Unternehmen > Newsroom > Die Presse über NTT/VERIO

Zeitschriften- / Online-Meldungen über uns

Datum:
25-05-2002 
Quelle:
IT SecCity (online) 

25.05.2002 

NTT/Verio: Vorteile von Virtual Private Networks

Rubrik: Fachbeiträge/Grundlagen

Verio: Vorteile von Virtual Private Networks

Vertrauliche Information via VPN

(25.05.02) – Ein kleines unschuldiges Kürzel, VPN (Virtual Private Networks), macht sich auf, die Schlagwortlisten zu erklimmen. Ist das nur ein neuer Hype, oder befindet sich realer Nutzwert hinter diesem Wörtchen? Der vorliegende Beitrag gibt ausgehend von einer Begriffsdefinition die Antwort auf Sinn und Zweck einer VPN-Einführung im Unternehmen.

Ganz allgemein ist ein VPN ein Netzwerk, welches auf einem anderen, meist öffentlichen, implementiert wird. Dieses Tunneln von 'privatem' Netzwerk durch öffentliche Netzwerke ist das Grundkonzept eines VPN. Warum sollte man nun so etwas Absonderliches tun? Die Erhöhung von Komplexität im eigenen Netzwerk ist ja nur in den seltensten Fällen erstrebenswert. Grundsätzlich ist ein VPN in all den Anwendungsfällen geeignet, in denen man Standleitungen (DDV, ISDN) oder Public-Shared Networks wie z.B. Datex-P, Frame Relay oder auch ATM einsetzt.

Die Vorteile des VPN liegen hierbei in:

  • niedrigen Kosten
  • geringer Hardware Komplexität

Die geringen Kosten kann jeder nachvollziehen, der ein klassisches WAN aufbauen musste. Die Summe aus DDVs (local loops) und WAN-Gebühren können recht beträchtliche Kosten verursachen.

Die zweite Herausforderung des klassischen Corporate Network ist die beachtliche Komplexität an Routern und Datenanbindungen. Diese kann, besonders wenn aufgrund regionaler Gegebenheiten mehr als ein Provider angebunden werden muss, leicht an die Grenzen der Beherrschbarkeit führen.

Virtuell
Eigentlich bedeutet der Begriff 'Virtuell' in VPN gar nichts Neues. Wenn wir uns Datex-P, Frame Relay und ATM, ja selbst das Telefonnetz anschauen, sind das eigentlich virtuelle Netzwerke. Wenn wir jemanden anrufen, dann verhalten wir uns, als ob wir einen direkten Draht von Ohr zu Ohr gelegt hätten. Das ist aber schlicht falsch. Tausende Telefonate werden zeitgleich über dieselbe Glasfaser geroutet. Der Draht zwischen uns und unserem Gegenüber ist virtuell. Dasselbe gilt für Datex, Frame Relay und ATM.

Privat / vertraulich
Die Privatheit des Netzwerks setzten wir fälschlich als gegeben voraus. Dass die genutzten Netze virtuell sind, bedeutet: Wir sind nicht allein. Sowohl unsere Telefonate, als auch der Netzwerkverkehr über Shared Private Networks sind nur oberflächlich geschützt. Sowohl staatliche Stellen als auch mit Insiderwissen begabte Dritte können diese Verbindungen abhören. Dies zu unterbinden – unabhängig vom darunterliegenden Verbindungsnetzwerk – ist eine der wichtigsten Aufgaben eines VPN. Falls jetzt jemand die Frage stellt, ob er für vertrauliche Kommunikation über ein internes Firmen-WAN ein VPN installieren sollte, ist die Antwort: Ja!

Integrität / Authentizität
Eng verbunden mit der Privatheit der Kommunikation ist ihre Authentizität. Kommunikation nicht trivialer Inhalte erfordert die Sicherheit, dass der Sender der Nachricht auch derjenige ist, für den er sich ausgibt. Genauso ist die Integrität der Botschaften zu sichern. Die Botschaft muss das enthalten, was der Sender gesendet hat. In ungesicherte, oder auch zu schwach gesicherte Netzwerke können Dritte vermeintlich authentische Botschaften einspeisen, welche durchaus Schaden verursachen können. Oder aber originale Botschaften ändern. Als Beispiel sei hier nur an den entgangenen ICE-Auftrag einer großen Deutschen Bank mit angeschlossener Elektrowerkstatt erinnert. Das Abfangen eines Faxes genügte der Konkurrenz, den Auftrag für sich zu gewinnen.

Verschlüsselung

Da in einem globalen Umfeld niemand die physikalische Kontrolle über das gesamte Netzwerk besitzt, ist die gesamte WAN-Infrastruktur mehr oder minder als öffentlich zu betrachten. Da eine physikalische Kontrolle nicht gegeben ist, bietet sich die Kryptologie als Kontrollinstanz der virtuellen Welt an. Ein verschlüsseltes VPN – und wenn wir heutzutage über VPNs reden, setzen wir eine Verschlüsselung implizit voraus – eröffnet die Chance auf private, authentische und integere Kommunikation.

Die Betonung liegt auf Chance, denn ebenso wie physikalische Kontrolle häufig unbefriedigend erfolgt, geschieht dies auch in der virtuellen Welt. Nur können Sie in der realen Welt den defekten Zaun auch als Laie erkennen, in der virtuellen Welt hat da selbst der Experte oft Mühe. Selbst große Namen in der IT-Branche bieten keinerlei Gewähr für lückenlose Sicherheit. Von Scientologen als Zulieferanten und NSA-Schlüsseln im Kryptomodul, bis zu schlichten Designfehlern reicht hier das Spektrum.

PPTP (Point to Point Tunneling Protocol)
Das Point to Point Tunneling Protocol ist eine Entwicklung in Anlehnung an PPP. PPP selbst ist ein unverschlüsseltes VPN, das eigentlich zum Tunneln von Netzwerkprotokollen über Wählleitungen entwickelt wurde. PPTP verspricht solch eine virtuelle Verbindung „sicher“ zu machen. Im ersten Schritt ist diese Protokollerweiterung bestechend, ist doch die Zielrichtung dieser Entwicklung die Anbindung von externen oder reisenden Mitarbeitern ans Firmennetzwerk. Also im besten Fall über Wählleitung durchs Internet.

Das Versprechen sicherer Authentifizierung und verschlüsselter Netzwerkverbindung durch PPTP wird leider nicht gehalten. Client und Implementationsschwächen, wie sie Bruce Schneier für PPTP (http://www.counterpane.com/pptp-paper.html) und PPTP2 (http://www.counterpane.com/pptpv2-paper.html) aufzeigt, erschüttern das Vertrauen in die Lösung. In diesem Zusammenhang muss einfach der Standardzusatz der Sicherheitsbranche angeführt werden: Gute Verschlüsselung ist nur überprüfbare Verschlüsselung. Das heißt: Nicht nur die Quellen des Verschlüsselungsalgorithmus müssen öffentlich zugänglich und überprüfbar sein, das gleiche gilt für die konkrete Implementation wie hier für den Windows NT-Client, auf dessen Sicherheit sich zu viele zu lange verlassen haben.

IPSEC
Der De-facto-Standard für VPN-Software ist gegenwärtig IPSEC. Dieser offene Standard, umfasst drei Protokolle, welche in einer IPSEC-Implementierung genutzt werden (können):

  • ESP, Encapsulating Security Payload, verschlüsselt und beglaubigt Daten.
  • AH, Authentication Header, stellt einen Paket-Beglaubigungsdienst.
  • IKE, Internet Key Exchange, handelt Verbindungsparameter, einschließlich der Schlüssel für die ersten beiden Protokolle aus.

Diese Protokolle implementieren die Verbindungssicherheit und stützen sich selbst auf eine Vielzahl von Verschlüsselungsprotokollen, u.a. auf

  • DES, Data Encryption Standard, veraltet, wird aus Sicherheitsgründen von einigen Implementierungen nicht unterstützt
  • triple DES
  • AES, oder Rijndael Advanced Encryption Standard, DES-Nachfolger
  • RSA, patentierter Public Key Algorithmus. Patentschutz ist abgelaufen
  • MD5, Message Digest Algorithm
  • SHA, the Secure Hash Algorithm
  • Diffie-Hellman-Schlüsselaustauschprotokoll

IPSEC wird von einer Reihe von Anbietern implementiert, auf Routern, Firewalls und als Software auf Servern und Desktops. Seine Stärke ist die Quelloffenheit der eingesetzten Protokolle, sogar quelloffene Implementierungen sind verfügbar. Wer mehr über VPNs, deren Implementation, besonders aber auch über Möglichkeiten und Grenzen lernen möchte, findet beim FreeSwan Team (http://www.freeswan.org) eine Fülle von Informationen, eine voll funktionstüchtige Software und deren Quellen.

Wie schaut nun der Einsatz eines VPN in der Realität aus? Nehmen wir eine Firma an, z.B. VERIO. Diese hat mehrere Lokationen, z.B. in Regensburg, München, Berlin etc. Eine Reihe von mobilen Mitarbeitern und einige Homeoffice-Nutzer sollen auf die Ressourcen der Firma zugreifen können. Per VPN werden die lokalen Netzwerke gekoppelt und einzelne Arbeitsplätze an das Firmennetzwerk angebunden. Diese Lösung ist flexibel und kosteneffektiv.

Flexibel und kosteneffektiv: Anbindung per VPN

Das Verbinden der Ressourcen einer Firma ist nur eine Möglichkeit, ein VPN zu nutzen. Seine immanenten Stärken prädestinieren es zum Einbinden von nur teilweise vertrauenswürdigen Netzen. So haben Sie z.B. Ihr Webhosting zu VERIO ausgelagert. Trotz der Delegation des Hostings sollen die Entwickler Ihrer Multimedia-Agentur, Ihr interner DBA und Ihr Content Manager sowohl von zu Hause als auch aus Ihrer Firma heraus mit weitreichenden Freiheiten auf die Server zugreifen können. Restriktion bleibt: Die Sicherheit Ihres Firmennetzwerkes darf nicht gefährdet werden. Diese Anforderungen lassen sich mit etwas komplexeren Filterregeln auf den VPN Devices im Hosting Center und an Ihrem Firmensitz unter einen Hut bringen. Und das Schönste: Sie behalten die Kontrolle über ein- und ausgehende Daten.

Autoreninfo

Bei der deutschen Post (der Firmenteil nennt sich heute Telekom) lernte der Diplom-Soziologe Matthias Steppuhn das "Netzwerken" von der Basis an.

Er baute für eine koreanische Reederei ein WAN auf, bevor es richtig modern wurde, und für eine große Schweizer Uhrenmarke den Internetshop, als andere erschrocken zurückzuckten.

Seit über zehn Jahren übt er den Spagat zwischen Basistechnik und sozialer Metaebene, ohne sich dabei bislang ernsthaft verletzt zu haben.

Der vom Free-Software-Gedanken infizierte bekennende Linux-Anhänger der ersten Stunde sagt: "Im Mittelpunkt jeder Technik muss der Mensch stehen. Wenn der dort stört, machen wir etwas falsch.

Bevor wir jetzt das VPN zum Stein der Weisen machen: selbstverständlich sind auch VPNs und IPSEC von Menschen gemacht. Das heißt, mit Sicherheit werden wir früher oder später Fehler finden. Da die Quellen im wesentlichen offene Quellen sind, wird es wohl früher sein - und das ist auch gut so. Je früher Fehler bekannt werden, desto früher werden sie behoben. Je mehr Menschen die Chance haben zu prüfen, um so schneller wird eine solche Prüfung vorhandene Schwächen aufdecken. Wir werden weiterhin mit Schwächen in der Implementation, den Algorithmen und unserer Art und Weise mit den beiden umzugehen leben müssen- respektive an selbigen arbeiten. (Matthias Steppuhn/ap)