Standard mit Schwächen

IP Security (IPSec) gilt als Standardprotokoll für Virtuelle Private Netze. In Remote-Access-Netzen, bei denen PC-Arbeitsplätze an unterschiedlichen Standorten an eine Firmenzentrale angebunden werden müssen, weist IPSec jedoch Defizite gegenüber Layer-2-VPNs auf. Das hat einige Hersteller von VPN-Produkten dazu veranlasst, in ihre Lösungen Protokollerweiterungen zu implementieren und proprietäre IPSec-Derivate auf den Markt zu bringen.

Von: Andreas Baehre

Bei einem Remote-Access-VPN handelt es sich um die Abbildung eines traditionellen Direkteinwahl-Netzes über ein öffentliches IP-Netz. Unternehmen, die ein solches Virtuelles Privates Netz planen, stellen an dieses exakt die gleichen Anforderungen wie beim direkten Zugriff auf die Unternehmenszentrale. Im Wesentlichen sind dabei folgende Anforderungen umzusetzen:

- eine starke, persönliche Authentifizierung jedes Nutzers,

- Unterstützung unterschiedlicher Authentifizierungsmethoden wie Public Key Infrastructure (PKI), X.509.v3-Zertifikaten, Smartcards, User-ID/Password (Radius), Secure ID oder One Time Password (OTP),

- starke Verschlüsselung und sicherer Schlüsselaustausch,

- überschaubarer Aufwand bei Konfiguration und Administration der VPN-Clients und der dazugehörenden Sicherheits-Policy,

- keine Einschränkung der Netztopologie sowie

- Multiprotokollfähigkeit beim Einsatz unterschiedlicher Netzwerkprotokolle.

Die technische Grundlage von Layer-2- und Layer-3-VPNs bildet das Tunneling. Dieses Verfahren ist notwendig, um Daten über ein unsicheres öffentliches Netz zwischen einem zentralen VPN-Gateway und einem Remote-VPN-Client zu transportieren. Ein Tunnel wird aufgebaut, indem jedes Datenpaket einen zusätzlichen IP-Header erhält, außerdem ein oder mehrere spezielle Kopffelder. Der Anfangspunkt des Tunnels ist dort, wo der IP-Header hinzugefügt wird, der Endpunkt, wo dieser wieder entfernt wird. Weil sowohl Authentifizierung als auch Verschlüsselung innerhalb des Tunnels ablaufen, spielen die Endpunkte eine wichtige Rolle. Je nachdem, wo sich die Tunnelendpunkte befinden, spricht man von

- Site-to-Site-VPN,

- End-to-Site-VPN und

- End-to-End-VPN.

Die Daten zwischen den Stationen werden durch Tunnel transferiert, die für nicht authorisierte Teilnehmer unzugänglich sind.

Ein Beispiel für ein Site-to-Site-VPN ist ein Tunnel zwischen einem Filial- und einem zentralen VPN-Gateway. Bei einem End-to-Site-VPN wird zwischen einem Einzelplatz-Rechner oder einer Station im LAN (VPN-Client), die sich beispielsweise in einem Filialnetz befindet, und einem zentralen VPN-Gateway ein Tunnel aufgebaut. Dabei ist es nicht erforderlich, dass der Filial-Router VPN-fähig ist. Das End-to-End-VPN funktioniert im Grunde ebenso wie ein End-to-Site-VPN, nur dass das VPN-Gateway im zentralen Applikationsserver integriert ist. Dadurch wird die gesamte Stecke vom Client-Rechner bis zur zentralen Applikation gesichert.

Unternehmen gehen zunehmend dazu über, die Tunnel nicht im Filial-Router, sondern in den einzelnen LAN-Workstations enden zu lassen. Die Vorteile liegen auf der Hand: die persönliche Authentifizierung der Teilnehmer an ihrer Arbeitsstation und zudem die Verschlüsselung der Unternehmensdaten im Filialnetz. Im Remote-Access-Markt zeichnet sich also eine Entwicklung weg von Site-to-Site-VPNs ab. An ihre Stelle treten Virtuelle Private Netze mit End-to-Site- oder End-to-End-Verbindungen.