Mit VPN sicher bezahlen im Internet

Die Geschäfte im Internet boomen. Kein Wunder, günstige Preise und Rund-um-die-Uhr-Einkaufsmöglichkeiten locken die Kunden. Da Waren auch im Internet nicht umsonst sind, stellt sich für die Webshop-Betreiber wie auch für Kunden die Frage nach der sicheren Bezahlung. Doch nicht nur im Internet sondern auch in nahezu jedem „herkömmlichen“ Geschäft ist eine bargeldlose Kartenzahlung für den Kunden möglich auch hier setzt der Kunde eine sichere Bezahlart per Bank- oder Kreditkarte voraus. Wie das in der Praxis ausseiht, erläutern wir anhand eines Praxisbeispiels der Lavego AG.

Das Münchener Unternehmen ist seit 1992 im Bereich des bargeldlosen Zahlungsverkehrs tätig. Zum Kundenkreis gehören Märkte und Tankstellen, aber auch Selbstbedienungsterminals in Automaten werden betreut. Zusätzlich bildet ein Schwerpunkt der Lavego AG die VPN-Vernetzung.

Sirrix.TrustedVPN-Box
Auf den ersten Blick unterscheidet sich das VPN-Gateway nicht sonderlich von anderen Devices. Doch seine Werte – wie TPM-Chip – sind im Inneren verborgen. Foto: Sirrix/Hill

Klassische VPN-Konfiguration
Glaubt man den Saarländern, dann muss sich der Anwender bei der VPN-Konfiguration nicht mehr wie bei klassischen Lösungen (im Bild ein Cisco VPN-Router für den SMB-Bereich) mit einer Vielzahl von Parametern herumärgern.

Klassische VPN-Konfiguration II
Das Herumärgern mit Parametern wie Phase Encryption, SA Lifetime etc. soll beim TrustedVPN Vergangenheit sein.

Zentrale Rolle des Management-Servers
Ein zentrale Rolle kommt beim Sirrix-Konzept dem Management-Server zu, den es auch als gehostete oder managed Lösung gibt. Auf ihm werden alle Einstellungen gespeichert. Foto: Sirrix

Sirrix.TrustedVPN-Box II
Das VPN-Gateway wird vor Ort lediglich mit zwei Ethernet-Kabeln an das Netz angeschlossen. Alle Parameter holt sich die Box vom Management-Server.

Das Management
Der Zugriff auf den Management-Server erfolgt per Browser über eine HTTPS-Verbindung.

Das Management II
Die Management-Oberfläche zeigt sich sehr übersichtlich, da alle Punkte in wenigen, eindeutigen Kategorien zusammengefasst sind.

Das Management III
Über die Objekte der Oberfläche lassen sich per Mausklick die Detaileinstellungen erreichen.

Das Management IV
In den Untermenüs hat der User auch Zugriff auf die klassischen IPsec-Parameter. Auch wenn dies eigentlich unnötig ist, denn das System nimmt von Haus aus die maximalen Security-Einstellungen.

Client-Konfiguration
Auf der Client-Seite fährt Sirrix einen zweistufigen Ansatz. Im normalen Betrieb sieht der Anwender nur den Secure Entry Client von NCP – mittlerweile eine Art defacto-Standard in Sachen VPN-Client.

Client-Konfiguration II
Bevor der Endbenutzer per Client Online gehen kann, muss er seinen PC noch mit Hilfe der Software Sirrix.TrustedVPN Client Configuration einrichten.

Client-Konfiguration III
Dabei ist die Konfiguration für den Enduser denkbar einfach: Er muss lediglich die Server-Adresse eintragen und ein Token für die Generierung des Zertifikats.

Client-Konfiguration IV
Nach erfolgreicher Konfiguration generiert die Software ein Zertifikat, das etwa der Administrator archivieren kann, um die ordnungsgemäße Einrichtung der Clients belegen zu können.

Das Unternehmen hat bereits mehrere Projekte im Point-of-Sales-Zahlungsverkehr (PoS) realisiert. Anhand des Beispiels, wie die Filialanbindung von mehreren hundert Tankstellen durchgeführt wurde, erklärt die Lavego AG ihre Vorgehenswiese. Als Basis für die Netzwerktechnik kommen dabei Enterprise-Router und IPAccess-Router der Funkwerk Enterprise Communications GmbH (FEC) zum Einsatz.

Von ISDN zu ADSL

Ende der 80er Jahre konnten die ersten Kartenterminals (PoS-Terminals) Daten noch nicht per Modem verschicken, sondern mussten eine spezielle Datex-L-Leitung nutzen. 1994 kam das nationale ISDN und kurz darauf Euro-ISDN als Standard-Übertragungsweg hinzu.

Dagegen gab es die IP-Anbindung und Vernetzung von PoS-Terminals bis 2005 nur bei einigen Filialisten mit eigener DV. Kunden wünschten sich von Lavego eine preiswerte und zuverlässige Lösung für den bargeldlosen Zahlungsverkehr auf IP-Basis. Dazu sollten kostengünstige ADSL-Leitungen aller TK-Anbieter dienen, außerdem sollten sich ein LAN und der PoS-Datenaustausch bei bereits vorhandener DSL-Leitung gleichzeitig nutzen lassen. Neben speziellen Konfigurationen der Router war vor allem eine ausfallsichere DSL-Anbindung mit automatischer Umschaltung auf ISDN als Backup gefordert. Ferner sah das Pflichtenheft eine sichere verschlüsselte Übertragung der Kartendaten als absolutes Muss vor.

Angesichts dieser Anforderungen wurde schnell klar, dass ein Virtual Private Network (VPN) mit IPsec eingesetzt werden sollte. Da das Netz schnell wachsen würde, entschied sich Lavego für ein zertifikatsbasierendes VPN. Hierbei werden die Verbindungen nicht nur über ein -meist viel zu kurzes - Passwort verschlüsselt ("Preshared Keys"), sondern über 1024 oder 2048 Bit lange Schlüssel, die von einer eigenen Ausgabestelle unterzeichnet ("signiert") werden.

Der VPN-Test in der Praxis

Erste Tests liefen mit Linux-basierenden Firewalls, VPN-Servern, Firewall-Appliances und Open-Source-Software auf Seiten des Rechenzentrums sowie mit Routern verschiedener Hersteller. Die Ergebnisse waren ernüchternd: Die meisten Router konnten VPNs nur mit Preshared Keys aufbauen, die Kompatibilität zwischen verschiedenen Herstellern war sehr gering, und die Leistungsfähigkeit der VPN-Server im Rechenzentrum eignete sich keinesfalls für viele hundert Tunnel-Endpunkte.

"Keiner der damals getesteten Anbieter hatte praktikable Lösungen, die gleichzeitig für das Rechenzentrum und die Kundenseite in Frage kamen", zieht Florian Gohlke, Vorstand und Mitgründer der Lavego AG, rückblickend Bilanz. Ein Portfolio, das den Anforderungen entsprach, fand Gohlke dann bei Funkwerk.

Die Entscheidung, die bargeldlose Zahlungsabwicklung per VPN über das Internet zu realisieren, fiel im August 2005. Planung, Ausführung und Tests gleich danach dauerten zwei Mannwochen. Im ersten Schritt wurden zwei VPN-Gateways für das Rechenzentrum angeschafft. Die beiden Appliances wurden redundant über das herstellereigene BRRP-Protokoll verbunden, um Hardwareausfälle abzufangen. Beide Geräte wurden zudem jeweils über zwei verschiedene Internet-Anbindungen bei verschiedenen Providern angeschlossen.

Auf Kundenseite kamen zunächst Funkwerk-Router der Serien "Bintec X1200 II" und "Bintec X2302" zum Einsatz. Sie wurden später durch ADSL-Router mit VPN-Implementierung abgelöst. Einzelne Kunden mit bereits bestehender Bintec-Hardware wurden ebenfalls erfolgreich angebunden.

Ausfallsicherheit von VPN erhöhen

Als abzusehen war, dass die 250 in Lizenz genommenen Tunnel der beiden VPN-Konzentratoren nicht mehr ausreichen würden, wurden sie durch Enterprise Router mit VPN-Beschleunigerkarten im Rechenzentrum ersetzt. Gegen Netzgefahren wie Würmer, Viren, Spam-Mails und Hacker-Angriffe sichern zwei UTM-2100-Appliances, die ebenfalls von Funkwerk stammen.

"Schwierig war es, alle denkbaren Ausfallmöglichkeiten durchzuspielen, abzufangen und zu testen. Dank der Router können wir unseren Kunden heute ein hohes Maß an Ausfallsicherheit garantieren", blickt Gohlke zurück.

Als an einer Autobahn-Tankstelle der Blitz eingeschlagen hatte, fiel die gesamte Kommunikationstechnik aus. Für den Betreiber gleicht der Ausfall der Kartenzahlsysteme einer mittleren Katastrophe: lange Schlangen vor den Kassen, unzufriedene Kunden und Strapazen für die Mitarbeiter. Aufgrund des Schadens war abzusehen, dass die Wiederinstandsetzung mindestens zwei bis drei Tage dauern würde. Als der Hilferuf des Kunden Lavego um 16 Uhr erreichte, war sofort klar, dass man nur mit einer VPN-Mobilfunklösung schnell weiterarbeiten können würde. Diese wurde schlüsselfertig konfiguriert und per Express verschickt, so dass der Kunde am nächsten Morgen wieder online war.

Ausfallsicherheit von VPN-Strecken testen

Um Überraschungen im Live-Betrieb über eine VPN-Strecke zu vermeiden, überprüft Lavego regelmäßig seine Verbindung. Dabei werden folgende Gesichtspunkte beachtet:

• Umschaltung auf ISDN bei Ausfall der DSL-Anbindung.

• Nutzung der sekundären Anbindung bei Ausfall der primären Internet-Anbindung.

• zeitgesteuerter Reset der DSL-Leitung nachts, um tagsüber Ausfälle zu vermeiden.

• regelmäßiges Backup der Konfiguration auf einen TFTP-Server.

• Überwachung der Router-Aktivitäten per Remote-Syslog auf eine Appliance.

• Überwachung des VPN-Netzes in Bezug auf Latenzzeiten, Verfügbarkeit, Status des Routers und Alarmierung - je nach Status-

Zukunftspläne

Heute blickt Lavego auf eine erfolgreiche Projekteinführung zurück und betreibt ein permanent wachsendes Netz. Kartenzahlungen werden erheblich schneller abgewickelt. Parallel dazu sind die Kosten der VPN-Lösung bei den meisten Kunden erheblich günstiger als andere Anbindungsvarianten. Dies gilt besonders, wenn eine bereits vorhandene DSL-Leitung mitgenutzt werden kann. Lavego selbst profitiert davon, dass auch bei stark steigender Transaktionszahl keine weiteren Zugangsleitungen bereitgestellt werden müssen. "In der Branche konnten wir uns durch die frühe Einführung dieser VPN-Lösung erneut den Ruf als technischer Marktführer sichern", sagt Lavego-Vorstand Gohlke.

Für die Zukunft ist ein Ausbau des Systems als OSPF-Ring (Open Shortest Path First, dynamisches Routing-Protokoll) geplant, sobald mehr als 800 Tunnel verwaltet werden. (hal)

Dieser Artikel basiert auf Beiträgen unserer Schwesterpublikation Computerwoche.