Eine Technik mit vielen Gesichtern

Site-to-Site-Netz: Sicherer Verkehr zwischen Gateways

Wesentlich häufiger anzutreffen sind Site-to-Site-VPNs. Bei ihnen sind mindestens zwei VPN-Gateways beteiligt, die meist an den Standorten installiert sind, die über das virtuelle Netz verbunden werden. Die Verschlüsselung der Daten erfolgt beim Site-to-Site-VPN ausschließlich zwischen den beiden VPN-Gateways. Auf ihrem Weg durch die lokalen Netze von den Gateways bis zu den Endgeräten bleiben die Informationen unverschlüsselt. Die Standorte können für die lokale Netzwerkarchitektur interne IP-Adressen verwenden. Nur die Gateways müssen eine offizielle Adresse besitzen. Sie führen zudem eine "Address Translation" durch und verbergen dadurch die interne IP-Adressstruktur der Unternehmensstandorte.

Ein VPN, das den Standard IPSec (IP Security) unterstützt, nimmt diese Adressübersetzung im Tunnelmodus vor. Während das IP-Paket, das durch den Tunnel übertragen wird, die interne Adresse des Zielsystems enthält, befindet sich im äußeren IP-Paket nur die Adresse des zuständigen Gateways. Diese Systeme verschlüsseln die IP-Pakete für den Transport über das Internet, fügen einen neuen Header an und senden das neue Paket zum Partner-Gateway. Dort durchlaufen die IP-Daten dieselbe Prozedur in umgekehrter Reihenfolge.

Das VPN ist somit für die beteiligten internen Netze und Endgeräte transparent. Diese können deshalb auf eine VPN-Clientsoftware verzichten, was den Aufwand für die Verwaltung des VPN senkt. Problematisch ist jedoch, dass die Einteilung in vertrauenswürdige und nicht vertrauenswürdige Teilnetze kaum zu bewerkstelligen ist. Sobald ein VPN zu einem anderen Unternehmen aufgebaut wird, können die Daten des dortigen Intranets über das VPN auch in das lokale Intranet transferiert werden.

Aus Sicherheitsgründen sollte daher zwischen Internet und Intranet beziehungsweise den Netzen der VPN-Teilnehmer eine Firewall platziert sein. Denn ein einzelnes Unternehmen ist sicherlich in der Lage, das eigene Intranet abzusichern. Fraglich ist aber, ob alle Geschäftspartner, die Zugriff auf ein VPN erhalten, die gleichen Sicherheitsstandards verwenden.