Das Magazin für Netze, Daten- und Telekommunikation - ITwelzel.biz

Weitere Magazine

Empfehlungen

Info

SCHWERPUNKT: VIRTUAL PRIVATE NETWORKS VIRTUAL PRIVATE NETWORKS (VPN) UND IPSEC Private Daten routen VPNs sind eine Alternative zu Festverbindungen. Strukturell gibt es unterschiedliche Varianten zum Aufbau der Netze – per Switch oder Router. Bisher basieren VPNs meist auf überwiegend proprietären Lösungen. IPSec soll das ändern und den virtuellen privaten Netzen zum endgültigen Siegeszug verhelfen. Festverbindungen gelten zwar als ziemlich sicher, sind aber bei längeren Strecken mit hohen Fixkosten verbunden. ISDN-Wählverbindungen schlagen ebenfalls mit hohen Kosten je nach Dauer und Distanz der Verbindung zu Buche. Für Unternehmen bieten sich hier VPNs an – sie bieten eine wirtschaftliche Alternative. Denn in einem virtuellen privaten Netz bezahlt der Kunde nur für die Anbindung zum nächsten POP (Point of Presence) des Providers. Da der Datenverkehr jedoch über das Internet oder ein öffentliches IP-Netz läuft, spielt der Faktor Sicherheit eine bedeutende Rolle. SWITCH ODER ROUTER ALS BASIS? VPNs lassen sich sowohl mit Switches als auch mit Routern realisieren. Als Faustregel gilt dabei: Switch-basierte VPNs eignen sich in erster Linie für sehr große Netzwerke von Carriern oder ISPs. Sie bringen den Vorteil, dass der Datenverkehr von mehreren IP-Adressen über lediglich einen Switch geleitet werden kann. Damit ist beispielsweise ein ISP in der Lage, zwei konkurrierenden Unternehmen gleichzeitig eine VPN-Lösung anzubieten. Die Daten laufen beide über denselben Switch, die Kunden bekommen davon nichts mit, und der Anbieter garantiert, dass das System die Daten der Kunden bei der Abwicklung nicht vermischt. Im Vergleich zu einem Routerbasierten VPN kann der Switch diese Separation der Dateninhalte schneller ver- 206 LANline 12/2000 arbeiten. Allerdings wird der Traffic bei Switch-basierten VPNs nicht unbedingt verschlüsselt. Oftmals kommt nur das für VPN übliche Tunneling-Verfahren zum Einsatz. Dabei werden die Datenpakete in ein zweites IP-Paket verpackt – sozusagen gekapselt. Das funktioniert in der Regel über das PPTP (Point-to-Point Tunneling Protocol). Es arbeitet auf Layer 2 und nutzt zur Authentisierung PAP (Password Authentification Protocol) sowie CHAP (Challenge Handshake Protocol). Eine zusätzliche Verschlüsselung im Switch gibt es heutzutage nicht. Sie würde das Verfahren aufwändiger und langsamer machen. Anders sieht es bei Router-basierten VPNs aus. Hier kann der Prozessor im Router in der Regel die Verschlüsselung gleich mit verarbeiten. Oftmals wird standardmäßig jedoch nur eine relativ ge- ringe Verschlüsselung mit lediglich 40- Bit langen Schlüsseln vorgenommen. Je nach Sicherheitsbedürfnis sollte ein Verfahren mit mindestens einem 85-Bit- Schlüssel gewählt werden. Im Prinzip gibt es also zwei Arten von VPNs: – VPN von Carriern und ISPs: Der Zusammenschluss der virtuellen privaten Netze erfolgt über den Backbone des Carriers; die Administration wird ebenfalls vom Carrier abgewickelt. Meist werden diese Netze mit Switches aufgebaut – das erleichtert in großen Netzwerken die Verwaltung und wirkt sich nicht negativ auf den Durchsatz aus. Diese VPNs sparen also Kosten, der Datenverkehr wird aber nicht unbedingt zusätzlich verschlüsselt. – Unternehmenseigenes VPN: Hierbei verwaltet der Administrator des Unternehmens das VPN selbst. Ausgehender Datenverkehr über den Service-Provider oder das Internet wird in der Regel verschlüsselt. Diese VPNs sind meist Router-basiert, da die Verschlüsselung hier ohne großen Mehraufwand und Die Geräte von Lightning bieten Verschlüsselung auf Link Level und auf IP Level. Letzteres eignet sich besonders für die Installation von S-VPNs (Secure Virtual Private Network) komplizierte Konfigurationen vom Administrator selbst installiert und verwaltet werden kann. SICHERE ÜBERTRAGUNG DER DATEN Da die meisten VPNs Teile des Internets zur Übertragung der Daten nutzen, kommt der Verschlüsselung eine besondere Bedeutung zu. Öffentliche Netze sind schließlich nicht gerade für ihre Sicherheit bekannt. Die bisher vor allem eingesetzten proprietären VPN-Lösun- www.lanline.de
SCHWERPUNKT: VIRTUAL PRIVATE NETWORKS gen verwenden meist Verschlüsselungsalgorithmen wie DES (Data Encryption Standard – 40- und 56-Bit-Schlüssel) oder Triple DES (112- und 168-Bit- Schlüssel). Lightning bietet ebenfalls den IDEA (International Data Encryption Algorithm – 128-Bit-Schlüssel) an. Alle drei Verschlüsselungsverfahren unterscheiden sich in ihrer Struktur und der Länge der Schlüssel. DES und Triple DES wurden in den USA entwickelt. IDEA stammt aus der Schweiz und wird unter anderem von namhaften Organisationen wie der ISO (International Standards Organization) und der ITU (International Telecommunication Union) empfohlen. In Kombination mit IDEA setzt Lightning in seinen Lösungen ein automatisches Schlüsselverwaltungssystem mit Master Keys ein. Für jede Remote Site oder jeden IP-Empfangsbereich wird ein ganz bestimmter Master Key generiert. Für jede neue Verbindung generiert das System dann nach dem Zufallsprinzip einen Session Key. Dieser lässt sich nach einer bestimmten Zeit oder einer bestimmten übertragenen Datenmenge automatisch erneuern. Der Administrator kann ein Hochsicherheits-Passwort anlegen, um den Zugang zur Konfiguration des Routers zu schützen. IPSEC ALS UNIVERSELLER STANDARD IPSec wurde speziell dafür entwickelt, die Sicherheitslücke in IP-Netzen zu schließen. Es handelt sich dabei um einen Standard der IP Security Working Group, der dazu dienen soll, die Verbreitung von VPNs auch in heterogenen Netzwerken voranzutreiben und die Implementierung zu erleichtern. Im VPN-Bereich soll IP- Sec langfristig das Tunneling-Protokoll PPTP ablösen. Beim Einsatz von PPTP erfolgt die Verschlüsselung über RC4 oder DES. Die Schlüssellänge variiert dabei zwischen 40 und 112 Bit. In IPSec können Verschlüsselung (ESP) und Authentifizierung (AH) voneinander getrennt, wahlweise aber auch in ESP kombiniert werden. Die aktuellen Entwicklungen machen Multiprotokolle, die bei proprietären Lösungen zum Einsatz kommen, zuneh- 208 LANline 12/2000 mend zugunsten von TCP/IP überflüssig. Damit steigt IPSec voraussichtlich zum wichtigsten Standard für zukünftige VPN-Installationen auf. Das bringt allerdings auch mehr Komplexität bei der Abwicklung der Datenübertragung und der Verwaltung mit sich. Die IPSec-Protocol-Suite besteht aus drei Elementen: – Authentication Header (AH): Dieser IP-Header enthält Informationen darüber, ob das Datenpaket während der Übertragung auf irgendeine Weise verändert wurde und ob die Absenderquelle identisch ist. – Encapsulation Security Payload (ESP): Verschlüsselt die Daten vor der Übertragung und schützt so vor fremden Zugriffen und Manipulationen. – Internet Key Exchange Protocol (IKE): Das ist sozusagen das Verhandlungsprotokoll. Es ermöglicht die Kommunikation zwischen zwei Seiten, um sich auf die Verwendung eines bestimmten Verschlüsselungsverfahrens wie DES oder Tripel DES zu einigen. Bisher unterstützt IPSec DES und Tripel DES als Verschlüsselungsalgorithmen sowie PKIs (Public Key Infrastructures). Um die Daten zu verschlüsseln, müssen beide Teilnehmer – Empfänger und Absender – miteinander kommunizieren und sich für ein einheitliches Verschlüsselungsverfahren entscheiden. Nur dann lassen sich die benötigten Schlüssel austauschen. Unterstützt die eingesetzte VPN-Lösung also nicht eines der beiden Verfahren, erfolgt auch keine Verschlüsselung. Dann wird der Datenverkehr nur getunnelt. Der Einsatz von PKIs macht die Verwaltung für den Administrator folglich komplizierter. Eine PKI-Umgebung besteht prinzipiell aus den drei Komponenten Certification Authority (CA) zur Ausstellung der Zertifikate, einem Distributionssystem für den Zugriff auf die ausgestellten Zertifikate sowie einem Verzeichnis im Distributionssystem, in dem die ausgestellten Zertifikate hinterlegt sind. Um eine PKI zu nutzen, muss der Administrator in jedem Gerät alle Schlüssel, Public Keys und zur Verfügung stehenden Zertifikate konfigurieren. In großen Netzwerken bedeutet das einen erheblichen Aufwand. Andererseits eignet sich IPSec gerade für sehr große Netzwerke, da diese zumeist eine stark heterogene Infrastruktur aufweisen und IPSec als fest definierter Standard in derartigen Umgebungen gut eingesetzt werden kann. Der wohl größte Nachteil von IPSec ist bisher, dass dieser Sicherheitsstandard nur für IP-Netze geeignet ist. FAZIT IPSec wird die Verbreitung von VPNs zunehmend vorantreiben. Einen richtigen Boom löst auch der zunehmende Einsatz breitbandiger Festverbindungen wie ADSL oder Kabelmodems aus. Wenn “Always-On-Lösungen” günstiger werden, besteht kein Bedarf mehr an dedizierten Festverbindungen. Dann werden sich immer mehr Menschen über öffentliche IP-Netze einwählen und diese Verbindung nicht nur als Zugang zum Internet, sondern auch zur Anbindung der Firmenniederlassungen an das Unternehmensnetz der Zentrale nutzen. Generell ist zunächst der konkrete Bedarf für eine VPN-Lösung zu definieren. Abgesehen von einer Entscheidung für ein Software-, Hardware- oder Firewall-basiertes VPN gilt es auch zu überlegen, ob eine Open- Source-Lösung oder ein proprietäres System zum Einsatz kommen soll. Etwaige Fehler lassen sich in der Open- Source-Variante wesentlich schneller und individueller lösen. Beim proprietären System hat in der Regel nur der Hersteller direkten Zugriff auf den Code. Für die Verschlüsselung der Daten sollte ein Algorithmus mit mindestens 85 Bit Schlüssellänge gewählt werden. Dies schützt relativ gut vor möglichen Angriffen auf die Daten. Darüber hinaus ist es vorteilhaft, wenn die Geräte nach der Installation über ein LED anzeigen, ob die Verschlüsselungsmechanismen auch wirklich angewendet werden. Bei vielen Geräten lässt sich dies optional ein- oder ausschalten. (Dr. Beat Brunner/gg) Dr. Beat Brunner ist Vorstand von Lightning www.lanline.de
Seite 1 und 2:
12 Storage Area Networks/Virtual Pr
Seite 3 und 4:
INHALT netzMARKT Internet im Mittel
Seite 5 und 6:
netzMARKT INTERNET IM MITTELPUNKT L
Seite 7 und 8:
netzMARKT Lotus-Hosting-Management-
Seite 9 und 10:
netzMARKT wir von High-speed-Verkab
Seite 11 und 12:
netzMARKT DURCHBLICK AUF ALLEN EBEN
Seite 13 und 14:
netzMARKT NEUAUSRICHTUNG BEI ATI IP
Seite 15 und 16:
netzMARKT SIEMENS ICN: STÄRKER RIC
Seite 17 und 18:
PERSONALKARUSSELL netzMARKT stützu
Seite 19 und 20:
netzMARKT EXPONET 2000 IN KÖLN Net
Seite 21 und 22:
Firma Halle Stand Fiberlan GmbH 2.2
Seite 23 und 24:
Firma Halle Stand Scientific Comput
Seite 25 und 26:
netzPRODUKTE/SERVICES dungen und -A
Seite 27 und 28:
Web-Servern erfolgt. Das bedeutet,
Seite 29 und 30:
netzPRODUKTE/SERVICES ADAPTEC USB-X
Seite 31 und 32:
netzPRODUKTE/SERVICES D ie GLOBAL T
Seite 33 und 34:
netzPRODUKTE/SERVICES SPEICHERSYSTE
Seite 35 und 36:
62 LANline 12/2000 netzPRODUKTE/SER
Seite 37 und 38:
netzPRODUKTE/SERVICES AKTIVE KOMPON
Seite 39 und 40:
netzPRODUKTE/SERVICES MANAGEMENT id
Seite 41 und 42:
netzPRODUKTE/SERVICES SCHUTZ/SICHER
Seite 43 und 44:
70 LANline 12/2000 netzPRODUKTE/SER
Seite 45 und 46:
netzPRODUKTE/SERVICES MESSTECHNIK Q
Seite 47 und 48:
netzPRODUKTE/SERVICES MESSAGING UND
Seite 49 und 50:
Automatische Anrufverteilung Als Er
Seite 51 und 52:
Wer bereits über getrennte Kommuni
Seite 53 und 54:
netzTECHNIK wesentlich beeinträcht
Seite 55 und 56:
netzTECHNIK die alten 10-MBit/s-Eth
Seite 57 und 58:
netzTECHNIK Netzbetreibers, die Ele
Seite 59 und 60:
netzTECHNIK KOMMERZIELLES PEERING D
Seite 61 und 62:
netzTECHNIK DHCP UND WINDOWS 2000 S
Seite 63 und 64:
netzTECHNIK Die DHCP-Server-Version
Seite 65 und 66:
netzTECHNIK BUCHBESPRECHUNGEN WINDO
Seite 67 und 68:
netzTOOLBOX IM TEST: DRIVE IMAGE, V
Seite 69 und 70:
netzTOOLBOX Image-Dateien. Der Edit
Seite 71 und 72:
netzTOOLBOX PERFORMANCE IM WEB Schn
Seite 73 und 74:
netzTOOLBOX - der Web-Server, - der
Seite 75 und 76:
netzTOOLBOX de Jobs eines Druckers
Seite 77 und 78:
ist. Befindet sich Rendezvous auf b
Seite 79 und 80:
netzTOOLBOX Tipps &Tricks In der Ru
Seite 81 und 82:
In den Dateien ARCHIVE.DIR sind all
Seite 83 und 84:
Produktpaletten. Vor allem die Gese
Seite 85 und 86:
Die Serie Netzwerkdienstleister in
Seite 87 und 88:
Die drei Anschlusstechniken DASD, N
Seite 89 und 90: SCHWERPUNKT: STORAGE AREA NETWORKS
Seite 95 und 96: 142 LANline 12/2000 SCHWERPUNKT: ST
Seite 101 und 102: gist bei EMC erläuterte die Rolle
Seite 127 und 128: Anbieter: Fibre-Channel-Switches He
Seite 129 und 130: Channel-Switches Switch-Bandbreite
Seite 131 und 132: Das “virtuell” in Virtual Priva
Seite 133 und 134: SCHWERPUNKT: VIRTUAL PRIVATE NETWOR
Seite 139: SCHWERPUNKT: VIRTUAL PRIVATE NETWOR
Seite 147 und 148: ein Paket von Protokollen, deren Im
Seite 151 und 152: 224 LANline 12/2000 www.lanline.de
Seite 159 und 160: fokusE-COMMERCE unter Umständen se
Seite 161 und 162: fokusE-COMMERCE tem werden weltweit
Seite 163 und 164: 240 LANline 12/2000 fokusE-COMMERCE
Seite 165 und 166: fokusE-COMMERCE che-Web-Server, der
Seite 167 und 168: fokusE-COMMERCE OBJEKT-BROKER FÜR
Seite 169 und 170: fokusECOMMERCE tion. Corba-2.0-komp
Seite 171 und 172: fokusE-COMMERCE den umgekehrten Pro
Seite 173 und 174: Info-Fax oder Internet Der moderne
Alle anzeigen

Das Magazin für Netze, Daten- und Telekommunikation - ITwelzel.biz

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?