Sicherheit von der Stange

Secure VPN mit Layer3-Tunneling-Switch

Mit "Secure VPN" stellte 3Com eine Extranet-Lösung mit interessanten Leistungsmerkmalen vor. Sie stellt im Transportmodus IPsec-Funktionen bereit. Für den Aufbau eines Tunnels durch das Internet ist das "Point-to-Point Tunneling Protocol" (PPTP), eine Entwicklung von 3Com und Microsoft, zuständig. Künftig soll auch das "Layer 2 Tunneling Protocol" (L2TP) unterstützt werden. Außerdem kann der Anwender PPTP gemeinsam mit IPsec im Transportmodus einsetzen.

Wie bei der NCP-Lösung bezieht "Secure VPN" mobile Teilnehmer sowie unterschiedliche Protokolle mit ein, etwa IPX, Appletalk und Netbios. Das Standard-Tunnelprotokoll ist IP, das der Anwender durch ATM oder Frame-Relay ersetzen kann. Für die Softwarelösung benötigt der Benutzer einen "Tunnel Initiator" (TI), ein geroutetes Netz und "Tunnel Terminators" (TT). Ein Mitarbeiter kann beispielsweise einen Tunnel von seinem Laptop mit der entsprechenden Software aufbauen.

Besonders interessant ist die "Secure VPN"-Variante, die mit Layer-3-Tunnel-Switches arbeitet. Das Gerät erzielt eine deutlich höhere Leistung als herkömmliche Firewalls mit VPN-Funktionen oder Softwarelösungen. Bei eingeschalteter Verschlüsselung und Kompression routet es bis zu 180000 Pakete pro Sekunde und unterstützt mehr als 2000 Tunnels. Die Vorteile dieses Ansatzes sind

-die Skalierbarkeit: Vorkonzentration von Tunneln und Lastverteilung zu verschiedenen TTs,

-die Sicherheit: Ein Tunnel bis zur Anwendung ersetzt den Netzzugang. Hinzu kommt, daß die innere Firewall effizienter arbeiten kann und

-die Protokollumsetzung: Umwandlung des Tunnelprotokolls sowie Wandlung verschlüsselter in unverschlüsselte Tunnel.

Zur Verschlüsselung wird Microsofts "Point-to-Point Encryption" (MPPE) in der 40-Bit-Version angeboten, die auf 128 Bit erweitert werden kann. MPPE verschlüsselt PPP-Pakete des Clients, bevor sie in den PPTP-Tunnel geschickt werden. Für die Benutzererkennung wird das "Challenge Handshake Protocol" (MS-CHAP) verwendet, allerdings nur dann, wenn IPsec nicht eingesetzt wird.