Kommunikation im Tunnel

Im Windschatten von E-Business gewinnt die sichere Kommunikation über das Internet an Bedeutung. Eine Schlüsselrolle werden hier "Virtuelle Private Netze" spielen. Neben reinen Sicherheitsfunktionen spielen bei der Wahl der richtigen Lösung auch Faktoren wie Performance und Interoperabilität eine zentrale Rolle.

Von: E. Herscovitz, Dr. S. Bitan, B. Reder

Die Experten der Beratungsfirma Infonetics prognostizieren, dass im Jahr 2001 etwa 40 Prozent der Firmen in Deutschland "Virtuelle Private Netze" einsetzen, um Mitarbeitern oder Partnern den Zugriff auf Daten und Ressourcen im Firmennetz zu ermöglichen. VPNs sind damit auf dem besten Wege, sich von einer "Technik für Wohlbetuchte", sprich Großfirmen oder Behörden, zu einem Standardverfahren für die sichere Kommunikation über IP-Netze oder das Internet zu mausern. Einem Anwender, der ein VPN aufbauen will, stehen grundsätzlich folgende Varianten zur Auswahl:

- Software-Erweiterungen für vorhandene Router,

- Firewalls auf Basis von Software mit integrierter Verschlüsselung,

- softwarebasierte VPNs oder

- VPN-Hardware.

Besonders kritisch sollte der Anwender folgende Aspekte einer VPN-Lösung unter die Lupe nehmen: die Verschlüsselung, Verfahren zum Generieren und Verwalten von Schlüsseln, das Tunneling und die Zertifizierung. Hinzu kommen Verfahren für die Zugangskontrolle und das Netzwerkmanagement. Häufig unterschätzt werden Faktoren wie die Performance, und das Zusammenspiel von Systemen unterschiedlicher Hersteller (Interoperabilität).

Die Kommuníkation läuft über 'Tunnel' mit mehreren Sicherungsebenen.

Eines der wichtigsten Elemente eines VPN ist die Verschlüsselung. In der Praxis nutzen viele VPN-User symmetrische Algorithmen wie DES/3XDES für die Verschlüsselung der Nutzdaten, und asymmetrische Public-Key-Verfahren zum Austausch der Schlüssel. Zu letzteren zählen beispielsweise RSA und Diffie-Hellman. Da die gängigen Schlüsselalgorithmen allgemein bekannt sind, hängt die Wirksamkeit der Verschlüsselung von einer Kombination der folgenden Faktoren ab:

- Schlüssellänge: Je länger ein Schlüssel ist, desto schwerer ist er zu knacken. Eine Schlüssellänge von 56 Bit oder gar weniger ist nicht mehr zeitgemäß.

- Verfahren für den Austausch und die Verwaltung von Schlüsseln: Beim Key Management setzt sich "Internet Key Exchange" (IKE) gegenüber "Simple Key Management for Internet Protocol" (SKIP) durch. Der größte Vorteil von IKE ist, dass sich mit diesem Verfahren unterschiedliche Schlüssel verwalten lassen.

- Regelmäßigem Schlüsselwechsel: Je häufiger die Schlüssel gewechselt werden, desto größer die Sicherheit. Wichtig ist, dass der Schlüsselwechsel automatisch erfolgt. Beim Transfer großer Datenmengen über ein VPN ist es zudem angebracht, während der Sitzung den Schlüssel zu wechseln, und nicht erst nach Abschluss des Vorganges. Ein Unbefugter kann so nicht einen kompletten Datenbestand "absaugen".

- Verfahren, mit denen Schlüssel generiert werden: Den höchsten Sicherheitsgrad bieten Keys, die mit Hilfe "echter" Zufallsverfahren erzeugt wurden. Softwaregestützte Techniken setzten auf bekannten Algorithmen auf. Schlüssel, die auf diesem Wege generiert wurden, lassen sich deshalb relativ leicht knacken. Am sichersten sind Hardware-Codegeneratoren, die den Key beispielsweise mit Hilfe einer Rauschdiode erzeugen.

Eine Nachricht wird verschlüsselt und signiert, um zu verhindern, daß Unbekannte sie lesen oder manipulieren.

Neben der Verschlüsselung spielt das "Tunneling" eine zentrale Rolle, also der Aufbau eines virtuellen, "abhörsicheren" Kanals zwischen Sender und Empfänger durch das Internet. Leistungsfähige Tunnelverfahren verbergen alle Informationen ab Layer 3 des ISO/OSI-Modelles. Lösungen, die nur die Nutzlast verschlüsseln, sind nicht sicher genug, weil viele Informationen auf der Netzwerkschicht (Network Layer) transportiert werden. Diese Daten könnte ein Angreifer abfangen und analysieren. Die Verschlüsselung auf OSI-Schicht 3 ist zudem besser skalierbar und arbeitet unabhängig von Applikationen und Netzwerktyp. Zudem lässt sie sich für jede Art von Informationen nutzen, die über Router transportiert werden, also Sprache, Daten und Bewegtbilder.