Die richtige Lösung finden

02.03.2001

Firmen, die ein Virtuelles Privates Netz für die sichere Kommunikation über das Internet nutzen möchten, haben zwei Alternativen: selbst ein VPN aufzubauen oder einen Dienst zu mieten. Bei der ersten Variante bleibt der Anwender Herr über sein VPN, bei der zweiten kann er sich besser auf sein Kerngeschäft konzentrieren.

Von: Bernd Reder

Die derzeit verfügbaren VPN-Lösungen lassen sich grob in folgende Kategorien einteilen:

- Traditionelle oder Standard-VPN-Produkte,

- ausgelagerte VPNs (Outsourcing),

- VPN-Appliances und

- "Point-and-Click"-VPN-Dienste.

Die meisten VPN-Produkte der ersten Generation zählen zur Kategorie der traditionellen oder "Legacy"-Lösungen. Zum einen handelt es sich dabei um Router, Firewalls oder LAN-Switches, in die VPN-Funktionen integriert wurden. Es bleibt meist dem Unternehmen beziehungsweise dessen Netzwerkfachleuten vorbehalten, diese Systeme zu installieren und zu konfigurieren. Gegebenenfalls müssen sie Geräte, die noch keine VPN-Funktionen unterstützen, gegen neue austauschen, was mit erhöhten Kosten verbunden ist.

Zu den Standard-VPN-Lösungen zählen zum anderen Programme für PCs unter Windows oder Linux. Sie sind vor allem für kleine und mittlere Unternehmen gedacht. Auch in diesem Fall "darf" der Anwender das System aufsetzen und konfigurieren, inklusive der VPN-Funktionen. Dazu gehört auch, Security Policies zu definieren, Verfahren für den Austausch verschlüsselter Informationen festzulegen und alles in VPN-Gateways und Clients zu implementieren.

Es liegt auf der Hand, dass es sich nicht allzu viele Firmen leisten können, VPNs in Eigenregie einzurichten und zu verwalten. Neben Investitionen in Hard- und Software erfordert dies eine gehörige Portion Fachwissen - ein Luxusgut in Zeiten chronischen Mangels an IT-Experten. Eine andere Möglichkeit besteht darin, auf VPN-Dienste von Drittanbietern zurückzugreifen. Auch hier sind drei Kategorien zu unterscheiden:

- Der Anwender nutzt den VPN-Service eines Internet-Service-Providers (ISP) oder Network-ServiceProviders (NSP).

- Er greift auf gemanagte Dienste zurückt, die ein Lösungsanbieter zur Verfügung stellt.

- Er lässt sich von einem Systemintegrator ein Virtuelles Privates Netz einrichten, betreibt es jedoch in Eigenregie und nutzt gegebenenfalls die Supportdienste des Dienstleisters.

Der Anwender sollte allerdings auf folgende Punkte achten. Zum einen ist es wichtig, dass der ISP/NSP den VPN-Dienst in allen Regionen anbietet, in denen der Nutzer Standorte unterhält oder in Zukunft aufbauen möchte. Zudem sollte der Interessent klären, welche Zugangsmöglichkeiten der ISP oder NSP zum Virtuellen Privaten Netz zur Verfügung stellt. Wünschenswert ist eine möglichst breite Palette, etwa ISDN, Digital Subscriber Line (DSL) und Funk. Sonst könnte es passieren, dass der Nutzer auf einen weiteren Anbieter zurückgreifen muss, wenn sein Haus- und Hoflieferant in einer bestimmten Region die gewünschte Zugangstechniken nicht parat hat. Je mehr Provider jedoch ins Spiel kommen, desto komplizierter und fehleranfälliger werden die Abstimmungsprozesse.

Eine Alternative besteht darin, gemanagte VPN-Services bei einem Wiederverkäufer (Reseller) oder Lösungsanbieter einzukaufen. Ein solcher "Solution Provider" bündelt die Angebote diverser Service-Anbieter und offeriert sie als Komplettpaket. Der Vorteil dabei: Der Kunde kann sich ein Paket schnüren lassen, das exakt auf seine Bedürfnisse zugeschnitten ist. Er kann solche Angebote anhand folgender Kriterien bewerten:

- Kosten: Welche Dienste sind im Paket enthalten? Was würde es im Vergleich dazu kosten, ein VPN in Eigenregie zu betreiben?

- Verfügbarkeit: Stehen die Services überall dort bereit, wo sie der User benötigt? Welche Zugangstechniken stehen zur Auswahl? Ist der Provider nötigenfalls bereit, weitere Techniken zu implementieren, etwa DSL?

- Supportleistungen: Stehen Vor-Ort-Services zur Verfügung? Sind diese rund um die Uhr verfügbar? Wie schnell reagiert der Dienstleister, wenn Fehler auftreten?

Know-how vom Systemintegrator zukaufen

Wer davor zurückscheut, sein Virtuelles Privates Netz komplett in die Hände Dritter zu legen, hat eine weitere Alternative: Er baut das Netz in Eigenregie auf, kauft aber Know-how bei einem Systemintegrator oder einer Beratungsfirma ein. Diese Services lassen sich in folgende Stufen unterteilen:

- Der Dienstleister analysiert, welche Anforderungen der User an ein Virtuelles Privates Netz stellt, testet entsprechende Produkte und gibt dann Empfehlungen ab.

- Der Systemintegrator entwickelt zusammen mit dem Kunden die Struktur des VPN und hilft diesem dabei, das Netz aufzubauen und zu konfigurieren.

- Der Dienstleister übernimmt den technischen Support.

Für kleine und mittlere Unternehmen empfiehlt es sich, alle drei "Leistungspakete" zu ordern, speziell dann, wenn die eigene DV-Abteilung über keine Erfahrungen mit Virtuellen Privaten Netzen verfügt. Ein Nachteil dieses Ansatzes ist, dass er für den Anwender mit beträchtlichen Kosten verbunden ist. Außerdem ist es nicht einfach, unter der Vielzahl von Beratungsfirmen und Systemintegratoren das "richtige" Unternehmen herauszufiltern.

Firewall-Appliances mit VPN-Funktionen

Ebenfalls auf den Bedarf kleiner und mittlerer Unternehmen sind VPN-Firewall-Appliances zugeschnitten. Es handelt sich dabei um dedizierte Systeme, die unter Windows, Unix/Linux oder einem proprietären Betriebssystem laufen. Einige sind mit Koprozessoren ausgerüstet, die das rechenintensive Ver- und Entschlüsseln der Daten übernehmen. Der größte Vorteil dieser Geräte ist, dass der Anwender eine komplette VPN-Lösung aus einer Hand erhält. Einige Systeme sind bereits vorkonfiguriert, um das Handling zu erleichtern.

Allerdings ist es auch bei diesen "schlüsselfertigen" Lösungen erforderlich, die Feineinstellungen von Hand vorzunehmen. Das ist keine triviale Angelegenheit, vor allem dann nicht, wenn die Appliance zusätzlich die Aufgabe einer Firewall übernimmt. Insgesamt sind diese Systeme jedoch einfacher zu handhaben als Router-gestützte VPN-Komponenten und erfordern ein geringeres Maß an technischem Support. Die Unterhaltskosten lassen sich mit denen von traditionellen VPN-Produkten vergleichen.

Neuer Ansatz: Point-and-Click-Dienste

Eine relativ neue Kategorie von VPN-Services sind so genannte "Point-and-Click-Dienste". Das wichtigste Unterscheidungskriterium zu den oben genannten Lösungen ist, dass sich der Anwender nicht darum kümmern muss, wie das VPN aussehen soll, welche Konfigurationseinstellungen vorzunehmen sind oder wer für die technische Unterstützung zuständig ist. Ein Virtuelles Privates Netz aufzubauen, funktioniert folgendermaßen: Der Anwender gibt auf der Website des Betreibers Informationen zu jedem Standort an, der in das VPN mit einbezogen werden soll, etwa Name und IP-Adresse. Das Network Operations Center (NOC) des Providers ermittelt auf Basis dieser Daten eine VPN-Konfiguration. Diese Informationen werden auf Disketten kopiert und auf die Client-Rechner des VPNs übertragen. Nach dem Neustart der Rechner registrieren sich diese automatisch beim NOC als Mitglieder des VPNs.

Der Systemverwalter konfiguriert anschließend über ein Browser-Fenster die Verbindungen zwischen den VPN-Gateways. Die Daten zwischen den Gateways laufen nicht über das Kontrollzentrum des Service-Anbieters, sondern die Mitglieder des VPNs tauschen sie direkt untereinander aus. Die Kosten errechnen sich aus der Bandbreite der VPN-Verbindung. Der Nutzer ist dabei nicht auf einen ISP festgelegt, sondern kann zwischen mehreren Anbietern wählen.

(Der Beitrag basiert auf dem White Paper "A Practical Guide to the Right VPN Solution" von Open Reach.)