Was heute selbstver-ständlich ist, wäre vor

einigen Jahren noch völlig un-denkbar gewesen: die Übertra-gung sensibler Firmendatenüber gemeinsam genutzte Lei-tungen – oder gar über das öf-fentliche Internet. Die früherdediziert genutzten Mietverbin-dungen boten per se ein ge-wisses Maß an Datensicher-heit und ließen sich zusätzlichmit Verschlüsselungstechnikenkombinieren. Gemeinsam ge-nutzte IP-Netze bieten abereinen so bedeutenden Kosten-vorteil, mehr Flexibilität undallgemeine Verfügbarkeit, dassAnbieter früh nach Lösungensuchten, sie für die hohen An-forderungen von Firmen sicherzu gestalten. Die Lösung heißtVirtual Private Network, kurzVPN. Es stellt ein dynamisches,virtuelles Firmennetzwerkübers öffentliche Netz dar, indem die Firmendaten von jeg-lichem anderen IP-Verkehr aufdenselben Leitungen und Rou -tern abgeschirmt sind.

VPNs verbinden aber nichtnur Firmenstandorte direkt mit-einander; sie machen das loka-le Firmennetz auch von überallzugänglich: über DSL (DigitalSubscriber Line) aus demHome-Office, vom WLAN-Hot-

spot (Wireless Local Area Net-work) am Flughafen oder auseinem Kundenmeeting überdas lokale Netz und das Inter-net. Für den Nutzer ist das VPNdabei immer transparent. Erarbeitet, als befände er sich im LAN der Firma, da das VPN lediglich eine logische Verbin-dung übers öffentliche Netzherstellt. Die Bedeutung vonVPNs nimmt stetig zu, inzwi-schen sind sie selbst im Pri-vatbereich zu finden.

Der Begriff VPN steht füreine Vielzahl unterschiedlicherTechniken und ist nicht klar de-finiert. Auch wenn das Einsatz-gebiet virtueller privater Netzenicht auf IP-Netze beschränktist, so geht es im Folgenden vorallem um die heute vorherr-schenden IP-VPNs.

Das vor rund 30 Jahrenentwickelte Internet-Protokollder Versionˇ4 besitzt keinerleiSicherheitsmechanismen. Ver-trauliche Daten sind bei der Über tragung über öffentlicheNetze einer Vielzahl von An-griffsmöglichkeiten ausgesetzt,die darauf zielen können, inihren Besitz zu gelangen odersie zu verändern. VPNs, die füreine gesicherte Übertragungsorgen, müssen deshalb dreiAnforderungen entsprechen:

I

Networking

Netze im NetzWie Virtual Private Networks funktionieren

Virtuelle private Netze ermöglichen den sicheren Zugriffauf das Firmennetz ebenso wie die Verbindung vonFirmenstandorten über öffentliche IP-Netze. Am Marktfinden sich hierfür spezielle Router, Switches oderAppliances, aber auch reine Softwarelösungen. Darüberhinaus können Firmen entsprechende VPN-Dienste vomService-Provider in Anspruch nehmen.

Networkingextra

Schwerpunkt: Sicher verbunden –Virtual Private NetworksWie Virtual Private Networks funktionieren

Netze im Netz Seite I

VPN als Hardware, Software oder doch als Service?

Reine Formsache Seite VIII

Vorschau

Embedded SystemsAutomotive Computing Seite XI

Veranstaltungen8.ˇSeptember 2009, Wrexham, UK (Wales)Third International Conference on Internet Technologies and Applicationswww.ita09.org

06.–08. Oktober 2009, Den HaagInformation Security Solutions Europe (ISSE)www.isse.eu.com

06.–08. Oktober 2009, StuttgartIT & Business – Fachmesse für Software, Infrastruktur & IT-Serviceswww.messe-stuttgart.de/it-business

27.–28. Oktober 2009, Frankfurt am Main Storage Networking World Europe 2009www.snweurope.net

27.–28. Oktober 2009, Frankfurt am MainVirtualization World 2009www.virtualizationworld.net

iX extra

Networking zum Nachschlagen:

www.heise.de/ix/extra/networking.shtml

Ein

Ver

lags

bei

heft

er d

er H

eise

Zei

tsch

rifte

n Ve

rlag

Gm

bH

& C

o. K

Gsponsored by:

ix.0909.x.01-12 07.08.2009 12:26 Uhr Seite I

der Sicherstellung von Authen-tizität, Vertraulichkeit und Inte-grität. Authentizität bedeutetdie Identifizierung von autori-sierten Nutzern des VPN unddie Überprüfung, dass Datenauch nur von dort stammenund nicht aus anderen Quellen.Vertraulichkeit bedeutet Ge-heimhaltung und damit die sichere Verschlüsselung vonDaten. Schließlich muss ge-währleistet sein, dass Drittedie Daten nicht verändern –die sogenannte Dateninte -grität.

Im Tunnel unterwegs

VPNs bauen eine logische Ver-bindung von einem beliebigenAnfangspunkt (VPN-Client) zueinem VPN-Server (auch VPN-Gateway, VPN-Konzentratoroder VPN-Termination-Point)auf. Man nennt sie deswegenTunnel, da der Inhalt der über-tragenen Daten für die restlicheIP-Welt nicht sichtbar ist (sieheAbbildungˇ1). Es gibt zwei we-sentliche Anwendungsszena-rien für den Einsatz von VPNs:die Verbindung von Firmen-standorten und die „Einwahl“von Mitarbeitern. Ersteres be-zeichnet man als Site-to-Site-VPN, wobei die lokalen Netzezweier oder mehrerer Firmen-standorte jeweils über ein VPN-

Gateway verbunden sind. Re-mote-Access-VPNs dagegensollen mobilen Mitarbeitern –zunehmend aber auch Kundenoder Lieferanten – von einembeliebigen Ort aus über das In-ternet und einen VPN-Serverden Zugriff auf das Firmennetzermöglichen. Eine geringereRolle spielen Punkt-zu-Punkt-VPNs, also die direkte VPN-Verbindung zwischen zweiComputern, etwa für die Fern-wartung.

Das technische Prinzip ist beiallen drei Arten gleich: Die Gate-ways verschlüsseln jedes IP-Paket und kapseln es in ein wei-teres Paket ein. Während derHeader des neuen Pakets denWeg durchs Internet zum Zielortweist, verschwindet der Headerdes eingepackten Pakets im Da-tenteil; die Internet-Router kön-nen die in ihm enthaltenen Infor-mationen nicht mehr sehen unddaher nicht auswerten.

Die bekanntesten VPN- (oderTunnel-) Protokolle sind dasPoint-to-Point Tunneling Protocol(PPTP), das Layer-2 TunnelingProtocol (L2TP) und das IP Se-curity Protocol (IPSec). PPTP undL2TP stammen aus der Wind-ows-Welt und verlieren an Be-deutung. Die Verschlüsselungvon PPTP gilt schon seit länge-rer Zeit als nicht mehr sichergenug.

L2TP besitzt keinen eigenenVerschlüsselungsmechanismus,lässt sich aber mit unterschied-lichen Verschlüsselungsverfah-ren kombinieren. Es bringt abereinen großen Overhead mit sichund führt zu geringeren Netto-Datenraten. Einen Vorteil hatL2TP aber zumindest unterWindows noch vorzuweisen:Man benötigt keinen separatenVPN-Client; ihn bringt das Be-triebssystem bereits mit. InWindows XP und Vista baut Mi-crosoft das Protokoll L2TP overIPSec ein, das beide Protokolle

kombiniert und in dem IPSecdie in L2TP nicht vorhandeneVerschlüsselung übernimmt.

Während L2TP und PPTP auf der Ebene des Ethernet-Protokolls, also auf der OSI-Schichtˇ2 (Open Systems Inter-connection) agieren, setzt IPSecauf IP-Höhe oder OSI-Schichtˇ3an (siehe Abbildungˇ2). Es istzudem das jüngste Tunnelpro-tokoll. Entstanden ist es alsVerschlüsselungs- und Authen-tifizierungsmechanismus für IPVersionˇ6 (IPv6); danach por-tierten es die Entwickler alsseparates Protokoll in den IP-Stack der noch vorherrschen-den Version 4 (IPv4) zurück. Esbietet modernste Verschlüsse-lungsverfahren und lässt sichnahtlos in bestehende IP-Netzeeinbinden. Daher hat es sichzum De-facto-Standard für IP-basierte VPN-Verbindungenentwickelt.

Die Forderung nach Authen-tizität, Vertraulichkeit und Inte-grität erfüllt IPSec durch zweiMethoden der Datensicherung:Authentication Header (AH) undEncapsulated Security Payload(ESP). Der Authentication Headerdient der Authentifizierung vonIP-Paketen. Dabei bildet derSender aus dem Original paketund einem geheimen Schlüssel,

II iX extra 9/2009

Networking

Über VPN-Tunnel verbindet man Geschäftsstellen und mobile Endgeräte so, als befänden siesich in einem gemeinsamen LAN, obwohl die Datenübertragung über das öffentliche Internetläuft (Abb. 1).

�� ��

�����������

�� ������

������� ���������������� �

�������

����������

���������

�������

����������

���������

������ �

������

�

�����������

Die bei VPNs eingesetzten Protokolle können aufunterschiedlichen Ebenen des OSI-Schichtenmodellsangesiedelt sein (Abb. 2).

����������������

�

!

"

#

$

%

� & �� �'(�'(�)�����'���� �*�+�,-������ �'(�'(�)�� ����� �*�+�,.��/� �'(�'(�).�� �*�+�,��� ����'(�'(�)��� �����*�+�,�������� �'(�'(�)��&����*�+�,.�'(�� �'(�'(�)-����*� ��*�+�,

0��1������� �'(�'(�)�(+�'���*�+�,

2���3�..23.4��3��4��3�5�3�6��3�6.3���6.3.�4���'7

���3�8-�

��

��(� �

�&��������39�����

..*3��*.

��.'

*$��3�����

����� ����������� �������������� �� �

ix.0909.x.01-12 07.08.2009 12:26 Uhr Seite II

Unsere Alternative zu „geht nicht“, „kostet extra“, „können wir nicht“?

Plus.line – Die perfekte Verbindung

Ein Lächeln!

Vertrauen, Kompetenz und Leistungsbereitschaft sind die Grundlage für die perfekte Verbindung zu unseren Kunden. In den Bereichen Internet Access, Hosting Services und Corporate Networks sorgen wir für ein Maximum an Erreichbarkeit, Verfügbarkeit und absolute Sicherheit – für über 500 Kunden, wie z.B. Bauhaus, Steigenberger, TUI, Fraport, 1822direkt und Heise Online. Erfahrene Techniker sind rund um die Uhr für Sie erreichbar.

Mehr Informationen erhalten Sie unter http://www.plusline.net

ix0909_x_000_Plusline.indd 1ix0909_x_000_Plusline.indd 1 10.08.09 13:1510.08.09 13:15

den nur Sender und Empfängerkennen, eine Prüfsumme. DerEmpfänger berechnet ebenfallseine Prüfsumme und vergleichtsie mit der vom Sender ansPaket angehängten. Auf dieseWeise kann er sicherstellen,dass das Paket von dem ange-gebenen Sender stammt undunterwegs nicht verändertwurde. ESP dagegen authenti-siert und verschlüsselt die Pake-te (siehe Abbildungˇ3). Nur derEmpfänger, der über den glei-chen Schlüssel wie der Senderverfügt, kann die Daten wiederentschlüsseln.

Beide Methoden sind unab-hängig von den verwendetenkryptografischen Verfahren, diefestlegen, wie die Prüfsummezu bilden beziehungsweise wiedie Daten zu verschlüsselnsind. Diese Unabhängigkeitmacht IPSec extrem flexibelund zukunftssicher.

Um die Interoperabilität zwi-schen VPN-Lösungen zu ge-währleisten, unterstützt derIPSec-Standard unterschiedli-che Verfahren: Für Authentica -tion Header sind das die Hash-Algorithmen MD5 und SHA, fürESP die am weitesten verbrei-teten Verschlüsselungsstan-dards 3DES und AES.

Die Verfahren unterscheidensich vor allem in der Schlüssel-länge. Ein zu kurzer Schlüssellässt sich, genauso wie einschwaches Passwort, durch einfache Rechenoperationenknacken. Die zunehmende Re-chenleistung verkürzt die dafürbenötigte Zeit zusehends. Immer

leistungsfähigere Hardware er-möglicht einerseits den Einsatzimmer längerer Schlüssel –macht diese aber auch notwen-dig, da sich mit mehr verfügba-rer Rechenpower die Zeitspannezum Entschlüsseln verkürzt.

Der Data Encryption Stan-dard (DES) mit 56-Bit-Schlüs-seln ist das älteste Verfahrenund gilt schon lange als nichtmehr sicher genug. Sein Nach-folger 3DES (oder Triple DES)codiert die Daten mit dreiSchlüsseln à 56 Bit Längenacheinander, wobei er denzweiten Schlüssel, wie bei derDekodierung, umgekehrt an-wendet – man bezeichnet dasVerfahren auch als EDE (En-crypt-Decrypt-Encrypt). Da-durch ergibt sich eine effektiveSchlüssellänge von nur 128 Bit.3DES bietet zwar wesentlichmehr Sicherheit als DES, stehtaber dennoch in der Kritik, ins-besondere weil sich die hoch-entwickelten Crack-Algorithmenfür DES auf 3DES portieren las-sen. Außerdem erweist sich dasVerfahren zunehmend als zulangsam für immer größere Da-tenmengen.

Stand der Technik ist deshalbheute der auch in der WPA2-Verschlüsselung für WLANs ein-gesetzte Advanced EncryptionStandard (AES). Er verschlüsseltDatenblöcke von jeweils 128 Bitmit Schlüsseln von 128, 192oder 256 Bit Länge. Der Vorteilgegenüber DES liegt vor allem inder hohen Geschwindigkeit desAlgorithmus, jedoch ebenso inder einfachen Implementierung

in Hardware oder Software.Momentan gelten die 128-Bit-Schlüssel als sicher vor Brute-Force-Attacken, da 2ˇhochˇ128mögliche Schlüssel bereits denEinsatz von Supercomputernerfordern. Doch dank Grafik kar-ten mit Hochleistungs-GPUs(Graphical Processing Units)ziehen auch die bald in kleinereHeime ein.

Hindernissebeim TunnelbauDurch die Kombination der mo-dular gestalteten Mechanismengilt IPSec als extrem sicheresProtokoll, aber auch als kompli-ziert zu konfigurieren. EinigeHersteller versuchen dem zubegegnen, indem sie aufeinan-der abgestimmte Server undClients sowie grafische Toolsanbieten, die die Einrichtungerleichtern sollen (siehe Abbil-dungˇ4).

IPSec bietet unterschiedli-che Betriebsmodi und Ver-schlüsselungsverfahren, dieman für eine VPN-Verbindungfestlegen muss. Darüber hinausmüssen sich die VPN-Teilneh-mer beim Tunnelaufbau gegen-einander authentisieren und diegeheimen Schlüssel für die fol-gende Datensicherung erzeu-gen und austauschen. All dieseAufgaben erfüllen bei IPSec-ba-sierten VPNs zwei Komponen-ten: die Security Associationsund das Key Management.

Die Security Associations(SA) beschreiben die genaueKonfiguration der IPSec-Proto-

kolle. Sie legen unter anderemfest, ob AH und/oder ESP ge-nutzt wird, welche Verschlüsse-lungsalgorithmen zum Einsatzkommen und wie lange dieSchlüssel gültig sind. Eine gül-tige Security Association istVoraussetzung für jede IPSec-Verbindung.

Das Key Management ist fürdie Erzeugung und Verwaltungder Schlüssel zuständig. Dasdabei verwendete IPSec-Key-Exchange-Protokoll (IKE) au-thentifiziert die Teilnehmer ge-geneinander, tauscht die in denSAs festgelegten Sicherheits-richtlinien aus und übernimmtden Schlüsselaustausch für dieDatenverschlüsselung.

Die IKE-Aushandlung unter-teilt sich in zwei Phasen. Wäh-rend die erste Phase dem Aufbau einer verschlüsseltenVerbindung dient, baut erst diezweite – bereits verschlüsselt –den eigentliche VPN-Tunnel auf.Spezielle Authentifizierungsver-fahren gewährleisten, dass zukeiner Zeit der Aushandlung einPasswort oder Schlüssel imKlartext übers Netz geht. DasMitschneiden eines VPN-Auf-baus über IPSec gibt also keinesicherheitskritischen Informa-tionen preis.

Der komplexe Verbindungs-aufbau führt zu Konflikten mitder in Access-Routern genutz-ten NAT (Network AddressTranslation), also der Umset-zung privater in öffentliche IP-Adressen, die auch das von einigen Geräten unterstützteIPSec-Passthrough-Verfahrennicht vollständig löst. Erst dieeigens deswegen entwickelteund genormte IPSec-Erweite-rung NAT-Traversal behebtdiese Schwierigkeiten.

Dadurch, dass IPSec – wieL2TP und PPTP – auf denSchichten der Übertragungs-protokolle agiert, arbeitet esunabhängig von den jeweiligenAnwendungsprotokollen, die esüberträgt. Für das Home Officeoder eine kleine Außenstelle istIPSec auch deshalb interessant,weil es etwa auch VoIP-Daten

IV iX extra 9/2009

Networking

Im Tunnel-Modus versteckt das IPSec-Protokoll ESP das gesamte Datenpaket in einemverschlüsselten Nutzdatenfeld eines neuen IP-Pakets (Abb. 3).

������������ � ������ ������� �������� �������� � �������� � �������

������� �������� ��������

������������������ ��

����� � � ��������� ��

ix.0909.x.01-12 07.08.2009 12:26 Uhr Seite IV

UneingeschränktesVertrauen.

UnschlagbareWerte.

Mehr als 85.000 Kunden weltweit schützen ihr Netzwerk mit unseren prämierten Lösungen

und sparen somit einen großen Teil des IT-Budget gegenüber konkurrierenden

Lösungen - ohne Einbußen von Funktionalität und Qualität.

SICHERHEITBarracuda Web Application FirewallAusfälle vermeiden. Schützt Webserver sowie Web Applikationeninnerhalb Ihres Unternehmens vor bösartigen Angriffen.

NETZWERKBarracuda SSL VPNSicherstellung des Zugriffs. Bereitstellen von sicherenVerbindungen zu Netzwerkresourcen über Standard Web Browser.

SPEICHERBarracuda Message ArchiverSicherstellung der Konformität und Effizienz. Indexieren und Schützen sie Emails bei gleichzeitiger Reduktion des Speicherbedarfes.

KEINE LIZENZGEBÜHR

JE SERVER ODER NUTZER.

KOSTENFREIE

TESTSTELLUNGEN.

Germany Barracuda Networks DACH (Germany)

Phone: +49 8122 187 6050Email: emeainfo@barracuda.com

Europe, Middle East, AfricaBarracuda Networks Ltd. (UK)

Phone: +44 1256 300 100Email: emeainfo@barracuda.com

ix0909_000_Barracuda.indd 1ix0909_000_Barracuda.indd 1 11.08.09 10:0011.08.09 10:00

transparent transportiert. Aucharbeiten IPSec-Tunnel rechteffizient, da alle Anwendungennur einen Tunnel benutzen undkein weiterer Overhead für jedeeinzelne Anwendung anfällt.

Andererseits benötigt IPSecbei Host-zu-LAN-Verbindungenauf dem Endgerät etwa unterWindows eine spezielle Client-Software, die inzwischen aberin größerer Auswahl zur Verfü-gung steht. Im Prinzip ist auchdie Interoperabilität zwischenVPN-Clients und VPN-Servernunterschiedlicher Hersteller ge-geben, bei Benutzung besonde-rer Funktionen ist aber ein Blickin die Kompatibilitätslisten derHersteller ratsam.

Auch Anwendungenkönnen Tunnel bauenEinen Spezialfall von VPNs stelltder Secure Sockets Layer (SSL)respektive die Transport LayerSecurity (TLS) dar, die häufignicht als vollwertige VPN-Lö-sung gilt. Als Application-Layer-Protokoll arbeitet SSL/TLS aufder Ebene der Anwendungspro-tokolle und ist dadurch an ein-zelne Applikationen gebunden.

Die Entwicklung geht aufNetscape zurück, die es Mitteder 90er-Jahre erstmals inihren Browser Navigator inte-griert hatten. Nach der Version3.0 (SSLv3) übernahm die IETF(Internet Engineering TaskForce) die Weiterentwicklungund Normung. Unter dem

Namen Transport Layer Securi-ty bringt es nun eine sichereAES- oder RSA-Verschlüsse-lung mit. Die aktuelle TLS-Ver-sion 1.2 stammt vom August2008.

Heute beherrschen alleBrowser SSL/TLS. Damit stelltdas Protokoll die bei Weitemmeistgenutzte VPN-Techniküberhaupt dar. Denn die meistenInternetnutzer übertragen – invielen Fällen unwissentlich –ihre persönlichen Daten überSSL: Alle Webdienste, die mitvertraulichen Daten operieren,etwa Webshops oder Banken,bauen automatisch eine solcheVerbindung auf – vom Benutzeroft nur durch ein kleines Hin-weisfenster wahrgenommen.

Da der Secure SocketsLayer auf der Ebene der An-wendungsprotokolle sitzt, musser in jedes einzelne von ihnenintegriert sein. Um SSL/TLS er-weitert haben die jeweiligenProtokolle einen neuen TCP/UDP-Port und einen neuenNamen mit dem Zusatz „Se -cure“ bekommen: aus HTTPwurde HTTPS (HyperText Trans-fer Protocol Secure). DasselbeSchicksal erlitten inzwischenauch andere: Die um SSL er-weiterten Mail-Protokolle POP3,IMAP und SMTP etwa heißennun POP3S, IMAPS und SMTPS.

Zwar benötigt man für SSL/TLS weder separate Client-Pro-gramme noch VPN-Gateways,dafür muss jede Software, dieeinen Dienst über SSL/TLS nut-

zen oder zur Verfügung stellenwill, die Erweiterung vorweisen– auf der einen Seite etwajeder Browser und Mail-Client,auf der anderen jede Web-,SMTP-, POP- und IMAP-Server-Implementierung.

Lösungen wie OpenVPNschaffen es, nicht einzelne An-wendungen, sondern die ge-samte Kommunikation überTLS abzuwickeln, jedoch nurmit einem Trick: Sie schiebensich zwischen die – nicht-TLS-fähige – Anwendung und denTCP-Layer. Eine andere Erwei-terung des TLS-Zugriffs arbeitetmit Java-Servlets. Dabei lädtder Browser das Servlet herun-ter, das meist als generischerTCP/UDP-Proxy arbeitet unddamit auch den Zugang zuallen UDP-fähigen Applikatio-nen öffnet. Die Verwendung desBrowsers als Client offenbarteinen weiteren Vorteil diesesAnsatzes: Fast jedes Endgerät– also etwa Smartphones mitBrowser und proprietärem Betriebssystem – lassen sich so für den Remote-Zugriff verwenden.

Licht und Schatten

Liest man die Vorteile von TLS,wie Nutzung direkt aus der An-wendung heraus, kostengüns-tige Implementierung durchNutzung TLS-fähiger Server, sostellt sich die Frage, warum esnicht für alle VPN-Verbindungenzum Einsatz kommt. Der Grundliegt in den spezifischen Limi-tierungen: Erstens verschlüsseltsie nur die Daten, aber nicht diegesamte Kommunikation. Zwei-tens erlaubt sie nur den Zugriffauf die Dienste, die SSL/TLSunterstützen. Drittens erlaubtTLS den Zugriff von jedem be-liebigen und ungesichertenRechner aus. Das gerade machtaber TSL für Banken und Web-shops interessant: Unabhängigvon Ort und Konfiguration desRechners bauen die Kundenüber einen TLS-fähigen Browsereinen – anwendungsspezifi-schen – Tunnel zu ihnen auf.

IPSec hingegen schützt die gesamte Verbindung und erlaubt den Zugriff nur von Ge-räten oder Netzen, die dafürautorisiert sind. Es kann Zu-griffs- und Sicherheitsrichtliniendurchsetzen und verhindert alleAngriffsversuche wie Spoofingoder Flooding auf das Netz.

Damit gibt es eine Daseins-berechtigung für beide Proto-kolle entsprechend der unter-schied lichen Anwendungsfälle:IPSec für Firmenzugang und -vernetzung und SSL für sichereInternet-Transaktionen. BeideProtokolle gelten als sicher, dasie symmetrische Verschlüsse-lungsalgorithmen, Authentifizie-rung und Schlüsselmanagementnutzen. Während bei IPSecstets auf beiden Seiten Zertifi-kate vorliegen, ist dies bei SSLauf Client-Seite optional. Fürmehr Sicherheit verwendenimmer mehr Webseitenbetrei-ber sogenannte Extended-Vali-dation-SSL-Zertifikate (EV-SSL-Zertifikat) einer externenZertifizierungsstelle etwa vonVeriSign. Die Stärke von Layer-2-VPNs wie PPTP oder L2TP,auch andere Netzwerkproto-kolle als IP transportieren zukönnen – etwa IPX –, hatdurch das fast völlige Ausster-ben eben dieser Protokolle anBedeutung verloren.

Da der Begriff VPN nicht klarabgegrenzt ist, bezeichnen eini-ge Publikationen auch VLANs(Virtual LANs) als sogenannteIntranet-VPNs. Das Unterteileneines LAN in mehrere virtuelleist Aufgabe von Layer-2-Swit-ches, die die Datenströme aufPortebene separieren. Damitkönnen sie die Datenströmeetwa von Arbeitsgruppen, Fi-nanz- oder Personalabteilungenauf Port-Ebene trennen und da-durch ein Abhören erschweren.Da weder Verschlüsselung nochAuthentifizierung zum Einsatzkommen, unterscheiden sichVLANs jedoch grundsätzlich vonden oben beschriebenen Ver-fahren. (sun/hw)

Uwe Schulzeist Fachautor in Berlin.

VI iX extra 9/2009

Networking

Komfort statt Kommandozeile: Grafische Werkzeuge sollenhelfen, VPNs einfacher zu konfigurieren – hier der VPNSecurity Manager von Securepoint (Abb. 4).

ix.0909.x.01-12 07.08.2009 12:26 Uhr Seite VI

Voller Netzwerkzugriff – ohne Installation am Client!Die einzigartige neue Technologie des HOB PPP Tunnels ermöglicht Clientrechnern mit Microsoft

Windows Vista, Windows 7, Apple Mac OS X und Linux einen vollständigen Netzwerkzugriff

vergleichbar mit einem IPsec VPN. Allerdings benötigt der PPP Tunnel weder Administrator-Rechte

für den User noch eine Installation von Treibern oder Software auf dem Client-System. Einzige

Voraussetzung ist ein Java-fähiger Web-Browser.

Exzellente Performance – und kompromisslose SicherheitDank der integrierten Datenkompression erzielt der PPP Tunnel auch über langsame Internet-

Verbindungen eine überlegene Performance. Zwei-Faktor-Authentifizierung, SSL-Verschlüsselung

bis AES 256 Bit, Client Integrity Check – bei der Sicherheit müssen keine Abstriche gegenüber

IPsec gemacht werden!

Reine Software-Lösung – für alle Anforderung an Remote Access im UnternehmenDurch das Feature PPP Tunnel deckt die Software HOB Remote Desktop VPN nun alle

Anforderungen der verschiedenen Nutzergruppen in einem Unternehmen ab:

Intranet und E-Mail Zugriff für alle Mitarbeiter

Remote Desktop Zugriff für Home Office

Voller Netzwerkzugriff für Administratoren und das Top-Management

Und das alles SSL-verschüsselt und Browser-basiert!

HOB RD VPN PPP Tunnel

IPsec hat ausgedient!

Secure Business Connectivity

Die Security-Suite von HOB RD VPN ist vom BSI (Bundesamt für Sicherheit in der Informationstechnik) nach Common Criteria zertifiziert.*

Dadurch beweist HOB, dass der Zugriff wirklich sicher ist!

www.hob.de/ppp09

besuchen Sie uns auf

der IT-Security-Messe

it-sa Nürnberg13. – 15. Oktober 2009 Stand 320 Halle 5

*HOBLink Secure BSI-DSZ-CC-0260-2004

ix0909_x_000_HOB.indd 1ix0909_x_000_HOB.indd 1 06.08.09 07:5606.08.09 07:56

Anwendungsszenarien fürden Einsatz von Virtual

Private Networks (VPNs) gibt esviele: Meist nutzt man sie aberzur Verbindung von Firmen-standorten und für den Zugriffvon Mitarbeitern von unterwegs

oder zu Hause aufs Firmen-LAN. Bei Ersterem, dem Site-to-Site-VPN, verbinden VPN-Gateways zwei oder mehrereFirmenstandorte miteinander.Remote-Access-VPNs verbin-den den Rechner etwa eines

mobilen Mitarbeiters über dasInternet mit dem Firmennetz.

Während VPN-Clients für Re-mote-Access-VPNs stets alsSoftware auf dem Endgerät vor-kommen, stehen auf der Firmen-netzseite ganz unterschiedlicheVarianten der VPN-Implementie-rung bereit. Die einfachste Lö-sung stellen Appliances dar – eine Art Blackbox, die die VPN-Gateway-Funktionen zur Ver -fügung stellt.

Mit und ohneSchachtelEine andere Variante stellt dieIntegration der VPN-Gateway-Funktion in andere Netzkompo-nenten dar. Router und Firewallsnehmen bereits eine komplexeDatenverarbeitung vor und inte-grieren immer mehr Sicherheits-funktionen. Da liegt es nahe,den VPN-Server als Dienst direktdarauf laufen zu lassen.

Neben den Hardwarelösun-gen findet man reine Software-pakete für Windows, Linux undandere Unix-Derivate. Sie lassendem Anwender die Freiheit derHardwareauswahl und eröffnenihm viele Konfigurationsmög-lichkeiten. Benötigt man dasaber gar nicht, stellen Applian-ces meist die einfachere Lösungdar, zumal die Software ein-schließlich benötigter Hardwarenicht immer kostengünstiger ist.Alternativ lassen sich VPNs mitBordmitteln der Server-Betriebs-systeme aufsetzen, etwa mitden mitgelieferten Werkzeugender Linux-, Solaris- oder Win -dows-Server. Darüber hinaussteht Open-Source-Software zurVerfügung, wie das betriebssys-temübergreifende OpenVPN –unter Linux, Mac OSˇX, Windowsund unterschiedlichen Unix-De-rivaten einsetzbar.

Da die VPN-Server einenSingle Point of Failure darstel-len und im Fehlerfall kein Zu-griff auf das gesamte Netz be-steht, sollten sie redundantausgelegt sein oder es solltensich zumindest mehrere VPN-Gateways im Netz befinden.Welche Lösung zum Einsatzkommt, hängt vor allem vonden Anforderungen an Perfor-mance und Skalierung ab, aberauch von Designaspekten.

Sucht man bei den auf Netz-sicherheit spezialisierten Anbie-tern nach VPN-Lösungen, findetman diese immer häufigerunter dem Schlagwort UnifiedThreat Management (UTM). DieHersteller wollen damit beto-nen, dass einzelne Sicherheits-maßnahmen keinen ausrei-chenden Schutz gewähren.

Eine gute Platzierungist gefragtZu den Sicherheitsfunktionenvon UTM zählt man außer VPNsunter anderem Firewalls, Viren-schutz, Intrusion Detection andPrevention, Content- und Spam-Filter. Als Abgrenzung dazu be-zeichnet man Geräte, die aufnur eine Aufgabe spezialisiert

VIII iX extra 9/2009

Networking

ReineFormsacheVPN als Hardware, Software oder doch als Service?

Ebenso vielfältig wie die technischen Varianten vonVirtual Private Networks ist die Zahl der verfügbarenProdukte, mit denen sich VPNs einrichten lassen.Konkurrenz bekommen die Software- und Appliance-Anbieter zudem von Service-Providern.

ANBIETER VON VPN-SERVICES

Die Übersicht sowohl der Anbieter als auch ihrer Leistungen erhebt keinen Anspruch auf Vollständigkeit.

Anbieter URL ServiceArcor www.arcor.de Company NetBaracuda Communications www.baracudacommunications.com M-VPN, MPLSBCC www.bcc.de YournetBT www.bt.com BT MPLSClaranet www.claranet.de MPLS-VPN, IPSec-VPNColt Telecom www.colt.de Colt IP VPN CorporateDatadirect www.datadirect.de IPSec- und SSL-basierte VPNsDeTeWe Communications www.detewe-communications.de DeTeWe.net-VPNEasynet www.easynet.de Managed VPN-ServicesHL komm www.hlkomm.de HL Private IPInteroute www.interoute.de DSL-, MPLS-VPNiPass www.ipass.de iPass Branch OfficeLambdaNet www.lambdanet.de l-Net-VIPNetLEW Telnet www.lewtelnet.de MPLS-, IPSec-VPNMarcant www.marcant.net M-VPN, M-VPN SSLMIVITEC www.mivitec.de VPNsM-net www.m-net.de Ethernet-, IP-VPNOFM www.ofm.eu VPN-Connect, VPN-SecurityOrange www.orange-business.com IP-VPNPlus.line www.plusline.net MPLS-, IPSec-, Mobile-VPNReliance Globalcom www.relianceglobalcom.com MPLS MatrixSecurStar www.securstar.de SurfSoloTiggerswelt www.tiggerswelt.de VPN-GatewayT-Systems www.t-systems.de VPN-Basic, IntraSelect (IP-VPN)Verizon www.verizonbusiness.de IP-VPN Dedicated, Remote VPNVersatel www.versatel.de VT VPN

ix.0909.x.01-12 07.08.2009 12:26 Uhr Seite VIII

Open SourceMeets BusinessBusiness-Effizienz mit IT

26. – 28. Januar 2010, Nürnberg

Call for Papers – reichen Sie Ihren Vortrag ein!• Abgabeschluss: 31. August 2009

• Wer teilnehmen kann und wie: osmb.de

• Kongress-Updates: twitter.com/osmb2010

• Business Best Practice – wie Unternehmen mit Open Source Geschäfts -prozesse unterstützen und effizienter wirtschaften

• Technology Solutions – wie Anwendungs- und Infrastruktur-Lösungen mit Open-Source-Technik realisiert werden

• Future Technology – welche Open-Source-Software in Zukunft für An -wenderunternehmen wichtig wird

Fragen von Referenten:Heinrich Seegerhse@heise.de • 0511/ 5352-627

Kongress-Kalender

Fragen zu Kongresspartnerschaften:Sarah-Sophie Hillemann ssh@heise.de • 0511/ 5352-423

Auf dem

Kongre

ss:

Verle

ihung

der

Open

Sou

rce B

usine

ss A

wards a

n:

• Open

-Sou

rce-

CIO d

es Ja

hres

• Open

-Sou

rce-

Unter

nehm

en d

es Ja

hres

Preisg

eld g

esam

t:75

.000

Eur

o

Info

s:www.o

sbf.d

e

Partner:

Outlook sharing & Webaccess

CallForPaper_iXExtra 11.08.2009 12:02 Uhr Seite 1

sind, als Specialized SecurityAppliances (SSA). Ein anderesMarketingschlagwort für daszentralisierte und möglichstflexible Zugangsmanagementzu Firmennetzen ist die Net-work Admission (oder Access)Control (NAC), die sich im engeren Sinn aber nur auf dieZugangsberechtigungenbezieht.

Da VPNs in Firmennetzenden Datenverkehr von außer-halb schützen sollen, platziertman das VPN-Gateway sinnvol-lerweise am Rand des eigenenNetzes. Von dort kommend lei-ten die Router den Datenver-kehr unverschlüsselt weiterdurch das lokale Firmennetz,damit auch der durch den Tun-nel zugreifende Mitarbeiter alle

dortigen Funktionen wie Qua -lity of Service (QoS) nutzenkann. Das gilt sowohl für dieVerbindung von Firmenstand -orten als auch für den Zugriffentfernter Endgeräte. Da VPN-Gateways den Übergang desFirmennetzes zum Internet bil-den, sind sie oft direkt auf derFirewall oder dem AccessRouter zu finden.

Separate VPN-Gateways undAppliances sind in der Regel di-rekt an die Access Router an-geschlossen. Größere Firmenverfügen über mehrere VPN-Gateways, für deren Anordnungdie Administratoren die regio-nale Verteilung, Skalierung undVerfügbarkeit als Anforderun-gen heranziehen.

Greift ein entfernter, per VPNans Firmennetz angeschlosse-ner PC auf Sites des öffentli-chen Internets zu, könnte er dendirekten Weg gehen oder überdas VPN. Auch wenn Letzteresauf den ersten Blick umständ-lich erscheint, ist es trotzdemimmer zu empfehlen: Zumeinen gehen die Daten denersten Teil des Weges – vomeigenen Internetzugang zumFirmennetz – über die ver-schlüsselte Leitung, was insbe-sondere bei Nutzung einesWLANs die Sicherheit erheblicherhöht. Zum anderen passiertder Datenverkehr danach stetsdie Firewall der Firma, sodassalle dort implementiertenSchutzmechanismen greifenkönnen, etwa Virenschutz oderIntrusion Detection.

Alles wie zu Hause

Ein Nebeneffekt aus der voll-ständigen Kapselung des IP-Headers ergibt sich in Bezug aufdie IP-Adressen. Sichtbar istnicht mehr die ursprüngliche,meist vom Provider vergebene,sondern nur die beim Aufbaudes VPN zugewiesene Adresse.Dies kann in Einzelfällen zu Pro-blemen führen, wenn ein Dienstdie IP-Adresse auf Herkunft oderbestimmte Adressbereiche über-prüft. Umgekehrt lässt sich die-ser Effekt aber nutzen, indembeispielsweise die Nutzungeines amerikanischen VPN-An-bieters zu einer amerikanischenIP-Adresse führt. Damit lassensich sogenannte Geolokations-Dienste umgehen und US-Web-sites im Original lesen.

Bleibt die Frage nach mögli-chen Performance-Einbußenbeim Einsatz von VPNs. Die

X iX extra 9/2009

Networking

ANBIETER VON VPN-HARDWARE UND -SOFTWARE

Die Übersicht sowohl der Anbieter als auch ihrer Produkte erhebt keinen Anspruch auf Vollständigkeit.

Anbieter URL Produkte3Com www.3com.de VPN-Router, FirewallsAlcatel-Lucent www.alcatel-lucent.de VPN-Router, FirewallsAllied Telesis www.alliedtelesis.de VPN-RouterAllnet www.allnet.de VPN-Router, FirewallsAruba www.arubanetworks.com VPNs für WLANsAstaro www.astaro.de VPN-GatewaysAVM www.avm.de VPN-Home-RouterBorderware www.borderware.com Security-AppliancesCheckPoint www.checkpoint.com Security-AppliancesCisco Systems www.cisco.de VPN-Router, VPN-Clients, FirewallsCisco CBG www.linksys.de VPN-Home-RouterClavister www.clavister.de VPN-GatewaysD-Link www.dlink.com VPN-Router, FirewallsDrayTek www.draytek.de VPN-Router, FirewallsEnterasys www.enterasys.com VPN-RouterF5 www.f5.com VPN-Gateways, VPN-AppliancesFortinet www.fortinet.de VPN-AppliancesFunkwerk www.funkwerk-ec.de VPN-GatewaysGateProtect www.gateprotect.de Security-Appliances, VPN-ClientsHewlett-Packard www.hewlett-packard.de VPN-Server, VPN-ClientsHOB www.hob.de Remote Access SoftwareJuniper www.juniper.net Firewalls, ClientsLancom www.lancom-systems.de VPN-Router, VPN-ClientsLinogate www.linogate.de VPN-Server, FirewallsMcAfee www.mcafee.com VPN-Gateways, FirewallsMicrosoft www.microsoft.de VPN-Software-ServerMotorola www.motorola.de VPN-Gateways, MobillösungenNCP www.ncp.de VPN-Software, -Server und -ClientsNetgear www.netgear.de VPN-Router, FirewallsNortel www.nortel.com VPN-Router, GatewaysOpenVPN www.openvpn.net Open-Source-Software-ServerPhion www.phion.com Security-Appliances, VPN-GatewaysSecurepoint www.securepoint.de Security-AppliancesSirrix www.sirrix.de VPN-AppliancesSonicwall www.sonicwall.com/de Security-AppliancesSteganos www.steganos.de Secure VPN, Internet Anonym VPNTelcotech www.telco-tech.de VPN-Router, VPN-Client, FirewallTheGreenBow www.thegreenbow.de VPN-Clients für Windows u. MobilgeräteViprinet www.viprinet.de VPN-Router, VPN-ClientWatchGuard www.watchguard.com Security-AppliancesZyxel www.zyxel.de Security-Appliances, VPN-Gateway

ix.0909.x.01-12 07.08.2009 12:26 Uhr Seite X

Praxis zeigt, dass die heutigeHardware genug Rechenleis-tung zur Verfügung stellt, umdie VPN-Verschlüsselung fürden Anwender unbemerktdurchzuführen. Beim Zugriff aufdas Firmennetz von außerhalbist der Durchsatz eher durchdie Internet-Zugangstechnikwie DSL begrenzt.

Zwar lässt die technischnicht simple Materie vermuten,dass VPNs ausschließlich etwasfür Firmennetze sind. Dennochsind sie zunehmend für Heim-netze interessant. Das erkenntman etwa daran, dass immermehr Hersteller von Heim-Routern eine entsprechendeFunktion integrieren. Gründesind neben immer schnellerenInternetzugängen neue Funktio-nen der Geräte, die sie etwadurch Anschluss einer USB-Festplatte in sogenannte Inte-grated Access Devices (IAD)umwandeln. Damit kann manzum Beispiel aus dem Internetauf die heimische Festplattezugreifen, um die Urlaubsbilderzu speichern, oder einen Blickauf die Überwachungskamerawerfen.

Einzige Hürde stellen dienach spätestens 24 Stundendurch Zwangstrennung wech-selnden dynamischen IP-Adres-sen dar. Hierfür gibt es entspre-chende Lösungen wie DynDNS(www.dyndns.de), die die je-weils aktuelle IP-Adresse aufeinem Internet-Server hinterle-gen. Bietet der Heimrouter nunnoch die Funktionen eines VPN-Servers, kann man übers Inter-net so sicher auf das Heimnetzzugreifen, als wäre man zuHause.

Die von AVM in die Fritzboxintegrierte VPN-Lösung kann indieser Hinsicht als vorbildlichgelten, da sie nicht nur stan-dardmäßig eine starke AES-Ver-schlüsselung mitbringt, sondernauch einen Assistenten anbietet,der die Konfiguration von Routerund Client automatisch erzeugt.

Neben einer eigenen Imple-mentierung im Firmennetz kannman einen VPN-Dienst komplett

bei einem Service-Provider ein-kaufen. Dies ist insbesonderedann sinnvoll, wenn der Providernicht nur den Leitungszugangzur Verfügung stellt, sondernauch einen Managed Service,der den Betrieb des Zugang-Routers einschließt. Alle großenProvider, die Firmenanschlüsseim Programm haben, bietenVPN als Managed Service an –dazu gibt es die auf VPNs spe-zialisierten Anbieter.

Mein VPN, dein VPN

Neben der Vereinbarung derProtokolle und technischer Pa-rameter wie Durchsatz und An-zahl der Tunnel sind die Be-triebsparameter zu berücksich-tigen wie Verfügbarkeit, Reaktions- und Wiederherstel-lungszeiten oder Monitoring-Tools. Denn der Betrieb und dieVerwaltung des VPN-Dienstesobliegt dem Service-Provider.Statt einzelne Knoten, Pfadeund Parameter festzulegen, nut-zen die Service-Provider Pro -visionierungs-Tools, mit denensie lediglich die Endpunkte undQualitätsmerkmale definierenund daraus eine automatischeKonfiguration der Netzelemente

erstellen. Einige Provider stellensie dem Kunden auch direkt zurVerfügung (Self-Provisioning).Eine VPN-Service-Lösung be-freit also nicht gänzlich vontechnischem Know-how, sie istaber gegenüber einer Eigenrea-lisierung deutlich flexibler inBezug auf Erweiterungen oderÄnderungen.

Eine Besonderheit stellenMPLS-VPNs (Multi ProtocolLabel Switching) dar, die aus-schließlich Service-Provider –zumal mit eigener IP/MPLS-In-frastruktur – liefern können.MPLS hat sich zum Standardetabliert; Service-Provider nut-zen es, um den IP-Verkehr inihren riesigen IP-Netzen effektivabzuwickeln: Statt dass jederRouter jedes Paket aufs Neueprüft, versieht einer am Rand(Edge) des Netzes die Paketemit einer Markierung (Label),wodurch alle Pakete aus einerSitzung in denselben Daten-strom gelangen. Damit arbeitetMPLS wie mit Tunneln und bie-tet sich für die Nutzung als VPNan. Der Vorteil von MPLS-Net-zen besteht vor allem darin,dass sie für bestimmte Diensteeine Durchsatzgarantie gebenkönnen, indem sie unterschied-

liche Datenströme (etwa Videooder Voice over IP) gesondertbehandeln (CoS, Class of Ser-vice) und priorisieren können.

MPLS-VPNs eignen sich gutfür die Verbindung von Firmen-standorten, die etwa Telepre-sence und/oder IP-Telefonie imEinsatz haben. Für den Kundenstellt sich ein MPLS-VPN wieeine Standleitung dar, und dadiese ausschließlich durch dasabgeschottete Provider-Netzläuft, bietet es auch ohne Ver-schlüsselung bereits eine ge-wisse Datensicherheit. Besserist allerdings eine Kombinationmit IPSec zur Datenverschlüs-selung – auch deshalb, weilMPLS nur innerhalb des Netzesdes Service-Providers zur Ver-fügung steht.

Aus Carrier-Sicht ist MPLSauch das Mittel der Wahl, umalte Plattformen zu migrieren,bietet es doch die Möglichkeit,über sogenannte Virtual PrivateWire Services auch Tunnel fürATM- und Frame-Relay-Datenoder direkt Ethernet-Paketeüber das IP-Netz zu schalten.Zudem erleichtert CoS die Mi-gration bisher separater Voice-und Video-Netze. (sun/hw)

Uwe Schulze

iX extra 9/2009 XI

Networking

Das Auto ist längst zur High -tech-Maschine geworden. Unterder Motorhaube steuern einge-bettete IT-Systeme große Teiledessen, was mit dem Fahren zutun hat.

iX extra gibt einen Überblicküber die Aktivitäten von Auto-

mobilherstellern und High-Tech-Unternehmen: Entwickler vonEmbedded-Systemen müssenbranchenspezifische Sicher-heitsvorkehrungen einhalten;mit speziellen Testwerkzeugenkönnen sie ihre Steuergeräteprüfen. Standardisierte Bussys-

teme ermöglichen eine zuneh-mende Vernetzung von Einzel-systemen. Infotainment-Platt-formen sollen eine umfassendeKommunikation ermöglichen.

Erscheinungstermin: 17. September 2009

In iX extra 10/2009Embedded Systems – Automotive Computing

DIE WEITEREN IX EXTRAS:

Ausgabe Thema Erscheinungstermin

11/09 IT-Security On- und Offline-Verschlüsselung 15.10.09

12/09 Storage Solid State Disks 19.11.09

01/10 Networking Hosting-Provider – Service und Kosten 17.12.09

ix.0909.x.01-12 07.08.2009 12:26 Uhr Seite XI

. . . c o n n e c t i n g y o u r b u s i n e s s

VPN von LANCOM. Das Beste für Ihr Netz!Hochverfügbarkeit, Virtualisierung, Kostenkontrolle, Voice – bei

VPN geht es heute um mehr als „nur“ die sichere Vernetzung von

Standorten.

Mit VPN Routern, Gateways und Clients von LANCOM erfüllen

Sie spielend alle Anforderungen. Ganz egal, ob für HomeOffices,

mobile User, mobile Netzwerke oder Tausende von Filialen.

Von „One-Click-VPN“ und dem praktischen Budget-Manager im

VPN Client über den UMTS-Router mit Hochverfüg bar keits -

garantie bis zum neusten VPN Gateway mit ungekannter

Performance – LANCOM vernetzt Standorte schnell und sicher,

über alle DSL-Anschlüsse, WLAN oder UMTS.

VPN von der deutschen Nummer EINS! Exzellenter Service

& kostenlose Updates inklusive.

www.lancom.de

LANCOM

1751 UMTS:

VPN Router

mit ADSL2+

und UMTS

Die Hoch-verfügbar-keits-garantie!

LANCOM 1751 UMTS

P_VPN_200x280_0809_RZ:RZ 04.08.2009 12:06 Uhr Seite 1