Kommunikation im Tunnel

Zertifizierung und Zugangskontrolle

Ein weiteres Auswahlkriterium von VPNs ist die Unterstützung einer oder mehrerer Zertifizierungsinstanzen im Rahmen einer "Public Key Infrastructure" (PKI). Als Zertifizierungsstelle kommt der Hersteller des VPN-Equipments in Frage, aber auch ein Serviceprovider, der virtuelle private Netze vermarktet, oder ein Trustcenter. Die Instanzen registrieren und identifizieren die Mitglieder eines Virtuellen Privaten Netzes. In vielen Fällen werden Hardware-Tokens eingesetzt, beispielsweise von Entrust, Verisign oder RSA Security, um die Anwender zweifelsfrei zu identifizieren. Wichtig ist, dass die Zertifizierung automatisch und sicher abläuft, das heißt die Daten verschlüsselt übertragen werden und digitale Signaturen zum Einsatz kommen.

Zertifizierung und Verschlüsselung alleine bieten keinen wirksamen Schutz gegen Datendiebstahl oder -missbrauch. Ohne wirksame Zugangskontrolle ("Firewalling") ist ein VPN nur die Hälfte wert. Zwei Kriterien, die der Anwender bei der Auswahl einer Lösung genauer unter die Lupe nehmen sollte, sind das Betriebssystem einer VPN-Firewall und die Art, wie das System eingehende Daten untersucht. Softwarebasierte Firewalls arbeiten meist unter gängigen Betriebssystemen wie Unix, Linux oder NT. Jedes dieser Programme weist jedoch eine Reihe von Sicherheitslöchern auf; außerdem steht im Internet eine ganze Reihe von Hacker-Tools für diese Betriebssysteme zur Verfügung. Geräte auf Basis spezieller Hardware verwenden dagegen meist proprietäre Systemsoftware, die VPN besser gegen Attacken von außen schützt.

Wie effizient eine Firewall ist, hängt davon ab, auf welche Weise sie die ein- und ausgehenden Daten analysiert, inklusive der verpackten Nutzdaten. Diese "Content Analysis" gibt dem Nutzer oder Betreiber eines VPNs die Möglichkeit, den Datenstrom zu kontrollieren. Er kann beispielsweise bestimmte Kommandos herausfiltern, etwa die "Get"- oder "Put"-Befehle von FTP-Sessions, und so den Zugang zu bestimmten Bereichen des Netzes einschränken. Besonders kritische Faktoren sind die Performance und die Interoperabilität von VPN-Lösungen. Hier kommt der "Internet-Protocol-Security"-Standard (IPSec) ins Spiel. Diese Norm der Internet Engineering Task Force (IETF) erlaubt das Zusammenschalten von VPNs, in denen Systeme unterschiedlicher Hersteller eingesetzt werden.

Grob gesagt ist der Standard ein Kompendium mehrerer Richtlinien für die sichere Kommunikation über IP-Netze. Zu den Diensten, die IPSec unterstützen, gehören Verschlüsselung, die Überprüfung der Authentizität der Kommunikationspartner und der Datenintegrität sowie Schutz gegen ein nichtautorisiertes erneutes Übermitteln von Informationen. Hinzu kommen Verfahren für den Austausch und die Verwaltung von Schlüsseln (IPSec Key Management Protocol).

IPSec verwendet zwei Modi: einen Transport- und einen Tunnelmodus. Das erste Verfahren kommt bei der End-to-End-Übertragung ab Schicht 4 zum Tragen. Ein Beispiel ist ein Notebook mit einem Verschlüsselungsprogramm, das direkt über ein IP-Netz mit einem Host kommuniziert. Im Tunnelmodus dagegen laufen die Daten von einem Host zunächst zu einem IPSec-Gateway, das die Informationen einkapselt und verschlüsselt und anschließend über das öffentliche Netz zu einem Gateway im Netz des Empfängers schickt. Diese Gateway-to-Gateway-Kommunikation erfolgt auf Ebene 3.

Ein VPN-Gateway übernimmt also quasi die Funktion eines Torwächters: Es muss alle ein- und ausgehenden Datenpakete prüfen und bearbeiten, selbst diejenigen, die ungeschützt über das Netz laufen. Um zu vermeiden, dass sich ein Gateway zu einem Flaschenhals entwickelt, sollte es Daten, zumindest annähernd, in "Wire Speed" (Leitungsgeschwindigkeit) verarbeiten.