computerwoche.de

Archiv

Network-Services/Ausreichende Sicherheit auch für kritische Daten

VPNs mausern sich zur ernsthaften Alternative im WAN-Umfeld

04.08.2000
Klassische Weitverkehrsnetze wie Datendirektverbindungen (DDV), Frame Relay und Datex-P haben durch die virtuellen privaten Netze (VPNs) Konkurrenz bekommen. Die immer wieder geäußerten Sicherheitsbedenken sind aufgrund der Möglichkeit, kritische Daten gut verschlüsselt und verpackt zu übertragen, heute nicht mehr berechtigt. Sabine März* traut den neuen Verfahren den ausreichenden Schutz sensibler Informationen zu.

Virtuelle private Netze gelten als kostengünstige Alternative zur Festverbindung. Darüber hinaus sprechen die einfachere Administration des Gesamtnetzwerks, die gute Möglichkeit zur Erweiterung und Verwendung bestehender Teilnetze für die zum Privatnetz umfunktionierten öffentlichen Netze. Anstelle dedizierter Mietleitungen werden beim VPN die Kommunikationsverbindungen des Internet benutzt, um Niederlassungen, Teleworker oder Partner ans interne LAN anzubinden - entweder von Endgerät zu Endgerät, von Endgerät zu Gateway oder von Gateway zu Gateway.

Meistens sprechen die Kosten für VPNs"Die Entscheidung für ein virtuelles privates Netz fällt leicht, wenn man die Kosten betrachtet", bestätigt Marco Schommer, zuständig für die Netzanbindung der Auslandsniederlassungen im Geschäftsbereich Informationstechnologie bei der EnBW Service GmbH, Karlsruhe. Die IT-Spezialisten innerhalb der Servicegesellschaft der Energie Baden-Württemberg betreiben und errichten unter anderem die Informationssysteme und Netze für den Mutterkonzern sowie den Schwestergesellschaften, zu denen auch die Yello Strom GmbH gehört. Das Unternehmen liegt damit voll auf Linie. Wie die Marktforscher von Frost & Sullivan in einer Umfrage unter den 500 größten Unternehmen Europas herausgefunden haben, ist der Preis der ausschlaggebende Grund für die Entscheidung zugunsten eines VPN. An zweiter und dritter Stelle der Wichtigkeitsskala liegen die Netzwerk-Performance und die Verfügbarkeit.

Interessant ist, dass das Thema Geschwindigkeit - einst ein wesentlicher Mangel des Internet - kein Thema mehr ist. Fehlende Bandbreite zählt heute nicht mehr zu den Ausschlusskriterien. "Die Leistung der Netze reicht aus", weiß Axel Hühne, verantwortlich für Systeme und Netzwerke in der Abteilung Zentrale Prozessgestaltung und Informatik bei der Sartorius AG, aus eigener Erfahrung. Die Gesellschaft bindet bereits seit zwei Jahren ihre Standorte über ein VPN an die Zentrale in Göttingen an. Hühne: "Wir haben natürlich vorher einen Test gemacht. Bestimmten Diensten ordnen wir außerdem feste Bandbreiten zu."

Neue Standards wie DSL (Digital Subscriber Line) werden weiterhin dafür sorgen, dass ein VPN nicht zur lahmen Ente wird. Davon geht jedenfalls Frost & Sullivan aus. Den Marktforschern zufolge werden im Jahr 2006 rund 6,7 Millionen neue xDSL-Verbindungen existieren. SDSL, die symmetrische Variante der xDSL-Technologien, bietet einen Durchsatz von bis zu 2,3 Mbit/s sowie ebenso symmetrische Up- und Downstream-Raten.

Welchen Stellenwert die Bandbreite hat, hängt von den Anwendungen ab, die über die öffentlichen Netze laufen. Wird die Verbindung nur temporär für weniger zeitkritische Aktionen genutzt, etwa die Auftragsverfolgung durch einen Partner, kommt es nicht so sehr auf die Schnelligkeit des Netzes an. Arbeiten Niederlassungen allerdings via VPN remote mit den internen betriebswirtschaftlichen Systemen und Datenbanken in der Zentrale, sollte eine gleichmäßig hohe Bandbreite vorhanden sein. "Man benötigt garantierte Bandbreiten. Ebenso muss die maximale Umlaufzeit der Pakete festgelegt sein", erläutert Schommer. "Ein Paket darf nicht länger als 100 Millisekunden benötigen."

Das Thema Sicherheit wird zwar nach wie vor mit Argusaugen betrachtet, ist aber ebenfalls immer seltener ein Ausschlusskriterium. Gemeint sind der Zugriffsschutz, Datenintegrität, Vertraulichkeit und Authentifizierung der Kommunikationspartner. Hier haben die Festverbindungen auf jeden Fall einen Vorteil. Immerhin handelt es sich beim Grundkonzept der VPNs um öffentliche Internet-Leitungen, wenn auch für die Übertragung Tunneling-Verfahren verwendet werden. Dazu werden die Datenpakete in ein zweites IP-Paket gepackt, also gekapselt.

Vor allem die früheren Tunneling-Protokolle wie das Point-to-Point Tunneling Protocol (PPTP), das 1996 von der Internet Engineering Task Force zum Standard erkoren wurde, haben ihre Schwachstellen. PPTP verwendet für die Authentisierung das Password Authentification Protocol (PAP) sowie das Challenge Handshake Protocol (CHAP) und verschlüsselt mittels RC4 und DES, wobei Schlüssel zwischen 40 und 128 Bit verwendet werden. Zudem waren es vor allem proprietäre Protokolle wie FWZ1 oder CET, mit denen VPN-Lösungen realisiert werden konnten - mit dem Nachteil, dass die Kommunikation meist nur zwischen Produkten des jeweiligen Herstellers möglich war.

Neue Verfahren wie IP Security (Ipsec) der IP Security Working Group haben dem Ruf der VPNs hier nur geholfen. Branchenkenner gehen davon aus, dass Ipsec PPTP langfristig ablösen wird, da es eine höhere Sicherheit bietet. Zudem lässt es sich neben IPv4 auch im kommenden IPv6 verwenden. Während das PPTP der Ebene 2 des OSI-Schichtenmodells zuzuordnen ist, arbeitet Ipsec auf Netzwerkebene, also auf Level 3. Darüber hinaus sind Authentifizierung und Verschlüsselung getrennt. Beides kann, muss aber nicht kombiniert werden. Die Implementierung von Ipsec erfolgt entweder direkt in den IP-Stack oder auch zwischen IP-Stack und Netzwerktreiber. Für den Benutzer ist der Transfer jedoch transparent - er erkennt nicht, ob die Daten über ein VPN oder eine normale IP-Verbindung übertragen wurden.

Mit Ipsec geht auch das Zeitalter der proprietären Protokolle vorüber. Viele Hersteller wie Checkpoint oder Cisco unterstützen den kommenden Standard und ermöglichen so den Aufbau heterogener VPNs. Erste große Ipsec-Projekte gibt es bereits, auf europäischer Ebene etwa das European Network Exchange (ENX) in der Automobilindustrie. Einen Nachteil hat die viel gelobte Entwicklung allerdings: Ipsec eignet sich nur für reine IP-Umgebungen. Die Möglichkeit von PPTP, auch andere Protokolle wie IPX (Internet Packet Exchange) oder Netbeui (Netbios Extended User Interface) in einen IP-Mantel einzuschließen, bietet Ipsec nicht.

Zur Sicherheit dreifach verschlüsseltWesentlich für die Sicherheit eines VPN sind zudem leistungsfähige Verschlüsselungsverfahren. Vor allem, wenn das VPN als voll produktive Erweiterung des LANs genutzt wird. "Sicherheit ist natürlich ein Thema. Wir implementieren jetzt Triple-DES", erläutert Sartorius-Mitarbeiter Hühne. Triple-DES gilt derzeit als verlässlicher Verschlüsselungsalgorithmus, und auf einen solchen will man bei der Sartorius AG nicht verzichten. Neben dem Intranet betreiben die 15 bereits angeschlossenen Standorte des Unternehmens E-Mail und SAP-Dialog-Verkehr. Sicherheit sei deshalb enorm wichtig. Doch Hühne warnt vor punktuellen Einzelmaßnahmen. "Wenn ich über Sicherheit spreche, muss ich sehen, ob alle Türen geschlossen sind - das Gesamtkonzept zählt."

Das VPN ist hier nur eine Komponente. Und auch dabei gibt es genügend Sicherheitslücken. Ipsec kann zwar mittels seiner Bestandteile vor IP-Spoofing, Denial-of-Service-Attacken, Hijacking und Man-in-the-Middle-Angriffen schützen, bringt aber trotzdem noch keine absolute Sicherheit. Die Maßnahmen dürfen sich Sicherheitsexperten zufolge deshalb nicht nur auf den Tunnel selbst beziehen. Auch die Kommunikationsstrecke zwischen Gateway und Endpunkt, das angeschlossene LAN sowie die Gateways können Angriffsziele sein.

Verbesserungen hinsichtlich der Leistung und der Sicherheit lassen sich darüber hinaus durch den Einsatz von Emulationstechniken erzielen, die allerdings garantierte Antwortzeiten benötigen. Ein Beispiel dafür ist Citrix'' Meta-Frame. "Diese Lösung erfordert eine wesentlich geringere Bandbreite, denn es werden nur Bildschirminhalte übertragen", erklärt EnBW-Service-Mann Schommer. "Zudem besteht keine Datenverbindung auf Produktivsysteme."

Einen weiteren Schritt in Richtung höhere Sicherheit tun die Provider selbst: Über festgelegte Routing-Strecken des eigenen Netzwerks offerieren sie den Unternehmen einen sichereren Weg für den kritischen Datenverkehr. Diese meiden damit die verschlungenen Pfade durch das öffentliche Internet mit seinen nicht wählbaren Wegen. "Unternehmen können sich beim Austausch geschäftskritischer Daten nicht auf das öffentliche Netz verlassen. Die sicherste und effizienteste Lösung für Geschäftskunden ist ein Provider-gestützes IP-Netz mit ATM-Infrastruktur", meint Vladimir Pal, Marketing-Manager für Datendienste bei der Colt Telecom GmbH.

Auch Uunet bietet seinen Kunden nach Angaben ein VPN, bei dem der Datenverkehr ausschließlich über die eigene Infrastruktur läuft. Egal ob Colt, Nortel, Psinet, Uunet oder andere - für die Providergemeinde ist die neue WAN-Alternative ein wachstumsträchtiges Geschäftsfeld. Frost & Sullivan wertet das Geschäft mit VPNs als boomenden Markt, der im Jahr 2005 18 Milliarden Dollar ausmachen soll.

Auch Stephan Deutsch, Pressesprecher der Worldcom-Tochter ist überzeugt, dass die VPNs eine Zukunft haben. "Durch die erweiterte Verfügbarkeit und Flexibilität werden sich mittelfristig VPNs auch im Highend-Bereich gegen klassische Corporate Networks durchsetzen. Ein wichtiger Faktor für die Akzeptanz ist jedoch die Garantie von Verfügbarkeit und Performance durch Service Level Agreements." Doch könnte es sein, dass für das öffentliche Internet als primäres Kommunikationsmedium für VPN der Zug längst abgefahren ist. Dass sich ein Trend zum dedizierten IP-Netz abzeichnet. Den hat Tony Rybczynski von Nortel Networks schon längst erkannt: "In der Realität werden heute die wenigsten VPNs über das öffentliche Internet betrieben", schrieb er bereits 1998 in einer Kolumne des englischsprachigen "CTI Magazin".*Sabine März ist freie Journalistin in München.