Von: Michael Hodes, Bernd Reder
Viele reden darüber, aber nur wenige wissen, was genau sich hinter dem Kürzel "VPN" verbirgt. Dabei gelten Virtuelle Private Netze als viel versprechender Ansatz, um die Kommunikation zwischen Unternehmen und externen Mitarbeitern oder Partnern auf eine sichere Grundlage zu stellen. Im Kern ist ein VPN ein Kommunikationsnetz zwischen einer begrenzten Anzahl von authentifizierten Teilnehmern, das mithilfe eines öffentlichen Mediums aufgebaut wird. Bei diesem Medium kann es sich um das Internet handeln, aber auch ein anderes Netz, das für die Teilnehmer zugänglich ist, etwa ein Corporate Network auf Grundlage von ATM oder Frame Relay. Allerdings laufen IP beziehungsweise das Internet diesen Techniken zunehmend den Rang ab.
Abhängig davon, welche Komponenten beziehungsweise Teilnehmer ein Virtuelles Privates Netz verbinden soll, können fünf Topologien zum Zuge kommen:
- End to End,
- Site to Site,
- End to Site,
- vermaschte Strukturen sowie
- ein sternförmiges Netz.
In einem End-to-End-Netz wird der Datenverkehr zwischen zwei Endgeräten komplett verschlüsselt. Beide verwenden dazu eine VPN-Clientsoftware. Jeder Computer im VPN muss über die öffentlichen Schlüssel aller potenziellen Kommunikationspartner verfügen. Bei der Kommunikation über das Internet benötigt jeder VPN-Client zudem eine offizielle IP-Adresse.
Site-to-Site-Netz: Sicherer Verkehr zwischen Gateways
Wesentlich häufiger anzutreffen sind Site-to-Site-VPNs. Bei ihnen sind mindestens zwei VPN-Gateways beteiligt, die meist an den Standorten installiert sind, die über das virtuelle Netz verbunden werden. Die Verschlüsselung der Daten erfolgt beim Site-to-Site-VPN ausschließlich zwischen den beiden VPN-Gateways. Auf ihrem Weg durch die lokalen Netze von den Gateways bis zu den Endgeräten bleiben die Informationen unverschlüsselt. Die Standorte können für die lokale Netzwerkarchitektur interne IP-Adressen verwenden. Nur die Gateways müssen eine offizielle Adresse besitzen. Sie führen zudem eine "Address Translation" durch und verbergen dadurch die interne IP-Adressstruktur der Unternehmensstandorte.
Ein VPN, das den Standard IPSec (IP Security) unterstützt, nimmt diese Adressübersetzung im Tunnelmodus vor. Während das IP-Paket, das durch den Tunnel übertragen wird, die interne Adresse des Zielsystems enthält, befindet sich im äußeren IP-Paket nur die Adresse des zuständigen Gateways. Diese Systeme verschlüsseln die IP-Pakete für den Transport über das Internet, fügen einen neuen Header an und senden das neue Paket zum Partner-Gateway. Dort durchlaufen die IP-Daten dieselbe Prozedur in umgekehrter Reihenfolge.
Das VPN ist somit für die beteiligten internen Netze und Endgeräte transparent. Diese können deshalb auf eine VPN-Clientsoftware verzichten, was den Aufwand für die Verwaltung des VPN senkt. Problematisch ist jedoch, dass die Einteilung in vertrauenswürdige und nicht vertrauenswürdige Teilnetze kaum zu bewerkstelligen ist. Sobald ein VPN zu einem anderen Unternehmen aufgebaut wird, können die Daten des dortigen Intranets über das VPN auch in das lokale Intranet transferiert werden.
Aus Sicherheitsgründen sollte daher zwischen Internet und Intranet beziehungsweise den Netzen der VPN-Teilnehmer eine Firewall platziert sein. Denn ein einzelnes Unternehmen ist sicherlich in der Lage, das eigene Intranet abzusichern. Fraglich ist aber, ob alle Geschäftspartner, die Zugriff auf ein VPN erhalten, die gleichen Sicherheitsstandards verwenden.
End-to-Site-Netz: Fernzugriff für mobile Mitarbeiter
Die dritte Alternative, End-to-Site, ist eine Mischform der beiden zuvor genannten Lösungen. Damit lassen sich Remote-Access-VPNs aufbauen, mit denen ein externer Client eine sichere Verbindung zum Firmennetz herstellt. Vor allem für kleine Niederlassungen, Heimarbeitsplätze oder die Anbindung von Außendienstmitarbeitern ist das eine Alternative, um die direkte Einwahl ins Firmennetz zu umgehen und damit die Kosten niedrig zu halten. Stattdessen baut der Anwender über einen nahe gelegenen Internet-Serviceprovider (ISP) die Verbindung zum Corporate Network auf. Stellt der ISP kein VPN-Gateway zur Verfügung, muss auf dem Mobilgerät eine VPN-Software installiert sein.
Der VPN-Tunnel erstreckt sich vom Mobilgerät bis zum Firmen-Gateway. Der Rechner des Mitarbeiters muss allerdings über eine offizielle IP-Adresse verfügen. Diese kann der ISP dynamisch vergeben. Bietet der Serviceprovider ein VPN-Gateway an, ist es nicht unbedingt nötig, auf dem mobilen Rechner einen Client zu installieren. Außerdem benötigt der Rechner dann keine offizielle IP-Adresse. Allerdings laufen die Daten dann unverschlüsselt zum VPN-Gateway des Providers. Deshalb ist diese Variante nicht zu empfehlen.
Eine sternförmige Topologie findet sich vor allem bei VPNs, die aus einer Zentrale mit vielen Außenstellen und Heimarbeitsplätzen besteht. Bei dieser Konstellation läuft der gesamte Datenverkehr von den Außenstellen bidirektional zur Zentrale. Zwischen den Filialen findet keine direkte Kommunikation statt.
Anders bei einer vermaschten Struktur: Bei ihr sind alle Standorte miteinander verbunden, das heißt, jeder kann mit jedem kommunizieren. Diese Struktur sollte dann gewählt werden, wenn alle Standorte denselben Stellenwert haben. Wichtig ist, dass die entsprechende VPN-Lösung über ein effizientes Verfahren für die Verwaltung der Tunnel verfügt. Denn je stärker ein VPN vermascht ist, desto höher ist der Konfigurationsaufwand für die Tunnel: Sollen n Standorte miteinander verbunden werden, sind (n2-n)/2 Verbindungen notwendig. Zusätzlich müssen n2-n Tunnelenden konfiguriert werden. Mit jeder weiteren Außenstelle steigt der Konfigurationsaufwand erheblich an. Bei 20 Sites sind beispielsweise 190 Verbindungen und 380 Tunnelenden zu verwalten, bei 100 Standorten dagegen bereits 4950 Verbindungen und 9900 Tunnelenden.
Erste Aufgabe: Anforderungen ermitteln
Vor dem Aufbau eines VPN ist zunächst zu klären, welche standortspezifischen Anforderungen vorliegen, etwa
- wie viele User das VPN nutzen werden,
- welche Zugangtechniken sie verwenden,
- ob sich die User ins Netz einwählen oder über eine Standleitung angebunden sind,
- wie groß das zu erwartende Datenvolumen ist,
- ob eine Backup-Verbindung notwendig ist und
- in welchem Maß die Auslastung des Netzes im Lauf eines Arbeitstages schwankt.
Um abschätzen zu können, welche Bandbreite ein VPN benötigt, muss der Fachmann wissen, wie stark das Netz belastet ist und welche Applikationen dieses Datenaufkommen erzeugen. Dies zu ermitteln, ist vor allem dann schwierig, wenn Netze zwischen mehreren Standorten oder Verbindungen über das Internet ins Spiel kommen. Die Auslastung des Netzes unterliegt dann meist stärkeren Schwankungen. Zusätzlich ist zu berücksichtigen, ob Anwendungen mit hohen Anforderungen an die Quality of Service vorhanden sind oder später eingesetzt werden sollen, etwa Voice over IP.
Daraus ergibt sich eine erste Frage bei der Planung eines VPN: Sind die vorhandenen Weitverkehrsverbindungen in der Lage, die Netzlast zu bewältigen? Die Kapazität der WAN-Verbindung ist häufig der Faktor, der über die Effizienz und Akzeptanz eines VPN entscheidet. Das gilt nicht nur für Virtuelle Private Netze zwischen lokalen Netzen (LAN to LAN), sondern auch für solche auf Basis von Wählverbindungen. Zudem sollte der Netzwerkplaner darauf achten, dass die Anbindung zum ISP leistungsfähig genug ist, um parallel mehreren Filialen, Heimarbeitern und Außendienstlern den Zugang zum Firmennetz zu gestatten.
Zweite Aufgabe: Die Struktur festlegen
Will ein Unternehmen mehrere Standorte verbinden, muss es festlegen, ob die Außenstellen gleichberechtigt miteinander kommunizieren sollen, also eine voll vermaschte Topologie gewünscht ist. Eine hierarchische Struktur kann die Belastung des VPN senken und ist in der Regel die preiswertere Variante. Ein weiterer Schlüsselfaktor ist die Skalierbarkeit der VPN-Ressourcen, denn die verfügbare Bandbreite ist häufig bereits nach kurzer Zeit ausgeschöpft. Bei Einsatz einer starken Verschlüsselung kann es zudem notwendig sein, auf eine leistungsfähigere Hardware umzusteigen. Um Router oder Firewalls nicht zu überlasten, empfiehlt es sich, VPN-Funktionen auf ein dediziertes Gateway auszulagern. Der Nachteil: Der Administrator muss ein weiteres System ins Netz integrieren und verwalten. Wer will, kann dies allerdings auch einem Internet-Serviceprovider übertragen.
Virtuelle Private Netze setzen auf unterschiedlichen Ebenen des OSI-Schichtenmodells auf. Am weitesten verbreitet sind Lösungen auf Ebene 2 und 3 des OSI-Modells. Dagegen sind VPNs, die auf höheren Ebenen angesiedelt sind, stark von den eingesetzten Applikationen abhängig und kommen deshalb für eine unternehmensweite Implementierung nicht in Frage.
Bei einem VPN auf Schicht 3 wird das Layer-3-Tunneling verwendet. Ein solches Netz verschlüsselt den gesamten IP-Verkehr. Die gängigen Produkte setzten dazu IPSec ein. Um auf Paketebene eine Verschlüsselung und Authentifizierung durchzuführen, vergibt IPSec neue Protokoll-IDs. Der Anwender muss deshalb nötigenfalls seine Firewalls und Proxy-Server anpassen. IPSec erlaubt eine sichere, transparente und durchgängige Verschlüsselung, die alle dazwischengeschalteten Elemente mit einbezieht.
Die Kodierung eines IP-Paketes erfolgt über die "Encapsulated Security Payload" (ESP); Integrität und Authentizität stellt der "Authentication Header" (AH) sicher. Die Daten werden im Transport- und im Tunnelmodus chiffriert. Im Transportmodus betrifft das nur die Nutzdaten; der Header mit den Verbindungsdaten bleibt unverändert. Im Tunnelmodus wird das gesamte IP-Paket kodiert, inklusive der ursprünglichen Sender- und Empfängeradressen, und mit einem neuen Kopffeld versehen. Der Transportmodus eignet sich für eine durchgängige Verschlüsselung, also "End to End", während der Tunnelmodus sich für den Aufbau von Site-to-Site- oder End-to-Site-VPNs einsetzen lässt.
Eine Alternative sind Netze, welche die Sicherungsschicht (Layer 2) nutzen. Sie sind unabhängig vom darüber liegenden Netzwerkprotokoll. Diese Virtual Private Networks verwenden folgende Protokolle:
- Das Point-to-Point Tunneling Protocol (PPTP),
- Layer 2 Forwarding (L2F),
- das Layer 2 Tunneling Procotol (L2TP) sowie
- Generic Routing Encapsulation (GRE).
PPTP wurde von Microsoft auf Grundlage des Point-to-Point Protocol (PPP) entwickelt. Es ist für die Einwahl zu einem Internet-Serviceprovider gedacht, kann aber auch den gesamten Datenverkehr absichern. Layer 2 Forwarding ist ein konkurrierender Vorschlag von Cisco. Eine Zeit lang sah es aus, als würden sich mit PPTP und L2F zwei inkompatible VPN-Verfahren etablieren. Schließlich einigten sich beide Firmen auf einen neuen Standard - das L2TP-Protokoll.
L2TP nutzt das Tunneling-Protokoll von L2F, um die Übertragung abzusichern, und PPP, um Wählverbindungen aufzubauen. Neben IP unterstützt L2TP auch X.25, Frame Relay oder ATM, außerdem Protokolle wie IPX oder NetBEUI. Der Schwerpunkt von L2TP liegt auf Wählverbindungen, es lassen sich aber auch Site-to-Site-VPNs aufbauen. L2TP ist nicht - wie PPTP - auf einen festen Port angewiesen, sondern für den Datentransfer kommt jeder beliebige Anschluss in Frage. Die Daten und Kontrollinformationen laufen über einen einzigen UDP-Kanal. Dies erhöht den Schutz vor Hackern und erleichtert das Konfigurieren von Firewalls. Weiterhin kann L2TP über eine Tunnelverbindung mehrere Sitzungen aufbauen. Speziell im Zusammenspiel mit IPSec erlaubt es das Protokoll, Anwendungen eine bestimmte Dienstgüte (QoS) zuzuweisen. Für die Verschlüsselung greift L2TP ebenfalls auf IPSec zurück.
GRE ist Ciscos Protokoll für statische Tunnel. Es packt unterschiedliche Pakettypen in einen IP-Tunnel, indem es eine virtuelle Punkt-zu-Punkt-Verbindung aufbaut. Die Voraussetzung ist, dass sowohl der Sender als auch der Empfänger Geräte von Cisco einsetzen. Um über ein Backbone-Netz VPNs zu koppeln, die L2TP verwenden, setzen viele Serviceprovider IP-Tunneling mit GRE ein.
Zur Person
Michael Hodes
ist bei der Cybernet AG als Manager Professional Services tätig. Dort ist er für VPN- und Outsourcing-Projekte zuständig. Hodes kam von Siemens Business Services, wo er einen globalen Remote-Access-Dienst entwickelte.