Windows 2000 versuchten die Tester, Site-to-Site-Verbindungen einzurichten.

Windows 2000 Server (VPN):

Wer das in Windows 2000 integrierte VPN Gateway verwendet, muss keine zusätzlichen VPN-Produkte zukaufen. Dafür binden Windows-VPNs in gemischten Umgebungen IT-Ressourcen. Sie sind auch für erfahrene Administratoren nur schwer und zeitaufwändig zu konfigurieren.

Cisco 3000 VPN-Konzentrator:

Das Gerät eignet sich nur für "ernsthafte" VPN-Installationen. Die Administration über das Web-basierende grafische Interface ist sehr einfach. Ähnlich wie der Netscreen-100 unterstützt der Cisco-3000-VPN-Konzentrator verschiedenste VPN-Konfigurationen und taugt somit gut für gemischte Umgebungen.

Netscreen-100:

Der Netscreen-100 strapaziert das Budget, weil er Firewall und VPN in einem Gerät zur Verfügung stellt. Ansonsten erzielt das Produkt Spitzenbewertungen hinsichtlich Flexibilität und Benutzerfreundlichkeit. Das Interface für die Administration schlägt das von Cisco um eine Nasenlänge.