Rubrik: Fachbeiträge/Grundlagen
Verio: Vorteile von Virtual Private Networks
Vertrauliche Information via VPN
(25.05.02) – Ein kleines unschuldiges Kürzel, VPN (Virtual Private Networks), macht sich
auf, die Schlagwortlisten zu erklimmen. Ist das nur ein neuer Hype, oder befindet sich realer Nutzwert hinter
diesem Wörtchen? Der vorliegende Beitrag gibt ausgehend von einer Begriffsdefinition die Antwort auf
Sinn und Zweck einer VPN-Einführung im Unternehmen.
Ganz allgemein ist ein VPN ein Netzwerk, welches auf einem anderen, meist öffentlichen, implementiert
wird. Dieses Tunneln von 'privatem' Netzwerk durch öffentliche Netzwerke ist das Grundkonzept eines VPN.
Warum sollte man nun so etwas Absonderliches tun? Die Erhöhung von Komplexität im eigenen Netzwerk
ist ja nur in den seltensten Fällen erstrebenswert. Grundsätzlich ist ein VPN in all den
Anwendungsfällen geeignet, in denen man Standleitungen (DDV, ISDN) oder Public-Shared Networks wie z.B.
Datex-P, Frame Relay oder auch ATM einsetzt.
Die Vorteile des VPN liegen hierbei in:
- niedrigen Kosten
- geringer Hardware Komplexität
Die geringen Kosten kann jeder nachvollziehen, der ein klassisches WAN aufbauen musste. Die Summe aus DDVs
(local loops) und WAN-Gebühren können recht beträchtliche Kosten verursachen.
Die zweite Herausforderung des klassischen Corporate Network ist die beachtliche Komplexität an
Routern und Datenanbindungen. Diese kann, besonders wenn aufgrund regionaler Gegebenheiten mehr als ein
Provider angebunden werden muss, leicht an die Grenzen der Beherrschbarkeit führen.
Virtuell
Eigentlich bedeutet der Begriff 'Virtuell' in VPN gar nichts Neues. Wenn wir uns Datex-P, Frame Relay
und ATM, ja selbst das Telefonnetz anschauen, sind das eigentlich virtuelle Netzwerke. Wenn wir jemanden
anrufen, dann verhalten wir uns, als ob wir einen direkten Draht von Ohr zu Ohr gelegt hätten. Das ist
aber schlicht falsch. Tausende Telefonate werden zeitgleich über dieselbe Glasfaser geroutet. Der Draht
zwischen uns und unserem Gegenüber ist virtuell. Dasselbe gilt für Datex, Frame Relay und ATM.
Privat / vertraulich
Die Privatheit des Netzwerks setzten wir fälschlich als gegeben voraus. Dass die genutzten Netze
virtuell sind, bedeutet: Wir sind nicht allein. Sowohl unsere Telefonate, als auch der Netzwerkverkehr
über Shared Private Networks sind nur oberflächlich geschützt. Sowohl staatliche Stellen als
auch mit Insiderwissen begabte Dritte können diese Verbindungen abhören. Dies zu unterbinden
– unabhängig vom darunterliegenden Verbindungsnetzwerk – ist eine der wichtigsten Aufgaben
eines VPN. Falls jetzt jemand die Frage stellt, ob er für vertrauliche Kommunikation über ein
internes Firmen-WAN ein VPN installieren sollte, ist die Antwort: Ja!
Integrität / Authentizität
Eng verbunden mit der Privatheit der Kommunikation ist ihre Authentizität. Kommunikation nicht
trivialer Inhalte erfordert die Sicherheit, dass der Sender der Nachricht auch derjenige ist, für den er
sich ausgibt. Genauso ist die Integrität der Botschaften zu sichern. Die Botschaft muss das enthalten,
was der Sender gesendet hat. In ungesicherte, oder auch zu schwach gesicherte Netzwerke können Dritte
vermeintlich authentische Botschaften einspeisen, welche durchaus Schaden verursachen können. Oder aber
originale Botschaften ändern. Als Beispiel sei hier nur an den entgangenen ICE-Auftrag einer großen
Deutschen Bank mit angeschlossener Elektrowerkstatt erinnert. Das Abfangen eines Faxes genügte der
Konkurrenz, den Auftrag für sich zu gewinnen.
Da in einem globalen Umfeld niemand die physikalische Kontrolle über das gesamte Netzwerk besitzt,
ist die gesamte WAN-Infrastruktur mehr oder minder als öffentlich zu betrachten. Da eine physikalische
Kontrolle nicht gegeben ist, bietet sich die Kryptologie als Kontrollinstanz der virtuellen Welt an. Ein
verschlüsseltes VPN – und wenn wir heutzutage über VPNs reden, setzen wir eine
Verschlüsselung implizit voraus – eröffnet die Chance auf private, authentische und integere
Kommunikation.
Die Betonung liegt auf Chance, denn ebenso wie physikalische Kontrolle häufig unbefriedigend erfolgt,
geschieht dies auch in der virtuellen Welt. Nur können Sie in der realen Welt den defekten Zaun auch als
Laie erkennen, in der virtuellen Welt hat da selbst der Experte oft Mühe. Selbst große Namen in der
IT-Branche bieten keinerlei Gewähr für lückenlose Sicherheit. Von Scientologen als
Zulieferanten und NSA-Schlüsseln im Kryptomodul, bis zu schlichten Designfehlern reicht hier das
Spektrum.
PPTP (Point to Point Tunneling Protocol)
Das Point to Point Tunneling Protocol ist eine Entwicklung in Anlehnung an PPP. PPP selbst ist ein
unverschlüsseltes VPN, das eigentlich zum Tunneln von Netzwerkprotokollen über Wählleitungen
entwickelt wurde. PPTP verspricht solch eine virtuelle Verbindung „sicher“ zu machen. Im ersten
Schritt ist diese Protokollerweiterung bestechend, ist doch die Zielrichtung dieser Entwicklung die Anbindung
von externen oder reisenden Mitarbeitern ans Firmennetzwerk. Also im besten Fall über Wählleitung
durchs Internet.
Das Versprechen sicherer Authentifizierung und verschlüsselter Netzwerkverbindung durch PPTP wird
leider nicht gehalten. Client und Implementationsschwächen, wie sie Bruce Schneier für PPTP (http://www.counterpane.com/pptp-paper.html) und PPTP2
(http://www.counterpane.com/pptpv2-paper.html)
aufzeigt, erschüttern das Vertrauen in die Lösung. In diesem Zusammenhang muss einfach der
Standardzusatz der Sicherheitsbranche angeführt werden: Gute Verschlüsselung ist nur
überprüfbare Verschlüsselung. Das heißt: Nicht nur die Quellen des
Verschlüsselungsalgorithmus müssen öffentlich zugänglich und überprüfbar sein,
das gleiche gilt für die konkrete Implementation wie hier für den Windows NT-Client, auf dessen
Sicherheit sich zu viele zu lange verlassen haben.
IPSEC
Der De-facto-Standard für VPN-Software ist gegenwärtig IPSEC. Dieser offene Standard, umfasst
drei Protokolle, welche in einer IPSEC-Implementierung genutzt werden (können):
- ESP, Encapsulating Security Payload, verschlüsselt und beglaubigt Daten.
- AH, Authentication Header, stellt einen Paket-Beglaubigungsdienst.
- IKE, Internet Key Exchange, handelt Verbindungsparameter, einschließlich der
Schlüssel für die ersten beiden Protokolle aus.
Diese Protokolle implementieren die Verbindungssicherheit und stützen sich selbst auf eine Vielzahl
von Verschlüsselungsprotokollen, u.a. auf
- DES, Data Encryption Standard, veraltet, wird aus Sicherheitsgründen von einigen
Implementierungen nicht unterstützt
- triple DES
- AES, oder Rijndael Advanced Encryption Standard, DES-Nachfolger
- RSA, patentierter Public Key Algorithmus. Patentschutz ist abgelaufen
- MD5, Message Digest Algorithm
- SHA, the Secure Hash Algorithm
- Diffie-Hellman-Schlüsselaustauschprotokoll
IPSEC wird von einer Reihe von Anbietern implementiert, auf Routern, Firewalls und als Software auf
Servern und Desktops. Seine Stärke ist die Quelloffenheit der eingesetzten Protokolle, sogar quelloffene
Implementierungen sind verfügbar. Wer mehr über VPNs, deren Implementation, besonders aber auch
über Möglichkeiten und Grenzen lernen möchte, findet beim FreeSwan Team (http://www.freeswan.org) eine Fülle von Informationen, eine voll
funktionstüchtige Software und deren Quellen.
Wie schaut nun der Einsatz eines VPN in der Realität aus? Nehmen wir eine Firma an, z.B. VERIO. Diese
hat mehrere Lokationen, z.B. in Regensburg, München, Berlin etc. Eine Reihe von mobilen Mitarbeitern und
einige Homeoffice-Nutzer sollen auf die Ressourcen der Firma zugreifen können. Per VPN werden die
lokalen Netzwerke gekoppelt und einzelne Arbeitsplätze an das Firmennetzwerk angebunden. Diese
Lösung ist flexibel und kosteneffektiv.
Das Verbinden der Ressourcen einer Firma ist nur eine Möglichkeit, ein VPN zu nutzen. Seine
immanenten Stärken prädestinieren es zum Einbinden von nur teilweise vertrauenswürdigen
Netzen. So haben Sie z.B. Ihr Webhosting zu VERIO ausgelagert. Trotz der Delegation des Hostings sollen die
Entwickler Ihrer Multimedia-Agentur, Ihr interner DBA und Ihr Content Manager sowohl von zu Hause als auch
aus Ihrer Firma heraus mit weitreichenden Freiheiten auf die Server zugreifen können. Restriktion
bleibt: Die Sicherheit Ihres Firmennetzwerkes darf nicht gefährdet werden. Diese Anforderungen lassen
sich mit etwas komplexeren Filterregeln auf den VPN Devices im Hosting Center und an Ihrem Firmensitz unter
einen Hut bringen. Und das Schönste: Sie behalten die Kontrolle über ein- und ausgehende Daten.
|
Bei der deutschen Post (der Firmenteil nennt sich heute Telekom) lernte der Diplom-Soziologe
Matthias Steppuhn das "Netzwerken" von der Basis an.
Er baute für eine koreanische Reederei ein WAN auf, bevor es richtig modern wurde, und für
eine große Schweizer Uhrenmarke den Internetshop, als andere erschrocken zurückzuckten.
Seit über zehn Jahren übt er den Spagat zwischen Basistechnik und sozialer Metaebene, ohne
sich dabei bislang ernsthaft verletzt zu haben.
Der vom Free-Software-Gedanken infizierte bekennende Linux-Anhänger der ersten Stunde sagt: "Im
Mittelpunkt jeder Technik muss der Mensch stehen. Wenn der dort stört, machen wir etwas
falsch.
|
Bevor wir jetzt das VPN zum Stein der Weisen machen: selbstverständlich sind auch VPNs und IPSEC von
Menschen gemacht. Das heißt, mit Sicherheit werden wir früher oder später Fehler finden. Da
die Quellen im wesentlichen offene Quellen sind, wird es wohl früher sein - und das ist auch gut
so. Je früher Fehler bekannt werden, desto früher werden sie behoben. Je mehr Menschen die Chance
haben zu prüfen, um so schneller wird eine solche Prüfung vorhandene Schwächen aufdecken. Wir
werden weiterhin mit Schwächen in der Implementation, den Algorithmen und unserer Art und Weise mit den
beiden umzugehen leben müssen- respektive an selbigen arbeiten. (Matthias Steppuhn/ap)
|