Sicherheit von der Stange

Im Mittelpunkt des abschließenden Teils der Artikelserie zum Thema Extranets stehen Produkte, mit denen sich solche Netze aufbauen lassen. Dabei wurden nur Komponenten berücksichtigt, die den Vorgaben von IPsec entsprechen, dem neuen Sicherheitsstandard im Internet.

Von: Kai-Oliver Detken, Bernd Reder

Dank des Standards IPsec ist der Anwender heute nicht mehr auf herstellerspezifische Extranet-Lösungen angewiesen. Trotzdem treten immer wieder Probleme mit der Interoperabilität auf. Das hat zwei Ursachen: Manche Anbieter interpretieren die Spezifikationen sehr großzügig, andere fügen proprietäre Funktionen hinzu. Um die Kompatibilität zwischen den Produkten zu erhöhen und die Sicherheit zu garantieren, stellt die ICSA (http://www.icsa.net) Zertifikate aus. Diese Organisation testet und bewertet Sicherheitslösungen für Netzwerke. Allerdings ist ein Zertifikat der ICSA noch keine Garantie, daß eine IPsec-Komponente mit anderen zusammenarbeitet. Das liegt unter anderem daran, daß IPsec eine "junge" Spezifikation ist. Experten arbeiten bereits an der Version 1.1, die Zertifizierungsstellen (Certificate Authorities) und Tunnels über variierende Subnetze berücksichtigt.

Bei Extranets auf Grundlage von IPsec sind folgende Punkte zu beachten:

-Performance,

-Migration,

-Zugriffssicherheit,

-Schlüsselverwaltung (Key-Management) und

-Zertifikate.

Die Sicherheitsmechanismen von IPsec wirken sich nicht nachteilig auf die Performance im internen IP-Netz (Intranet) aus, weil diese Verfahren nur im Extranet und am Netzrand in der Firewall oder dem Router ansetzen. Anders sieht es bei den Teilnehmern eines Extranets aus. Sie müssen mit Leistungseinbußen rechnen.

IPsec verwendet zwei Sicherheitsmechanismen: die "Encapsulated Security Payload" (ESP) und den "Authentication Header" (AH). Die ESP garantiert die Integrität und Vertraulichkeit von IP-Paketen. Außerdem spielt sie bei der Authentifizierung eine Rolle, vor allem in Verbindung mit dem Authentication Header.