Register Login |  Search
Friday, November 21, 2008  | Home » Service, Support & IT-Beratung » Entscheider-Wissen » VPN
 
VPN - Virtuelle Private Netze  VPN - Virtuelle Private Netze Minimize

Tunnelgräber im Internet

Virtual Private Networks (VPN) sind das ideale Werkzeug, um Netzwerke in Außenstellen sowie externe Mitarbeiter preisgünstig und zugleich sicher mit der Zentrale zu verbinden.

Das Internet ist aus dem heutigen Arbeitsleben nicht mehr wegzudenken und wird von großen Konzernen ebenso intensiv wie von mittelständischen Unternehmen und kleineren Firmen genutzt.
Über die Internet-Dienste findet der Großteil der Informationsbeschaffung statt und auch die eigenen Produkte sowie die Leistungsfähigkeit des Unternehmens werden gerne auf der eigenenWebsite präsentiert. Ebenso hat sich die Kommunikation mit anderen Firmen per E-Mail etabliert.

Vernetzung mit Vorbehalten

Wenn es jedoch um die Vernetzung der Firmenzentrale mit Außenstellen oder Heimarbeitsplätzen der Mitarbeiter geht, so herrschen vielfach Vorbehalte gegen eine Nutzung des Internets und viele Firmen setzen noch auf dedizierte Standleitungen oder eine ISDN-Anbindung. Allerdings sind mittlerweile DSL Anbindungen für eine LAN-LAN-Kopplung zwischen Zentrale und Außenstelle sowie für den Zugang vom Home Office weitaus preisgünstiger.
Angesichts der niedrigen Preise für die DSL-Flatrates spielt die Verbindungsdauer überhaupt keine Rolle mehr. Mitarbeiter im Außendienst lesen so über das Internet ihre E-Mails, tauschen aktuelle Auftragsdaten mit der Firma aus, sehen den Kalender ein oder erledigen ihre Büroarbeit vom Heimarbeitsplatz aus. Mittlerweile ist es nicht mehr erforderlich, teure symmetrische DSL-Leitungen zu ordern, da beispielsweise bei einem 6000 KBit-DSL-Tarif die Upload- Bandbreite 576 KBit beträgt. Das reicht, umauch größere Außenstellen mit bis zu 50 Mitarbeitern für normale Anwendungen wie Bürokommunikation oder Email und Intranet anzubinden.
Die aktuellen Preissenkungen bei DSL Flatrates haben die Betriebskosten deutlich reduziert und im laufenden Jahr sind noch weitere Preisnachlässe zu erwarten. Aktuell berechnet beispielsweise die Telekom für den Tarif DSL 6000 knapp 25 Euro pro Monat, eine Flatrate kostet knapp 10 Euro pro Monat. Für ein Home Office reicht in der Regel eine niedrigere Datenrate, hier sind für DSL samt Flatrate etwa 30 Euro monatlich zu kalkulieren.

Ein Tunnel im Netz

Das größte Problem bei einer derartigen Nutzung des Internets sind Hacker, die ohne geeignete Schutzvorkehrungen den Datenstromabhören oder manipulieren können, sowie Viren und Würmer, die dann relativ leicht in das Firmennetz eindringen können. Daher ist der Aufbau einer sicheren Verbindung, die ein Eindringen sowie eine Datenmanipulation unmöglich macht, zwingend erforderlich.
Genau dieses erlauben Virtual Private Networks (VPN) durch mehrere Schutzmechanismen. Bei Nutzung des Internets als Transportmedium baut ein VPN stets einen Datentunnel zwischen zwei Endpunkten auf, über den die Daten möglichst verschlüsselt übertragen werden. Endpunkte können VPN-fähige Router, aber auch PCs mit VPN-Client sein. Ein VPN-Tunnel ermöglicht es, für eine Netzwerk-Kopplung die IP-Adressbereiche der eigenen LAN-Segmente zu verbinden, ohne dass diese eine direkte Verbindung mit dem Internet haben. Die internen IP-Segmente des LANs werden durch NAT (Network Address Translation) vor dem Internet versteckt. Angreifer aus dem Internet können so nicht auf das eigene Netz und die darin enthaltenen Arbeitsplätze sowie Server zugreifen. Ein Internetzugang für die Mitarbeiter ist trotzdem möglich, dieser erfolgt jedoch kontrolliert über die Firewalls der Router.
Für eine Anbindung mehrerer Außenstellen oder Heimarbeitsplätze werden entsprechend viele Tunnel definiert, so dass letztendlich ein vermaschtes, eigenes Netzwerk im Internet entsteht. Durch Passworte und Adressprüfungen wird sichergestellt, dass nur berechtigte Router und VPN-Clients an diesem privaten Netzwerk teilnehmen können. Prinzipiell gibt es drei Szenarien für eine VPN-Nutzung: End-to-End, Endto- Site und Site-to-Site. Das erste Szenario End-to-End ist dabei nur selten genutzt, handelt es sich hier doch nur um eine feste Verbindung zwischen zwei Rechnern. Sehr häufig anzutreffen ist die Situation End-to-Site, was der Anbindung eines Mitarbeiter Home Office oder eines Notebooks im Außendienst an das Firmennetzwerk entspricht. Das Szenario Site-to-Site liegt beispielsweise bei der Anbindung von Außenstellen mit eigenem Netzwerk an die Firmenzentrale vor.

Vier Protokolle für VPN

IP-basierende VPNs setzen auf vier grundlegenden Protokollen auf, IPsec, TLS/SSL, PPTP und L2TP. PPTP und L2TP ohne IPSec sollten nicht verwendet werden, da sie als unsicher gelten. So beinhaltet L2TP zwar eine Authentisierung, aber keine Verschlüsselung. Um dieses Manko auszugleichen, lässt sich L2TP auch mit IPsec kombinieren. Weiterhin eignen sich PPTP und L2TP nicht für eine bidirektionale Site-to- Site-Verbindung.
Recht neu ist die Nutzung von TLS/SSL mit einer SSL-Verschlüsselung für eine End-to-Site- Anbindung. Der Vorteil ist hier, dass auf dem Endsystem kein eigener VPN-Client zu installieren ist, sondern die SSLImplementation in den verbreiteten Web-Browsern genutzt wird. Hier wird nicht das gesamte Endsystem in das VPN integriert, sondern nur eine Verbindung des Browers zu einem Applikationsserver hergestellt. Aktuelle SSLVPN- Lösungen ermöglichen zudem dank Plugins nicht nur den Zugriff auf Web-Applikationen. Da die Datenübertragung in der Regel über den TCP-Port 443 (HTTPS) erfolgt, gibt es keine Probleme mit der Network Address Translation (NAT) und dieUnternehmens-Proxis sowie -Firewalls müssen nicht umkonfiguriert werden.
Vor allem in Hinblick auf mobile Anwender lässt sich die Administration von SSL-VPN gegenüber IPsec deutlich vereinfachen. Ein Vorteil von SSL ist in diesem Zusammenhang, dass nicht der gesamte Netzwerkzugriff ermöglicht wird, sondern nur die Nutzung bestimmter Applikationen. Mittels Zugriffskontrolle lassen sich so die Berechtigungen auf bestimmte Bereiche oder Ressourcen beschränken. Das reduziert das Gefährdungspotential bei Missbrauch.
Obwohl SSL enorme Marktchancen eingeräumt werden, ist aktuell IPsec die vorherrschende Technik für VPNs. IPsec erfüllt höchste Sicherheitsstandards und übernimmt die Authentisierung, die Sicherstellung der Integrität und die Verschlüsselung (siehe Kasten »Aufwändige Sicherheit«). Resistent gegen Brute-Force-Angriffe eignet es sich für alle oben genannten Anbindungsszenarien. Um eine Vernetzung via VPN in der Praxis umzusetzen, gibt es prinzipiell zwei Lösungsansätze, der Aufbau eines eigenen VPNs (Secure VPN) oder die Inanspruchnahme eines VPN-Dienstleisters (Trusted VPN).

Secure VPN

Bei Secure VPN findet die komplette Verschlüsselung und Sicherung der Daten in Eigenregie statt, die Tunnelendpunkte befinden sich hierbei in den jeweiligen Außenstellen bzw. in der Zentrale sowie auf den Endsystemen der Außendienstmitarbeiter, also letztendlich im Verantwortungsbereich des Unternehmens. So ist sichergestellt, dass zu keiner Zeit ein Dritter Zugriff zu denUnternehmensdaten hat. Das Knowhow für den Betrieb des VPNs befindet sich im Unternehmen.
Die VPN-Endpunkte lassen sich nun entweder per Software oder per Hardware realisieren. Bei einer reinen Software- Lösung kommen in der Zentrale und in Außenstellen meistens VPN-Server unter Linux zum Einsatz, Mitarbeiter im Außendienst nutzen VPN-Clients für ihre Heimarbeitsplätze und Notebooks. Dies erfordert den größten Administrationsaufwand und das umfassendste Knowhow, da jeder Rechner einzeln zu konfigurieren ist.

Empfehlungen

Lancom 1721 VPN - Die Fülle an Optionen hat der Administrator mit den hervorragend gestalteten Assistenten jederzeit gut im Griff. Dank Hardwareverschlüsselung ist die Performance im Praxistest ordentlich. Bei der Ausstattung schlägt Lancom die Konkurrenz: Mit Zertifikatsunterstützung, eigenem DNS-Server, N:N-Mapping zur Verbindung von Netzen mit gleichen Subnetzen und dem integrierten Modem ist der Router für diese Geräteklasse konkurrenzlos gut ausgestattet.

Linksys RV042 - Der sehr gute Durchsatz auch bei aktiven 3DES oder AES beim VPN Durchsatz macht den RV042 zum Geheimtipp. Die VPN-Einrichtung ist trotz fehlendem Assistenten übersichtlich. Ein zweiter WAN-Port steht optional für Redundanz oder den Aufbau einer DMZ zur Verfügung. Für 199 Euro ein Schnäppchen, aber mangels Zertifikatsunterstützung nichts für große Unternehmen.

Vorteil VPN-Gateway

Deutlich einfacher und auch weiter verbreitet ist die Verwendung von VPN fähigen Routern oder Firewalls, die gleichzeitig als Endpunkt für den VPN Tunnel und als Übergabepunkt für die gesicherten und verschlüsselten Daten an den Internet Service Provider (ISP) fungieren. Derartige VPN-Gateways haben mehrere Vorteile. Sie sind als Hardware speziell auf diese Funktion hin konzipiert, entsprechend sicher und robust aufgebaut und vereinen die Funktionen Internet-Zugang, VPN Endpunkt, Firewall und gegebenenfalls noch Bandbreitenmanagement in einer Komponente. Pro Netzwerk ist nur genau ein Gerät zu installieren, während an den Rechnern innerhalb des Netzwerkes nichts zu konfigurieren ist. Für sie ist der VPN-Tunnel transparent und die Anwender merken nicht, ob ihre Daten nur innerhalb des Netzwerkes oder über den VPN-Tunnel transportiert werden.
Reichen 25-100 Tunnel pro Netzwerk, so lassen sich vergleichsweise preiswerte VPN-DSL-Router einsetzen (siehe Produktübersicht). Derartige Geräte kosten zwischen 120 und 700 Euro. Richtiges Tunneldesign ist wichtig Ein wichtiges Kriteriumbei der Entscheidung für eine Lösung mit VPN DSL- Routern ist die Anzahl der benötigten Tunnel. Pro LAN-LAN-Verbindung oder VPN-Anschaltung eines PCs an ein LAN wird ein Tunnel benötigt.
Vier Router, Linksys RV02, Lancom 1721 VPN, der Netgear FVL328 und der Draytek Vigor 2900i benutzen für eine schnellere Verschlüsselung spezielle Chipsätze oder Hardwarebeschleuniger. Beim Lancom 1721 VPN wird dieser Beschleuniger mit der 25-VPN-Tunnel-Option aktiviert. Ab 10 bis 20 gleichzeitigen Verbindungen ist er auf jeden Fall erforderlich. Abgesehen davon unterscheiden sich die Modelle hinsichtlich ihrer Verschlüsselungsleistung sehr. So ist der Linksys RV042 mit einer 3DES-Verschlüsselungsleistung von 3,5 MByte pro Sekunde überaus performant. Er ist fast 13-mal schneller als der D-Link DI- 804HV mit nur 272 KByte pro Sekunde. Neben dem RV042 weisen noch der Lancom 1721 VPN, der Netgear FVL328 und bedingt der Draytek 2900i Durchsatzraten auf, bei denen bei mehr als zehn gleichzeitigen Verbindungen kein Leistungseinbruch zu befürchten ist.
Wichtig sind daher beim umfangreicheren VPN-Einsatz eine Kalkulation der erforderlichen Bandbreite und eine Evaluierung mehrerer Geräte. Der ungeprüfte Griff zum billigsten Gerät mit den meisten Tunneln kann im Praxiseinsatz mit einer Enttäuschung enden. Gelegentlich besteht auch der Bedarf, keine VPN-Verbindung über das Internet herzustellen, sondern beispielsweise zwei Gebäude eines Unternehmens über eine öffentliche Strasse hinweg zu verbinden. Hier besteht die Gefahr, dass die Leitung auf diesem Wegestück angezapft und abgehört wird. Eine VPN-Direktverbindung zwischen zwei DSL-Routern verhindert dies zuverlässig. Alle aufgeführten Geräte ermöglichen dies.

 
Der Assistent des Funkwerk VPN Access 25 gibt dem Administrator wertvolle Tipps und ist die einzige integrierte Hilfe.   Diverse Assistenten erleichtern bei Lancom die ansonsten eher aufwändige Konfiguration des Routers.

Bremsen lösen

Allerdings ist es hier besonders wichtig, ein schnelles Gerät zu verwenden, da im Gegensatz zur DSL-Leitung keine andere Komponente den Durchsatz begrenzt. Wer mehr als 100 gleichzeitige Tunnel benötigt, muss zu großen VPN-Gateways greifen.
So verwaltet das Eicon Shiva 3115 VPN Gateway (ca. 5000 Euro,www.eicon.de) bis zu 1000 Standard IPSec Tunnel mit einem Gesamtdurchsatz von 30 MBit pro Sekunde bei 3DES-Versschlüsselung. Positiv ist, dass der dazu mitgelieferte Shiva VPN Client lizenzfrei verwendet werden kann. Das Shiva 3125 VPN Gateway managt gar bis 10 000 Tunnel bei einem Datendurchsatz bis zu 85 MBit/s.

Dynamische Wegfindung

Alle modernen VPN-Router unterstützen dynamisches DNS (DDNS). Das Problem bei Standard-DSL-Zugängen ist, dass mit dem Zugang keine feste IP-Adresse verknüpft ist. Vielmehr erhält ein Anwender aus dem Adresspool des jeweiligen Internet- Providers eine gerade zu diesem Zeitpunkt freie IP-Adresse. Sie ändert sich bei jeder Anmeldung. Bei Flatrates lässt sich die Änderungshäufigkeit zwar reduzieren, indem der Router die Verbindung möglichst nie abbaut, bei den häufig eingerichteten Zwangstrennungen nach spätestens 24 Stunden ist jedoch eine neue IP-Adresse unvermeidbar. Abhilfe schafft das Angebot diverser Anbieter von DNS-Diensten (Domain Name Service, etwa www.dyndns.org), indem der Administrator dort für jeden betriebenen Router einen eindeutigen DNS-Namen anlegt. Bei dyndns.org ist dieser Dienst für bis zu fünf Adressen kostenlos. Jeder Router verfügt über einen passenden DDNS-Client, der bei jeder Anwahl ins Internet diesen DNS-Eintrag mit der erhaltenen IP-Adresse aktualisiert. So können sich die Router im Internet über ihren DNS-Namen finden.
Die Verwendung von DDNS hat allerdings zwei Nachteile: Zum einen können Hacker sich bei einem der DDNS-Diensteanbieter die Zugangsdaten verschaffen oder zumindest Informationen über die vorhandenen Einträge, um diese Adressen dann gezielt zu attackieren. Zum anderen müssen die Router ständig im Internet online sein, auch wenn aktuell keine VPN-Verbindung aufgebaut ist. Sonst können sie Verbindungsanfragen der Gegenseiten nicht erkennen.
Ständige Onlinebereitschaft ist bei Geräten wie dem Lancom 1721 VPN und dem Funkwerk VPN Access 25 nicht unbedingt erforderlich. Beide Router haben einen ISDN-Anschluss, den sie dazu nutzen, um bei der Gegenstelle anzurufen und so einen Verbindungsaufbau zu initiieren. Beide verwenden möglichst nur den D-Kanal zum Übertragen der jeweiligen IP Adressen, so dass keine Telefongebühren anfallen. Nur wenn dies nicht klappt, wird kurz ein kostenpflichtiger Anruf durchgeführt. Ein Eintrag bei einem DDNS-Provider wird damit hinfällig.

Trusted VPN

Während beim Secure VPN der Nutzer selbst die VPN-Endpunkte kontrolliert, die Datenverschlüsselung durchführt und letztendlich das gesamte VPN selbst unterhält, überlässt er dies beim Trusted VPN einem VPN-Betreiber. Hier haben die großen Telekommunikationsunternehmen und Internet Provider wie die Telekom selbst, Arcor, Telefónica und Claranet, aber auch lokal tätige Anbieter wie Mnet/Nefkom (www.m-net.de, www.nefkom.de) ein neues Geschäftsfeld entdeckt.
Bei einem Trusted VPN werden die Daten unverschlüsselt an den VPN-Betreiber übergeben, der vertraglich die Vertraulichkeit zusichert. In der Praxis heißt das, dass der Betreiber entweder mit VPN-Clients arbeitet oder beim Kunden ein VPN-Gateway als Übergabepunkt und Verbindung zum Carrier-Netz aufstellt. Die Kontrolle über diesenÜbergabepunkt hat der VPN-Betreiber, der auch für die Konfiguration zuständig ist. Bei einem Trusted VPN kommt neben IPsec noch ein weiteres Protokoll ins Spiel, MPLS (Multi Protokoll Label Switching).
MPLS funktioniert ähnlich wie früher ATM oder Frame Relay bei Standleitungen und vereint die Vorteile einer ATM-Vermittlungstechnik mit der Flexibilität des IP-Routings. Der Vorteil ist, dass sich viele VPNs mit gleichen IPAdressbereichen ohne Konflikte transportieren lassen, da den übertragenen Paketen für dieWegefindung im Carrier- Netz noch Labels vorangestellt werden.
Eine kryptografische Sicherheit durch Authentisierung und Verschlüsselung ist nicht automatisch gegeben, sondern muss bei Bedarf zusätzlich konfiguriert werden. Da die IP-Pakete aber über spezielle Leitungen des Providers geführt und um Labels ergänzt werden, sind die Dateninhalte für andere Benutzer nicht zugänglich. Für den Nutzer selbst wird der VPN-Verkehr völlig transparent verarbeitet. MPLS bietet im Gegensatz zu IPsec eine klar definierte Servicequalität (QoS) mit garantierter Verfügbarkeit, Bandbreite und maximaler Verzögerung. Um dem Kunden die verschiedensten Zugänge für Home Office, Außenstellen und Außendienstmitarbeiter anzubieten, wird häufig sowohl mit IPsec als auch MPLS gearbeitet.
So bindet Arcor (www.arcor.de) bei seinem VPN-Angebot Company Net für Firmen die Zentrale sowie Außenstellen direkt an den MPLS-Backbone an, es können aber Filialen und entfernte Mitarbeiter ebenso per ISDN, DSL oder Mobil (UMTS) zugreifen.
Weiterhin werden zentrale Dienste wie IP-Telefonie, Videokonferenzen und Mail-Service angeboten. Alle Zugänge kommen im Company Net zusammen, die Verbindung zum Internet wird zentral über eine Managed Firewall realisiert.
Claranet (www.claranet.de) bietet mit clara VPN ähnliches an, allerdings erfolgt hier die Kommunikation im Claranet Backbone mittels verschlüsseltem IPsec-Tunneling.
Für den Mittelstand hat Telefónica (www.telefonica.de) zwei Komplettpakete geschnürt: Die Anbindung von drei vernetzten Standorten kostet 417 Euro monatlich, fünf Standorte kosten 614 Euro. Hier kommt wieder die MPLS Technologie zum Einsatz.
Das Angebot directVPN der Telekom (www.telekom.de) nutzt ausschließlich Software als VPN-Clients und setzt auf eine bestehende Internetverbindung auf. Die Datenübertragung erfolgt verschlüsselt mit IPsec. Es gibt Pakete zur Vernetzung von 2, 5 10 und 15 Clients zu Preisen zwischen 15 und 60 Euro pro Monat. Das Vernetzen ganzer Filialen per Router ist nicht vorgesehen, sondern hier geht es ausschließlich um einzelne Clients. Soll der Zugriff auf einen Server erfolgen, so ist auch auf diesem die VPN-Software zu installieren.

Aufwändige Sicherheit

Allein schon die Vielfalt der notwendigen Angaben bei der Konfiguration eines VPN-Tunnels lässt erahnen, welch immenser Aufwand für eine sichere Verbindung betrieben wird. IPSec ist ein Protokoll-Standard des IETF (Internet Engineering Task Force), der Mechanismen für eine Authentisierung, Integrität und Vertraulichkeit bereitstellt, um Daten sicher über eine (frei zugängliche) IP-Verbindung zwischen zwei Punkten zu übertragen. Bei einer derartigen Übertragung ist sicherzustellen, dass die empfangenen Pakete tatsächlich vom erwarteten Absender stammen (Authentisierung), dass niemand den Inhalt eines Pakets auf dem Weg durch das offene Internet manipuliert (Integrität) und dass durch Einsatz einer Verschlüsselung niemand die übertragenen Informationen mitliest (Vertraulichkeit). Zu beachten ist dabei, dass IPSec zwar die Mechanismen bereitstellt, es aber dem Anwender freistellt, sie nur teilweise oder umfassend zu nutzen. Außerdem können verschiedene Algorithmen für das Schlüsselmanagement und die Verschlüsselung selbst gewählt werden.



IPSec enthält für die Umsetzung die drei Komponenten ESP (Encapsulating Security Payload), AH (Authentication Header) und IKE (Internet Key Exchange). ESP und AH beschreiben dabei das prinzipielle Verfahren für die Übertragung der eigentlichen Datenpakete, IKE definiert das Schlüsselmanagement. Gemäß IPSec wird für eine Kommunikation eine so genannte sichere Verbindung (SA = Security Association) aufgebaut. Diese SA ist unidirektional, für einen typischen bidirektionalen IPSec-Tunnel sind also zwei SAs in gegenläufige Richtung erforderlich. Der Tunnelaufbau erfolgt in zwei Stufen: In der ersten Stufe (IKE Phase 1) handeln die beiden Gegenstellen eine Verschlüsselung (etwa DES, 3DES oder AES) und den Authentisierungsalgorithmus (MD5 oder SHA-1) aus, danach nutzen sie diese Vereinbarung für die gegenseitige Authentisierung. Diese erfolgt entweder anhand eines Preshared Keys (identisches Passwort auf beiden Seiten) oder anhand einer RSA-Signatur, welche ein Zertifikat erfordert. Die Authentisierung kann entweder im schnelleren »Agressive Mode« mit drei unverschlüsselten oder im »Main Mode« mit sechs unverschlüsselten Paketen erfolgen. Als letzte Aktion der Phase 1 wird über den Diffie-Hellmann-Algorithmus ein öffentlicher Schlüssel für die IKE Phase 2 erzeugt. In der IKE Phase 2 handeln die Gegenstellen erneut eine Verschlüsselung und eine Authentisierung aus, aus dem Master-Schlüssel werden dann die IPSec-Schlüssel für die sichere Verbindung (SA) erzeugt. Nun können Benutzerdaten gemäß ESP oder AH übertragen werden.

Sicherheit nach Mass

Die effektive Sicherheit eines Tunnels ändert sich mit den gewählten Einstellungen. Bei der Schlüsselverwaltung (IKE) unterstützen alle Router das Preshared Key-Verfahren über ein bei der Konfiguration einzugebendes Kennwort. Bei VPN Umgebungen bis etwa 25 Tunnel ist dieses Verfahren akzeptabel.
Wichtig ist es, für alle Tunnel unterschiedliche Kennworte zu wählen, sonst öffnet eine Aufdeckung einem Eindringling alle Wege. Daher sind RSA-Signaturen mit Zertifikaten bei umfangreicheren VPN-Vernetzungen sinnvoller. Hier nutzt jeder Router ein eigenes Zertifikat, eine Änderung ist geräteweise möglich und ungültige Zertifikate werden in einer CRL (Certificate Revocation List) geführt. Beispielsweise der Lancom 1721 VPN, der Funkwerk VPN Access 25 sowie der Netgear FVL328 beherrschen IKE mittels RSA-Signaturen und sind damit für größere Installationen gut gerüstet. Um sich als Alternative zu Zertifikaten vor allem bei der Anmeldung einzelner Clients nicht nur auf einen Preshared Key zu verlassen, unterstützen viele Router eine zusätzliche Benutzerauthentisierung.
Sehr wichtig ist es, als Übertragungsverfahren ESP und nicht AH zu wählen. AH sorgt zwar für eine Authentisierung und die Integrität der übertragenen Pakete, gewährleistet aber keine Vertraulichkeit, da die Daten selbst nicht verschlüsselt werden. Hat ein Hacker den Datenstrom im Internet ausfindig gemacht, kann er den Inhalt mitlesen, wenn auch nicht verändern. Außerdem erhält er genaue Informationen über Quell- und Ziel-IP-Adresse. Nur ESP beinhaltet zusätzlich eine Datenverschlüsselung inklusive Quell- und Ziel-Adresse, so dass auch diese Informationen verschleiert werden. Durchgängig unterstützt werden die Verschlüsselungen DES (56 Bit) und 3DES (168 Bit), wobei letztere aktuell weit verbreitet ist. Zum einen ist ein 56-Bit-Schlüssel nicht sicher genug, zum anderen sind die Router performancemäßig meist auf 3DES optimiert, so dass der deutlich längere Schlüssel den Durchsatz nur minimal verringert. Im Kommen ist die Verschlüsselung AES mit 128, 192 oder 256 Bit, die noch mehr Sicherheit und Performance bietet, aber noch nicht durchgängig unterstützt wird. Bei den beiden Authentisierungsalgorithemen MD5 von RSA (16 Bit) und SHA-1 (Secure Hash Algorithm, 20 Bit) von der US-Regierung ist letzterer etwas sicherer. Auf die Transferperformance aber wirkt sich die Einstellung nicht aus. Statt der Nutzung von IKE besteht die Möglichkeit einer manuellen Schlüsseleingabe. Diese ist allerdings sehr aufwändig, da alle Schlüssel mit korrekter Länge anzugeben sind. Sie ist weder üblich, noch wird sie empfohlen.

Angebote Vergleichen

Eine VPN-Lösung ist immer auf die eigenen Erfordernisse abzustimmen. Während das Telekom-Angebot für die Kommunikation zwischen wenigen, einzelnen Clients gedacht ist, konzentrieren sich die Lösungen von Telefónica und Arcor eher auf die Filialvernetzung. Wer die Angebote vergleicht, sollte die für Ihn wichtigen Aspekte prüfen:

  • Sind in erster Linie Filialen oder nur einzelne Arbeitsplätze wie Home Offices zu verbinden?
  • Sind die Arbeitsplätze stationär oder handelt es sich um bewegliche Zugänge (Außendienst)?
  • Soll eine Filialvernetzung regional, national oder weltweit erfolgen?
  • Was kostet die Anbindung weiterer Home Offices oder Filialen?
Je nach Sicherheitsanforderung lassen sich die verschiedenen Lösungen durchaus kombinieren (Hybrid VPN). Beispielsweise lassen sich die Filialen per Trusted VPN zusammenschalten, während die Außendienstmitarbeiter ein Secure VPN nutzen.
Über ein Trusted VPN lässt sich auch mittels IPsec ein Secure VPN drüberstülpen, um die Vorteile des garantierten QoS mit der zusätzlichen Datensicherheit zu vereinen. Die Abwägung von Performance, Sicherheit und Kosten spielen hier eine entscheidende Rolle.

Quelle: CIM - Computer im Mittelstand, Ausgabe 12/06, Autor JÜRGEN HEYER
  
 
 Terms Of Use | Privacy Statement | Impressum 2008, netzhaus AG