Das Magazin für Netze, Daten- und Telekommunikation - ITwelzel.biz
Das Magazin für Netze, Daten- und Telekommunikation - ITwelzel.biz
Das Magazin für Netze, Daten- und Telekommunikation - ITwelzel.biz
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
SCHWERPUNKT: VIRTUAL PRIVATE NETWORKS<br />
gen verwenden meist Verschlüsselungsalgorithmen<br />
wie DES (Data Encryption<br />
Standard – 40- <strong>und</strong> 56-Bit-Schlüssel)<br />
oder Triple DES (112- <strong>und</strong> 168-Bit-<br />
Schlüssel). Lightning bietet ebenfalls den<br />
IDEA (International Data Encryption Algorithm<br />
– 128-Bit-Schlüssel) an. Alle<br />
drei Verschlüsselungsverfahren unterscheiden<br />
sich in ihrer Struktur <strong>und</strong> der<br />
Länge der Schlüssel. DES <strong>und</strong> Triple<br />
DES wurden in den USA entwickelt.<br />
IDEA stammt aus der Schweiz <strong>und</strong> wird<br />
unter anderem von namhaften Organisationen<br />
wie der ISO (International Standards<br />
Organization) <strong>und</strong> der ITU (International<br />
Telecommunication Union)<br />
empfohlen. In Kombination mit IDEA<br />
setzt Lightning in seinen Lösungen ein<br />
automatisches Schlüsselverwaltungssystem<br />
mit Master Keys ein. Für jede Remote<br />
Site oder jeden IP-Empfangsbereich<br />
wird ein ganz bestimmter Master Key generiert.<br />
Für jede neue Verbindung generiert<br />
das System dann nach dem Zufallsprinzip<br />
einen Session Key. Dieser lässt<br />
sich nach einer bestimmten Zeit oder einer<br />
bestimmten übertragenen <strong>Daten</strong>menge<br />
automatisch erneuern. Der Administrator<br />
kann ein Hochsicherheits-Passwort<br />
anlegen, um den Zugang zur Konfiguration<br />
des Routers zu schützen.<br />
IPSEC ALS UNIVERSELLER STANDARD<br />
IPSec wurde speziell da<strong>für</strong> entwickelt,<br />
die Sicherheitslücke in IP-<strong>Netze</strong>n zu<br />
schließen. Es handelt sich dabei um einen<br />
Standard der IP Security Working Group,<br />
der dazu dienen soll, die Verbreitung von<br />
VPNs auch in heterogenen Netzwerken<br />
voranzutreiben <strong>und</strong> die Implementierung<br />
zu erleichtern. Im VPN-Bereich soll IP-<br />
Sec langfristig das Tunneling-Protokoll<br />
PPTP ablösen. Beim Einsatz von PPTP<br />
erfolgt die Verschlüsselung über RC4<br />
oder DES. Die Schlüssellänge variiert dabei<br />
zwischen 40 <strong>und</strong> 112 Bit. In IPSec<br />
können Verschlüsselung (ESP) <strong>und</strong> Authentifizierung<br />
(AH) voneinander getrennt,<br />
wahlweise aber auch in ESP kombiniert<br />
werden.<br />
Die aktuellen Entwicklungen machen<br />
Multiprotokolle, die bei proprietären Lösungen<br />
zum Einsatz kommen, zuneh-<br />
208 LANline 12/2000<br />
mend zugunsten von TCP/IP überflüssig.<br />
Damit steigt IPSec voraussichtlich zum<br />
wichtigsten Standard <strong>für</strong> zukünftige<br />
VPN-Installationen auf. <strong>Das</strong> bringt allerdings<br />
auch mehr Komplexität bei der Abwicklung<br />
der <strong>Daten</strong>übertragung <strong>und</strong> der<br />
Verwaltung mit sich. Die IPSec-Protocol-Suite<br />
besteht aus drei Elementen:<br />
– Authentication Header (AH): Dieser<br />
IP-Header enthält Informationen darüber,<br />
ob das <strong>Daten</strong>paket während der<br />
Übertragung auf irgendeine Weise verändert<br />
wurde <strong>und</strong> ob die Absenderquelle<br />
identisch ist.<br />
– Encapsulation Security Payload (ESP):<br />
Verschlüsselt die <strong>Daten</strong> vor der Übertragung<br />
<strong>und</strong> schützt so vor fremden Zugriffen<br />
<strong>und</strong> Manipulationen.<br />
– Internet Key Exchange Protocol (IKE):<br />
<strong>Das</strong> ist sozusagen das Verhandlungsprotokoll.<br />
Es ermöglicht die Kommunikation<br />
zwischen zwei Seiten, um sich<br />
auf die Verwendung eines bestimmten<br />
Verschlüsselungsverfahrens wie DES<br />
oder Tripel DES zu einigen.<br />
Bisher unterstützt IPSec DES <strong>und</strong> Tripel<br />
DES als Verschlüsselungsalgorithmen<br />
sowie PKIs (Public Key Infrastructures).<br />
Um die <strong>Daten</strong> zu verschlüsseln,<br />
müssen beide Teilnehmer – Empfänger<br />
<strong>und</strong> Absender – miteinander kommunizieren<br />
<strong>und</strong> sich <strong>für</strong> ein einheitliches Verschlüsselungsverfahren<br />
entscheiden. Nur<br />
dann lassen sich die benötigten Schlüssel<br />
austauschen. Unterstützt die eingesetzte<br />
VPN-Lösung also nicht eines der beiden<br />
Verfahren, erfolgt auch keine Verschlüsselung.<br />
Dann wird der <strong>Daten</strong>verkehr nur<br />
getunnelt. Der Einsatz von PKIs macht<br />
die Verwaltung <strong>für</strong> den Administrator<br />
folglich komplizierter. Eine PKI-Umgebung<br />
besteht prinzipiell aus den drei<br />
Komponenten Certification Authority<br />
(CA) zur Ausstellung der Zertifikate, einem<br />
Distributionssystem <strong>für</strong> den Zugriff<br />
auf die ausgestellten Zertifikate sowie einem<br />
Verzeichnis im Distributionssystem,<br />
in dem die ausgestellten Zertifikate<br />
hinterlegt sind. Um eine PKI zu nutzen,<br />
muss der Administrator in jedem Gerät<br />
alle Schlüssel, Public Keys <strong>und</strong> zur Verfügung<br />
stehenden Zertifikate konfigurieren.<br />
In großen Netzwerken bedeutet das<br />
einen erheblichen Aufwand. Andererseits<br />
eignet sich IPSec gerade <strong>für</strong> sehr<br />
große Netzwerke, da diese zumeist eine<br />
stark heterogene Infrastruktur aufweisen<br />
<strong>und</strong> IPSec als fest definierter Standard in<br />
derartigen Umgebungen gut eingesetzt<br />
werden kann. Der wohl größte Nachteil<br />
von IPSec ist bisher, dass dieser Sicherheitsstandard<br />
nur <strong>für</strong> IP-<strong>Netze</strong> geeignet<br />
ist.<br />
FAZIT IPSec wird die Verbreitung von<br />
VPNs zunehmend vorantreiben. Einen<br />
richtigen Boom löst auch der zunehmende<br />
Einsatz breitbandiger Festverbindungen<br />
wie ADSL oder Kabelmodems<br />
aus. Wenn “Always-On-Lösungen”<br />
günstiger werden, besteht kein Bedarf<br />
mehr an dedizierten Festverbindungen.<br />
Dann werden sich immer mehr<br />
Menschen über öffentliche IP-<strong>Netze</strong><br />
einwählen <strong>und</strong> diese Verbindung nicht<br />
nur als Zugang zum Internet, sondern<br />
auch zur Anbindung der Firmenniederlassungen<br />
an das Unternehmensnetz der<br />
Zentrale nutzen. Generell ist zunächst<br />
der konkrete Bedarf <strong>für</strong> eine VPN-Lösung<br />
zu definieren. Abgesehen von einer<br />
Entscheidung <strong>für</strong> ein Software-,<br />
Hardware- oder Firewall-basiertes VPN<br />
gilt es auch zu überlegen, ob eine Open-<br />
Source-Lösung oder ein proprietäres<br />
System zum Einsatz kommen soll. Etwaige<br />
Fehler lassen sich in der Open-<br />
Source-Variante wesentlich schneller<br />
<strong>und</strong> individueller lösen. Beim proprietären<br />
System hat in der Regel nur der<br />
Hersteller direkten Zugriff auf den<br />
Code. Für die Verschlüsselung der <strong>Daten</strong><br />
sollte ein Algorithmus mit mindestens<br />
85 Bit Schlüssellänge gewählt werden.<br />
Dies schützt relativ gut vor möglichen<br />
Angriffen auf die <strong>Daten</strong>. Darüber<br />
hinaus ist es vorteilhaft, wenn die Geräte<br />
nach der Installation über ein LED<br />
anzeigen, ob die Verschlüsselungsmechanismen<br />
auch wirklich angewendet<br />
werden. Bei vielen Geräten lässt sich<br />
dies optional ein- oder ausschalten.<br />
(Dr. Beat Brunner/gg)<br />
Dr. Beat Brunner ist Vorstand von<br />
Lightning<br />
www.lanline.de