![[externer Link]](../../../../images/link.gif)
www.ietf.org/rfc/rfc2917.txt), die eine
Qualitätsgarantie innerhalb des Carrier-VPN ermöglicht
(vgl. <kes> 2002#5, S. 55,
s. a. www.mplsrc.com).Bei Virtual Private Networks (VPNs) denken heute wohl die meisten Menschen an den Anschluss mobiler Mitarbeiter oder eine Standortvernetzung, vorrangig mittels IPSec – nicht ganz zu Unrecht. Dennoch sollte man nicht vergessen, dass die Definition eines VPN zunächst völlig anwendungs- und technologieunabhängig ist. "Private Networks" waren ursprünglich nichts anderes als separate physische Leitungsnetze einer Organisation oder Benutzergruppe, unabhängig von allgemein zugänglichen Telekommunikationsnetzen. Üblicherweise verwirklichte man das im "Nahbereich" durch eigene Kabelstrecken, ansonsten durch angemietete Standleitungen.
Ein Virtual Private Network bedeutet dann nichts anderes als diese "Abgeschlossenheit" gegenüber der Allgemeinheit durch logische statt physische Trennung zu verwirklichen: Einzelne Endgeräte (Knoten) eines Netzwerks oder auch ganze Teilnetze werden aus einem übergeordneten physischen Netz (Carrier-Netz, Internet usw.) herausgegriffen und vom Rest der Teilnehmer durch Vermittlungstechnik (Routing), spezielle Authentifizierung oder Verschlüsselungsmaßnahmen separiert. Im Prinzip ist bereits eine Dreier-Konferenz im klassischen Telefonnetz ein simples (temporäres) VPN.
Verschlüsselung der Daten während des Transports ist somit kein obligatorisches Merkmal eines jeden VPN. Zunächst wird die Vertraulichkeit der Übertragung nur durch die (mehr oder minder stark gesicherte) Abgeschlossenheit des virtuellen Netzes gewahrt. Da typischerweise nur sensitive Daten ein VPN erfordern, sollte man die angebotenen Lösungen aber anhand der üblichen Sicherheitsziele bewerten (Vertraulichkeit, Integrität, Authentizität und Verfügbarkeit) und gegebenenfalls kritische Datenströme zusätzlich schützen.
Besonderes Augenmerk gilt zudem der "Quality of Service": Manche VPN-Techniken ermöglichen es, den Datentransport durch Regeln zu beeinflussen und wichtige Daten bevorzugt zu behandeln. Außerdem sind die Skalierbarkeit und Beherrschbarkeit der Lösungen wesentlich: Einerseits müssen sich zusätzliche Arbeitsplätze und Standorte ohne großen Aufwand hinzufügen lassen. Zum anderen muss das VPN auch bei steigender Komplexität für den Administrator überschaubar bleiben.
Bezüglich der Vertraulichkeit lassen sich VPNs in zwei
Ansätze unterteilen: Merkmal der Trusted VPNs ist die
unverschlüsselte Übergabe der Daten an einen
VPN-Betreiber (z. B. Carrier oder Internet Service Provider,
ISP), der die Vertraulichkeit des VPN vertraglich zusichert.
VPN-Lösungen von Carriers/ISPs zur Standortvernetzung und zur
Anbindung mobiler User basieren heutzutage meist auf
Multiprotocol-Label-Switching-Technik (MPLS; etwa per
RFC 2917, www.ietf.org/rfc/rfc2917.txt), die eine
Qualitätsgarantie innerhalb des Carrier-VPN ermöglicht
(vgl. <kes> 2002#5, S. 55,
s. a. www.mplsrc.com).
Der Kunde schließt dazu für alle Standorte, die per VPN verbunden werden sollen, einen Vertrag mit dem Anbieter. Die Standorte erhalten einen Gateway-Router zum Anschluss an das Carrier-Netz. Der Transport der Daten sowie ihre Sicherheit liegen im Verantwortungsbereich des Carrier/ISP. Dem Vorteil, dass ein Unternehmen einheitliche Service Level Agreements (SLAs) für alle Standorte erhält, stehen die Nachteile entgegen, dass die Daten dessen Netz unverschlüsselt verlassen und eventuell auch im VPN unverschlüsselt übertragen werden (so bspw. bei MPLS, genau wie früher bei Standleitungen).
Zudem ist bei den meisten Carriers/ISPs die Anbindung von Auslandsstandorten problematisch. Den Anforderungen, auch mobile User an das Unternehmensnetz anzubinden, begegnen die Dienstleister zunehmend durch spezielle Einwahlknoten, die zumindest im Inland Verbindungen zum Unternehmensnetz herstellen. Die Authentifizierung beziehungsweise die Gewährung des Zugangs zum Unternehmensnetz obliegt dabei dem Carrier/ISP.
In der Vergangenheit wurden dabei allerdings Sicherheitsaspekte
häufig außer Acht gelassen, was zu gravierenden
Mängeln geführt hat. So terminieren beispielsweise
Frame-Relay-Verbindungen üblicherweise auf Routern, in denen
allzu oft keinerlei Schutzmechanismen aktiviert sind. Nicht umsonst
fordert jedoch beispielsweise das IT-Grundschutzhandbuch des BSI
( www.bsi.bund.de/gshb/), dass jeder
Netzübergang mit entsprechenden Schutzeinrichtungen versehen
sein muss. Für den Fall eines Trusted VPN ist daher die
Revision der Zugangssysteme in Zusammenarbeit mit dem Carrier
unerlässlich.
Bei einem Secure VPN gewährleistet hingegen der Nutzer selbst, dass Daten nur verschlüsselt und gesichert durch Fremdnetze übertragen werden; die Endpunkte des VPN liegen demgemäß in seinem Verantwortungsbereich. Vor einigen Jahren war der Aufbau solcher VPN-Szenarien noch eine sehr komplexe Angelegenheit. Mittlerweile ist durch die zunehmend vereinfachte Konfiguration sowie eine Reihe angebotener VPN-Appliances der Aufbau eines (zumindest kleinen) VPN für jeden Netzwerkadministrator möglich. Die meisten Firewallsysteme unterstützen zusätzlich VPN-Verbindungen für Standortvernetzung (Gateway-to-Gateway-VPN) und die Anbindung mobiler Benutzer (Client-to-Gateway-VPN).
Die dominante Technik für Secure VPN ist heute IPSec
(RFC 2411, www.ietf.org/rfc/rfc2411.txt), ein auf
dem Internet Protocol (IP) basierendes sicheres
Kommunikationsprotokoll, das IP um Mechanismen zur
Authentifizierung, Integrität und Verschlüsselung
ergänzt. IPSec verhindert erfolgreiche Brute-Force-Angriffe
auf gesicherte Verbindungen und ist dabei relativ leicht
einzurichten und zu administrieren. IPSec-VPNs ermöglichen
sowohl Standortverbindungen als auch die Anbindung mobiler
Arbeitsplätze.
Die eigentliche "Verkapselung" der Daten erfolgt via Software auf einem Client oder am Gateway-System, bevor die Daten das lokale Netz in Richtung Internet oder Fremdnetz verlassen. Am Gateway wird Hardwareprodukten zunehmend der Vorzug gegenüber Softwarelösungen gegeben, vor allem aufgrund geringerer Betriebskosten und höherer Wartungsfreundlichkeit. Produkte, die am Gateway die Funktionen VPN-Terminator, Firewall und Bandbreitenmanagement in sich vereinen, haben in den letzten Monaten einen erheblichen Marktanteil gewonnen.
Ein neuerer Ansatz mit IPSec-fähigen Appliances
ermöglicht es, IPSec-Tunnel zu verschiedenen Gegenstellen als
"virtuelle Festverbindung" abzubilden und hierüber auch
dynamische Routing-Protokolle wie Open Shortest Path First (OSPF)
zu betreiben. Diese Protokolle, seit jeher für die Redundanz
und Wegeoptimierung von Netzwerken entwickelt, sichern in
Kombination mit entsprechenden Backup-Dial-in-Routern einen
hochverfügbaren Betrieb dieser so genannten Route Based VPN
(s. a. www.helpag.de/rbvpn.pdf).
![[Illustration]](03-4-054-1.jpg)
Route-based IPSec-VPNs ermöglichen auch beim Ausfall von
Geräten oder Leitungen eine gesicherte Verbindung der
einzelnen VPN-Teile; die Tunnel werden dabei als "virtuelle
Verbindung" angesehen, über die Datenpakete mithilfe der
üblichen Routing-Protokolle verteilt werden.
Die Bandbreite von IPSec-VPN reicht somit von der einfachen und flexiblen Konfiguration für zwei Standorte bis hin zur hochverfügbaren, skalierbaren und wegeoptimierten Verbindungstechnik für weltweit tätige Konzerne. Bemerkenswert ist dabei zweifellos die Flexibilität, ein IPSec-VPN quasi als "virtuelle Netzwerkebene" über bestehende heterogene Verbindungen, selbst über Trusted VPN, zu betreiben: Eine Mischung aus Festverbindung, Frame-Relay, MPLS-VPN und Internet als Transportweg stellt sich durch ein IPSec-VPN gegenüber Administratoren und Anwendern als einheitliches Netzwerk dar.
Erstrecken sich IPSec-VPNs über eine große Anzahl von Standorten und berücksichtigen sie alle technischen Möglichkeiten zur Redundanz und Optimierung, so werden Planung, Realisierung und Betrieb mitunter zu einer äußerst komplexen Aufgabe. Oft ist es nicht rentabel, das Know-how dafür im eigenen Haus aufzubauen. Im Markt haben sich daher spezialisierte Unternehmen etabliert, die als Managed-VPN-Anbieter komplexe VPN-Lösungen planen und implementieren sowie für den laufenden Betrieb Service Level Agreements übernehmen, die mit Carrier/ISP-Verträgen vergleichbar sind.
Der Betrieb eines Managed-VPN bietet jedoch gegenüber den Carrier-VPNs erhebliche Vorteile. Durch die Verschlüsselung der Daten noch im eigenen Netz, verbunden mit geeigneten Maßnamen zur Revisionssicherheit, wird die Datensicherheit meist besser gewährleistet. Befindet sich das Equipment im Besitz des Unternehmens, so kann es den Managed-VPN-Anbieter relativ schnell wechseln oder das VPN in Eigenregie übernehmen, ohne den laufenden Betrieb zu beeinträchtigen. Das Risiko langer Vertragslaufzeiten und daraus resultierendem mangelndem Wettbewerb wird so vermieden. Für Kostenoptimierung sorgt zudem die Möglichkeit, an jedem Standort auf die günstigste Internetanbindung zurückgreifen zu können.
In letzter Zeit haben sich auch so genannte SSL-VPNs im Markt etabliert, bisweilen werden diese auch als Client-lose VPNs beworben. Solche Systeme verlassen sich gänzlich auf die Implementierung des Secure Sockets Layer (SSL) in den verbreiteten Web-Browsern, inklusive der damit verbundenen zertifikatsbasierenden Authentifizierung. Netzwerkadressen von Absender und Empfänger spielen bei der Übertragung keine Rolle mehr, die Administration und Konfiguration ist somit erheblich vereinfacht. Andererseits wird aber auch nicht das gesamte Client-System an das VPN angebunden, sondern nur auf einer höheren Netzwerkschicht eine gesicherte Verbindung zu einem speziellen Gateway aufgebaut, das Verbindungswünsche üblicherweise an Application-Server durchreicht – es entsteht quasi ein "Browser-to-Application"-VPN.
Daher eignen sich SSL-VPN im Wesentlichen für Anwendungszwecke wie die Anbindung mobiler Mitarbeiter oder geschlossener Benutzergruppen an bestimmte Server-Applikationen (Remote Access, Web Services o. Ä.). Dort wo ohnehin der Web-Browser als Frontend gefragt ist, lässt sich allerdings der Aufbau gesicherter Verbindungen zu Services in einem zentralen Firmennetz gegenüber dem Ansatz von IPSec-VPNs deutlich vereinfachen. Obwohl einige Produkte (etwa per Java-Applet/Proxy) weiteren Anwendungen den Zugriff auf einen SSL-Tunnel ermöglichen, erscheint diese Technik zum Aufbau von Standortverbindung und globalen VPNs nicht geeignet, da die Transportfunktion nicht transparent auf Netzwerkebene zur Verfügung steht. Zudem beruht das System auf der Sicherheit und einwandfreien Funktion der Client-Browser, die für höhere Vertraulichkeitsanforderungen allein kaum ausreichend erscheinen dürften.
Ohne zusätzliche Software auf den Client-Systemen lässt sich zudem die Forderung nach dem "Exklusivzugriff" von VPN-Clients nicht erfüllen. War in der Vergangenheit die Sicherheit des (vergleichsweise überschaubaren) Unternehmensnetzes mit relativ einfachen Mitteln an den klaren Schnittstellen zu Fremdnetzen möglich, so sind die Unternehmensnetze heute quasi bis auf den privaten Schreibtisch gewachsen – der heimische PC oder mobile Client wird praktisch zum exponierten "Bastion Host" an der virtuellen Grenze des Unternehmensnetzes.
Im Bereich von Remote-Clients wird daher verbreitet gefordert, dass ein System nicht gleichzeitig per VPN mit dem Unternehmensnetz und mit dem unsicheren Internet verbunden sein darf, um das Risiko von Angriffen über den Umweg dieses Clients auszuschließen. Der Einsatz einer Client-Firewall (distributed/Desktop-/Personal-Firewall) sichert, dass keine unbemerkt installierten Programme (Trojaner) Informationen nach außen schleusen oder Hacker durch erfolgreichen Angriff auf den Client Zugriff zum Unternehmensnetz erhalten. Und für den Fall des Verlustes, beispielsweise eines Notebooks, sollte ohnehin dafür gesorgt werden, dass kein Unbefugter Zugang zum Unternehmensnetz erhält.
Die Entscheidung zum Einsatz eines VPN ist in vielen Unternehmen bereits gefallen. Schwieriger ist die Entscheidung zwischen einem Trusted und Secure VPN. Bis vor kurzem war das Vorhandensein eines einheitlichen Ansprechpartners für alle Standorte und alle Belange des VPN das gewichtigste Argument der Carrier/ISPs. Zwischenzeitlich bieten jedoch Managed-VPN-Anbieter vergleichbare Leistungen zu einem häufig günstigeren Preis, vor allem aber unanhängig von fester Bindung und langen Vertragslaufzeiten.
Besonders die hohe Flexibilität und Kontrolle über den Einsatz von Verschlüsselung und Authentifizierung lassen ein IPSec-VPN als die vernünftigste Lösung erscheinen. Die Unabhängigkeit von Transportmedium macht eine Koexistenz von Secure und Trusted VPN möglich, denn ein modernes IPSec-VPN integriert durchaus auch Frame Relay und MPLS als Transportmedium, kann deren Vorteile für sich nutzen und sich dem Administrator trotzdem unternehmensweit als einzige und übergreifende Verbindungsinfrastruktur zwischen Standorten darstellen.
Qualitätsorientierte Managed-VPN-Anbieter erfüllen die hohen Anforderungen in Bezug auf Vertraulichkeit durch Maßnahmen, die sowohl die relevanten Anforderungen aus dem IT-Grundschutzhandbuch umsetzen als auch die aktuellen Standards des Servicemanagements berücksichtigen (z. B. der Information Technology Infrastructure Library, ITIL). Um die Vertraulichkeit der Daten zu gewährleisten, sollte vom Managed-VPN-Anbieter allerdings die unmanipulierbare Revisionssicherheit des Remote-Management nachgewiesen werden.
Sören Kroh ist Security Consultant bei der help AG.
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2003#4, Seite 54
| 