In den letzten Jahren gewinnen IP-basierte Virtual Private Networks (IP-VPNs) als sichere Lösung für komplexe Unternehmensnetze immer mehr an Popularität. Die zunehmende Globalisierung zeitkritischer Geschäftsprozesse forciert diesen Trend noch weiter. So erwarten die Marktforscher der Yankee Group für IP-VPNs ein Investitionsvolumen von 4,5 Milliarden US-Dollar bis 2006. Lag laut einer Studie von Tech Consult das deutsche Marktvolumen 2003 noch bei gut 105 Millionen Euro, so soll es in diesem Jahr schon 135 Millionen und 2005 sogar 166 Millionen Euro erreichen.
Mit der Nachfrage wächst auch die Zahl der Anbieter von IP-VPNs beständig - und mit ihr die Konfusion darüber, welche Vor- und Nachteile die verschiedenen Lösungen, Technologien sowie Anbieter mit sich bringen. VPN ist nicht unbedingt gleich VPN. Der Begriff ist durchaus nicht so klar definiert, wie es auf den ersten Blick erscheinen mag: Je nachdem, wen man fragt, erhält man unter Umständen grundverschiedene Antworten.
Internet Service Provider benutzen den Ausdruck gerne, um ihr IP-Backbone zu bewerben. Der Netzwerkadministrator eines Unternehmens spricht von "seinem" VPN, meint aber tatsächlich das firmenweite Corporate WAN. Carrier hingegen meinen mit VPN in der Regel den Aufbau eines Netzes für eine geschlossene Benutzergruppe, bei dem ausschließlich die eigene Infrastruktur und das eigene Dienste-Angebot zum Einsatz kommen.
Häufig wird nicht einmal unterschieden, ob das Netzwerk mit leitungsvermittelnden Lösungen wie Wähl- und Festverbindungen, paketvermittelnden Technologien wie Frame Relay und ATM oder über das Internet - mit Hilfe des Internet-Protokolls - aufgebaut wird.
IP-VPNs: Begriffsdefinition
Im Wesentlichen handelt es sich beim Wort "VPN" nur um einen allgemeinen Terminus, der eigentlich nur ein virtuell privates Netz beschreibt, das zur Übertragung von Paketen nach dem IP-Standard geeignet ist.
Dabei gilt es zwischen verschiedenen Technologien zu unterscheiden. Während sich für Einwahl-VPNs die L2TP-Technologie durchgesetzt hat, stehen bei IP-VPNs mit Festanschlüssen mehrere Technologien zur Auswahl. Dazu zählen:
OSI-Layer-2-Lösungen wie Frame Relay oder ATM,
Tunneling-Lösungen wie GRE (Generic Routing Encapsulation) und
IPsec (IP Security Protocol) für meist öffentliche Netze.
Bei allen diesen Technologien handelt es sich um so genannte "Overlay VPN", da die Verkehrsbeziehungen im Netz mittels Tunnels oder Circuits vordefiniert werden müssen. Einen wesentlich dynamischeren Weg geht hier die MPLS-Technologie für in sich abgeschlossene private Netze. Diese Technologie kommt dem Modell einer Netzwolke sehr nahe.
Als weiteres Unterscheidungskriterium fungiert das Backbone selbst: Entweder verfügt der Provider über ein eigenes Backbone, oder er nutzt ein durch den Zusammenschluss mehrerer Provider geschaffenes Netzwerk - wie das Internet.
Die Kapillarität eines Backbones erweist sich dabei als ausschlaggebend für die zu erzielende Performance. Bei einem wenig vermaschten Backbone mit nur einem Knoten pro Land oder aber bei einem überbuchten Backbone sind Leistungseinbußen zu erwarten.
Auswahl des VPNs
Am Anfang eines jeden VPN-Projekts steht die hausinterne Bedarfsermittlung. Sie bildet die unverzichtbare Basis jeglicher Aktivität, denn nur, wer richtig analysiert - also weiß, was er braucht - bekommt auch das richtige VPN.
Bei dieser Bedarfsermittlung stehen unter anderem folgende Analysepunkte auf der Liste:
Kategorisierung der verschiedenen Unternehmensstandorte,
notwendige Standardunterstützung,
erwünschte Verfügbarkeit,
minimale Qualitätsanforderungen und
Einsatzzweck (Produktion, Auftragsübermittlung et cetera).
Welcher Anbieter kann die gewünschte Qualität und den entsprechenden Service Level überhaupt bieten? Die Analyse grenzt die Technologie und somit die Anbieter in der Regel bereits stark ein.
Standortfragen
Wichtig ist hier aber auch, die lokalen Gegebenheiten der einzelnen Standorte genau zu betrachten. Welcher Anbieter kann dem Unternehmen nicht nur Technologie bereitstellen, sondern auch als beratender und unterstützender Partner auftreten?
In arabischen Ländern werden politisch bedingt meist keine israelischen Produkte oder Dienstleistungen ins Land gelassen. In Indien andererseits kommt es immer wieder zu Schwierigkeiten mit der Stromversorgung. Dort ist es Usus, am Wochenende die Kraftwerke auszuschalten. Solche Probleme müssen bei der Auswahl des VPN-Partners an derartigen Standorten berücksichtigt werden. Es gilt also, einen Anbieter mit Erfahrung auszuwählen, der sich nicht nur im Bereich Technologie, sondern auch mit den Landeseigenheiten auskennt.
Nach Abschluss der Analyse kann das Unternehmen, je nach Umfang des VPNs, verschiedene Anbieter unter die Lupe nehmen. Dies geschieht im Idealfall mit Hilfe externer Consultants oder durch einen Kommunikationsdienstleister selbst. Während die Consultants Unabhängigkeit und Neutralität sichern, fällt die Beratung durch den Dienstleister in der Regel vom ersten Schritt an sehr praxisnah aus und liefert nicht nur Zahlen und Buchstaben auf Papier.
Umsetzung
Die Implementierung eines VPNs im Unternehmen steht und fällt mit der Migration. Deshalb muss ein vernünftiger Migrationsplan her: Was ist da, wo will ich hin? Welche Netzwerkdienste stehen derzeit zur Verfügung, und wie sieht die zukünftige Ausrichtung aus?
Im schlimmsten Fall fördert der Ist-Zustand viele verschiedene Anbieter zutage. Dann müssen diverse Technologien, rechtliche Anforderungen, Verträge, Kündigungsfristen, et cetera unter einen Hut gebracht werden. Je besser der Dienstleister auf die Anforderungen eingestellt ist, desto besser verläuft diese Phase.
Bis zum Abschluss der Implementierung kann je nach Größe des VPNs bis zu einem Jahr ins Land ziehen. Die wichtigen Standorte werden wie bei einem Spinnennetz zuerst angeschlossen, dann kommen nach und nach die restlichen Unternehmenssitze hinzu.
Betriebsphase und Wartung
Bei der Handhabung des VPNs kommt vor allem zwei Punkten besondere Bedeutung zu: der Lifecycle-Wartung sowie der Wartung vor Ort. Bei der Lifecycle-Wartung werden die Qualitätskriterien überprüft. Für die Wartung vor Ort muss mit dem Partner ein entsprechendes Service Level Agreement vereinbart werden, damit beispielsweise bei einem eventuellen Ausfall schnell und zuverlässig ein Techniker vor Ort zur Verfügung steht.
Im Betrieb des VPN spielen nicht nur Verfügbarkeit und die Qualität des VPNs eine entscheidende Rolle, sondern es tritt ein weiterer sehr wichtiger Punkt auf die Bildfläche: die Sicherheit - der Alptraum einer jeden IT-Abteilung.
Gerade für große, multinationale Unternehmen spielt die Netzwerksicherheit eine extrem wichtige Rolle. Hier müssen Sicherheitslösungen greifen, die auf ein komplexes Netzwerk mit einer Vielzahl von Applikationen zugeschnitten sind. Die Anforderungen vervielfachen sich mit der Anzahl der Standorte. Die Kommunikation mit Kunden und Lieferanten nimmt stetig zu - wie können sich Unternehmen öffnen, ohne dabei Angreifer einzulassen, sei es zur direkten Attacke auf den Computer oder zum Belauschen des Datenverkehrs?
Sicherheitsrisiken
Das Sicherheitsrisiko steigt mit neuen Anwendungen wie Web Services oder sonstigen mobilen Applikationen. Experten sind sich darin einig, dass sich ein Unternehmen nur mit einer ganzheitlichen IT-Security-Lösung absichern kann.
Außerdem gilt es, klar festzuhalten, dass die Sicherheit sich auch maßgeblich über das Betreibermodell definiert. Denn auch beim Anbieter selbst muss die Security stimmen, damit dieser seinem Kunden Sicherheit vor Angriffen bieten kann.
Bei Internet-basierten VPNs stellt schon die richtige Implementierung eine der Hauptvoraussetzungen für die Sicherheit dar. Wird das VPN schlecht implementiert, kann es nachher auch nicht einwandfrei und sicher funktionieren. Aber auch im Betrieb ergibt sich eine ganze Reihe möglicher Fehlerquellen.
Firewall und IDS
Die bloße Existenz einer Firewall - der Brandschutzmauer gegen Angriffe von außen - reicht nicht aus, um absolute Sicherheit zu gewährleisten. Typische Fehlerquelle: Nach der Installation bleibt die Firewall oft jahrelang sich selbst überlassen, regelmäßige Updates unterbleiben.
Zeitmangel und fehlendes Fachwissen bei Administratoren sorgen darüber hinaus für gefährliche Lücken. Doch selbst eine ständig gepflegte Firewall stellt lediglich eine singuläre Komponente im Sicherheitsmanagement dar. Keine noch so gute Firewall schützt hundertprozentig gegen Angriffe von außen.
Intrusion-Detection-Systeme (IDS) melden Angreifer, noch bevor sie Schaden anrichten. Das IDS analysiert den gesamten Datenverkehr und informiert den Netzwerkadministrator oder externen Dienstleister, falls Gefahr droht.
Angriffe werden selbst in einem harmlos aussehenden Datenstrom erkannt, weil das IDS automatisch Audit- und Logfiles analysiert und mit Angriffsignaturen bereits durchgeführter Attacken vergleicht. Durch die Anbindung des IDS an die proaktive Alarmzentrale eines Dienstleisters erreicht man selbst bei weltweiten Netzwerken eine 24x7-Überwachung.
Verschlüsselung
Eine der wichtigsten Komponenten des VPN stellen die Verschlüsselungs- und Authentisierungsverfahren dar, die garantieren, dass die Kommunikation mit dem korrekten User oder Host erfolgt. Aber Vorsicht: Wer beispielsweise in China eine Verschlüsselungstechnologie einsetzen will, muss eine Vertreiberlizenz beantragen, da Verschlüsselung in China unter den Bereich Militärtechnologie fällt. Auch bei solchen Problemen kann ein erfahrener Partner vor Ort alle behördlichen Hindernisse aus dem Weg räumen.
Müssen grundsätzlich in allen Internet-VPNs Daten nur verschlüsselt übertragen werden? Nein, denn Verschlüsselung ist immer auch eine Geldfrage. Weiß man, dass für Verschlüsselung zwölf Prozent Bandbreiten-Overhead anzusetzen sind, wird klar, dass nur verschlüsselt werden sollte, was auch verschlüsselt sein muss. Zur zuverlässigen Kodierung dienen zwei weit verbreitete Techniken: die symmetrische (Ver- und Entschlüsseln erfolgen über identische Schlüssel) und die asymmetrische Verschlüsselung. Sie nutzt im Gegensatz zu symmetrischen Verfahren zwei verschiedene Schlüssel, einen öffentlichen und einen privaten.
Neben der Verschlüsselung der übertragenen Daten bietet eine gesicherte Identifikation und Authentisierung wesentlichen Schutz vor dem Missbrauch von Unternehmenssystemen. Dies lässt sich beispielsweise durch Challenge-Response-Verfahren oder den Einsatz von Einmal-Passwörtern erreichen, bei denen die sensitiven Informationen nur ein einziges Mal benutzt werden, so dass ein Mitlesen für Hacker uninteressant wird.
Weitere Sicherheitsaspekte
Nicht zuletzt zählen Produkte zum Schutz vor Computerviren zur Grundausrüstung eines Unternehmens mit Internet-Zugang. Content-Security-Komponenten geben zusätzliche Sicherheit, dass durch E-Mails oder den Besuch von Webseiten keine gefährlichen Inhalte wie Java-Applets oder ActiveX eingeschleppt werden. In diesen Bereich fällt auch das leidige Thema des Patch- und Update-Managements. Wer seine Software nicht konsequent auf dem aktuellen Stand hält, darf sich nicht wundern, wenn darunter Sicherheit und Leistungsfähigkeit leiden.
Bei allen technischen Vorkehrungen darf das Unternehmen eines nicht vergessen: Die Sicherheit eines VPNs steht und fällt mit der Sicherheits- und Aufklärungspolitik im Unternehmen selbst. Ein in Sicherheitsfragen nicht unterwiesener Mitarbeiter könnte beispielsweise über einen nicht geschützten Zugang ins Internet gehen - und unerwünschten Eindringlingen so die Tür öffnen.
Zur den Grundvoraussetzungen effektiver Sicherheit zählt auch ein für Security verantwortliches Team, das eine definierte Sicherheits-Policy implementiert und durchsetzt. Laut einer Studie der Meta Group verfügte allerdings Anfang 2003 lediglich jede vierte der befragten deutschen Firmen über eine dezidierte Sicherheitsorganisation. Selbst große Unternehmen mit mehr als 1000 Mitarbeitern leisten sich nur zur Hälfte ein zugewiesenes Sicherheitsteam. Immerhin 48 Prozent der deutschen Unternehmen verfügen über eine klare Security-Policy, die auch schriftlich festgelegt wurde. Andererseits können 37 Prozent der Firmen keinerlei entsprechende Planung vorweisen.
Security outsourcen
Ein Unternehmen muss nicht notwendigerweise selbst ein internes Security-Team aufbauen und die entsprechenden Produkte für eine Sicherheitsinfrastruktur einkaufen. Als schlaue und sicherere Methode bietet es sich an, die Sicherheitsmaßnahmen in die Hände eines externen Experten zu geben.
Dieser Ansatz zeichnet sich durch diverse schlagkräftige Vorteile aus. So muss sich das Unternehmen nicht laufend um den technischen Stand der Sicherheitstechnik kümmern, die Security-Ausrüstung professioneller Anbieter ist immer State-of-the-art. Auch das (teure) qualifizierte Personal für das Sicherheits-Management stellt der Outsourcing-Dienstleister.
Viele Unternehmen unterschätzen zudem den Aufwand, der allein für die Sichtung der sicherheitsrelevanten Daten anfällt. Neben den Kosten für das notwendige Personal und Equipment spielt dabei vor allem Zeit eine gewichtige Rolle.
Die Daten aller Systeme müssen erfasst und ausgewertet werden, die täglichen Ereignisprotokolle weisen einen hohen Umfang auf. Ein Provider verfügt über die notwendigen Systeme, um diese Daten zu visualisieren, auszuwerten und sie dem Kunden via Statistikreport zur Verfügung zu stellen.
Last not least profitiert der Kunde von der "Herden-Immunität": Ein Dienstleister kann bereits bei einer Attacke auf einen einzelnen Kunden schnell proaktive Lösungen für alle bereitstellen. Und was für den einen gut ist, kann für den anderen auch nicht schlecht sein - Erfahrung zählt!
Zum Autor: Uwe Becker ist als Manager Professional Services bei Equant beschäftigt. Der zur France-Telecom-Gruppe gehörende Global Carrier Equant bietet seinen derzeit rund 3700 Kunden weltweite Kommunikationsinfrastrukturen und Managed Services an.