VPN Virtuelle Private Netzwerke
Manfred Lipp
VPN Virtuelle Private NetzwerkeAufbau und Sicherheit
An imprint of Pearson EducationMnchen Boston San Francisco
Harlow, England Don Mills, Ontario Sydney Mexico City Madrid
Amsterdam
Die Deutsche Bibliothek - CIP-Einheitsaufnahme Ein
Titeldatensatz fr diese Publikation ist bei Der Deutschen
Bibliothek erhltlich.
Die Informationen in diesem Produkt werden ohne Rcksicht auf
einen eventuellen Patentschutz verffentlicht. Warennamen werden
ohne Gewhrleistung der freien Verwendbarkeit benutzt. Bei der
Zusammenstellung von Texten und Abbildungen wurde mit grter
Sorgfalt vorgegangen. Trotzdem knnen Fehler nicht vollstndig
ausgeschlossen werden. Verlag, Herausgeber und Autoren knnen fr
fehlerhafte Angaben und deren Folgen weder eine juristische
Verantwortung noch irgendeine Haftung bernehmen. Fr
Verbesserungsvorschlge und Hinweise auf Fehler sind Verlag und
Herausgeber dankbar.
Alle Rechte vorbehalten, auch die der fotomechanischen
Wiedergabe und der Speicherung in elektronischen Medien. Die
gewerbliche Nutzung der in diesem Produkt gezeigten Modelle und
Arbeiten ist nicht zulssig. Fast alle Hardware- und
Softwarebezeichnungen, die in diesem Buch erwhnt werden, sind
gleichzeitig auch eingetragene Warenzeichen oder sollten als solche
betrachtet werden. Umwelthinweis: Dieses Buch wurde auf chlorfrei
gebleichtem Papier gedruckt. Die Einschrumpffolie zum Schutz vor
Verschmutzung ist aus umweltfreundlichem und recyclingfhigem
PE-Material.
10 9 8 7 6 5 4 3 2 1 05 04 03 02 01 ISBN 3-8273-1749-5 2001 by
Addison-Wesley Verlag, ein Imprint der Pearson Education
Deutschland GmbH, Martin-Kollar-Strae 1012, D-81829 Mnchen/Germany
Alle Rechte vorbehalten Einbandgestaltung: atelier fr gestaltung
n.&h., Niesner & Huber, Wuppertal Lektorat: Rolf Pakendorf,
[email protected] Korrektorat: Friederike Daenecke, Zlpich
Herstellung: Anna Plenk, [email protected] Satz: reemers publishing
services gmbh, Krefeld (www.reemers.de) Druck und Verarbeitung:
Media Print, Paderborn Printed in Germany
InhaltsverzeichnisVorwort Aufbau Danksagung 1 Virtuelle private
Netzwerke 1.1 1.2 1.3 1.4 1.5 1.6 1.7 Was ist ein VPN? Geschichte
und Technologien Warum VPNs? Rahmenbedingungen fr den Einsatz Der
VPN-Markt IP-VPNs und das Internet Entwicklungen und Ausblicke 15
16 17 19 19 20 24 26 28 30 33 37 37 41 42 43 44 46 47 48 50 52 53
53 53 54 55 55 56 56 57 57
2 VPN-Typen 2.1 2.2 2.3 2.4 Remote-Access-VPN Branch-Office-VPN
Extranet-VPN VPN-Service-Provider 2.4.1 2.4.2 2.5 2.5.1 2.5.2 2.5.3
IP-VPN-Dienste Layer-2-VPN-Dienste Virtual Local Area Network
(VLAN) VLANs nach IEEE802.1q IP-Tunneling
Intranet-VPN
3 Anforderungen an VPNs 3.1 Sicherheit 3.1.1 3.1.2 3.1.3 3.1.4
3.1.5 3.1.6 3.1.7 3.1.8 Datenvertraulichkeit Schlsselmanagement
Paket-Authentifizierung Datenintegritt Benutzer-Authentifizierung
Benutzer-Autorisierung Schutz vor Sabotage Schutz vor unerlaubtem
Eindringen
Inhaltsverzeichnis
3.2
Verfgbarkeit 3.2.1 3.2.2 3.2.3 Die Verfgbarkeit von
Whlverbindungen Die Verfgbarkeit von permanenten Verbindungen Die
Verfgbarkeit von IP-VPNs Die Performance von Whlverbindungen Die
Performance von permanenten Verbindungen Die Performance von
IP-VPNs Einfhrung in QoS-Konzepte Quality-of-Service bei
Whlverbindungen Quality-of-Service bei permanenten Verbindungen
Quality-of-Service im IP-Protokoll Die
IP-Differentiated-Services-Architektur (DiffServ) Differentiated
Services in IP-VPNs
59 59 60 60 61 61 61 62 62 63 66 67 69 69 74 75 76 76 80 82 83
85 87 87 87 90 91 93 95 95 95 97 97 99
3.3
Performance 3.3.1 3.3.2 3.3.3
3.4
Quality-of-Service (QoS) 3.4.1 3.4.2 3.4.3 3.4.4 3.4.5 3.4.6
3.5 3.6
Skalierbarkeit und Migrationsfhigkeit Integration in
existierende Netze 3.6.1 3.6.2 Management Sicherheit
3.7 3.8 3.9
Koexistenz zu traditionellen WAN-Strukturen Adressmanagement
Interoperabilitt
4 Sicherheitstechnologie 4.1 Sicherheit in VPNs 4.1.1 4.1.2
4.1.3 4.1.4 4.1.5 4.2 4.2.1 4.2.2 4.2.3 4.2.4 Sicherheit in
Unternehmensdatennetzen Die Sicherheit von virtuellen privaten
Netzen Datenvertraulichkeit Sicherheit in der Netzwerkschicht mit
IP Security Benutzer-Authentifizierung Geschichtliches
Datenvertraulichkeit Verschleierung und Verschlsselung Die Kunst
der Kryptoanalyse
Die Grundlagen der Kryptographie
Inhaltsverzeichnis
4.2.5 4.2.6 4.3 4.4
Einfhrung in die Kryptographie Verschlsselungsverfahren
101 108 113 114 116 117 118 120 120 122 123 124 126 126 128 129
129 131 132 136 138 140 141 142 143 143 145 146 146 146 147 147 148
148
Symmetrische Verschlsselungsverfahren Der Data Encryption
Standard (DES) 4.4.1 4.4.2 4.4.3 4.4.4 Ein berblick ber DES Die
DES-Schlsseltransformation Die DES-Funktion Die
DES-Entschlsselung
4.5 4.6 4.7
Triple-DES Cipher Block Chaining (CBC) 4.6.1 4.7.1 4.7.2 4.7.3
4.7.4 Die Funktionsweise von CBC AES-Software-Implementierung
AES-Hardware-Implementierung And the winner is . Rijndael Die kurze
Geschichte der Public-Key-Kryptographie Das Grundprinzip der
Public-Key-Kryptographie Mathematische Grundlagen Ausblick: Der
Advanced Encryption Standard
AES-Geschwindigkeit und Optimierungsmglichkeiten 127
4.8
Asymmetrische Verschlsselungsverfahren 4.8.1 4.8.2 4.8.3
4.9
Das Diffie-Hellman-Verfahren 4.10.1 4.11.1 4.11.2 4.11.3
Zufallszahlen Algorithmen Keyed Hashing Hash-based Message
Authentication Code (HMAC)
4.10 Das RSA-Verfahren 4.11 Hashfunktionen
5 Authentifizierung 5.1 Mglichkeiten der Authentifizierung 5.1.1
5.1.2 5.1.3 5.1.4 5.1.5 5.1.6 Starke und schwache Authentifizierung
Wissensbasierende Authentifizierung Besitzbasierende
Authentifizierung Kombinationsverfahren Biometrik Verfahren mit
Einmal-Token
Inhaltsverzeichnis
5.2
Digitale Signaturen und digitale Zertifikate 5.2.1 5.2.2
Funktionsweise von digitalen Signaturen Digitale Zertifikate nach
ITU-X.509-Standard PAP und CHAP RADIUS LDAP Chipkarten
Vertrauensmodelle Die Certificate Authority (CA) Die Registration
Authority (RA) Zertifikat-Management Die Qual der Wahl: ffentliche
oder private Zertifikate Das Signaturgesetz und die
EU-Richtlinie
150 150 153 155 155 157 160 160 162 162 164 164 164 166 167 169
170 170 171 172 172 172 173 174 176 176 178 179 180 180 181 183 183
184
5.3
Authentifizierungssysteme und -protokolle 5.3.1 5.3.2 5.3.3
5.3.4
5.4
Public Key Infrastructure (PKI) 5.4.1 5.4.2 5.4.3 5.4.4 5.4.5
5.4.6
6 Tunneling-Technologien im berblick 6.1 Tunneling-Modelle 6.1.1
6.1.2 6.1.3 6.2 6.2.1 6.2.2 6.2.3 6.3 6.3.1 6.3.2 6.4 6.4.1 6.4.2
6.5 6.6 Das Intra-Provider-Modell Das Provider-Enterprise-Modell
Das Ende-zu-Ende-Modell Layer-2-Tunneling-Protokolle
Layer-3-Tunneling-Protokolle Multi Protocol Label Switching (MPLS)
IP Security Protocol (IPSec) im Tunnel-Modus Layer 2 Tunneling
Protocol (L2TP) Layer 2 Forwarding (L2F) Point-to-Point Tunneling
Protocol (PPTP)
Tunneling-Protokolle
Standardisierte Tunneling-Protokolle
Nicht standardisierte Protokolle
Verschachtelte Tunneling-Protokolle Welches Protokoll fr welchen
Zweck? 6.6.1 6.6.2 Gegenberstellung Auswahlkriterien
Inhaltsverzeichnis
7 Das IP-Security-Protokoll (IPSec) 7.1 IP Security im berblick
7.1.1 7.1.2 7.1.3 7.1.4 7.1.5 7.1.6 7.2 7.2.1 7.2.2 7.2.3 7.3 7.3.1
7.3.2 7.4 7.5 Paketintegritt Paketauthentifizierung
Paketvertraulichkeit Verkehrsflussvertraulichkeit Schutz vor
wiederholtem Senden von Paketen (Replay-Angriff) Schutz vor
weiteren Denial-of-Service-Angriffen Datenverschlsselung in IPSec
Integrittsprfung und Authentifizierung in IPSec Schutz vor
Replay-Angriffen Die IPSec-Architektur Die aktuelle
IPSec-Standardisierung
187 188 188 189 189 189 190 190 191 191 193 194 196 196 197 199
201 201 202 203 203 203 204 205 205 205 205 205 206 209 214 214 215
215 219
Kryptographische Verfahren in IPSec
Die IPSec-Standardisierung
Die IPSec-Sicherheitsassoziation Die IPSec-Security-Policy 7.5.1
7.5.2 Die Security Policy in IPSec Die IPSec-Selektoren Tunnelmodus
Transportmodus Gateway-zu-Gateway Host-zu-Gateway Host-zu-Host Die
Paketverarbeitung in IPSec Das Authentication-Header-Protokoll (AH)
Das Encapsulating-Security-Payload-Protokoll (ESP)
Betriebssystemebene, IPSec-Stack Bump-in-the-Stack (BITS)
7.6
IPSec-Betriebsmodi 7.6.1 7.6.2
7.7
IPSec-Einsatzszenarien 7.7.1 7.7.2 7.7.3
7.8
IPSec-Protokolle 7.8.1 7.8.2 7.8.3
7.9
IPSec-Implementierungen 7.9.1 7.9.2
7.10 Betrachtungen zur IPSec-Performance 7.11 Zuknftige
Entwicklungen
Inhaltsverzeichnis
8 Das Internet-Key-Exchange-Protokoll 8.1 8.2 Das
Henne-Ei-Problem ISAKMP 8.2.1 8.2.2 8.2.3 8.3 8.3.1 8.3.2 8.3.3
8.3.4 8.3.5 8.3.6 8.3.7 8.3.8 8.3.9 8.3.10 8.3.11 8.3.12 8.3.13 8.4
8.4.1 8.4.2 8.5 8.5.1 8.5.2 8.5.3 8.5.4 8.5.5 8.5.6 8.6 8.6.1 8.6.2
8.6.3 Die Sicherheit von ISAKMP Der ISAKMP-Header Der generische
ISAKMP-Nutzdaten-Header Die Sicherheitsassoziation-Payload Die
Proposal Payload Die Transform Payload Key Exchange Payload
Identification Payload Certificate Payload Certificate Request
Payload Hash, Signature und Nonce Payload Notification Payload
Delete Payload Vendor ID Payload Die ISAKMP-Phasen Die
ISAKMP-Austauschvorgnge Die Oakley-Gruppe-1 Die Oakley-Gruppen 2
bis 5 Perfect Forwarding Secrecy Die Attribute einer
IPSec-Sicherheitsassoziation Die Attribute einer
ISAKMP-Sicherheitsassoziation IKE-Sicherheitsverfahren Die
Schlsselerzeugung in IKE IKE-Authentifizierung Authentifizierung
mit Pre-Shared Key Authentifizierung mit digitaler Signatur
Authentifizierung mit Public-Key-Verschlsselung (RSA)
221 221 222 223 228 231 232 232 233 233 234 235 235 236 237 238
239 240 241 241 243 243 244 244 245 245 247 250 251 254 256 256 260
261
ISAKMP-Nutzdaten
Das Oakley Key Determination Protocol
Der Aufbau von IKE
Der IKE Main Mode
Inhaltsverzeichnis
8.6.4 8.7
Authentifizierung mit revidierter Public-KeyVerschlsselung (RSA)
Authentifizierung mit Pre-Shared-Secret Authentifizierung mit
digitaler Signatur Authentifizierung mit standardisierter und
revidierter Public-Key-Verschlsselung
263 265 267 269 269 269 272 273 277 277 278 278 280 282 284 285
286 289 289 289 292 293 295 298 300 303 305 309 309 310 310 312 314
315
Der IKE Aggressive Mode 8.7.1 8.7.2 8.7.3
8.8 8.9
Der IKE Quick Mode Die Performance von IKE 8.9.1 IKE und
Hardwarebeschleuniger
9 Das Layer 2 Tunneling Protocol 9.1 Das Point-to-Point Protocol
(PPP) 9.1.1 9.1.2 9.1.3 9.1.4 9.2 9.2.1 9.2.2 9.2.3 9.2.4 9.2.5
9.2.6 9.2.7 9.2.8 9.2.9 9.2.10 9.3 9.4 PPP-Remote-Access
PPP-Komponenten PPP-Steuerungsprotokolle und -Dienste
PPP-Verbindungsaufbau Virtueller Remote Access mit L2TP
PPP-Session-Verteilung in L2TP Die Rolle des LAC (L2TP Access
Concentrator) Die Rolle des LNS (L2TP Network Server) Betrachtungen
zur Performance von L2TP L2TP-Tunneling-Modelle L2TP-Paketformate
L2TP Attribute Value Pairs (AVP) Auf- und Abbau von Tunneln und
Calls in L2TP L2TP-Benutzer-Authentifizierung
PPP-Tunneling mit L2TP
Die Sicherheit von L2TP IPSec secured L2TP
10 VPN-Design 10.1 Ein VPN ist auch nur ein Netzwerk 10.2 Die
Planung 10.3 Die Ist-Aufnahme 10.3.1 10.3.2 10.3.3 Technische
Aspekte Betriebswirtschaftliche Aspekte Sicherheit
Inhaltsverzeichnis
10.4 Der Sollzustand 10.4.1 10.4.2 10.4.3 10.4.4 Der
unvermeidliche (?) Bruch Randbedingungen Technische Aspekte
Betriebswirtschaftliche Aspekte
316 316 317 319 321 322 322 325 325 326 327 328 329 330 341 342
343 344 346 351 352 353 356 356 359 360 361 362 363 364 364 364 366
370 370 372
10.5 Die bergangsphase 10.6 Die Sicherheitsstrategie 10.7
Auswahl der VPN-Technologie 10.7.1 10.7.2 VPN-Typ
Tunneling-Protokolle
10.8 Ermitteln der QoS-Parameter 10.9 Die Realisierung 10.9.1
10.9.2 10.9.3 10.9.4 10.9.5 10.9.6 10.9.7 10.9.8 10.9.9 Routing im
VPN Remote Access Kleine Auenstellen und Heimbros Skalierbarkeit
Redundanz und Ausfallsicherheit Durchsatz und Quality-of-Service
Sicherheitsstrategie und Firewalls Authentifizierungsverfahren Die
Auswahl von Service Providern
10.9.10 Service Level Agreements 10.10 Beispiele 10.10.1
Remote-Access-VPN 10.10.2 Branch-Office-VPN 10.10.3 IP-VPN-Service
eines ISP 11 Auswahl der VPN-Komponenten 11.1 VPN, Feature oder
dediziert? 11.2 Performance 11.2.1 11.2.2 11.2.3 Eigene Messungen
Verffentlichte Testberichte Beurteilungskriterien
11.3 Die Herstellerauswahl 11.4 Die Auswahl der VPN-Komponenten
11.4.1 11.4.2 Das Beispielnetzwerk Allgemein
Inhaltsverzeichnis
11.4.3 11.4.4 11.4.5 11.4.6 11.4.7 11.4.8 11.4.9
Leistung Schnittstellen Tunneling-Protokolle Sicherheit
Authentifizierung Quality-of-Service und Profile
373 375 376 377 379 380
Management, Accounting, Logging und weitere Funktionen 382 384
385 389 389 389 390 391 392 393 394 395 398 399 399 400 404 405 406
409 409 411 413 Zum Unternehmen Das Projekt Projektablauf und
Realisierung Zu den Unternehmen Das Projekt Projektablauf und
Realisierung
11.4.10 VPN-Routing 11.5 Die Auswahl von VPN-Clientsoftware 12
Fallstudien 12.1 Studie 1: Die Software AG 12.1.1 12.1.2 12.1.3
12.2.1 12.2.2 12.2.3
12.2 Studie 2: Der Blutspendedienst des DRK
12.3 VPN-Dienste von Service Providern 12.4 Studie 3: Die VIAG
Interkom 12.4.1 12.4.2 12.4.3 12.4.4 12.4.5 13 Anhang Weiterfhrende
Literatur Links 14 Stichwortverzeichnis Zum Unternehmen Der
IP-VPN-Dienst Infrastruktur Remote-Access-VPN
Branch-to-Branch-VPN
VorwortDas Internet, einstmals nur Medium fr kryptische E-Mails
und FTP-Dateitransfers mit einer berschaubaren Anzahl von
Benutzern, hat sich von einer Gre von einigen wenigen
1,5-Mbit/s-Verbindungen (T1-Links) zu einem weltumspannenden,
leistungsfhigen Netzwerk mit einer eigenen grafischen Oberflche
entwickelt. Seine Verbindungsgeschwindigkeiten reichen mittlerweile
bis in den Terabit-Bereich, was mehr als 660.000 parallelen
T1-Links entspricht! Das Internet wird darber hinaus zunehmend zum
Medium fr die Geschftsprozesse vieler Unternehmen, ja sogar ganze
Firmen basieren bereits darauf. Kein Unternehmen kann es sich heute
mehr leisten, nicht im World Wide Web prsent zu sein und bestimmte
Prozesse wie Bestellungen, OnlineDienste oder einfach nur
Produktinformationen nicht ber dieses Medium seinen Kunden zur
Verfgung zu stellen. Die Anzahl der Internet-Zugnge wchst stndig,
und damit steigt auch die Zahl der Personen und Organisationen
immer weiter, die ber sie in Sekundenschnelle erreicht werden
knnen. Somit entsteht natrlich zunehmend der Wunsch, dieses riesige
weltweite Netzwerk und nichts anderes ist das Internet auch zum
Zweck privater Kommunikation zu benutzen, indem man es verwendet,
um verschiedene, mglicherweise international verteilte Standorte
und Personen miteinander zu verbinden. Die Gre und die mittlere
Geschwindigkeit des Internets machen dies mglich, und zwar zu
Kosten, die weit unter dem liegen, was man heutzutage fr exklusive
Verbindungen bezahlen muss. Allerdings ist die Datenkommunikation
im Internet nicht vertraulich und integer, da das
Internet-Protokoll (IP) keine Sicherheitsfunktionen dafr
bereitstellt. Die private Datenkommunikation erfordert jedoch die
Vertraulichkeit, Integritt und Authentizitt der bertragenen
Informationen. Die Technik der virtuellen privaten Netzwerke ist
die Lsung, um diese beiden divergierenden Forderungen gleichermaen
erfllen zu knnen. Auf der Basis moderner und sicherer Protokolle
wie IP Security (IPSec) knnen die Vorteile des Internets auch auf
die private Datenkommunikation unter Wahrung der Vertraulichkeit
und Integritt privater Informationen angewendet werden. Damit birgt
diese Technologie fr Unternehmen jeder Grenordnung ein hohes
Ratiopotenzial. Dieses Buch wendet sich sowohl an Leser, die sich
allgemein fr die relativ neue Technologie sicherer Internet-VPNs
interessieren, als auch an solche, die planen, eine VPN-Lsung zu
implementieren und einzusetzen. Das Ziel dieses Buches ist es,
Ihnen das ntige Wissen zur Planung, Realisierung und Administration
von virtuellen privaten Netzwerken zu vermitteln. Besonderer Wert
wurde dabei auf Herstellerneutralitt gelegt.
15
Vorwort
AufbauDieses Buch ist in drei Teile gegliedert: eine Einfhrung
in die Thematik, eine ausfhrliche technische Beschreibung der
wichtigsten VPN-Schlsseltechnologien und schlielich in berlegungen
und Tipps zur Implementierung. Im Anhang finden Sie ein Verzeichnis
von weiterfhrender Literatur und interessanten Links, auf die in
diesem Buch an verschiedenen Stellen verwiesen wird. Der erste Teil
besteht aus den ersten drei Kapiteln. Kapitel 1 beschftigt sich mit
der Frage, was ein VPN eigentlich ist, wie es sich gegen andere
Netzwerktechnologien abgrenzt und welchen Nutzen der Anwender
daraus ziehen kann. Auerdem werden dort aktuelle und zuknftige
Entwicklungen sowie Marktanalysen beschrieben. Kapitel 2 hat die
unterschiedlichen Typen von virtuellen privaten Netzen zum Thema:
die Remote-Access-, Branch-Office-, Extranet- und Intranet-VPNs und
die VPN-Dienste, die in zunehmendem Mae von verschiedenen Service
Providern und Carriern angeboten werden. In Kapitel 3 werden
schlielich die technischen und qualitativen Anforderungen erlutert,
die heute von modernen Unternehmensnetzen an VPNs gestellt werden.
Vitale Themen wie Datensicherheit, Verfgbarkeit und
Quality-ofService sind hierbei die Schwerpunkte. Der zweite Teil
des Buches beschreibt ausfhrlich die in modernen IP-VPNs
eingesetzten Technologien. Er besteht aus den Kapiteln 4 bis 9. In
Kapitel 4 wird auf das Thema Sicherheit und die Grundlagen der
Kryptologie eingegangen. In diesem Kapitel wurde besonderes
Augenmerk auf die in heutigen VPNs eingesetzten
Sicherheitstechnologien gerichtet. Kapitel 5 befasst sich mit dem
Thema Authentifizierung und stellt die verschiedenen Verfahren und
Applikationen vor. Das Thema digitale Signaturen und Public Key
Infrastructure (PKI) wurde ausfhrlich behandelt, wobei auch
rechtliche Aspekte bercksichtigt werden. Die verschiedenen
Tunneling-Modelle, die man in einem VPN einsetzen kann, sind das
Thema von Kapitel 6. Hier werden auch die wichtigsten
TunnelingProtokolle beschrieben und gegenbergestellt. Kapitel 7
befasst sich mit dem Thema IP Security (IPSec) und beschreibt
detailliert die Funktionen dieser Protokollfamilie, die einen weit
reichenden Schutz der IP-Kommunikation garantiert. In Kapitel 8
finden Sie eine Beschreibung des Internet-Key-Exchange-Protokolls
(IKE). Da IKE fr eine sichere IPSec-Kommunikation sehr wichtig ist,
ist das Kapitel recht ausfhrlich ausgefallen. Die verschiedenen
Modi und Betriebsarten werden dort detailliert erlutert. Als
wichtigster Vertreter seiner Familie wird in Kapitel 9 das
Layer-2-Tunneling Protocol (L2TP) und sein Einsatz in
Zusammenarbeit mit IPSec in modernen Betriebssystemen vorgestellt.
Teil Drei umfasst Kapitel 10 bis 12 und ist der praktischen
Umsetzung gewidmet. Kapitel 10 beschreibt die verschiedenen Phasen
bei der Planung und Realisierung von VPNs von der Ist-Analyse bis
zum Aufbau. Kapitel 11
16
Danksagung
beschftigt sich mit der Auswahl der VPN-Komponenten. Hier wird,
statt der sonst blichen und schnell veralteten Hersteller- und
Produktbersicht, detailliert auf die Kriterien zur Produkt- und
Herstellerauswahl eingegangen und beispielhaft die Erstellung eines
geeigneten Anforderungskatalogs beschrieben. Kapitel 12 gibt
abschlieend anhand von Fallstudien verschiedener Unternehmen einen
tiefen und informativen Einblick in bereits realisierte VPNs und
VPN-Dienste.
DanksagungInsbesondere meinem Vater, meiner Freundin Gaby und
meinen ganzen Freunden und Bekannten mchte ich an dieser Stelle fr
ihre Geduld und ihr Verstndnis dafr danken, dass ich in den letzten
Wochen und Monaten nur sehr wenig Zeit fr sie erbrigen konnte. Da
ich dieses Buch neben meiner eigentlichen Berufsttigkeit
geschrieben habe, musste ich dafr sehr viele Abende und Wochenenden
investieren. Mein weiterer Dank gilt der Firma Nortel Networks und
dort insbesondere Andreas Herden, Martin Ruoff und Armin Schmidt fr
ihre wohlwollende Untersttzung. Sehr viel von dem, was ich an
praktischer Erfahrung in dieses Buch einbringen konnte, habe ich
bei diesem Unternehmen in zahlreichen Projekten sammeln knnen.
Besonderen Dank mchte ich auch dem Blutspendedienst des Deutschen
Roten Kreuzes, den Firmen ASAP.COM, Software AG und VIAG Interkom
aussprechen. Insbesondere gilt hier mein Dank den Herren Dieter
Kaper, Gerd Mitschke, Christoph Pischka und Oliver Truetsch fr ihre
wertvollen Informationen und Anregungen zu den Fallstudien in
diesem Buch. Auch all den Teilnehmern der VPN-, WAN- und
Security-Technology-Seminare der Nortel Networks Network Academy,
die mich durch ihre Kritik, ihre Vorschlge und ihre vielen
Anregungen zum Schreiben dieses Buches veranlasst haben und deren
Namen ich hier verstndlicherweise nicht alle nennen kann, sei an
dieser Stelle gedankt. Weiterhin mchte ich besonders meinen
Lektoren, Frau Friederike Daenecke und Herrn Rolf Pakendorf, fr
ihre Mhe und ihre tatkrftige Untersttzung bei der Entstehung dieses
Buches danken. Fr die technische Untersttzung bei der Erstellung
des Manuskripts mchte ich Herrn Karl Kienle danken. Stuttgart
Manfred Lipp
17
11.1
Virtuelle private NetzwerkeWas ist ein VPN?
Was ist ein VPN? Ein VPN (virtuelles privates Netzwerk) ist ein
Netzwerk, das ein ffentliches Netzwerk benutzt, um private Daten zu
transportieren. Dies ist zugegebenermaen eine recht allgemein
gehaltene Definition, die aber allen Arten von VPNs gerecht wird.
In der heutigen Zeit wird ein VPN sehr oft nur auf die Benutzung
des Internets als ffentliches Netzwerk reduziert, was aber so nicht
stimmt. Wie Sie in diesem Kapitel sehen werden, gibt es eine ganze
Reihe anderer, teilweise schon recht alter VPN-Technologien, die
berhaupt keinen Gebrauch vom Internet machen. Auch spricht man in
diesem Zusammenhang oft nur von Datenbertragung, aber es gibt auch
reine Sprach-VPNs und in Zukunft auch so genannte Unified-VPNs,
also Netze, die zur gleichzeitigen bertragung von Sprache, Daten
und interaktiven Videokonferenzen geeignet sind. Diese Tendenz, fr
die sich mittlerweile der Ausdruck Konvergenz oder auch Konvergenz
der Netze als allgemein gltiger Begriff etabliert hat, fhrt zu
einigen unverzichtbaren Anforderungen an solche Netzwerke. Denn im
Gegensatz zur reinen Datenbertragung, bei der es in den meisten
Fllen nicht so sehr darauf ankommt, ob die Pakte verzgert ankommen,
und die auch mit zeitweise geringen Bandbreiten auskommt, mssen
diese neuen, konvergierten Netze fr Datenstrme bestimmter Dienste
gewisse Qualitten netzwerkweit garantieren knnen. Diese Forderung,
die in lokalen Netzen und bestimmten Arten von ffentlichen Netzen
durchaus realisierbar ist, wird in IP- beziehungsweise
Internet-VPNs zu einem extrem kritischen Faktor, der in diesem Buch
auch angemessen bercksichtigt ist. Aber zurck zur Definition eines
virtuellen privaten Netzwerks. Das Gegenstck zum VPN ist ein echtes
privates Netzwerk, also ein Netzwerk, das exklusiv von einem
Unternehmen oder einer Organisation betrieben wird. Das heit, alle
bertragungseinrichtungen und alle bertragungsmedien gehren diesem
Unternehmen oder sind ihm zur exklusiven Nutzung berlassen.
Beispiele sind die so genannten Mietleitungen oder
Standardfestverbindungen, die einer Organisation zur
ausschlielichen Nutzung vermietet werden. Mit geeignetem Equipment
zur Daten- oder Sprachbertragung ber diese Leitungen wird ein
scheinbar rein privates Netzwerk betrieben. Scheinbar deshalb, weil
die Verbindungen zwar ausschlielich vom Mieter derselben benutzt
werden, jedoch meist, zumindest in Europa, Teil einer ffentlichen
Netzwerkinfrastruktur sind. Diese Infrastruktur bietet jedoch
umfassende Mglichkei-
19
1 Virtuelle private Netzwerke
ten zum Anzapfen dieser Verbindung und stellt somit in jedem
Fall ein mgliches Sicherheitsrisiko dar auch wenn die Betreiber
solcher Netze natrlich keinen Missbrauch treiben drfen und ein
Abhren nur aufgrund einer richterlichen Anordnung durch bestimmte
Personen zulssig ist. Ein ffentliches Netzwerk hingegen ist eine
Kommunikationsinfrastruktur, die von einem
Dienstleistungsunternehmen betrieben wird, das die Benutzung des
Netzes jedermann gegen ein entsprechendes Verbindungsentgelt
ermglicht. Ein Beispiel hierfr sind ffentliche Telefonnetze. Jeder
kann gegen eine entsprechende Gebhr dieses Netz benutzen. Ein VPN
versucht, private und ffentliche Netzwerke zu kombinieren, indem
das ffentliche Netzwerk als Trgernetzwerk fr die private
Kommunikation benutzt wird.
1.2
Geschichte und Technologien
Virtuelle private Netzwerke gibt es schon seit einiger Zeit. Sie
wurden aber nicht immer so genannt. In der Vergangenheit wurden
vielfach andere Begriffe verwendet, z.B. Corporate Network. Ein
ganze Reihe, teilweise schon recht lange im Einsatz befindlicher
Technologien eignet sich als Basistechnologie fr VPNs: ISDN Frame
Relay ATM Das Internet ISDN Eine schon etwas ltere VPN-Technologie
sind zum Beispiel die so genannten geschlossenen Nummernkreise in
einem digitalen Telefonnetzwerk wie dem ISDN (Integrated Services
Digital Network, ein leitungsvermittelndes, digitales
Multiservice-Netzwerk). Das Telekommunikationsunternehmen vergibt
hierbei fr die Anschlsse eines Kunden eine Reihe von
Telefonnummern, die nur untereinander kommunizieren knnen.
Verbindungen zu oder von Nummern auerhalb dieses Nummernkreises
sind nicht mglich. Aus Sicht des Unternehmens sieht dies wie ein
privates, abgeschlossenes Telefonnetz aus. In Wirklichkeit wird
aber das ffentliche Netzwerk des Telekommunikationsunternehmens
benutzt, das die ntige Infrastruktur in Form von Leitungen und
Vermittlungssystemen zur Verfgung stellt. Die Kommunikation zu
Nummern auerhalb des geschlossenen Nummernkreises ist nur ber ein
Schnittstellensystem, z.B. eine Nebenstellenanlage, mglich, die
einen bergang zum ffentlichen Netzwerk bietet.
20
Geschichte und Technologien
Frame Relay Eine andere, ebenfalls bereits lnger verfgbare
VPN-Variante sind Netzwerke, die auf dem Frame-Relay-Verfahren
basieren. Frame Relay ist eine bertragungstechnologie, die
ursprnglich zum reinen Datentransport entwickelt wurde, aber auch
zunehmend fr gemischte Sprach- und Datenbertragung verwendet wird.
Der Frame-Relay- Standard wurde eigentlich auf Grundlage des
X.25-Standards als ISDN-Datenbertragungsprotokoll entwickelt. Das
Frame Relay Forum, das 1991 gegrndet wurde, definiert die
notwendigen, herstellerbergreifenden Standards hierfr. Obwohl es
aus dem X.25-Standard hervorgegangen ist, existieren zu diesem doch
wesentliche Unterschiede. So arbeitet Frame Relay mit viel hheren
Geschwindigkeiten, mit teilweise bis zu 45 Mbit/s. Da Frame Relay
eine hohe Leitungsqualitt voraussetzt, wurden auch nicht so
aufwendige und ressourcenintensive Mechanismen zu Sicherung der
bertragung bentigt, wie dies beim X.25-Protokoll der Fall
ist.Netzwerk A
Router A
Netzwerk B
Netzwerk C
PVC 1Router B
PVC 2Router C
PVC 3 PVC 4
PVC 5
PVC 6
Router D
Frame-RelayNetzwerk
Netzwerk D
Abbildung 1.1: Im Frame-Relay-VPN werden die permanenten
virtuellen Verbindungen auf der OSI-Schicht 2 abgebildet.
Frame Relay ist aus der Sicht des Anwenders ein
verbindungsorientiertes Protokoll. Das heit, es muss eine so
genannte virtuelle Verbindung zwischen zwei
Datenbertragungseinrichtungen existieren. Diese kann entweder vom
Provider fest konfiguriert und dauerhaft aktiviert werden oder erst
bei anstehender Datenbertragung vom Kunden aktiviert und
anschlieend wieder deaktiviert werden. Die erste Variante nennt man
PVC (Permanent Virtual Circuit), und die zweite Variante wird als
SVC (Switched Virtual Circuit) bezeichnet. Die Pfade werden deshalb
als virtuell bezeichnet, weil in Wirk-
21
1 Virtuelle private Netzwerke
lichkeit keine physikalische Ende-zu-Ende-Verbindung besteht.
Tatschlich ist der Weg der Frames durch ein Frame-Relay-Netzwerk
dynamisch; bei Ausfllen oder berlasten knnen alternative Routen
gewhlt werden. Fr den Abonnenten eines Frame-Relay-PVCs ist dies
alles nicht sichtbar, fr ihn stellt sich das Ganze als
Punkt-zu-Punkt-Verbindung dar. Neben der hohen Geschwindigkeit
bietet Frame Relay aber einiges mehr; insbesondere knnen
verschiedene Dienstqualitten zwischen Provider und Kunde vereinbart
werden. So knnen Parameter wie garantierte Bandbreite und maximale
Bandbreite vereinbart werden. Es ist auch mglich, in einer
Verbindung zu einem Frame-Relay-Netz-Zugangsknoten gleichzeitig
mehrere PVCs mit verschiedenen Parametern fr verschieden
priorisierte Dienste wie SAP, Sprache und unkritischen Datenverkehr
zu konfigurieren. Auch in Hinblick auf seine groe Verbreitung (es
wird praktisch weltweit angeboten) eignet sich Frame Relay vom
technischen Standpunkt aus gesehen hervorragend als Basis zum
Aufbau von VPNs. Fr detaillierte Informationen zu Frame Relay sei
auf die einschlgige Fachliteratur verwiesen. Der Asynchronous
Transfer Mode, ATM Neben Frame Relay hat sich auch ATM
(Asynchronous Transfer Mode) als Basis fr die Art von ffentlichen
Netzwerken etabliert, die sich sehr gut zum Aufbau von VPNs eignen.
Beim Stichwort ATM fallen Ihnen zuerst wahrscheinlich zwei Begriffe
ein: Geschwindigkeit und Komplexitt.Daten Sprache Video Leerzellen
bertragung mit maximaler BitrateDaten Sprache Video
Segmentierung
Reassemblierung
Abbildung 1.2: ATM ermglicht die bertragung der verschiedensten
Arten von Datenverkehr.
Die ATM-Technologie als solche ist, sobald man sich ein wenig
mit ihr beschftigt hat, gar nicht so komplex. Allerdings steigt die
Komplexitt mit der Komplexitt des Einsatzes dieser Technologie,
insbesondere dann, wenn sie zu Dingen benutzt wird, fr die sie
nicht ausgelegt wurde, beispielsweise fr die Emulation von
Ethernet- oder Token-Ring-Netzwerken. Wenn mit einem
verbindungsorientierten Netzwerk wie ATM ein auf Broadcasts
basierendes Netzwerk wie Ethernet emuliert werden soll, dann wird
es eben kompliziert.
22
Geschichte und Technologien
In einem ATM-Netzwerk kann man sehr schnell Daten bertragen,
aber das ist gar nicht einmal das wichtigste Kriterium fr seine
Auswahl, sondern es geht um die damit mglichen abgestuften
Dienstqualitten und die gute Eignung zur bertragung von isochronen
Datenstrmen wie Sprache oder Video. Im Gegensatz zum
Frame-Relay-Verfahren, mit dem Daten von mehreren tausend Byte in
einem Frame bertragen werden knnen, benutzt man bei ATM das Cell
Switching. Es werden dabei sehr kleine Zellen bertragen, die eine
feste Lnge von 53 Byte haben. Die Nutzdatenpakete werden vor der
bertragung in 48 Byte groe Zellen aufgeteilt, mit einem Header
versehen und in den 53 Byte groen ATM-Zellen synchron bertragen.
Auf der Empfngerseite werden die Pakete wieder zusammengesetzt,
sofern keine Zellen aufgrund von berlastsituationen verworfen
wurden. Denn ATM, ebenso wie Frame Relay, erlaubt es, Zellen zu
verwerfen, sofern sie entsprechend gekennzeichnet sind und einer
entsprechenden Dienstklasse angehren. Bei Sprachoder
Videobertragungen ist dies meist kein Problem, denn durch die
minimale Gre der ATM-Zellen bleibt die akustische oder optische
Strung in der Regel subjektiv unbemerkt. Auch bei den meisten
Datenbertragungen ist dieses Verhalten akzeptabel, denn die hheren
bertragungsprotokolle fordern das gesamte Paket einfach noch einmal
an.PC
Netzwerk A Gateway A
Tunnel
Netzwerk C
InternetTunnelTunnelTunnel
Gateway C
Gateway B
Netzwerk B
Abbildung 1.3: Im Internet-VPN werden die virtuellen
Verbindungen auf der OSI-Schicht 3, der Netzwerkschicht,
abgebildet.
Wer sich tiefer in dieses Thema einlesen mchte, dem sei auch an
dieser Stelle die umfangreiche weiterfhrende Literatur
empfohlen.
23
1 Virtuelle private Netzwerke
Das Internet In neuerer Zeit spricht man immer fter von IP-VPNs
oder auch InternetVPNs. Der fundamentale Unterschied zu virtuellen
privaten Netzwerken auf Basis von ISDN, Frame Relay oder ATM ist
der, dass die Trgertechnologie nicht auf der Ebene 2 des
OSI-Schichtenmodells, sondern auf der Ebene 3, der Netzwerkschicht,
liegt. Der groe Vorteil liegt darin, dass man damit von
physikalischen Infrastrukturen unabhngig wird. Das IP-VPN
transportiert IP-Pakete zwischen zwei Endsystemen. Ob das IP-Paket
whrend der bertragung in ATM, Frame Relay (oder was auch immer und
in welcher Kombination auch immer) eingekapselt wird, ist aus Sicht
des VPN unerheblich. Ein Internet-VPN benutzt das Internet, das
weltgrte und immer noch stark wachsende IP-Netzwerk, als
ffentliches Netzwerk.
1.3
Warum VPNs?
Der Hauptgrund fr den Einsatz virtueller privater Netzwerke
besteht in deren niedrigen Betriebskosten. Dies gilt insbesondere
fr Internet-VPNs; bei VPNs auf Basis von ATM und Frame Relay sind
die Einsparungen lngst nicht so hoch. Nicht selten sind die
Gesamtkosten eines Internet-VPNs, also die Summe aus Investitionen
und den Betriebskosten, schon fr das erste halbe Jahr geringer als
unter Verwendung von traditionellen Netzwerkkomponenten! Somit gibt
der Kostenfaktor meist den Hauptausschlag zugunsten dieser neuen
Technologie. Der Spitzname fr VPNs Very Profitable Network kommt
nicht von ungefhr.Einwhl-RemoteAccess Monatliche Grundgebhr (2 x
E1) Volumengebhr (7,6 Gbyte) Zeitgebhr Dial-In (0,05 DM/min)
Zeitgebhr VPN (79,- DM/Monat Flatrate) Summe DM 48.644,DM 47.520,DM
4.740 DM 9.796,DM 1.124,VPN-RemoteAccess DM 4.264,DM 792,-
Tab. 1.1: Ein Kostenvergleich zwischen Remote Access auf Basis
von Einwhl- und VPN-Technologie
In Tabelle 1.1 sehen Sie eine Beispielrechnung dafr, wie hoch
die Einsparungen beim Einsatz eines Remote-Access-VPN sein knnen.
Als Beispiel wurde ein Netzwerk eines mittelstndischen Unternehmens
gewhlt, das maximal 60 gleichzeitige Verbindungen in das
Unternehmensnetzwerk zur Verfgung stellen will. Es wurde sehr
konservativ gerechnet und der am 11. Dezember
24
Warum VPNs?
2000 billigste Anbieter mit 5 Pf/min (in der Fernzone) genommen.
Die bertragene Datenmenge von 7,6 Gbyte berechnet sich unter der
Annahme, dass alle 60 B-Kanle des Remote-Access-Systems zwlf
Stunden am Tag und 22 Tage im Monat (dies entspricht einer
Verbindungszeit von 950.400 Minuten pro Monat) mit voller
Bandbreite ausgelastet sind. Die Alternative dazu, der Einsatz von
VPN-Technologie, legt zwei E1-Verbindungen (2 Mbit/s) mit einem
monatlichen Datenvolumen von 7,6 Gbyte zu einem ISP zugrunde. Die
Einwahl der Benutzer erfolgt bei einem Provider mit einer so
genannten Flatrate von DM 79,- pro Monat inklusive Telefongebhren.
Die Betriebskosten der beiden Lsungen wurden in beiden Fllen als
gleichwertig angenommen. Die Anschaffungskosten der Hardware
unterscheiden sich ebenfalls: Ein dem notwendigen
Remote-Access-Konzentrator gleichwertiges VPN-System kostet im
Schnitt etwa 50% weniger, bei hohen Portdichten sogar bis zu 80%
weniger! Das Einspar-Potenzial liegt bei 38.788 DM pro Monat, also
bei einer Tarifersparnis von fast 80% das ergibt eine jhrliche
Einsparung von 465.465 DM. Und dies ist noch eine vergleichsweise
kleine Remote-Access-Lsung. Ich erwhnte bereits, dass dieses
Beispiel extrem konservativ gerechnet ist. Denn in der Praxis wird
meist etwas schrfer kalkuliert: Es ist nmlich sehr unrealistisch,
dass alle 60 B-Kanle der Remote-Access-Lsung zwlf Stunden am Tag
mit voller Bandbreite betrieben werden, wodurch sich die zugrunde
gelegte Gesamtbandbreite von 4 Mbit ergeben wrde. Es ist vielmehr
so, dass eine Verkehrsanalyse in den meisten Fllen ergeben wird,
dass die Gesamtbandbreite statistisch gesehen fast immer deutlich
darunter liegt. Und nur diese Bandbreite msste ein
VPN-Remote-Access-Konzentrator zur Verfgung stellen, wodurch die
Zugangsverbindung zum Internet deutlich schmalbandiger und damit
kostengnstiger ausfallen kann. Hier kommt der Vorteil eines
IP-VPNs, nmlich ber ein paketorientiertes Netzwerk ein
leitungsvermittelndes Netz zu simulieren, voll zum Tragen. Die
Grnde fr den Einsatz von virtuellen privaten Netzen sind recht
vielfltig und vom Geschftsmodell der Betreiber abhngig. In
Abbildung 1.7 sehen Sie die Resultate einer Umfrage, die ermitteln
sollte, zu welchem Zweck die befragten Unternehmen die
VPN-Technologie einsetzen. Nach wie vor nimmt der Remote Access
eine fhrende Stellung ein, wohl deshalb, weil damit am schnellsten
sehr hohe Einsparungen zu erzielen sind. Zum anderen bieten
Internet-VPNs hufig eine groe Flexibilitt: Man kann sehr schnell
neue Benutzer und Standorte in sein Netzwerk einbinden. Ein neuer
Remote-Access-Benutzer braucht sich zum Beispiel nur beim Service
Provider anzumelden und kann gleich danach das VPN benutzen. Es
mssen keine Gerte beschafft oder erweitert und keine neuen
Zugangsleitungen bestellt werden.
25
1 Virtuelle private Netzwerke
Warum hat sich dann nicht jeder schon vor Jahren auf
Internet-VPNs gestrzt? Das Problem liegt im Internet begrndet, denn
eine wichtige Sache bietet das Internet noch nicht: garantierbare
Bandbreiten und Verzgerungszeiten. Auch vom Standpunkt der
Sicherheit aus gibt es heute oft noch erhebliche Bedenken, das
Internet zum Transport privater Daten zu benutzen. Eine ganze Reihe
dieser Einwnde lsst sich aber durch heute frei verfgbare
Technologien zur Datenverschlsselung und generellen
Netzwerksicherheit zerstreuen, einzig das Problem der nicht
garantierten Dienstqualitt bleibt vorerst noch bestehen. Aber auch
daran wird gearbeitet, und es gibt mittlerweile auch schon
brauchbare Lsungen sie mssen nur noch implementiert werden.
1.4
Rahmenbedingungen fr den Einsatz
Der sinnvolle und mgliche Einsatz eines VPNs hngt von
verschiedenen Rahmenbedingungen ab, die von Land zu Land und von
Benutzer zu Benutzer unterschiedlich sein knnen.Challengers
Leaders
Cisco Check Point
Nortel Networks
Execute
Lucent IBM Axent IRE
3Com
NAI Intel/Shiva
Ability
TimeStep Watchguard Secure Computing Compatible Systems VPNet
Radguard Red Creek Indus River Altiga
InfoExpress
Niche Players
Visionaries
Completeness of VisionAbbildung 1.4: Eine Analyse des
Remote-Access-VPN-Marktes (Quelle: Gartner Group, 1999)
26
Rahmenbedingungen fr den Einsatz
Eine der Hauptmotivationen, der Kostenaspekt, ist sehr variabel,
sowohl zeitlich als auch regional. In den meisten Lndern gibt es
sehr unterschiedliche Tarife, sowohl im Bereich der ffentlichen
Netze als auch fr den Internetzugang. Da VPNs oft international
ausgelegt werden, muss man mit den unterschiedlichsten Tarifen und
Zugangstechnologien kalkulieren, was schnell etwas unbersichtlich
werden kann. Ein Beispiel: In den USA oder Kanada bekommt man
schnell und sehr kostengnstig DSL-Anschlsse. In Deutschland bekommt
man nach wie vor, auer in den Ballungszentren, meist nur ein
bedauerndes Kopfschtteln zu sehen und einen Platz auf der
Warteliste zugewiesen. Und wenn es so weit ist, schlagen, im
Gegensatz zu Nordamerika, erheblich hhere Kosten zu Buche. Je
weiter ein VPN international gespannt wird, desto komplexer werden
die Kostenkalkulationen, die auch stndigen nderungen durch
glcklicherweise meist fallende Gebhren unterworfen sind. Weiterhin
gibt es auch die unterschiedlichsten Zugangstechnologien, die
sowohl von der Technik als auch von den Kosten regional wieder sehr
unterschiedlich sein knnen. Hinzu kommt, dass nicht alle Provider
immer alles anbieten, was technisch mglich wre. Whrend in
Deutschland ISDN sehr verbreitet ist, kennt in den USA diese
Technik im Heimbereich praktisch niemand, sie wird noch nicht
einmal angeboten, auer in ganz wenigen Fllen. Weitere
Rahmenbedingungen sind rechtlicher Natur. Bei Internet-VPNs finden
in der Regel bestimmte Verschlsselungstechnologien Anwendung. In
bestimmten Regionen unserer Erde darf man solche Produkte aber
berhaupt nicht einsetzen; in anderen Lndern sind nur Produkte mit
so genannter schwacher Verschlsselung erlaubt. Wiederum andere
Lnder beschrnken den Export solcher Systeme. In Deutschland fllt
die Ausfuhr starker Verschlsselungssysteme beispielsweise unter das
Kriegswaffen-Kontrollgesetz.12.000 10.000
IP-VPN (US) IP-VPN (Rest) IP-VPN (Global)2.000
1998
1999
2000
2001
2002
2003
Total global IP-VPN service revenue $US m
Abbildung 1.5: Eine Prognose zur weltweiten Marktentwicklung von
IP-VPNs
27
1 Virtuelle private Netzwerke
Auch die Zukunft von VPNs, die auch Sprache bertragen knnen, ist
noch nicht geklrt! Die heutige ffentliche Sprachkommunikation darf
nach einer richterlichen Genehmigung von den
Strafverfolgungsbehrden abgehrt werden das ist in allen Lndern gang
und gbe. Die Telekommunikationsunternehmen stellen die dafr
notwendigen Schnittstellen zur Verfgung. Was wird aber, wenn
Sprachdaten zunehmend ber Internet-VPNs bertragen werden, und die
IP-Pakete durch den Einsatz von starker Verschlsselung vor jedem
Abhren geschtzt sind? Wie lange bleibt der Gesetzgeber dabei
unttig?
1.5
Der VPN-Markt
Der VPN-Markt ist augenblicklich ein sehr dynamischer Markt. In
den USA begann vor etwa drei Jahren ein regelrechter Boom im
Bereich der InternetVPNs. Dort schoss eine Reihe kleiner
Startup-Unternehmen aus dem Boden, die sich auf reine
IP-VPN-Technologie konzentrierten und die erste reine VPN-Hard- und
-Software entwickelten. Auch die Groen der Netzwerkbranche
reagierten, wie heutzutage blich, durch die bernahme einiger dieser
Firmen und die Integration von deren Produkten in das eigene
Produktportfolio. Dies erschwert leider auch die Auswahl eines
Herstellers, da die Zukunft etlicher Firmen und ihrer Produkte nur
sehr schwer vorherzusagen ist. Dieses Problem wird noch dadurch
verschrft, dass ausgerechnet die kleinen Unternehmen oft die
interessantesten und besten Produkte haben. Nicht selten wurden
solche Unternehmen von Mitarbeitern groer Firmen gegrndet, die ihre
Ideen an ihrem alten Arbeitsplatz nicht verwirklichen konnten. Aus
Frustration ber die meist unvermeidliche Brokratie und die langen,
manchmal schwer nachvollziehbaren Entscheidungswege in
Grounternehmen verlieen sie ihre Arbeitgeber und grndeten mit
anderen Leidensgenossen eine eigene Firma. Geldgeber, die
ausreichend Kapital in solche Unternehmen stecken, finden sich in
den USA recht problemlos, und die rechtlichen Rahmenbedingungen
sind dort ebenfalls innovationsfreundlicher als zum Beispiel in
Deutschland. In solchen kleinen Firmen, in der Atmosphre eines
High-Tech-Startups und mit der hohen Motivation ihrer Mitarbeiter,
die alle an ihre Ideen glauben, wurden in den letzten Jahren die
wichtigsten Technologien und Systeme im Bereich der IP-VPNs
entwickelt. Auch in Deutschland begann sich im Jahre 1999 der
Internet-VPN-Markt sehr positiv zu entwickeln. Aufgrund des
rasanten Wachstums des Internets und des wachsenden Bedarfs von
Unternehmen an internationaler, breitbandiger
Weitverkehrskommunikation sagen die Analysten sogar ein noch viel
strkeres Marktwachstum voraus. Wie fast alle Entwicklungen, die
hauptschlich in den USA entstanden, war auch diese Technologie erst
ein bis zwei Jahre spter nach Deutschland gekommen. Dies hing mit
einer ganzen Reihe von ungnstigen Faktoren zusammen,
28
Der VPN-Markt
vor allem mit der spten Liberalisierung des
Telekommunikationsmarktes, einer gewissen Abwartehaltung der
potenziellen Anwender und der rgerlichen Tendenz einiger Carrier
und Service Provider, ihre herkmmlichen WAN-Systeme und
Dienstleistungen, in die sie einiges fr Entwicklung und Anschaffung
investiert hatten, erst einmal weiter zu vermarkten und das Thema
VPN am besten gar nicht zu erwhnen. Die Fachliteratur hatte sich
auch weitgehend zu dem Thema ausgeschwiegen, und auch in Fachpresse
wurde dem Thema lange Zeit eher eine Nischenposition zugewiesen.
Selbst die Hersteller hatten es nicht eilig, sich mit dieser
Technologie zu befassen, da sie mit traditionellen Routern und
Remote-Access-Konzentratoren einen um ein Vielfaches hheren Umsatz
machen konnten als mit der vergleichbaren VPN-Technologie. Denn vom
so genannten Straenpreis ausgehend, musste ein Kunde fr ein
Remote-Access-System mit 1.000 gleichzeitigen analogen oder
digitalen Einwhlverbindungen etwa 450.000 DM in seine Hardware
investieren, im Fall eines VPN-Konzentrators nur etwa 40.000 DM. So
fehlte denn aufgrund fehlender Informationen auch lange Zeit der
Druck vom Kunden, und das Thema wurde bei uns zu einem Sptstarter.
Aber frei nach dem Motto Lieber spt als nie boomt der Markt
mittlerweile auch in Deutschland, insbesondere im Bereich der
Internet-VPNs.8.000 7.000
Umsatz in Millio nen Dolla r
6.000 5.000 4.000 3.000 2.000 1.000 0 1998 1999 Fram e Relay
IP-VPN 2000 2001 2002 2003 2004 2005
Abbildung 1.6: Ein Vergleich zwischen der prognostizierten
Entwicklung von Frame-Relayund IP-VPNs (Quelle: The Yankee Group,
2000)
29
1 Virtuelle private Netzwerke
Die zuknftige Marktentwicklung fr virtuelle private Netze wird
von den Analysten durchweg als sehr positiv bewertet. Die Yankee
Group prognostiziert ein Umsatzwachstum in diesem Markt von 260
Millionen US-Dollar (USD) im Jahr 1999 auf 6,8 Milliarden USD im
Jahr 2005. Insgesamt wird der Trend beobachtet, dass immer mehr
Unternehmen neue Investitionen eher in die VPN-Technologie als in
traditionelle WAN-Lsungen ttigen. Die Gartner Group prognostiziert
(in der Network World, 13. Januar 2000) ein Wachstum des
Gesamtmarktes von heute 145 Milliarden auf ber 7 Billionen
US-Dollar im Jahr 2001. Hierin sind alle Umstze, also Hardware,
Software, Tarife und Dienstleistungen im Endkunden- und
Service-Provider-Bereich, eingerechnet. Hinzu kommt, dass die
Carrier und Service Provider IP-VPNs als Komplettlsung in ihr
Angebotsportfolio aufgenommen haben und in diesem Bereich eine
Reihe unterschiedlicher Lsungen offerieren. Diese reichen vom
einfachen Internet-Zugriff bis hin zu Komplettlsungen inklusive
Netzwerkmanagement. Es wird wohl in Zukunft immer mehr so aussehen,
dass sich der Netzwerkplaner nicht mehr fragt, ob er die
VPN-Technologie einsetzen soll, sondern wie.
1.6
IP-VPNs und das Internet
Auslser fr diese Entwicklung gibt es gleich mehrere. Nachdem
sich das Internet endgltig von dem Begriff free im Sinne von
umsonst verabschiedet hat und nachdem es aus dem universitren
Bereich herausgelst wurde und sich die Groen der Telekommunikation
seiner angenommen haben, wird es in einem Mae ausgebaut, wie es vor
einigen Jahren niemand vorausgesagt htte Diese Entwicklung findet
gleichzeitig in mehreren Bereichen statt: Die Zahl der so genannten
Internetanschlsse und damit gleichbedeutend die Zahl der Endgerte
nimmt rasant zu. Es ist zwar noch lange nicht so, dass jeder
Rechner auf der Welt einen Internetanschluss hat, aber bedingt
durch stndig sinkende Kosten und den steigenden Mehrwert des Netzes
nimmt ihre Zahl deutlich zu. Die Bandbreite des Internets wird der
in Zukunft notwendigen Kapazitt angepasst. Im Augenblick gibt es
sogar ein regelrechtes Bandbreiten-berangebot, vor allem im
Backbone-Bereich. Man darf sich hier durch das manchmal langsame
World Wide Web nicht tuschen lassen. Dessen mitunter etwas drftige
Performance beruht meist auf vllig unterdimensionierten
Serverfarmen ohne vernnftige Lastverteilung und auf einer zu
schmalbandigen Anbindung an den Internet-Backbone. Mit der
Netzgeschwindigkeit selbst hat dies meist nichts zu tun, aber nur
diese interessiert bei der Planung eines Internet-VPNs. Die
Verfgbarkeit des Internets fr den Endkunden wird deutlich hher.
Dies liegt hauptschlich daran, dass die Service Provider zunehmend
durch so genannte SLAs (Service Level Agreement, eine
Vereinbarung
30
IP-VPNs und das Internet
zwischen Service Provider und Endkunde ber Dienstqualitten wie
Bandbreite und Verfgbarkeit) gezwungen werden, fr den Betrieb ihrer
Datennetze hnliche Verfgbarkeitskriterien wie im
Sprachvermittlungsbereich anzulegen. Hinzu kommen aktuelle
Entwicklungen im Bereich CoS (Class-of-Service, Abstufung
verschiedener Dienstqualitten hinsichtlich Bandbreite, Verzgerung
und Verfgbarkeit), mit denen die Service Provider die Schwche des
IPProtokolls in diesem Bereich kompensieren sollen. Dies alles
deutet darauf hin, dass das zuknftige Internet ein weltweit
verfgbares IP-Netzwerk mit einer hohen, skalierbaren Bandbreite, in
Grenzen deterministischen Verzgerungszeiten, einer hohen
Verfgbarkeit und einer Vielzahl unterschiedlicher
Zugangstechnologien sein wird.Intranet Remote Access Extranet
Access E-Commerce Anderes2%0% 10% 20% 30% 40%
30% 34% 20% 14%
Abbildung 1.7: Der Remote Access steht nach wie vor an der
Spitze der beliebtesten VPN-Anwendungen. (Quelle: Telechoice,
1999)
Obwohl sich das alles auf den ersten Blick sehr positiv anhrt,
muss man, zumindest heute und in nherer Zukunft, noch einige
Einschrnkungen machen. Dies hngt mit der Struktur und der
augenblicklich eingesetzten Technologie des Internets zusammen. Das
Internet basiert auf dem IP-Protokollstandard und den ganzen
anderen damit zusammenhngenden RFCs (Request for Comment, Standards
im Internetbereich), die teilweise schon einige Jahre auf dem
Buckel haben und unter anderen technischen, gesellschaftlichen und
kommerziellen Rahmenbedingungen entwickelt wurden, als heute
vorliegen. Wie Sie wahrscheinlich wissen, liegt der Ursprung des
IP-Protokolls im militrischen Bereich. Die ARPA (Advanced Research
Projects Agency, eine Abteilung des US-Verteidigungsministeriums)
entwickelte bereits 1969 ein Netzwerkprotokoll, das Datenpakete
zwischen rumlich weit verteilten Rechnern sicher und schnell, auch
bei Zerstrung einzelner bertragungsknoten, transportieren sollte.
Das Ergebnis war das TCP/IP-Protokoll. Mit diesem Protokoll wurden
dann in den USA auch Behrden- und Wissenschaftsnetze aufgebaut, und
es fand seinen Weg in eine breite ffentlichkeit vor allem ber den
univer-
31
1 Virtuelle private Netzwerke
sitren Bereich. Obwohl es als Weitverkehrsprotokoll konzipiert
wurde, war es auch im LAN-Bereich einsetzbar und wurde in
Betriebssysteme wie Unix, Windows und schlielich auch Novell
integriert. Aber heutige Applikationen bentigen nicht selten
Features, die die IP-Protokolle in ihrer jetzigen Form noch nicht
bieten oder die noch nicht flchendeckend im Internet eingesetzt
werden. So ist es zum Beispiel heute technisch noch nicht mglich,
im Internet eine bestimmte Bandbreite oder Verzgerungszeit zu
garantieren. Obwohl dies einige Service Provider in ihren SLAs tun,
besitzen sie berhaupt noch nicht die technischen Mglichkeiten dazu,
sie hoffen meist einfach, dass es schon klappen wird oder dass man
sie nicht erwischt. Auerdem ist die Verfgbarkeit des Internets
immer noch ein uerst kritischer Punkt, da etliche kleinere und
mittlere Vermittlungsknoten immer noch mit Routern betrieben
werden, die ursprnglich fr den Einsatz in Unternehmensnetzen
entwickelt wurden und deren Ausfallsicherheit nicht den im
Carrier-Umfeld blichen Mastben entspricht. Wenn man sich die
Struktur des Internets einmal anschaut, kann man es grundstzlich in
drei unterschiedliche Bereiche gliedern, die vom Backbonebis zum
Access-Bereich abgestuft sind (siehe Abbildung 1.8). Im
AccessBereich sind IP-Endgerte zu finden, also Endgerte wie PCs,
Unix-Workstations, VPN-Gateways und Access-Router. Der
Internet-Backbone dient ausschlielich dazu, mehrere Netze
miteinander zu verbinden.Nationaler ISPNAP
Nationaler ISP
NAP
Nationaler ISP
Regionaler ISP
Regionaler ISP
Regionaler ISP
Enduser
Lokaler ISP
Lokaler ISP
Lokaler ISP
Lokaler ISP
Enduser
Enduser
Enduser
Enduser
Enduser
Enduser
NAP: Network Access Point Zustzlich mgliche Verbindungen
Abbildung 1.8: Die Struktur des Internets und die verschiedenen
Arten von Internet Service Providern
32
Entwicklungen und Ausblicke
Aufgrund dieser Unterscheidung gibt es auch drei Klassen von
ISPs (Internet Service Provider, eine Organisation, die Dienste wie
den Zugriff auf das Internet, E-Mail usw. zur Verfgung stellt), und
zwar solche, die nur einen Teil des Backbone betreiben, solche, die
nur die Access-Technologie bereitstellen, und solche, die beides
machen, ber deren Infrastruktur sowohl ein Teil des
Internet-Backbone-Verkehrs transportiert wird als auch
Zugriffsdienste fr Endanwender bereitgestellt werden.
1.7
Entwicklungen und Ausblicke
Nach alldem sieht die Zukunft von virtuellen privaten Netzwerken
sehr rosig aus. Die wichtigsten Rahmenbedingungen stimmen, die
Technologie ist verfgbar, ebenso eine Auswahl der verschiedensten
ffentlichen Netze, und die potenziellen Kunden haben die Idee der
VPNs angenommen. Nun stellt sich die Frage, welche Art von VPN man
einsetzen soll. Was ist am besten geeignet? Was ist zukunftssicher?
Was ist am kostengnstigsten? Diese Fragen lassen sich einfach
beantworten, denn es gibt praktisch keine Alternative mehr zu einem
IP-VPN. Das Internet-Protokoll, so alt es auch sein mag, ist das
Netzwerkprotokoll der Zukunft. Es wird alle anderen, noch brig
gebliebenen Netzwerkprotokolle verdrngen. Man muss sich nur einmal
die aktuellen Projekte der IETF (Internet Engineering Task Force,
dem Gremium zur Entwicklung und Verabschiedung von
Internet-Standards) anschauen, dann wei man, wohin der Internet-Zug
fhrt. Es wird in Zukunft mglich sein, ber das Internet
unternehmenskritische Applikationen zu betreiben, Geschfte
abzuwickeln, vertrauliche Informationen zu bertragen und auch zu
telefonieren. Wer jetzt sein VPN aufbaut und gewisse Anforderungen
hat, die augenblicklich nur ber ATM oder Frame Relay zu erfllen
sind, hat trotzdem noch alle Optionen. Denn der Einsatz solcher
Netze verbietet nicht den Einsatz von IP als Netzwerkprotokoll.
Wenn man sein Netzwerk-Design dementsprechend gestaltet, ist eine
sptere Migration kein groer Aufwand mehr und zieht vor allem keinen
Bruch in der privaten Netzwerkstruktur nach sich. Die zuknftige
Entwicklung im Internet wird vor allem im Bereich der Erhhung der
Bandbreite und der Verfgbarkeit sowie der durchgehenden
Implementierung von Bandbreitenmanagement und verschiedenen
Dienstqualitten stattfinden. Die Geschwindigkeiten, die man in
Zukunft bentigt, werden mit optischen bertragungstechnologien
erzielt werden. Neueste Entwicklungen wie DWDM (Dense Wave Division
Multiplexing, die gleichzeitige bertragung von mehreren Lichtfarben
ber eine Glasfaser) vervielfachen die bertragungskapazitten von
existierenden Glasfaserverbindungen. Aufholverstrker, die bisher
elektro-
33
1 Virtuelle private Netzwerke
nisch arbeiteten, also Licht in Elektrizitt umwandelten, diese
verstrkten und die Elektrizitt wieder in Licht umwandelten, werden
durch rein optische Verstrker ersetzt, die mit extrem hohen
Bandbreiten und minimalster Verzgerung arbeiten. Router dringen in
die Dimension von mehreren Tbit/s (1 Terabit = 1.000.000.000.000
Bit) vor; die allerneuesten Entwicklungen gehen in Richtung
optischer Router. Hierbei werden die Lichtsignale nicht mehr in
Elektrizitt umgewandelt und mit herkmmlicher elektronischer
Routertechnologie verarbeitet, sondern ber mikroskopisch kleine
Spiegel (MEM, Micro Electronic Mirror) blitzschnell in den
richtigen optischen Pfad weitergeleitet. Mittlerweile laufen
Untersuchungen und Entwicklungen, auch verschiedene Dienstklassen
oder virtuelle Pfade auf bestimmte Lichtfarben abzubilden und auf
diese Weise in ganz neue Dimensionen vorzustoen. Im Zuge dieser
Entwicklungen wird auch die Paketverzgerung im Internet immer
geringer. Diese hngt von der Anzahl der verschiedenen Netzknoten
und von deren jeweiliger Verarbeitungsgeschwindigkeit ab. Je
schneller diese Knoten sind und je weniger Knoten insgesamt
durchlaufen werden, desto besser wird dieser Wert. Vor allem die
neuen rein optischen Verstrker eliminieren die Verzgerungen, die
durch die zweifache Medienkonvertierung in herkmmlichen
opto-elektronischen Systemen nicht vermeidbar sind. An der
Verfgbarkeit des Internets wird ebenfalls fleiig gearbeitet. Da
zunehmend Hersteller am weiteren Auf- und Ausbau beteiligt sind,
die teilweise schon seit ber hundert Jahren im Telefongeschft ttig
sind und deren Hauptkriterium daher schon immer Ausfallsicherheit
war, sind auch hier positive Entwicklungen festzustellen. Dass das
Internet insgesamt einmal eine Verfgbarkeit von 99,999% haben wird,
ist natrlich noch Zukunftsmusik. Dies liegt daran, dass es genau
genommen das Internet nicht gibt. Es ist vielmehr ein
Zusammenschluss von vielen Zugangs- und Backbone-Netzen
verschiedenster Betreiber, in denen die unterschiedlichsten
Technologien eingesetzt werden. Aber zumindest im Backbone-Bereich
und zunehmend auch im AccessBereich ist die Verfgbarkeit des Netzes
ein Thema geworden, das die Kunden auch in den Vertrgen mit den
Providern festlegen wollen. Auch im Access-Bereich sind die Weichen
auf Geschwindigkeit gestellt. Die 64 Kbit/s eines ISDN-B-Kanals
reichen den meisten Anwendern und Anwendungen oft schon nicht mehr
aus. Neue, schnellere Zugriffstechniken wie die drahtgebundene
DSL-Technologie oder neue drahtlose Verfahren bieten Bandbreiten
von mehreren hundert Kbit/s bis zu einigen Mbit/s. Glcklicherweise
ist der Kostenverlauf der Tarife umgekehrt proportional zu den
angebotenen Geschwindigkeiten, so dass auch im Bereich der Heimbros
oder kleinen Niederlassungen zu niedrigen Kosten ein Vielfaches der
bisherigen Bandbreiten zur Verfgung steht. Laut einer Studie von
Forrester Research vom Mai 2000 wird erwartet, dass, trotz des
momentan extrem schleppenden Anlaufs in Deutschland, im Jahr 2005
etwa jeder vierte Haushalt, also etwas ber neun Millionen
Haushalte, in Deutschland ber einen Breitbandanschluss verfgt
(siehe Abbildung 1.9).34
Entwicklungen und Ausblicke
10.000 9.000 8.000
Angaben in Tausend
7.000 6.000 5.000 4.000 3.000 2.000 1.000 0 1999 2000 2001 2002
2003 2004 2005
Abbildung 1.9: Die prognostizierte Entwicklung der
Breitbandanschlsse in Deutschland (Quelle: Forrester Research,
2000)
35
22.1
VPN-Typen
Bei VPNs unterscheidet man, abhngig vom Einsatzgebiet, zwischen
verschiedenen Arten, wobei diese durchaus auch miteinander
kombiniert werden knnen. Die unterschiedlichen Arten von VPNs
lehnen sich dabei stark an ihre korrespondierenden klassischen
Netzwerkstrukturen an.
Remote-Access-VPN
Ein Remote-Access-VPN ermglicht es, von entfernten Systemen aus
auf ein Unternehmensnetz zuzugreifen. Auf herkmmliche Weise
erreicht man dies durch den Einsatz von RACs im Unternehmensnetz.
Ein RAC (Remote Access Concentrator) ist ein System, das an
ffentliche Telefonnetze angeschlossen wird und die analoge oder
digitale Einwahl in diese Netze ermglicht. Standard-RACs
terminieren Verbindungen unterschiedlicher Natur, wie zum Beispiel
ISDN oder analoge Rufe ber Modems. Sie werden in der Regel, je nach
Anzahl der maximal gleichzeitig zu terminierenden Verbindungen, ber
einen oder mehrere Primrmultiplexanschlsse mit dem Telefonnetz
verbunden. Diese Primrmultiplexanschlsse (PMX), in Deutschland als
S2M-Anschluss bezeichnet, sind eine digitale, strukturierte
4-Draht-Verbindung mit einer Bandbreite von 2,048 Mbit/s. Sie
besteht aus 30 Nutzdatenkanlen, einem Signalisierungskanal und
einem Steuerungskanal, kann also gleichzeitig maximal 30
Whlverbindungen betreiben.
Analog
RemoteAccessKonzentrator
ISDNBRI
ISDN PSTN GSM
S2M
GSMV .110
Abbildung 2.1: Der Remote-Access-Konzentrator muss Verbindungen
mit unterschiedlicher Technologie terminieren.
Intranet
37
2 VPN-Typen
Die RACs mssen technisch dafr ausgelegt sein, alle vorkommenden
analogen und digitalen Protokolle verarbeiten zu knnen. In heutigen
Systemen mssen Modemprotokolle wie V.90, V.34, V34+ und manchmal
auch noch X.2 oder k56flex implementiert werden. Im digitalen
Bereich mssen sowohl synchrones ISDN als auch asynchrone Varianten
wie V.120 und, vor allem wenn eine Einwahl aus einem GSM-Netzwerk
untersttzt werden soll, auch das V.110-Protokoll implementiert
werden. In der Regel sollen auch noch alle Dienste unter einer
einzigen Rufnummer erreichbar sein und erst im RAC unterschieden
werden. Dies macht heutige Remote-Access-Konzentratoren technisch
sehr komplex und damit auch meist sehr teuer. Weiterhin mssen
solche Gerte auch skalierbar sein, da die Anzahl der bentigten
Ports in der Regel stetig wchst. Skalierbarkeit bedeutet in diesem
Kontext nicht nur, dass eine ausreichend groe Anzahl von
Einwahlports verfgbar sein muss, sondern auch, dass die interne
Verarbeitungskapazitt und die Anbindung an das Intranet ebenfalls
mitwachsen mssen, andernfalls entsteht zunehmend ein
Performance-Engpass. Somit sieht man sich mit einer Reihe von
Anforderungen und den damit verbundenen Kosten konfrontiert, die
einen Remote-Access-Dienst blicherweise sehr kostenintensiv machen:
Man muss eine relativ teure Technologie zum Terminieren der
verschiedenartigen Verbindungen aus dem ffentlichen Telefonnetz
beschaffen und warten. Die Technologie muss stndig an neue
technische Gegebenheiten und wachsende Kapazitten angepasst werden.
Man zahlt eine vergleichsweise hohe Grundgebhr fr die bentigten
Primrmultiplexanschlsse. Die Verbindungsgebhren sind ebenfalls
hoch, insbesondere wenn hufig Verbindungen im Fernbereich oder gar
internationale Verbindungen bentigt werden. Andere Dienste wie DSL
(Digital Subscriber Line, Datenbertragung mit sehr hoher
Geschwindigkeit ber Standardtelefonleitungen) oder Kabelmodems, die
Daten ber Breitband-Fernsehkabel bertragen, sind mit RACs nicht zu
verarbeiten und erfordern zustzlichen technischen Aufwand. Ein
Remote-Access-VPN befasst sich mit genau diesen kritischen
Faktoren, die einen Remote-Access-Dienst sehr teuer und aufwendig
machen knnen. Sein Ziel ist es, die Hardware zum Terminieren der
Verbindungen kostengnstig und einfach zu halten und die
Verbindungsgebhren zu minimieren. Ein Remote-Access-VPN besteht aus
einem VPN-Konzentrator, der die virtuellen
Remote-Access-Verbindungen terminiert, und Software-Clients, die
auf den entfernten Rechnern installiert werden, um die Verbindungen
aufzu38
Remote-Access-VPN
bauen. In seltenen Fllen werden die Verbindungen auch erst im
RAC des Internet Service Providers initiiert, so dass in diesem
Fall auf dem Endgert keine spezielle Clientsoftware notwendig ist.
Eine detaillierte Diskussion der Vor- und Nachteile dieser beiden
Varianten finden Sie in Kapitel 6. An dieser Stelle sei aber schon
festgestellt, dass die erstgenannte Variante, die mit der
speziellen VPN-Clientsoftware, mittlerweile sehr verbreitet ist.
Der VPNKonzentrator terminiert also nur logische Verbindungen, so
genannte Tunnel. Die Anbindung zu einem Internet Service Provider
erfolgt meist per LANInterface an einem Access-Router, den der
Provider zur Verfgung stellt und betreibt, oder in Ausnahmefllen
ber die WAN-Schnittstelle eines KundenRouters direkt zum Provider.
Die Clients knnen sich mit beliebigen bertragungstechnologien mit
einem Service Provider verbinden. Ob man Modems, ISDN, DSL oder
Kabelmodems einsetzt, hngt lediglich davon ab, welche
Zugangstechnologie die lokalen Service Provider in den jeweiligen
Regionen anbieten. Der Endkunde selbst braucht kein zentrales
Equipment zur Terminierung dieser Verbindungen mehr bereitzuhalten,
dies erledigen die Service Provider. Der Kunde terminiert nur so
genannte Tunnel, die vom Provider zu seinem VPN-Konzentrator
aufgebaut werden. Auch eine steigende Anzahl von Benutzern ist
damit zum Problem der ISPs geworden, die andererseits aber auch ein
vitales Interesse daran haben, dass gengend Ports zur Verfgung
stehen. Denn wer sich nicht bei einem Service Provider einwhlen
kann, der beschert ihm auch keinen Umsatz.
Breitband-Kabel
Analog
ISDN BRI
Internet
DSL
GSM V.110
Abbildung 2.2: Der VPN-Konzentrator terminiert nur eine
IP-Verbindung, die Einwahl der Clients erfolgt bei den Internet
Service Providern.
Intranet
VPNKonzentrator
39
2 VPN-Typen
Bei den Gebhren ergeben sich mit einem Remote-Access-VPN
erhebliche Kostenvorteile, insbesondere bei einer groen
Flchendeckung oder bei internationalem Einsatz. Man baut nmlich
keine Telefonverbindung vom Endgert zu einem zentralen RAC im
Unternehmensnetz mehr auf, sondern nur noch eine Telefonverbindung
zum nchstgelegenen RAC eines Internet Service Providers und dies
meist zum Ortstarif oder zu speziellen Billigtarifen. In einigen
Lndern sind Ortsgesprche umsonst, beziehungsweise bereits in der
Grundgebhr des Anschlusses enthalten, ansonsten sind sie in der
Regel recht preiswert. Auf jeden Fall sind sie aber billiger als
die Gebhren fr Ferngesprche oder internationale Verbindungen. Bei
Kostenvergleichen, die auf Anschlussgebhren, zeitabhngigen Tarifen,
Entfernungszonen und Verbindungszeiten basieren, kann man
Einsparungen im Bereich von 70 bis 80% erzielen. Bei den
Gesamtsummen, die viele Unternehmen pro Jahr fr normalen Remote
Access ausgeben, ist dies ein erhebliches Einsparpotenzial. Was
hierbei nicht mit kalkuliert wurde, sind versteckte oder nicht
deterministische Kosten wie Administration, Implementierung neuer
Technologien, neue Gebhrenmodelle usw.
Intranet
Router B
IntranetAbbildung 2.3: Die drei Standorte sind hier mit
Festverbindungen redundant verbunden.
Ein weiterer wichtiger Punkt, den man beachten sollte, ist der
deutlich geringere Port-Preis eines VPN-Konzentrators im Vergleich
zu einem RAC. Ab einer Portzahl von einigen tausend Ports kostet
ein VPN-Port bei einigen Herstellern weniger als 5% eines
Remote-Access-Ports! Der Grund fr diesen krassen Preisunterschied
liegt darin, dass VPN-Konzentratoren nicht eine Vielzahl von
Technologien, wie Telefonsignalisierung, Modemprotokolle,
Analogverarbeitung usw., implementieren mssen und daher von der
Hardwarearchitektur vergleichsweise einfach aufzubauen sind. Es
gibt Hersteller, die sogar Standard-PC-Architekturen mit Windows
oder Unix als VPN-Konzentratoren benutzen, also berhaupt keine
Hardware-Entwicklungskosten haben.
40
Intranet
Router A
Standardfestverbindungen
Router C
Branch-Office-VPN
Beim Einsatz einer VPN-Technologie, bei der die virtuelle
Verbindung auf dem Client initiiert wird, ist man auch vllig
unabhngig vom Internet Service Provider. Man kann ihn jederzeit
wechseln oder auch problemlos mehrere ISPs gleichzeitig benutzen.
Denn der Service Provider ist dann in keiner Weise mehr in die
Funktion des VPN involviert, er terminiert lediglich Telefonanrufe
und Festverbindungen und bertrgt IP-Pakete zwischen Endgerten und
VPN-Konzentratoren.
2.2
Branch-Office-VPN
Branch-Office-VPNs ersetzen die herkmmlichen WAN-Verbindungen,
mit denen man verschiedene Standorte oder Netzwerke in diesen
Standorten miteinander verbindet. Der Begriff Branch-Office-VPN hat
sich mittlerweile weitgehend fr diesen VPN-Typ durchgesetzt,
gelegentlich spricht man auch von Site-to-Site-VPNs. Warum besteht
berhaupt eine Notwendigkeit, bisherige Weitverkehrsnetze, die mit
verbreiteten Technologien wie Standardfestverbindungen, Frame Relay
oder ATM eingerichtet wurden, durch ein VPN zu ersetzen? Auch hier
gibt es einen Hauptgrund, nmlich die hohen Kosten durch die relativ
hohen Verbindungsgebhren. Ganz besonders dramatisch sind die
Kosten, wenn die zu verbindenden Standorte sehr weit voneinander
entfernt oder gar im Ausland liegen. Je nach Anzahl, Entfernung,
bentigter Bandbreite und zu bertragender Datenmenge kommen da
schnell sehr hohe Kosten zusammen. Tendenzen wie die
Globalisierung, internationale Fusionen und Kooperationen sowie die
ganzen neuen, so genannten E-Technologien (E-Business, E-Commerce
usw.) fhren dazu, dass die Kosten fr die bentigte
Datenkommunikation immer weiter in die Hhe schnellen. Der steigende
Kostendruck zwingt auch im Weitverkehrsbereich immer mehr
Unternehmen dazu, ihre eingesetzte WAN-Technologie neu zu berdenken
und gegebenenfalls zu ndern, um konkurrenzfhig bleiben zu knnen.
Als Ausweg aus dem Kostendilemma bieten sich zunehmend
Branch-OfficeVPNs an (siehe Abbildung 2.4). Der Faktor, um den die
bertragungskosten reduziert werden knnen, hngt im Wesentlichen von
folgenden Faktoren ab: der Entfernung zwischen den Systemen, der
bertragenen Datenmenge und der eingesetzten Technologie und
Geschwindigkeit. Eingreifen kann eine VPN-Lsung hauptschlich beim
ersten Faktor, nmlich bei der Entfernung zwischen den Standorten.
Diese bleibt geografisch gesehen zwar nach wie vor bestehen, aber
die kostenintensiven, direkten Verbindungen
(Standardfestverbindung, Frame-Relay-PVC usw.) zwischen den
privaten Netzen werden durch zwei sehr kurze Verbindungen zwischen
den Standorten und den Zugangsknoten eines Internet Service
Providers ersetzt. Die verbleibende Strecke zwischen diesen beiden
POPs (Point of Presence, Zugangsknoten zum Internet) wird vom
Internet berbrckt, ber das die Datenpakete sehr kostengnstig
bertragen werden knnen.
41
2 VPN-Typen
Intranet
Internet
VPNGateway
Intranet
Virtuelle Verbindung (Tunnel)
Abbildung 2.4: Ein Branch-Office-VPN verbindet die drei
Standorte redundant durch virtuelle Verbindungen (Tunnel) ber das
Internet.
Das Einsparpotenzial ist hier nicht ganz so hoch wie bei
Remote-AccessVPNs, es ist jedoch durchaus mglich, die Gebhren um
bis zu 50% zu reduzieren, im internationalen Bereich sogar um noch
mehr.
2.3
Extranet-VPN
Ein Extranet-VPN sieht von seiner Struktur her hnlich aus wie
ein RemoteAccess- oder Branch-Office-VPN oder eine Kombination von
beiden (siehe Abbildung 2.5). Der fundamentale Unterschied zu den
beiden zuvor besprochenen VPNs liegt in der Natur der Teilnehmer.
Ein VPN bildet ein rein privates Netzwerk ab, auf das nur Angehrige
der eigenen Firma oder Organisation Zugriff haben und das nur
eigene Standorte miteinander verbindet. Ein Extranet-VPN hingegen
ffnet das private Netzwerk auch fr externe Personen oder
Organisationen und gewhrt diesen (einen meist limitierten und
kontrollierten) Zugriff auf Ressourcen im Unternehmensnetzwerk.
Extranet-VPNs werden also auf der Basis der normalen
VPN-Technologie aufgebaut, aber die Datenpakete stammen nicht von
eigenen Mitarbeitern und mssen deshalb gesondert behandelt werden.
Dies kann entweder das VPNGateway selbst tun, oder man bergibt die
Pakete einem speziell dafr ausgelegten System, meist einer
Firewall. In dem Beispiel in Abbildung 2.5 werden die Verbindungen
zu eigenen Mitarbeitern im Intranet terminiert, die Verbindungen
von der Partnerfirma jedoch auf einer Firewall. Fr den eigent-
42
Intranet
VPNGateway
VPNGateway
VPN-Service-Provider
lichen Datentransport wird das VPN benutzt. Die Firewall ist fr
die besondere Behandlung der Extranet-Datenpakete zustndig, also fr
die dynamische, zustandsabhngige Filterung, fr die
Zugriffsbeschrnkung, das Auditing und das Logging.
Intranet
VPNGateway
VPNGateway
VPN Gateway
Firewall
FremdIntranetVirtuelle Verbindung (Tunnel)
Abbildung 2.5: Ein Extranet-VPN verbindet auch fremde Standorte
oder Benutzer mit dem Intranet. Fr diese Verbindungen sind
spezielle Sicherheitsregeln anzuwenden.
In Abbildung 2.5 sehen Sie die typische Struktur, in der moderne
VPN-Konzentratoren und Firewalls miteinander kombiniert werden. In
seltenen Fllen missbraucht man auch VPN-Konzentratoren als
Firewalls und umgekehrt, aber da beide Systeme eine vllig andere,
ja sogar gegenstzliche Funktionalitt aufweisen, vermeidet man dies
in der Regel. In Kapitel 10 wird ausfhrlich auf die
Kombinationsmglichkeiten von VPN-Gateways und Firewalls
eingegangen.
2.4
VPN-Service-Provider
Bei diesen Arten von VPNs, Remote Access, Branch Office und
Extranet, hat man die Wahl, sein VPN selbst aufzubauen oder in
verschieden starkem Mae so genannte VPN-Dienste von Service
Providern oder Carriern zu benutzen. Das kann man in verschiedenen
Abstufungen tun, je nachdem wie stark man sich an einen Provider
binden will.
Intranet
Internet
43
2 VPN-Typen
2.4.1
IP-VPN-Dienste
IP-VPNs arbeiten mit virtuellen IP-Verbindungen. Die Endpunkte
dieser Verbindungen (Tunnel) sind die IP-Schnittstellen von
Routern, VPN-Gateways oder VPN-Clientsystemen. Dies ermglicht, wie
Sie in Abbildung 2.6 sehen, sowohl einen VPN-Betrieb vollstndig in
Eigenregie, also ganz ohne Mitwirkung eines Providers, als auch ein
vollstndiges Outsourcing und alle mglichen Zwischenstufen.Carrier
VPNGateway AccessRouter Carrier AccessRouter VPNGateway
ISP Service Provider Service Provider Service Provider Service
Provider Kunde Kunde
Kunde Kunde Kunde
Internet
Kunde Kunde
Kunde
Abbildung 2.6: Die verschiedenen Stufen von IP-VPN-Diensten und
der Grad der Beteiligung durch Kunde, Service Provider und
Carrier.
Vollstndiger Eigenbetrieb des VPN In diesem Fall ist der Service
Provider in keiner Weise in den Betrieb des VPN involviert. Er
stellt dem Kunden lediglich einen Internetzugang zur Verfgung. Der
Kunde beschafft und betreibt seine Access-Router und VPN-Gateways
selbst. Das User- und Gruppenmanagement, ebenso wie die
Systemkonfigurationen, liegen im Verantwortungsbereich des Kunden.
Die Nachteile dieser Lsung sind der relativ hohe Aufwand fr den
Kunden und die vielen verschiedenen Schnittstellen. Denn hier sind
mindestens drei Organisationen beteiligt: Der Endkunde (Intranet
und VPN), ein Carrier (Last-Mile-bertragung) und ein Service
Provider (Access-Router und Internetzugang). Bei Problemen kann es
dabei zum allseits bekannten Hin- und Herschieben der Verantwortung
kommen.
44
VPN-Service-Provider
Der Vorteil aus der Sicht des Kunden ist der, dass keine Bindung
an einen Provider ntig ist und jederzeit zu einem anderen
gewechselt werden kann. Access-Equipment-Outsourcing In diesem Fall
wird vom Service Provider ein etwas greres Leistungspaket gekauft,
denn er ist in dieser Variante fr die vollstndige Kommunikation
zwischen seiner Infrastruktur und einem fest definierten Punkt,
meist dem LAN-Interface seines Access-Routers, verantwortlich. Der
Kunde beschafft und betreibt lediglich seine VPN-Gateways, die ber
einen LAN-Anschluss mit den Access-Routern des Service Providers
verbunden werden. Somit ist der Nachteil der vielen Schnittstellen
fr den Kunden entschrft, denn er hat nur noch einen
Ansprechpartner, seinen Service Provider, falls die
Weitverkehrsverbindung nicht funktioniert. Seine Vorteile bleiben
auch noch weitgehend bestehen, ein Wechsel ist auch hier nicht so
kompliziert. In diesem Modell ist der Service Provider in keiner
Weise in den VPN-Betrieb involviert. VPN- und
Access-Equipment-Outsourcing Dies ndert sich jedoch mit dieser
Variante. Hier werden neben den AccessRoutern und der
Verbindungsinfrastruktur auch die VPN-Systeme vom Provider
gestellt. Der Zugriff auf die VPN-Systeme durch den Service
Provider beschrnkt sich jedoch auf die reine Systemkonfiguration.
Das VPN-Management, also die Konfiguration von Tunneln,
Sicherheitseinstellungen, Gruppen, Benutzern usw. obliegt
ausschlielich dem Kunden. Dies erfordert aber unbedingt
VPN-Gateways, die ein spezielles SplitManagement ermglichen, das
diese beiden Funktionen sauber trennen kann.Big Brother Dies hat
auch vor allem rechtliche Grnde. Denn in Deutschland sind Carrier
und Service Provider verpflichtet, in ihren Kommunikationsnetzen
den Ermittlungsbehrden im Bedarfsfall, der allerdings eine
richterliche Genehmigung bedingt, eine technische Mglichkeit zum
Abhren (Lauschangriff) zur Verfgung zu stellen. In Internet-VPNs
wird jedoch aus Sicherheitsgrnden fast ausschlielich IP Security
(IPSec) mit starker Verschlsselung eingesetzt. Wie Sie in Kapitel 7
und 8 erfahren, ist IPSec jedoch so zu implementieren, dass weder
eine Schlsselhinterlegung noch eine Schlsselrckgewinnung mglich
ist. Demnach kann ein Service Provider oder Carrier Abhrmanahmen
nur dadurch ermglichen, dass er die IPSec-Verschlsselung ganz
abschaltet, indem er die Sicherheitsstrategie im VPN-Gateway
entsprechend ndert.
45
2 VPN-Typen
Da ein Abhren aber nur dann Sinn macht, wenn der Abgehrte nichts
darber wei, darf der Service Provider seinen Kunden auch nicht
darber informieren und kommt damit in Teufels Kche, denn die
Pakete, die dann ja alle unverschlsselt durch das Internet
transportiert werden, knnen dadurch auch von anderen, nicht
berechtigten Personen abgehrt werden. Das Split-Management ist ein
mglicher Ausweg aus diesem Dilemma. Denn Endanwender, also Firmen
oder Privatpersonen, drfen, zumindest in Deutschland, nach Belieben
verschlsseln. Auf diese Weise kann der Service Provider oder
Carrier dem Kunden ein VPN-Gateway zur Verfgung stellen und
teilweise auch managen; der Kunde hat jedoch ein anderes
Management-Interface und kann seine Benutzer, Gruppen und Tunnel
mit der geeigneten Verschlsselung konfigurieren. Vollstndiges
VPN-Outsourcing Dieses Modell ist fr den Kunden mit dem geringsten
Aufwand verknpft, denn der vollstndige Betrieb des VPN wird vom
Service Provider durchgefhrt inklusive der Benutzerverwaltung. Der
Nachteil ist der, dass hier eine sehr starke Abhngigkeit vom
Provider gegeben ist und ein Wechsel zu einem anderen Provider mit
sehr hohem Aufwand verbunden ist. Auerdem behalten viele Kunden aus
Sicherheitsgrnden die Verwaltung ihrer Benutzer und die
Einstellungen fr die Verschlsselungsstrke lieber in eigener
Hand.
2.4.2
Layer-2-VPN-Dienste
Layer-2-VPNs werden fast ausschlielich dazu benutzt, virtuelle
PPP-Verbindungen zu betreiben. Wie dies technisch umgesetzt wird,
ist ausfhrlich in den Kapiteln 6 und 9 beschrieben. Der Sinn dieses
Vorgehens besteht darin, seinen Einwhldienst nicht mehr selbst zu
betreiben. Die Service Provider haben in der Regel eine gut
ausgebaute Einwhl-Infrastruktur mit einer Vielzahl von POPs, in die
sich Kunden zu sehr gnstigen Tarifen einwhlen knnen. Beim
Layer-2-VPN werden in diesen POPs jedoch nur die
Telefonverbindungen terminiert, die Datenverbindungen selbst werden
zum VPN-Gateway des Kunden gefhrt (getunnelt). Der Vorteil fr den
Kunden ist vor allem der, dass er sehr viele Kosten einsparen kann,
sowohl im Tarifbereich als auch beim Management. Statt teurer
Remote-Access-Konzentratoren bentigt er nur ein dazu
vergleichsweise kostengnstiges VPN-Gateway. Im unteren Teil von
Abbildung 2.7 sehen Sie das Prinzip eines solchen
Layer2-VPN-Dienstes. Die Remote-Access-Clients whlen sich in den
POP eines Internet Service Providers ein. Sie geben dazu eine
spezielle zweiteilige User-
46
Intranet-VPN
ID ein, von der ein Teil vom ISP ausgewertet wird, damit dieser
erkennen kann, wohin die virtuelle Verbindung durch einen Tunnel zu
fhren ist. Der zweite Teil der User-ID dient dazu, den Benutzer im
VPN-Gateway des Kunden zu authentifizieren.
Abbildung 2.7: Layer-2-VPN-Dienste werden meist fr
Remote-Access-VPNs eingesetzt.
Natrlich gibt es auch die Mglichkeit, Branch-Office-VPNs auf
diese Weise aufzubauen. Hierbei werden statt der Whlverbindungen
feste Verbindungen eingesetzt und die Tunnel in der Regel auch
statisch konfiguriert.
2.5
Intranet-VPN
Ein Intranet-VPN ist ein spezielles VPN, das dem allgemeinen
Begriff eines virtuellen privaten Netzwerks nmlich der Verwendung
eines ffentlichen Netzwerks zum Transport privater Daten sogar ein
wenig widerspricht. Hier werden nicht auf einem ffentlichen,
sondern auf einem privaten, meist lokalen Netzwerk verschiedene
logische Netzwerke auf der OSI-Ebene 2 (Sicherungsschicht) oder 3
(Vermittlungsschicht) abgebildet. Solch ein Konstrukt verwendet man
meist, um bestimmte Gruppen oder Organisationsein-
47
2 VPN-Typen
heiten auf Netzwerkbasis voneinander zu trennen und ihnen eine
eigene Netzwerkinfrastruktur zur Verfgung zu stellen. Dies kann man
auf verschiedene Weise realisieren: VLANs VLANs nach IEEE802.1q
IP-Tunneling
2.5.1
Virtual Local Area Network (VLAN)
Das VPN wird hierbei durch Erweiterungen der in lokalen
Netzwerken (LAN) eingesetzten Switching-Technologien erzeugt. Die
virtuellen Netzwerke werden auf der OSI-Schicht 2 abgebildet. Das
LAN-Switching wurde ursprnglich eingefhrt, um den Durchsatz in
Shared-Media-Netzen wie dem Ethernet zu erhhen, indem diese Netze
in verschiedene, so genannte Collision Domains aufgeteilt werden.
Die Switches verbinden diese Collision Domains, um die Pakete
weiterzuleiten, die an Stationen in der gleichen Collision Domain
in dem gleichen oder in einem anderen Switch adressiert sind. Die
in den LAN-Switches eingesetzte Technologie geht nun noch einen
Schritt weiter und erlaubt es dem Netzwerkadministrator, eine
logische Gruppe von Gerten im gesamten lokalen Netzwerk zu
definieren, die dann ein virtuelles LAN (VLAN) bilden. Dieses VLAN
kann sich auch ber mehrere Switches hinweg erstrecken. In der
VLAN-Technologie werden keine speziellen Sicherheitstechnologien,
wie Verschlsselung, Integrittssicherung oder Paketauthentifizierung
eingesetzt. Es erfolgt jeweils eine Trennung des Transports der
Datenpakete auf der OSI-Schicht 2, und statt auf Sicherheit wurde
bei dieser Technologie mehr auf Performance abgezielt. Die
Erzeugung eines solchen virtuellen LANs kann je nach gewnschtem
Einsatz auf verschiedene Weise erfolgen, woraus auch die
Bezeichnung der jeweiligen Art des VLANs abgeleitet wird. Viele
moderne Switch-Architekturen beherrschen alle Spielarten der
VLAN-Technologie und knnen sogar routen. Ein so genannter
Layer-3-Switch trifft seine Weiterleitungsentscheidungen extrem
schnell und routet mit wire speed, mittlerweile auch im
GigabitBereich. Protokollbasierende VLANs Bei VLANs, die auf
Informationen der OSI-Schicht 3, also der Vermittlungsschicht,
beruhen, spricht man von protokollbasierenden VLANs. Die Aufteilung
der flachen LAN-Topologie in logische Gruppen erfolgt auf Basis von
Kennzeichen, die aus den Informationen des Schicht-3-Headers
gewonnen
48
Intranet-VPN
werden. Es knnen virtuelle Netze aufgrund des Typs der
Protokolle (z.B. IP, IPX oder AppleTalk) unterschieden werden, oder
man gruppiert auf Basis von IP-Subnetzen.PC1 PC9
PC2 PC3 PC4 PC5 PC6 PC7 PC8
Layer 2 Switch1 2 3 4 5 6 7 8 Trunkverbindung
Layer 2 Switch1 2 3 4 5 6 7 8
PC10 PC11 PC12 PC13 PC14 PC15 PC16
V-LAN-Mitgliedschaft V-LAN 1 V-LAN 2 V-LAN 3 PC1 PC3 PC5 PC2 PC7
PC8 PC4 PC6 PC13 PC14 PC15 PC16
PC11 PC12 PC9 PC10
Abbildung 2.8: Ein VLAN, in dem die Zugehrigkeit zu einem
virtuellen LAN von der Portnummer des Layer-2-Switchs abhngig
ist.
Der Vorteil dieser Variante ist der, dass ein Gert unabhngig von
seiner MAC-Adresse (MAC, Media Access Control, Schicht-2-Adresse
der Endstation) an mehreren VLANs partizipieren kann. Es besteht
auch keine Notwendigkeit, spezielle VLAN-Informationen in den
Header einzufgen (so genanntes Frame Tagging). Falls man eine
Gruppierung auf Basis von IP-Subnetzen vornimmt, entfllt auch die
in groen Netzen aufwendige Zuordnung jedes Endgertes zu einem VLAN,
da diese implizit durch den IP-Header erfolgt. Die Nachteile dieser
Lsung sind unter anderem, dass die Auswertung der
Layer-3-Informationen einiges an Performance verbraucht, dass man
auf routbare Protokolle wie IP oder IPX angewiesen ist und dass der
Einsatz zusammen mit DHCP (Dynamic Host Configuration Protocol, ein
Verfahren, das Interface-Parameter wie IP-Adressen dynamisch beim
Systemstart zuweist) in der Regel nicht mglich ist.
49
2 VPN-Typen
Portbasierende VLANs Bei diesem Ansatz werden die Gruppen auf
der Basis von physikalischen Ports auf einem oder mehreren
LAN-Switches definiert. Hierbei ordnet der Netzwerkadministrator
manuell die Ports einem virtuellen LAN zu. Dies bedeutet auch, dass
die VLANs vllig voneinander isoliert sind und nur auf der OSIEbene
3, also ber einen Router, miteinander kommunizieren knnen.
blicherweise kann ein Port nur einem einzigen VLAN zugeordnet
werden, was auch einsichtig ist, denn es ist gemeinhin auch nicht
mglich, einen Port gleichzeitig mehreren realen LANs zuzuweisen.
Diese Art von VLAN ist relativ einfach zu verstehen und zu managen.
Sie ist auf der anderen Seite aber mit einem gewissen Aufwand
verbunden, da jeder Port manuell konfiguriert werden muss. Ein
weiterer Nachteil tritt in Erscheinung, wenn ein Benutzer umzieht:
Der Administrator muss dessen System auf dem Switch
umkonfigurieren. MAC-Adressen-basierende VLANs Hier erfolgt die
Zuordnung der Endgerte zu einem VLAN aufgrund der MAC-Adresse des
jeweiligen Systems. Der Administrator pflegt hierfr Tabellen, in
denen die Zuordnungen von MAC-Adressen zu VLANs abgelegt sind. Die
Ports der LAN-Switches werden dynamisch einem VLAN zugewiesen,
sobald sie einen Frame erhalten haben, der die notwendigen
Kriterien erfllt. Vom Standpunkt der Sicherheit aus betrachtet,
sind MAC-basierende VLANs die sicherste der drei Varianten, da es
sehr schwer ist, eine MAC-Adresse zu spoofen. Unter Spoofing
versteht man das Vortuschen einer anderen Adresse. Der Hauptvorteil
hierbei ist der, dass die Zugehrigkeit zu einem VLAN bestehen
bleibt, auch wenn der Benutzer mit seinem Gert umzieht, da die
MAC-Adresse in seiner Netzwerkkarte fest konfiguriert ist.
Allerdings weist diese Variante eine Reihe von Nachteilen auf, vor
allem im Bereich der Switch-Performance auf bestimmten Ports, auf
denen mehrere MAC-Adressen in verschiedenen VLANs vorkommen.
Weiterhin muss das VLAN bei Austausch von Netzwerkkarten in den
Endstationen rekonfiguriert werden.
2.5.2
VLANs nach IEEE802.1q
Der relative neue Standard IEEE802.1q definiert im
Ethernet-Header unter anderem ein Feld (Tag-Feld), in dem eine so
genannte VLAN-ID (VID) mit zwlf Bit Lnge enthalten ist und das
somit insgesamt 4096 verschiedene VLANs unterscheiden kann. Viel
wichtiger in diesem Zusammenhang ist
50
Intranet-VPN
aber die Tatsache, dass die drei anderen VLAN-Varianten von
Hersteller zu Hersteller unterschiedlich implementiert werden und
dass nunmehr ein verbindlicher IEEE-Standard verabschiedet wurde.
Somit kann ein VLAN auch mit Systemen unterschiedlicher Hersteller
aufgebaut werden.0 31 Ethernet-Prambel Ethernet-Zieladresse
Quelladresse Lngen-/T ypfeld 63 Delim. EthernetDatenfeld
IEEE802.3-Ethernet-Header0 31 Ethernet-Prambel
Ethernet-Zieladresse Quelladresse Altes Lngen-/ Typfeld Typfeld
Datenfeld Delim. EthernetTag-Feld 63
IEEE802.1q-Ethernet-Header Tag-FeldAbbildung 2.9: Im
IEEE802.1q-Standard ist der Ethernet-Header um vier Byte
erweitert.
Ein Nachteil, der nicht bei VLANs auftritt, die auf
Layer-3-Protokollinformationen basieren, ist der, dass die
VLAN-Informationen beim Transport ber Router verloren gehen. Eine
Lsungsmglichkeit wre in diesem Fall der Einsatz der LAN-Emulation
von ATM, da hierbei die Layer-2-Informationen erhalten bleiben. Ein
Switch, der VLANs nach IEEE802.1.q untersttzt, kennt grundstzlich
drei Arten von Links: Trunks Access Links Hybrid Links
51
2 VPN-Typen
Trunks Auf diesen Ports werden Frames mit einem VLAN-Tag
bertragen. Sie werden meist dazu benutzt, Switches miteinander zu
verbinden. Access Links An diese Ports werden Systeme
angeschlossen, die selbst kein IEEE802.1q untersttzen, zum Beispiel
PCs, ltere Hubs usw. Die VLAN-ID wird eingehenden Frames erst im
Switch zugewiesen. Bei ausgehenden Frames muss der Switch das
Tag-Feld entfernen. Hybrid Links Da zunehmend mehr Endgerte
IEEE802.1q untersttzen werden, gibt es so genannte Hybrid Links,
die sowohl Frames mit als auch ohne Tag-Feld verarbeiten knnen.
2.5.3
IP-Tunneling
Beim Einsatz der Tunneling-Technologie braucht man beim Aufbau
seines VPNs die Netzwerkinfrastruktur, also Switches, Hubs usw.,
berhaupt nicht an die Gegebenheiten des geplanten virtuellen
Netzwerks anzupassen. Hier wird ausschlielich auf der IP-Ebene
gearbeitet, und es werden die gleichen Technologien und Systeme
verwendet, die auch in normalen VPNs, also solchen, die ffentliche
IP-Netze benutzen, zum Einsatz kommen.
52
33.1
Anforderungen an VPNs
Die Einsatzgebiete fr virtuelle private Netzwerke sind sehr
vielfltig. Je nach den gestellten Anforderungen an Sicherheit,
Quality-of-Service sowie anderen Rahmenbedingungen kann man,
entsprechend dem Angebot der Service Provider, die komplette
Weitverkehrsinfrastruktur, die eigene
Business-toBusiness-Kommunikation (B2B) und den Remote Access als
virtuelles privates Netzwerk aufbauen. Bei der Auswahl der
geeigneten Technologie muss man sehr genau untersuchen, welche
Anforderungen an das VPN gestellt werden. In der Regel resultieren
diese aus Sicherheitsbedrfnissen, gefolgt von Kostenaspekten, der
Verfgbarkeit und abhngig von den eingesetzten Applikationen den
bentigten Bandbreiten und tolerierbaren Verzgerungszeiten.
Sicherheit
Im Bereich der Datensicherheit gibt es eine ganze Reihe von
Anforderungen, die sich in verschiedene Bereiche gliedern:
Datenvertraulichkeit Schlsselmanagement Paket-Authentifizierung
Datenintegritt Benutzer-Authentifizierung Benutzer-Autorisierung
Schutz vor Sabotage Schutz vor unerlaubtem Eindringen
3.1.1
Datenvertraulichkeit
Es muss sichergestellt werden, dass Unbefugte die Daten auf
ihrem Weg durch das Internet nicht lesen knnen. Vielfach wird auch
gefordert, dass das interne Netzwerk mit seinen Verkehrsbeziehungen
(Quell- und Zieladressen, Protokoll- und Portnummern) ebenfalls
nicht ausgespht werden kann. Dies wird im allgemeinen durch die
Ver
