![[Netzplan]](78-1.jpg)
VPN über Internetstandleitung
VPNs sind zurzeit in aller Munde. Doch nicht jeder, der von VPNs spricht, kann sich auch sicher sein, dass sein Gegenüber dasselbe damit meint wie er. Der Grund hierfür ist ein unpräziser Sprachgebrauch: VPN hat sich zu einem Modewort entwickelt und wird als Oberbegriff für eine Reihe von unterschiedlichen "privaten" Netzwerken verwendet. Internet Service Provider benutzen den Ausdruck, um ihren IP-Backbone zu bewerben. Carrier hingegen meinen damit in der Regel den Aufbau eines Netzes für eine geschlossene Benutzergruppe, bei dem ausschließlich die eigene Infrastruktur und das eigene Diensteangebot zum Einsatz kommt. Der Netzwerkadministrator eines Unternehmens spricht von "seinem VPN", meint aber tatsächlich das Corporate WAN (Wide Area Network). Häufig wird nicht unterschieden, ob das Netzwerk leitungsvermittelnde Lösungen wie Wähl- und Festverbindungen, paketvermittelnde Technik wie Frame Relay und ATM (Asynchronous Transfer Mode) oder per IP das Internet nutzt.
Die Definition eines Virtual Private Networks ist freilich eindeutig: ein geschlossenes Netzwerk, das auf der Infrastruktur und dem Diensteangebot eines oder mehrerer öffentlicher Netzanbieter als getrennte logische Einheit abgebildet wird. Es entsteht ein quasi privates Netzwerk, das einem geschlossenen Benutzerkreis Dienste und Anwendungen zur Verfügung stellt wie sonst nur ein eigenes Unternehmensnetz.
Der Ausdruck VPN allein gibt demnach noch keine Auskunft über die eingesetzte Infrastruktur. Als Vernetzungsalternativen stehen leitungsvermittelnde Wählverbindungen sowie Standleitungen zur Verfügung, um die Distanz zwischen dem eigenen Standort und dem nächstgelegenen Point of Presence (PoP) des Service Providers zu überbrücken. Einwahllösungen arbeiten mit ISDN-Karten, analogen Modems oder Routern. Ihr Nachteil sind die niedrigen Übertragungsraten von maximal 56 kBit/s analog oder bei digitaler Einwahl 64/128 kBit/s. Dieser Durchsatz erlaubt lediglich einen sporadischen Datenaustausch, für zeitkritische Anwendungen ist diese Lösung oft ungeeignet. Außerdem bleiben die Kosten bei Wählverbindungen schwer vorhersehbar, da Service Provider meist nach Minuten und nicht zum monatlichen Festpreis abrechnen.
VPN über Internetstandleitung
Festverbindungen bieten mehr Kalkulationssicherheit und sorgen mit Durchsatzraten von 64 kBit/s bis 34 MBit/s selbst bei Multimedia- und ERP-Anwendungen für eine gute Performance. Gemietete Leitungen sind jedoch häufig kostspielig, vor allem wenn Standorte über mehrere Länder oder gar weltweit verteilt sind.
----------Anfang Textkasten----------
Frame Relay und ATM sind die Techniken, die bislang überwiegend zum Aufbau (nicht-virtueller) privater Netzwerke zum Einsatz kommen. Frame Relay ist eine verbindungsorientierte Netzwerktechnik, die Pakete zum Transport von Informationen verwendet. Sie nutzt im Wesentlichen nur die unteren zwei Schichten des OSI-Referenzmodells und bietet mit dieser relativ einfachen Struktur optimale Voraussetzungen zum Transport der unterschiedlichsten Netzwerkprotokolle.
Entscheidendes Merkmal von Frame Relay ist, dass über eine physikalische Verbindung mehrere virtuelle Verbindungen geführt werden können. Mit Übertragungsgeschwindigkeiten von 64 kBit/s bis 2048 kBit/s gewährleistet diese Netzwerktechnologie selbst bei zeitkritischen Anwendungen optimale Performance. Denn am Frame-Relay-Interface kann man jeder logischen Verbindung eine so genannte Committed Information Rate (CIR) zuteilen. Diese CIR bestimmt die Übertragungsrate, die das Netzwerk auf dieser Verbindung garantiert. Damit kann man Applikationen bedienen, die ständig eine konstante Bandbreite benötigen.
Die CIR sollte man in einer Größenordnung anmieten, die in etwa der Grundlast des Netzwerks entspricht. Übertragungsspitzen oberhalb der CIR übertragen Provider in der Regel kostenlos. Die Zugangsleitung zum Frame-Relay-Knoten – ein wesentlicher Kostenfaktor – sollte mindestens doppelt so groß dimensioniert werden wie die CIR, damit die Vorzüge von Frame Relay voll zum Zuge kommen können. Großer Pluspunkt eines Frame-Relay-Netzes ist die relative Unbedenklichkeit in punkto IT-Sicherheit. Da ein Frame-Relay-Netzwerk in der Regel über keinen direkten Zugang zum öffentlichen Internet verfügt, bleiben Angreifer ebenfalls außen vor.
----------Ende Textkasten----------
Das "klassische" VPN nutzt typischerweise das Internet als Transportplattform. Internet-VPNs ermöglichen, vor allem bei internationalen Verbindungen, beträchtliche Kosteneinsparungen im Verhältnis zu anderen privaten Netzen. Zudem haben Einwände in Bezug auf Sicherheit und Verwaltung bei richtigem Sicherheitsmanagement inzwischen an Gewicht verloren. Unbestritten besteht derzeit ein großes Interesse an VPNs. Die allgemeine Aufmerksamkeit hat jedoch auch zu einigen Mythen über VPNs geführt.
VPN ist nicht gleich Internet-VPN. Es ist durchaus möglich, ein quasi privates Netzwerk mit dem Frame-Relay-Protokoll aufzubauen. Dabei nutzt man gemeinsam mit anderen Kunden den Frame-Relay-Backbone eines Carriers. Auch Protokolle wie IPX lassen sich über Internet-VPNs übertragen, wenn man sie in IP-Pakete kapselt.
Andererseits müssen nicht alle IP-Netzwerke tatsächlich VPNs sein. Viele Carrier haben in den letzten Jahren IP-VPNs in ihr Produkportfolio aufgenommen, stellen aber lediglich ihren eigenen IP-Backbone zur Verfügung. Solche Private-IP-Netzwerke (PIP) sind geographisch beschränkt, da sie an die Infrastruktur eines einzelnen Carriers gebunden sind. Außerdem ist die Voraussetzung "virtuell" tatsächlich erst dann erfüllt, wenn keine konkrete physische Basis für den Datenstrom vorgegeben und nicht nur ein eingeschränkter Teil des Internets für den Aufbau eines privaten Netzwerks verwendet wird.
In vielen Fällen stößt der Kunde spätestens bei exotischen Vernetzungswünschen (wie Osteuropa, Afrika und Asien) an die Grenzen eines einzelnen Providers. Ist der Carrier im gewünschten Land nicht mit einem eigenen Point of Presence (PoP) vertreten, wird im besten Fall auf einen vermeintlichen Partner verwiesen. Oft leidet die Performance des Unternehmensnetzes darunter, dass viele Peering Points durchlaufen werden müssen: Übergangsschwellen zwischen den Netzwerken der verschiedenen Provider. Kommt es zu Schwierigkeiten, liegt das Problem natürlich immer beim anderen Anbieter ...
Genauer Kontrolle bedarf auch die Laufzeit des Vertrages: Viele Carrier locken mit auf den ersten Blick günstigen Preisen bei langen – drei- bis fünfjährigen – Laufzeiten. Tatsächlich hat sich aber in den letzten Jahren gezeigt, dass Unternehmen, die sich nur für kurze Zeit an einen Provider binden, aufgrund der günstigen Wettbewerbssituation auf dem Leitungsmarkt bessere Preise erzielen als solche mit einem langjährigen Vertrag.
Mit der zunehmenden Bedeutung des Internet-Protokolls rüsten viele herkömmliche Carrier und Telekommunikationsanbieter ihre Netzwerke schnell auf, um IP zu unterstützen. In den letzten Jahren haben beispielsweise BT, AT&T, UUNet und Global Crossing IP-Services eingeführt, die sie als VPNs bezeichnen.
Global Crossing hat das Banknetzwerk SWIFT im Februar 2001 als das bisher größte VPN angekündigt. Da die SWIFT-Transaktionen jedoch ausschließlich über das Global-Crossing-Netzwerk abgewickelt werden, fehlt dabei eindeutig die Voraussetzung "virtual" – es handelt sich stattdessen um ein PIP-Netzwerk.
Anders als Leitungsanbieter bauen Virtual Network Operator (VNO) ein in jeder Hinsicht virtuelles privates Netzwerk auf. Sie integrieren je nach Kundenwunsch auch mehrere Carrier beim Aufbau eines WAN und sind damit in der Lage, fast jeden Standort weltweit ans Internet anzubinden. VNOs beziehen ihre Bandbreite von verschiedenen Providern und können durch die spezifische Auswahl ein individuelles Netzwerk mit einem "Single Point of Contact" anbieten. Außerdem übernehmen sie für den Kunden die Überwachung der vereinbarten Service Level Agreements oder der Peering-Vereinbarung bei der Zusammenarbeit mit mehreren Carriern. Durch seine Unabhängigkeit von Leitungsanbietern achtet der VNO beim Netzwerkaufbau darauf, nur so viel Bandbreite einzuplanen, wie zum performanten Betrieb des WAN wirklich notwendig ist.
![[Netzplan]](78-2.jpg)
VPN für den internen Datenverkehr
Weil der Datenverkehr bei VPNs über das tendenziell unsichere Internet läuft, wird häufig befürchtet, dass dieses Konzept unkalkulierbare Risiken mit sich bringt. Inzwischen stehen aber zahlreiche Mechanismen zur Verfügung, die vor unerwünschtem Zugriff schützen.
Die am häufigsten eingesetzte Sicherheitsmaßnahme ist die Firewall als Pförtner zum lokalen Netz, üblicherweise integriert in den Gateway-Server. Viele Unternehmen sind leider noch immer davon überzeugt, dass allein eine Firewall ausreicht, um absolute Sicherheit zu gewährleisten. Einmal installiert, bleibt sie dann oft jahrelang sich selbst überlassen. Zeitmangel und fehlendes Fachwissen bei Administratoren können darüber hinaus für gefährliche Lücken sorgen.
Doch selbst eine ständig gepflegte Firewall kann nur eine Komponente im Sicherheitsmanagement darstellen. Als reaktives Sicherheitssystem kann sie nur anhand eines vorher programmierten Regelwerks entscheiden, ob Verbindungen erlaubt sind oder nicht. Neue Angriffsmuster oder Attacken, die mit Insiderwissen aus dem LAN geführt werden, erkennt eine Firewall nicht.
Hier kann ein Intrusion Detection System (IDS) Abhilfe schaffen. Solche Software analysiert den Datenverkehr und informiert den Netzwerkadministrator oder externen Dienstleister bei Gefahr. Angriffe erkennt sie selbst in einem harmlos aussehenden Datenstrom, weil sie Audit- und Logfiles analysiert und mit Angriffsignaturen bereits durchgeführter Attacken vergleicht. Durch die Anbindung eines IDS an die Alarmzentrale eines Dienstleisters erreicht man selbst bei weltweiten Netzwerken eine 24x7-Überwachung.
Von besonderer Bedeutung für VPNs sind naturgemäß Verschlüsselungs- und Authentifizierungsverfahren, die garantieren, dass die "echten" User oder Hosts miteinander kommunizieren. Grundsätzlich sollten Internet-VPNs Daten nur stark verschlüsselt übertragen. Am sichersten ist es, wenn entsprechende Mechanismen schon in den unteren Protokollschichten greifen. Zum Schutz der Vertraulichkeit bestimmter Daten, beispielsweise beim Versenden wichtiger E-Mails, bietet sich Ende-zu-Ende-Verschlüsselung an.
Neben der Verschlüsselung der übertragenen Daten bietet eine gesicherte Identifikation und Authentifizierung wesentlichen Schutz vor dem Missbrauch von Unternehmenssystemen. Dies lässt sich beispielsweise durch Challenge-/Response-Verfahren oder den Einsatz von Einmalpasswörtern erreichen. Außerdem gehören Produkte zum Schutz vor Computerviren zur Grundausrüstung eines Unternehmens mit Internetzugang. Content-Security-Komponenten geben zusätzliche Sicherheit, dass durch E-Mails oder Webseiten keine gefährlichen Inhalte ins Haus kommen.
Gegenwärtig verwenden einige der führenden Hard- und Softwarehersteller von VPN-Lösungen tatsächlich proprietäre Verschlüsselung. Auch offene Standards sind verfügbar, allerdings halten sich nur einige Hersteller daran.
Die maßgebliche Rolle bei der Internet-Standardisierung spielt die Internet Engineering Task Force (IETF). Die von ihr entwickelte und als IPSec (Internet Protocol Security) bezeichnete Norm bietet Benutzern eine standardisierte Möglichkeit zur Verschlüsselung. IPSec wurde ursprünglich für Endsysteme und Router entwickelt, um Ende-zu-Ende- oder Netzwerk-zu-Netzwerk-Sicherheit zu gewährleisten. Trotz lebhafter Debatte über seine Zukunft wurde IPSec inzwischen in Windows 2000 implementiert und als Teil der bevorstehenden IP-Version 6 akzeptiert.
Nach einer vor kurzem durchgeführten Studie der Deutschen Bank sind jedoch gegenwärtig mindestens 60 verschiedene Implementierungen von IPSec im Einsatz. Dadurch können teilweise Probleme mit der Kompatibilität auftreten.
In Zukunft wird die Überprüfung von Integrität und Authentizität mithilfe des Authentication-Header standardkonform möglich sein, die Verschlüsselung privater Daten durch den Privacy-Header. Für einen umfassenden Einsatz im Internet wäre allerdings ein weltweit einheitliches Schlüsselmanagement erforderlich. Aber schon lokale Lösungen, etwa auf Basis von X.500, sind ein wichtiger erster Schritt, um Vertrauen in die Internet-Kommunikation mit unbekannten Partnern zu vermitteln.
![[Netzplan]](78-3.jpg)
VPN mit externem Zugang über Firmenzentrale
Wird ein Wide Area Network (WAN) über das Internet aufgebaut, bei dem die Niederlassungen oder Büros alle innerhalb eines kleinen geographischen Gebiets angesiedelt sind, muss ein VPN nicht unbedingt die billigste Alternative sein. Sobald es aber um Verbindungen über größere Entfernungen oder um internationale WANs geht, ist die Preisdifferenz zwischen "reellen" privaten Netzen über Festverbindungen und Internet VPNs viel höher. Der Preis einer internationalen Mietleitung von London nach Paris oder von München nach Amsterdam beträgt bei einer Bandbreite von 64 kBit gegenwärtig noch zwischen 30 000 DM und 40 000 DM im Jahr. Hier bringen das Internet und die Verwendung eines oder mehrerer internationaler Internet Service Provider (ISP) deutliche Vorteile.
Konkrete Zahlen für die Kostenvorteile eines Internet-VPNs sind schwer zu benennen. Man kann jedoch davon ausgehen, dass ein vermaschtes VPN für ungefähr 20 Städte in verschiedenen Ländern deutlich billiger ist als ein auf Frame Relay aufgebautes Netzwerk. Doch auch der Aufbau eines Internet VPNs mit Mindestanforderungen an die IT-Sicherheit verursacht beachtliche Kosten. Eine genaue Analyse vor Projektstart kann vor bösem Erwachen schützen.
Neben den einmaligen Kosten für den Erwerb von Access-Routern und Firewalls mit Verschlüsselungsmechanismen, dem Testen und Konfigurieren sowie Installieren der Hardware entstehen zusätzlich monatliche Kosten. Diese Gebühren entfallen auf die Backbonezugänge (Local Loops) und das tatsächlich übertragene Datenvolumen.
Wirtschaftlich attraktiv und weltweit verfügbar ist Internet-Kommunikation für Remote Access User. Der externe oder mobile Benutzer kann sich überall da günstig einwählen, wo sein Internet Service Provider einen Point of Presence unterhält.
Das Internet gilt bei vielen Netzwerkadministratoren immer noch als ein Medium, das für moderne Unternehmenskommunikation ungeeignet ist. Allein die Tatsache, dass die Performance privater Internetzugänge zu wünschen übrig lässt, bedeutet jedoch nicht, dass ein Internet-VPN nicht zum Transport geschäftskritischer Anwendungsdaten einzusetzen ist.
Eine der Stärken eines Corporate VPN besteht darin, dass auf einfachste Weise eine größere Bandbreite zur Verfügung gestellt werden kann. Voraussetzung hierfür ist allerdings, dass man bereits bei Vertragsschluss mit einem so genannten Tiered Service die Weichen für die schnelle Anpassung an veränderte Geschäftsanforderungen stellt. Wenn derzeit ein Unternehmen mehr Bandbreite braucht, ist häufig ein Aufrüsten oder das Mieten einer weiteren Leitung erforderlich. Das ist nicht nur kostspielig, sondern bindet das Unternehmen an einen weiteren – oft langfristigen – Vertrag und damit in der Regel an einen einzigen Anbieter.
Wird hingegen bereits bei Implementierung eines VPN ein Tiered Service vereinbart, so kann man bei Bedarf die erforderliche Bandbreite anfordern, ohne sich auf einen langfristigen Vertrag einlassen zu müssen. Weil diese Dienstleistung eine stufenweise Erhöhung der Service-Geschwindigkeit von 256 KBit/s bis zur maximalen Bandbreite von 2 MBit/s – oder das Verlangsamen in umgekehrter Richtung – bietet, dauern Änderungen der Bandbreite in der Regel nur wenige Tage.
Beim Senden von Daten durch das Internet lässt sich der Datenpfad nicht bestimmen und damit scheint ein garantierter Packet Round Trip – die Bestimmung der Netzdurchlaufzeiten der einzelnen Datenpakete – schwierig. Tatsächlich verhält sich ein VPN in Bezug auf die Verwaltung aber nicht wesentlich anders als "reelle" private Netzwerke. Die Internet Service Provider (ISP) verwalten ihr Kernnetzwerk aus Leitungen und Routern und geben bei Bedarf Warnungen oder Statistiken aus, während die Edge-Router am besten durch einen unabhängigen VNO verwaltet werden.
Ausschlaggebend für die Administration eines VPN sind die Peering-Vereinbarungen zwischen den ISP, da an diesen Punkten die Performance leiden kann. Es ist deshalb vor dem Aufbau eines WAN mit mehreren Providern zu klären, ob und welche Peering Agreements zwischen ihnen bestehen. Grundsätzlich gilt: Je detaillierter die Abkommen, umso reibungsloser der Übergang zwischen den Netzen mehrerer Anbieter.
Schlagkräftiges Argument gegen kritische Stimmen sind erfolgreiche Praxisbeispiele für den Betrieb eines VPN, wie im Fall Ford. Trotz immenser Wichtigkeit der Netzwerkinfrastruktur für die Geschäftprozesse von Ford, nutzt das Unternehmen seit vier Jahren ein Internet-VPN, um Dienste für Tausende von Standorten in ganz Europa bereitzustellen. Ford hat erkannt, dass die Einsparungen durch diese Vernetzungslösung beträchtlich sein können. Bietet der jeweilige Anbieter keine wettbewerbsfähigen Preise oder liefert er mangelhaften Service, kann das Unternehmen ihn dank kurzfristiger Verträge leicht wechseln. Auf diese Weise behält Ford jederzeit eine starke Verhandlungsposition.
Bei Netzwerken in der Größe des Ford-Netzes wird es zunehmend schwieriger, die Ressourcen aufzubringen, um die Beziehungen mit einer Vielzahl von Carriern selbst zu unterhalten – insbesondere, wenn nationale Grenzen überschritten werden. Hier können Virtual Network Operators (VNO) Mehrwertleistungen anbieten. Große Unternehmen, die mit komplexen und multinationalen Netzwerken und mehreren Carriern umgehen müssen, können die Verwaltung an einen VNO übertragen und trotzdem die Kostenvorteile eines IP-VPN nutzen.
Keine noch so hohe Entschädigung kann den fehlerhaften Umgang mit geschäftskritischen Daten – oder im schlimmsten Fall ihren Verlust – wieder wettmachen. Umso wichtiger ist es, sich vor Abschluss eines Netzwerkvertrages darüber klar zu werden, welche Anforderungen man an die Leistung seines Anbieters stellt und welche maximale Ausfallzeit das eigene Unternehmensnetz ohne größeren finanziellen Schaden verschmerzen kann. Häufig werden die so genannten Service Level Agreements (SLA) zwar als absolutes Muss beim Aushandeln von Verträgen behandelt, finden aber dann bei der täglichen Arbeit kaum mehr Beachtung.
SLAs lassen sich in zwei Kategorien einteilen: In der ersten Kategorie werden die Garantien des ISP definiert und Netzwerk-Reaktionszeiten und Latenzzeiten die eigenen Geschäftsanforderungen betreffend fixiert. Dadurch sollen die Netzwerkkapazität und die Peering-Vereinbarungen der ISP gesichert werden. Die zweite Gruppe betrifft die Dienstgüte für die Benutzung des Netzwerks und bezieht sich unter anderem auf die Reaktionszeiten bei der Fehlerbehebung, beim Umzug einer Niederlassung oder dem Erweitern der Bandbreite. Servicevereinbarungen sind jedoch nur dann effektiv, wenn sie wirksamer Bestandteil des Vertrages sind und nicht nur als "freiwillige Selbstverpflichtung" verstanden werden, deren Einhaltung der Anbieter nicht als Erfolg schuldet.
Doch selbst wenn der Carrier die SLAs vertraglich zusichert, sollte man einzelne Klauseln auf ihre tatsächliche Bedeutung in Bezug auf die Netzausfallzeit hin überprüfen. Entscheidend ist dabei, ob Network-Downtimes als zulässiger Höchstwert oder nur als Mittelwert definiert sind. Letzteres kann für den Kunden unter Umständen eine mehrstündige Netzunterbrechung bedeuten, ohne dass der Carrier tätig werden muss oder sich für ihn hieraus eine Haftung ergibt.
Die Entscheidung für ein Internet-VPN ist immer von den individuellen Anforderungen im Einzelfall abhängig. Allgemein verbindliche Richtwerte zur Größe des Unternehmens sowie zur Anzahl der einzelnen Niederlassungen oder der Mitarbeiter pro Site sind nur schwer zu definieren. Maßgeblich kann allein das individuelle Angriffsrisiko sein, das im Wesentlichen durch drei Komponenten bestimmt wird: die lokalen Gegebenheiten, den Wert der Daten sowie den technischen und materiellen Aufwand für potenzielle Angreifer. Ein VPN ist zurzeit sicher nicht für jeden die optimale Vernetzungsform, wird sich jedoch in Zukunft für die Mehrzahl der Unternehmen zu einer Standardoption beim Aufbau eines WAN entwickeln.
Andreas M. Zynga ist Geschäftsführer
Deutschland und Benelux der Vanco GmbH (![[externer Link]](../../../../images/link.gif)
www.vanco.de).
Der vorliegende Beitrag ist eine gekürzte und bearbeitete Version einer Vanco-Broschüre zu Vorurteilen gegenüber VPNs, die interessierte Anwender unter der Telefonnummer 0 61 02 / 7 85-6 10 kostenlos anfordern können.
© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 5/2001, Seite 78
