Lösungen im Weitverkehr
Sicher Daten übertragen mit VPNs
Varianten, Standards und Protokolle
Foto: T-Systems
Grundsätzlich gibt es drei Spielarten von VPNs: Client to Client (End to End), Client to Network (Site to End) sowie Network to Network (Site to Site). Am häufigsten ist die zweite Variante Client to Network, um einen Mitarbeiter von zu Hause oder unterwegs mit dem Unternehmensnetz zu verbinden. Doch auch die sichere Verbindung der Netzwerke verschiedener nationaler und internationaler Standorte und Zweigstellen eines Unternehmens ist sehr häufig (Network to Network). Eher seltener kommt die End to End-Variante vor, bei der sich der Mitarbeiter via VPN nicht in ein entferntes physikalisches Firmennetz einwählt, sondern direkt an einen Server bindet. VPN dient hier dem gesicherten Zugriff auf den Server.
Verschiedene Techniken bieten sich zum Aufbau eines virtuellen privaten Netzwerks an, aber nicht alle passen zum gedachten Einsatzszenario. Eine Übersicht über Standards und Protokolle erleichtert die Auswahl. Das derzeit am häufigsten eingesetzte VPN-Protokoll ist IPsec (IP Security), weitere mögliche Protokolle sind L2TP, PPTP und ViPNet. Dieser Artikel beschränkt sich angesichts der Marktbedeutung auf IPsec.
In letzter Zeit gewinnen VPNs an Bedeutung, die auf Techniken wie SSL (Secure Socket Layer) oder MPLS (Multi Protocol Label Switching) beruhen. SSL-VPNs werden auch als webbasierende VPNs bezeichnet. Sie haben - vereinfacht ausgedrückt - das Ziel, dass der Anwender von unterwegs möglichst einfach und sicher auf Web-Anwendungen zugreift, ohne direkten Zugriff auf das Unternehmensnetz zu erhalten. Bei MPLS nutzt ein Unternehmen für das VPN nicht das Internet als öffentliches Netzwerk, sondern das Netzwerk eines Service Providers.
IPsec-VPN
Am gebräuchlichsten sind derzeit VPNs mit dem IP Security Protocol (IPsec). Die zentralen Funktionen in der IPsec-Architektur sind das AH-Protokoll (Authentication Header), das ESP-Protokoll (Encapsulating Security Payload) und die Schlüsselverwaltung (Key Management). Der Authentication-Header schützt die Daten vor Verfälschung und enthält die Informationen, ob das Datenpaket während der Übertragung verändert wurde und ob der Absender identisch ist (Authentifizierung). ESP verschlüsselt die Daten und schützt vor unbefugten Zugriffen, während das Internet Key Exchange Protocol (IKE) eingesetzt wird, um die Parameter für das Verschlüsselungsverfahren auszutauschen (Key Management).
Zudem hat der Anwender die Wahl, mit IPsec die Datenpakete im Transport- oder Tunnel-Modus über das Netz zu verschicken. Der grundlegende Unterschied: Beim Transport-Modus bleibt die originale IP-Adresse des Absenders weiterhin sichtbar, während der Tunnel-Mode diese während der Übertragung verschleiert; sie kommt erst bei der Entschlüsselung beim Empfänger wieder zum Vorschein. Der Tunnelmodus empfiehlt sich vor allem bei der Verknüpfung der Netze unterschiedlicher Standorte (Site to Site), der Transport-Modus insbesondere dann, wenn zwei Rechner miteinander über IPsec im LAN kommunizieren (End to End).
Dank seiner ausgefeilten Sicherheitsmechanismen ist IPsec besonders für den Transport von vertraulichen Daten geeignet. Diese hohe Sicherheit wird jedoch durch einen erheblichen Konfigurationsaufwand erkauft. Zudem ist zusätzliche Hardware in Form von VPN-Gateways oder Access-Routern mit integrierter VPN-Funktionalität sowie die Installation eines VPN-Clients notwendig.