Tribut an höheren Druck im Tunnel
Buyers Guide – Das VPN-Gateway verändert wieder einmal seine Form, ausgelöst durch den höheren Anforderungsdruck der Anwendungen. Bereits mit der Firewall zusammengewachsen, zwingen VoIP und andere Dienste dieses System, das Bandbreitenmanagement zu verfeinern.
Die Ansprüche an VPN-Lösungen auf Basis des IPsec-Protokolls wachsen ständig. Tragen diese Gateways, seien es dezidierte hochperformante VPN-Konzentratoren oder Firewall-IPsec-Hybride, doch die Hauptlast, Außenstellen und große Büros an die Zentrale zu koppeln. Sie partizipieren damit an vielen Transfers wichtiger Dienste und Informationen des Unternehmens, der Partner und der mobilen Anwender.
Je mehr Anwendungen auf Webtechnik migrieren, desto bedeutender und größer der reine WAN-Anteil des Verkehrs. Und desto größer die Beteiligung des IPsec-Gateways. Jeder neue Dienst, den das Unternehmen großflächig ausrollt, wird diese codierten Tunnel ebenfalls nutzen. Sofern die Verantwortlichen sich ernsthaft engagieren, diesen Dienst auch sicher zu gestalten.
Am IPsec-Gateway konzentrieren sich schließlich unternehmenskritische Verkehrsflüsse. Die Gateways, ob in der Zentrale oder in einer wichtigen Außenstelle, schlüpfen zwangsläufig in die Rolle einer empfindlichen, sensiblen Schaltzentrale. Aus dieser überaus bedeutenden Funktion leiten sich mehrere Anforderungen ab, die sich in zwei Begriffen zusammenfassen lassen: absolute Professionalität. Und zwar in den Disziplinen Konfiguration, Monitoring und Management. Nur wenn diese angemessen umgesetzt sind, sind die Zielvorgaben in Sachen Ausfallsicherheit, Hochverfügbarkeit zu erreichen. Denn nur wer sein IPsec-Gateway, das durchaus in einem entfernten Land auf einem anderen Kontinent eine Außenstelle versorgt, gut im Griff hat, kann dortige Fehler, Probleme und Ausfälle schnell beheben. Die volle Kontrolle ist unbedingt auch bei jungen, für moderne Dienste wichtigen Funktionen wie Quality-of-Service oder Bandbreitenmanagement nötig. Sollen diese Features doch die Grundlage für VoIP oder Wide-Area-File-Services (WAFS) schaffen.
Die modernen Dienste stellen weitaus höhere Anforderungen an die Übertragungsqualität. Verzögerungen beim Transfer, Paketverluste und Jitter wirken sich gerade bei VoIP negativ auf die Klarheit der Sprache aus. Die Kommunikationspartner werden einander im Ernstfall nur schlecht verstehen und mit dem Service unzufrieden sein, wenn keine Vorkehrungen getroffen wurden, die störenden Einflüsse zu auszuschalten.
Gehobener Anspruch
IPsec-VPN-Systeme müssen diese Daten bevorzugt behandeln. Das beginnt vor allem schon beim Verschlüsselungsprozess der Sprach-Pakete, die in 3DES- oder AES-kodierte Pendants umgewandelt werden. Bislang haben aber nur sehr wenige Anbieter, darunter Cisco, ihre Queuing- und Bufferverfahren so verfeinert, dass VoIP-Pakete ab einer bestimmten Last entsprechend schneller und konstanter durch die Encryption-Engine an die Ausgangs-Ports geleitet werden. Dadurch werden die Leistung im IPsec-Tunnel kalkulierbarer, das Design des Netzes und der nötigen Kapazitäten berechenbarer. Gerade Anbieter günstiger Lösungen haben hier noch viel Arbeit vor sich.
Neben den geräteinternen spielen Tunnel-zentrische Mechanismen eine wichtige Rolle. Unter dem Schlagwort Bandbreitenmanagement vereint, wollen sie wichtigen Anwendungen und Diensten selbst bei Überlast einen Teil der Kapazitäten im Tunnel reservieren. So werden kritische, gewichtete Pakete konstant an ihr Ziel geleitet, auch wenn die Leitung durch andere, weniger wichtige Dienste eigentlich überlastet wäre. Dieses Prinzip hat eine andere Gruppe von Anbietern schon vor Jahren in isolierten Appliances eingebettet und Stück für Stück verfeinert, darunter Packeteer oder Peribit (vergangenes Jahr von Juniper gekauft). Diese Boxen kombinieren heute Traffic-Shaping, Kompression, Paketmustererkennung, Windows-Resizing, Bandbreitenmanagement und Priorisierung miteinander, um die Kapazitäten der WAN-Leistung bestmöglich auszuschöpfen. Die Anwendungen und Dienste erkennen sie übrigens anhand von Layer-7-Analysen möglichst eigenständig, um die Konfiguration großer Installationen zu beschleunigen.
Diese ausgereifte Form des Bandbreitenmanagements ist im IPsec-VPN-Sektor noch nicht zu finden, obwohl Cisco, Check Point und Phion diese Funktion schon vor Jahren implementierten. Vor VoIP hat aber kaum jemand diese Features aktiviert. Das wird sich dank der konstant wachsenden Akzeptanz der Konvergenzidee ändern. Wie schnell die VPN-Hersteller die Bandbreitenmanagement-Funktionen verbessern oder überarbeiten werden, ist schwierig vorherzusehen. Juniper jedenfalls hat dank der Akquisition von Peribit die nötige Technik im Haus, um die Grenze zwischen VPN-Firewall und Bandbreitenmanagement-Appliance aufzuheben. Der Hersteller deutete an, dass er bereits daran arbeite, beides in ein System zu bringen.
Das Gleiche gilt übrigens für Zusatzfunktionen für Dienste wie CIFS von Microsoft. Services, die nicht dafür konzipiert sind, über
WAN-Strecken hinweg zufrieden stellend zu funktionieren, sollen so über spezielle Software-Funktionen am Rand des Netzes beschleunigt werden. Kombiniert mit IPsec-Verschlüsselung und Bandbreitenmanagement. Aber auch hier steht die Entwicklung erst am Anfang.
Professionelle Kontrolle
Die neuen Funktionen aus der Bandbreitenmanagement-Welt müssen ähnlich gut zu kontrollieren sein wie die klassischen IPsec-Parameter. Bei einer der vergangenen Umfragen der Network Computing haben die Teilnehmer eindeutig dafür votiert, dass die Konfiguration und das Management eines Sicherheitssystems zigfach wichtiger seien als beispielsweise die pure Leistung oder Funktionsvielfalt, die das Gerät liefert. Denn Kraft, die unkontrollierbar bleibt, ist im Extremfall kontraproduktiv.
Gerade bei den Disziplinen Konfiguration und Management werden die Unterschiede zwischen den einzelnen Herstellern offensichtlich. Etablierte Anbieter wie Cisco, Check Point oder Juniper oder junge Hersteller wie Phion, die sich bei der Entwicklung ihrer Produkte primär auf das Management konzentrierten, haben hier spürbare Vorteile. Sie helfen dem Administrator schon beim Enrollment der IPsec-Appliances, um vor allem komplexe VPN-Projekte zu erleichtern. Die Lösungen werden vor Auslieferung entweder vom Projekt-Systemhaus oder den Administratoren des Unternehmens mit Grundkonfigurationen wie der IP-Adresse des Management-Servers und einem Authentifizierungsmerkmal versehen. Einige Anbieter verwenden hierzu bereits digitale Zertifikate, die weitaus sicherer sind als jedes Passwort. Ist die Box einmal richtig verkabelt, meldet sie sich beim Management-Server an und lädt ihre aktuelle Policy herunter. Ein sternförmiges VPN ist so schnell aufgesetzt.
Das Differenzierungspotenzial bei den Management-Funktionen tritt bei vermaschten VPNs noch stärker zu Tage. Bei kostengünstigen IPsec-Systemen ist es meist die Regel, dass der Administrator die Peer-Details jedes WAN-Interfaces manuell konfigurieren muss – unabhängig von der Größe des VPNs ein immenser Arbeitsaufwand mit vielen Hürden und Fehlerquellen. Muss ein WAN-Interface modifiziert werden, so muss die Konfigration jedes anderen WAN-Interfaces angepasst werden, das mit dem einen Interface in Beziehung steht. Es gibt Anbieter, die hierfür inzwischen clevere Lösungswege gefunden haben. Sei es, indem die Peers einander automatisch erkennen und alle Parameter inklusive der Verschlüsselung untereinander aushandeln. Leider sind diese Künste proprietär und verlieren ihre Wirkung, sobald Produkte zweier Hersteller interagieren sollen. Auch hier zeigt sich: Wer mehr will, als der Standard vorgibt, endet in der Proprietät, die aber gerade beim Management durchaus angenehm sein kann.
Am Ende trennt sich bei der Kontrolle vermaschter VPNs die Spreu vom Weizen. Ähnliches gilt für Failover-Funktionen. Einige Hersteller, hierzu gehören vor allem jene mit ISDN-Remote-Access-Erfahrung, haben hier intelligente Mechanismen entwickelt. Einige initiieren über ein per seriellen Port angebundenes Modem eine analoge oder ISDN-Verbindung in die Zentrale, sobald die Hauptleitung wegbricht. Monitoring- und Heartbeat-Funktionen überwachen die Hauptleitung, um den Ausfall schnell zu bemerken und nebenbei die Transferqualität zu kontrollieren. Die aktuellen Sessions sind in diesem Fall natürlich verloren und die alternative Bandbreite geringer als die der Hauptstrecke. Nichtsdestotrotz sind die Außenstellen weiter online, wobei einige Hersteller sogar per Bandbreitenmanagement wichtigen Anwendungen die knappen WAN-Ressourcen großzügiger zuteilen als einem als unwichtig definiertem HTTP- oder FTP-Transfer.
Wer selbst bei der redundanten Leitung auf Bandbreite nicht verzichten will, der weicht auf Lösungen aus, die beispielsweise zwei DSL-Leitungen terminieren. Möglichst von zwei verschiedenen Providern, um deren interne Probleme abzufedern. Auch hier können einige Hersteller im Ernstfall per Bandbreitenmanagement den wichtigen Daten Priorität einräumen.
In der höchsten Redundanzstufe schalten die Hersteller zwei ihrer Boxen in einem Cluster zusammen. Alle bieten zumindest ein Hotstandby-Modell an, bei dem eine primäre Box die gesamte Arbeit abwickelt, während die sekundäre passiv auf den Ernstfall wartet. Hierbei wirken sich die Investitionen für die zweite Box kaum aus, da sie nur im Ernstfall aktiv wird. Deswegen bieten einige Hersteller auch ein Aktiv-Aktiv-Modell an, in dem beide Appliances Daten verarbeiten und die eine im Fehlerfall für die andere einspringt. Unabhängig vom Failover-Modell kontrollieren beide einander per Heartbeat-Protokoll, um sich über den gegenseitigen Zustand zu informieren.
Innenansichten
Für die Ausfallsicherheit und Hochverfügbarkeit eines VPNs sind gute Trouble-Shooting- und Monitoring-Funktionen unabdingbar. Geben sie doch einen Einblick in den aktuellen Status des Systems und sein Fehlverhalten.
Zu allererst ist es wichtig, bei Problemen generell noch auf das System zugreifen zu können. Nur so erhält der Administrator Einsicht in das VPN-Gerät, ohne vor Ort sein zu müssen. Auf Out-of-Band-Management darf er daher kaum verzichten. Das VPN-System baut über eine separate Leitung eine WAN-Verbindung auf. Über die kann der Administrator die Box erreichen und den Status abfragen, sobald die primäre Leitung ausgefallen ist. Dies geschieht in der Regel per Command-Line-Interface. Damit diese Kommunikation gesichert bleibt, Passwörter beispielsweise nicht im Klartext ausgetauscht werden, sollte das IPsec-System zumindest SSH beherrschen. Nahezu alle VPN-Systeme lassen sich ebenfalls per Web-Interface ansteuern. Auch für den Fall gilt, dass sie SSL beziehungsweise HTTP/S unterstützen sollten, um die ausgetauschten Daten zu chiffrieren.
Bei größeren Projekten wird ein zentraler Management-Server unverzichtbar. Ab einem bestimmten Punkt skaliert eine Lösung, bei der jede Box einzeln angefasst werden muss, einfach nicht mehr. Weniger überraschend haben gerade Anbieter mit günstigen Preisen in diesem Bereich eine recht junge, daher wenig geprüfte, oder aber gar keine Lösung anzubieten.
Hersteller mit langer Erfahrung erlauben es dem Verantwortlichen beispielsweise, neue Tunnel per Drag&drop über die Administrationskonsole festzulegen. Diesen Reifegrad haben sie erst im Laufe der Jahre erreichen können, getrieben durch Kundenanforderungen aus der Praxis. Etablierte Anbieter werden gegenüber Startups immer diesen Qualitätsvorsprung beim Management haben, weil sich junge Firmen gerade aus den USA erst um die Hardware und dann im zweiten Schritt um Software kümmern. Wer günstige VPN-Systeme dieser Anbieter kaufen möchte, sollte daher unbedingt deren Verwaltungsansatz streng prüfen. Sonst verliert er das Geld, das er beim Kauf sparte, an die Betriebskosten.
Neben der Definition der VPN-Policy sind natürlich die Berichte und Logs elementar. Nur darin erkennt der Administrator, ob sich in der Außenstelle etwas Ernsthaftes ereignete oder welche Auslöser ein akutes Problem vermutlich hatte. Je größer dabei die Installation, desto wichtiger sind die Zusatz-Tools, die Log-Einträge korrelieren, filtern, ablegen, durchsuchen und exportieren. Wie beim Management-Server, unterscheidet sich die Qualität dieser Werkzeuge ebenfalls erheblich. Das beginnt schon damit, dass einige VPN-Lösungen weitaus weniger Parameter protokollieren als ihre ausgereiften Pendants, sodass die entsprechenden Tools bestimmte Angaben gar nicht abrufen können. Der Verantwortliche sollte daher untersuchen, wie detailliert die Werkzeuge informieren und wie sie die statistischen Daten aufbereiten.
pm@networkcomputing.de
