Safer Net
Tunnel als Grundlage von VPNs und Extranets
PPP läßt sich unterteilen in das "Password Authentication Protocol" (PAP) und das "Challenge Handshake Authentication Protocol" (Chap). Sie dienen zur Authentifizierung und Überprüfung der Identität eines Benutzers im Extra- oder Intranet.
Das Zugangssystem ist über ein LAN oder ein Weitverkehrsnetz mit dem dahinter liegenden Netz verbunden und leitet die Pakete über PPP zum Zielrechner weiter. Bei der Tunnellösung packt das Zielsystem die vom Teilnehmer empfangenen PPP-Pakete in ein Tunnelprotokoll ein und transportiert dieses über das Internet weiter.
Durch das Tunnelverfahren verhält sich das System so, als hätte sich der Teilnehmer direkt eingewählt. Zusätzlich wird der externe Teilnehmer autorisiert und erhält eine IP-Adresse. Die IP/IPX-Pakete werden entpackt und anschließend zum Adressaten weitergeleitet. Das Endgerät kann ein Access-Router sein oder ein Server, der in der Lage ist, Tunnelmechanismen zu implementieren. Auf diese Weise entsteht ein Virtuelles Privates Netz (VPN) beziehungsweise ein Extranet. Der Anwender hat die Wahl zwischen fol- genden Vorgehensweisen:
- Er baut den Tunnel selbst auf: Im Intranet wird dazu ein Tunnelserver aufgesetzt. Die Clients greifen über eine spezielle Software auf das Netz zu.
- Outsourcing: Ein Internet-Service-Provider errichtet und verwaltet im Auftrag des Kunden den Tunnel. Teilnehmer im Extranet sind über eine Wähl- oder Standleitung mit dem ISP verbunden; eine spezielle Software ist nicht notwendig.
- Hybride Realisierung: Auch hier ist der ISP für den Aufbau und das Management des Tunneling verantwortlich, der Server steht jedoch beim Anwender.
Router enthalten standardmäßig Techniken, die auch beim Tunneling zum Zuge kommen können. Dazu zählt das "Point-to-Point Tunneling Protocol" (PPTP). Beim ihm werden die Pakete in eine modifizierte Form des "Generic Routing Encapsulation Protocol Version 2" (GRE V2) verpackt und zum "Network Access Server" (NAS) des Service-Providers transportiert.
Beim NAS erfolgt keine Authentifizierung des Benutzers, sondern eine statische Zuordnung. Der Teilnehmer kann daher nicht den Endpunkt des Tunnels bestimmen; der Betreiber des Zugangssystems ist wiederum nicht in der Lage, Accounting- oder Statistikdaten zu erfassen. Ein weiterer Nachteil des Verfahrens ist, daß das Home Gateway ein Windows-NT-Rechner sein muß. Zudem benötigt es eine feste IP-Adresse für die statische Vergabe der Route. Viele Unternehmen verwenden jedoch private IP-Adressen gemäß RFC-1918.