Bis zum Jahr 1993 war das Internet ein reines Forschungsnetz. Das hat sich drastisch geändert: Unternehmen nutzen das Netz, um darüber Geschäfte abzuwickeln oder miteinander zu kommunizieren. Immer häufiger verwenden sie dabei ein Extranet. Dieser Netztyp wird oft mit Corporate Networks (CN) und Virtuellen Privaten Netzen (VPN) verwechselt. Grundlage eines CN sind in der Regel Standleitungen. Der Anwender mietet die Leitung von einem Serviceprovider oder Carrier, der eine garantierte Bandbreite bereitstellt.
Ein "Virtual Private Network" ist dagegen ein logisches Netz, das für eine geschlossene Benutzergruppe etabliert wird. Die Dienstleistungen werden über ein öffentliches Netz erbracht, sei es das Internet oder das Telefonnetz. Der Anwen- der betrachtet die Verbindungen quasi als sein "privates" Netz (siehe dazu auch die Beiträge auf den Seiten 36 ff. und 40 ff. in dieser Ausgabe).
Ein Extranet ist im Grunde ein Intranet über die Unternehmensgrenzen hinweg ausgedehnt wurde. Im Gegensatz zu VPNs und CNs kommt im Extranet jedoch immer Internet-Technik zum Einsatz. Es werden also in jedem Fall Internet-Dienste und -Protokolle verwendet.
Filialen oder Außendienstmitarbeiter sind über einen "Tunnel" mit der Zentrale verbunden. Der Begriff Tunnel beschreibt eine Technik, mit der über ein öffentliches Medium zwischen Netzwerken oder PC-Arbeitsplätzen sichere, private Verbindungen zu einem zentralen Datennetz aufgebaut werden.
Ein Extranet muß eine Reihe von Anforderungen erfüllen, soll es nicht zum Alptraum des Anwenders werden. Besonders wichtig ist die Sicherheit, weil die Kommunikation über ein öffentlich zugängliches Netz läuft. Das TCP/IP-Protokoll wurde vor 30 Jahren nicht für einen sicheren Informationsaustausch geschaffen. Deshalb müssen Verfahren wie IP-Tunneling und Protokolle wie IPSec in einer heterogenen Umgebung eine geschützte Datenübertragung garantieren.
Kernpunkt Sicherheit
Eine weitere Herausforderung für Extranets ist die Integration von Sprache und Daten sowie die Einbindung mobiler Mitarbeiter. Der Teilnehmer möchte nicht mehr zwischen Fest- und Mobilfunknetz unterscheiden, wenn er auf die Unternehmensdaten oder Services und Applikationen zugreift. Sein Ziel ist, unabhängig von Ort und Zeit mit der Firma oder dem Kunden in Kontakt zu treten.
Der letztgenannte Punkt hängt eng mit der Performance des Netzes zusammen. Der Anwender sollte möglichst in der gleichen Qualität mit einer Gruppe kommunizieren können, egal ob von seinem Arbeitsplatz im Büro oder vom Home Office aus. Zudem muß er jederzeit auf Dienste und Anwendungen Zugriff haben. Um das sicherzustellen, ist ein Netzwerkmanagementsystem erforderlich.
Für Transparenz und Kosteneffizienz sind Accounting- und Billing-Mechanismen zuständig. Nur mit ihrer Hilfe kann der IT-Manager Kosten überprüfen. Allerdings sind effiziente Lösungen, mit denen sich die Aufwendungen für ein Extranet aufschlüsseln und auf die einzelnen Anwendergruppen umlegen lassen, derzeit noch Mangelware, auch bei den Internet-Serviceprovidern. Zu guter Letzt sollte ein Extranet als offenes System realisiert werden, das künftige Entwicklungen berücksichtigt.
Das Marktforschungsunternehmen Dataquest geht davon aus, daß die Umsätze mit Services für Sprach-VPNs in Deutschland bis 2002 auf rund eine halbe Milliarde Mark steigt. Hinzu kommen Umsätze mit Virtuellen Privaten Netzen, über die primär Daten transportiert werden. Gegenwärtig nutzen etwa 30 Prozent der Unternehmen in Deutschland das Internet als Marketinginstrument; nur wenige verfügen jedoch über ein Extranet. Hier wird es zu einem massiven Wandel kommen, vor allem dann, wenn die Bedenken der Anwender in puncto Sicherheit überwunden sind.
Vom Intranet zum VPN
Die Tabelle zeigt die Unterschiede zwischen einem Intra- und einem Extranet beziehungsweise E-Commerce-Applikationen. Die Entwicklungsrichtung ist klar: Intranetservices werden in ein Extranet übernommen und führen letztlich zum Aufbau eines Virtual Private Network. Konkret bedeutet dies, daß nicht nur die Mitarbeiter innerhalb eines Unternehmens Informationen miteinander austauschen, sondern auch externe Unternehmensstandorte und Kooperationspartner einbezogen werden.
Redundante Netzkomponenten für Ausfallsicherheit
Von entscheidender Bedeutung für die Akzeptanz von Extranets ist die Verfügbarkeit des Netzes. Treten Störungen auf oder fällt es komplett aus, bedeutet dies für den Anwender in der Regel erhebliche finanzielle Einbußen und möglicherweise juristische Konsequenzen. Eine hohe Systemverfügbarkeit ist nur zu erreichen, wenn die Kernkomponenten redundant ausgelegt sind. Das gilt für Bestandteile wie Netzübergänge, Server, Firewalls oder Router.
Üblicherweise wird eine Verbindung über das Netz der Telekom beziehungsweise eines alternativen Carriers zum nächsten Anschlußpunkt eines Dienstanbieters (Serviceproviders) aufgebaut. Dabei kommen entweder Telefonwählleitungen mit Modems, ISDN-Wählverbindungen, X.25-Verbindungen oder Standleitungen, beispielsweise Fest- oder Datendirektverbindungen, zum Einsatz. Die Anschlußpunkte (Points of Presence = PoPs) sind untereinander und mit den internationalen Netzen verbunden.
Dieses breite Spektrum an Zugangsmöglichkeiten und eine hohe Flächendeckung mit homogener Netzstruktur ist die Basis der globalen Verfügbarkeit eines Extranets. Die ISPs stellen eine eigene Infrastruktur bereit, die mit "Peering Points" ausgestattet sind. An einem Peering Point wechseln die Daten von einem Providernetz in ein anderes über. Die Provider sind Mitglied im DE-NIC und " Réseaux IP Européens" (RIPE). Das DE-NIC verwaltet alle DE-Domänen. Das RIPE mit dem Sitz in Amsterdam ist dagegen für Europa zuständig.
Da das Extranet als Erweiterung des Intranet über die Grenzen eines Unternehmens oder einer Behörde hinausreicht, ist die Sicherheit ein zentraler Aspekt. Das gilt vor allem für Organisa- tionen wie Banken und Börsen, die das Internet zur Transaktion von Geldsummen nutzen. Eine Umfrage der Firma Security Dynamics Technologies ergab, daß 80 Prozent der Netzwerkmanager in der mangelnden Sicherheit des Internet die größte Einsatzbarriere für Extranets sehen [2].
Das Computer Emergency Response Team (CERT, http://www.cert.org) zeichnet regelmäßig Angriffe auf und stellt Informationen darüber im Internet zur Verfügung. Am häufigsten treten das IP-Spoofing und Packet Sniffing auf (siehe Kasten "Angriffsverfahren"). Eine wichtige Aufgabe eines Sicherheitskonzeptes ist daher, Lücken in Betriebssystemen, Applikationen und dem TCP/IP-Protokoll herauszufiltern. Dabei sollte ein ganzheitlicher Ansatz verfolgt werden. Neben dem Kommunikationsprofil und der physikalischen und logischen Infrastruktur sind folgende Punkte mit einzubeziehen:
- Betriebssicherheit,
- Remote Access Points,
- Analyse des Sicherheitsgrads des Extranet im Unternehmen,
- Analyse von Sicherheitslücken,
- Anforderungen an das Netzwerk,
- Firewall-Konzeption für Zugangskontrolle,
- Verschlüsselungssysteme und Authentifizierung sowie
- Virenscanner.
Um die Datensicherheit zu gewährleisten und Angriffe zurückzuverfolgen, sind Verfahren erforderlich, wie die Authentifizierung (Nachprüfbarkeit von Benutzern und Daten) und Überprüfung der Integrität (Nachprüfbarkeit beziehungsweise Identifikation von Manipulationen der originären Daten). Darüber hinaus ist die Vertraulichkeit der Daten sicherzustellen, etwa indem der Benutzer die Informationen verschlüsselt.
Zugriffsschutz und Verschlüsselung
Besonders heikel ist die Absicherung von externen Arbeitsplätzen, etwa PCs und Notebooks von Telearbeitern und Außendienstmitarbeitern. Dies kann mit Hilfe von Smartcards oder biometrischen Verfahren erfolgen. Der Benutzer weist sich beispielsweise durch einen Fingerabdruck oder das Muster seiner Iris aus. Für den sicheren Informationsaustausch via E-Mail etablierte die IETF die beiden Protokolle "Security Multipurpose Internet Mail Extension" (S/MIME) und "Open Pretty Good Privacy" (Open PGP).
Um Risiken weitgehend auszuschließen, sollten für Telearbeitsplätze Rahmenbedingungen definiert werden, etwa wo Unterlagen und Datenträger aufzubewahren sind oder welche Transportverfahren der Anwender verwenden darf. Wichtig ist, daß der Mitarbeiter diese Maßnahmen akzeptiert. Das läßt sich beispielsweise durch entsprechende Schulungen erreichen. Ergänzend dazu muß sich der Mitarbeiter authentifizieren, wenn er sich in das Extranet einwählt. ISDN bietet dazu Verfahren wie "Calling Line Identification Presentation" (Clip), "Connected Line Identification Presentation" (Colp) sowie Callback.
Implementierung offener Systeme
Extranets müssen als offenes System ausgelegt sein. Dies bezieht sich auf die Techniken auf den unteren OSI-Schichten sowie das übergeordnete Netzwerkmanagement. Als Grundstruktur für den Transport von IP dienen heute ATM, Frame-Relay und/oder SDH (Synchronous Transfer Mode). Der größte Vorteil des Internet-Protokolls ist, daß es von der Netzwerkschicht unabhängig ist. Die ISPs können also ihre Netze ohne Rücksicht auf die Topologie und Technik ausbauen.
Ein Extranet sollte neben IP andere Netzwerkprotokolle unterstützen, etwa IPX, ATM, Appletalk, DECnet oder SNA. Dies kann beispielsweise mit Hilfe von IP-Tunnel geschehen, durch die IPX-Daten transportiert werden.
Hohe Performance für breitbandige Anwendungen
Im Bereich Audio und Video sowie bei Bilddaten geht die Entwicklung in Richtung Digitalisierung. Das erfordert eine Übertragung in Echtzeit bei hohen Datenraten. Je nach Verfahren werden dabei unterschiedliche Bandbreiten mit der entsprechenden Performance benötigt. Eine Übertragung mit Digital Video Broadcasting (DVB) erfordert zwischen 5 MBit/s (Zeichentrickfilm) und 25 MBit/s (Sportübertragung), ein Datentransfer mittels High Definition Television (HDTV) kann bis zu 900 MBit/s erreichen.
Bislang deckten spezielle Breitbandnetze diesen Bedarf ab. Sie waren unidirektional ausgelegt, analog und nicht kompatibel zu anderen Lösungen. Heute werden flexible Datennetze mit bidirektionaler Kommunikation und dynamischer Nutzung eines Übertragungsmediums durch mehrere Stationen bevorzugt, um einen höheren Wirkungsgrad zu erzielen.
Echtzeitdaten werden jedoch künftig auch über IP-Netze, sprich Intra- und Extranets, laufen. Allerdings fehlen den Protokollen der TCP/IP-Familie Kontrollstrukturen, mit denen sich eine bestimmte Dienstegüte festlegen läßt. Abhilfe sollen Ansätze wie das "Resource Reservation Protocol" (RSVP) schaffen. Allerdings ist klar zwischen der garantierten Dienstgüte von ATM und den "Classes of Services" (CoS) zu unterscheiden. Diese bieten zum einen keine garantierte Qualität für die Dauer der Verbindung und berücksichtigen zum anderen weder Jitter noch Verzögerungszeiten. Beide Faktoren sind aber entscheidend für sensitive Daten wie etwa Sprache.
Bessere Auslastung und geringere Ausfallzeiten
Hohe Performance ist deshalb nur einer der Parameter für die Dienstqualität (QoS), die sich im Grunde durch den Durchsatz beziehungsweise die Bandbreite ausdrückt. Neben RSVP setzen ISPs Verfahren wie "Weighted Random Early Discards" (WRED) ein, um für zeitkritische Anwendungen eine bestimmte Bandbreite zu reservieren.
Eine nahezu hundertprozentige Verfügbarkeit eines Extranets ist ohne effizientes Netzwerkmanagement nicht zu erreichen. Ein Manko ist jedoch, daß einheitliche Schnittstellen fehlen. Es dominieren proprietäre Systeme, die sich nur in herstellerspezifischen Umgebungen einsetzen lassen. In IP-Netzen hat sich allerdings das "Simple Network Management Protocol" (SNMP) als De-facto-Standard etabliert. Der Anwender hat deshalb die Chance, in seinem Extranet auf Netzprotokollebene von Beginn an einheitliche Strukturen aufzubauen. Kommt im Netz durchgängig SNMP zum Einsatz, läßt sich zudem die Netzverwaltung zum Serviceprovider auslagern (Outsourcing).
Kostentransparenz noch nicht in Sicht
Ein Schwachpunkt in Extranets ist das Accounting und Billing. Accounting sollte die Daten der Authentification Server nutzen und daraus die Abrechnungsinformationen generieren. Die Kopplung beider Verfahren ist vor allem dann von Vorteil, wenn die Authentifizierung beim Serviceprovider erfolgt. Die Informationen enthalten beispielsweise den Namen des Benutzers, den Domain-Namen der Organisation, Call-IDs, die gewählten Nummern sowie Anfangs- und Endzeit beziehungsweise Dauer einer Verbindung.
Hinzu kommen Informationen über die Anzahl der simultanen Verbindungen oder der Tunnels sowie die Menge der gesendeten und empfangenen Pakete. Für den IT-Manager hilfreich sind zudem protokollspezifische Informationen sowie Quell- und Ziel-IP-Adresse.
Soweit die Theorie; die Praxis sieht leider anders aus. Zwar haben fast alle IT-Hersteller ihre Produkte mit Schnittstellen für Accounting/Billing ausgestattet, diese sind jedoch nicht standardisiert. Außerdem mangelt es an Tools zur Analyse der Daten. Ein weiteres Ärgernis ist, daß Logfiles nicht auf einheitliche Weise ausgewertet werden. Die Folge sind inkompatible und teilweise redundante Resultate. Auch in bezug auf die Qualität der Protokolldateien konnten sich die Hersteller auf keinen gemeinsamen Nenner einigen: Teilweise werden nur die Verbindung und Datenmenge erfaßt, statt auch die Zugriffsdauer und die Dienstart aufzuzeichnen. [3]
Der zweite Teil der Serie in Heft 5/1999 geht auf die Techniken ein, die in einem Extranet zum Einsatz kommen. (re)
Literatur
[1] Detken, K.-O.: Sicherheitsmechanismen bei der Kommunikation über VPNs; IIR-Konferenz "Mit Virtual Private Networks zum Geschäftserfolg", 19.-20.1.1999 in Frankfurt
[2] Schneiders, S.: Sicherheit von Telearbeitsplätzen; Netsikom 99, Köln 1999
[3] Schwermann, K.: IP-Billing und Accounting: Auf Heller und Pfennig; Gateway 02/1999, S. 36 ff.
[4] Detken, K.-O., Reder, B.: Sprache inklusive - Basistechniken von Virtuellen Privaten Netzen; Gateway 04/1999, S. 40 f.
[5] Kröner, A.: Netz im Netz - Firmenkommunikation über das Internet; Gateway 04/1999, S. 36 ff.
[6] Buck, K.: Spartanische Kost - Klassische und neue TK-Services; Gateway 01/1999, S. 56 ff.