Kommunikation im Tunnel
Latenzzeiten und Bandbreite kontrollieren
In diesem Zusammenhang kommen zwei Parameter ins Spiel: die Latenzzeit und der Durchsatz. Latenz ist bei einem VPN-Gateway die Zeit, die es benötigt, um die Daten zu bearbeiten, beispielsweise einzupacken oder zu verschlüsseln. Der Durchsatz beziehungsweise die Bandbreite ist die Zahl der Pakete, die ein System in einer bestimmten Zeit verarbeiten kann. Diese Kennzahl ist in einem VPN speziell dann relevant, wenn das Netz eine höhere Bandbreite hat als das Gateway verkraften kann. In diesem Fall wirft das System bei Überlast Pakete weg, was den UDP- oder TCP-Verkehr beeinträchtigen kann.
Latenz und Durchsatz sind nicht zwangsläufig miteinander verknüpft. Ein System im Netz kann durchaus langsam sein, aber für eine große Bandbreite ausgelegt sein - und umgekehrt. Bei Geräten, die IPSec-Informationen verarbeiten, besteht dagegen häufig eine enge Beziehung zwischen Verzögerungszeiten und Bandbreite. Das gilt vor allem für softwarebasierte VPN-Lösungen, bei denen ein Zentralprozessor zusätzliche Aufgaben übernehmen muss, wie das Netzwerkmanagement. Eine erhöhte Belastung führt bei diesen Systemen unter Umständen zu höheren Latenzzeiten, die sich wiederum negativ auf den Durchsatz auswirken können. Einen anderen Weg gehen hardwarebasierte VPN-Gateways: Bei ihnen sind spezielle Prozessoren für die Sicherheitsfunktionen zuständig, insbesondere IPSec und "Internet Key Exchange" (IKE). Die Bearbeitung von IPSec-Protokollen unterscheidet sich erheblich von den "normalen" Gateway-Funktionen wie Routing oder Network Address Translation (NAT). Im Gegensatz zu diesen muss das VPN-System jedes Datenpaket komplett verarbeiten, nicht nur den Header. Hinzu kommt, dass die von IPSec verwendeten Algorithmen erheblich mehr Rechenzeit beanspruchen als beispielsweise die Routing-Verfahren.
Aus diesem Grund verteilen hardwarebasierte VPN-Gateways die Aufgaben, die im Zusammenhang mit IPSec anfallen, auf mehrere Prozessoren, also :
- die Verarbeitung des IP-Kopffeldes inklusive Tunneling und Generieren eines IPSec-Headers, sowie
- das Codieren und Decodieren der Daten.
Vorgänge wie das Ver-/Entschlüsseln und das Bearbeiten der digitalen Signatur laufen parallel, und damit schneller ab als bei softwarebasierten Lösungen.
IKE, so das Kürzel für das "Internet-Key-Exchange"-Verfahren, basiert auf zwei Schlüsselalgorithmen: dem "Diffie-Hellman Key Agreement Protocol" und dem "RSA Digital Signature/Encryption"-Algorithmus. Ebenso wie IPSec "frisst" der Schlüsselaustausch mit Hilfe von IKE CPU-Kapazität, so dass sich aus diesem Grund eine hardwarebasierte VPN-Lösung anbietet. Dieser Ansatz bietet noch einen weiteren Vorteil: IKE versetzt Netzwerkmanager in die Lage, VPN-Sites in Sub-Netze aufzuteilen. Diese lassen sich über separate sichere Kanäle koppeln, die in der IPSec-Terminologie als "Security Associations" (SAs) bezeichnet werden.
Hardwaregestützte IKE-Implementierungen sind in der Lage, gleichzeitig mehrere Tausend SAs zu unterhalten. Softwarelösungen schaffen meist nur mehrere Dutzend. Dieser Faktor spielt vor allem in großen VPNs mit mehreren Hundert oder gar Tausend Sicherheits-Gateways eine Rolle, hinter denen wiederum Dutzende von Sub-Netzen liegen können.