Startseite > Office & Kommunikation > VPN: Konzepte und Technologien im Überblick

VPN: Konzepte und Technologien im Überblick

16. April 2010, 15:45 Uhr | Claudia Rayling

Die Verlängerung des Firmennetzes bis ins Home Office ist mit heutigen IT-Lösungen einfach und realtiv günstig realisierbar. Durch ein Virtual Private Network (VPN) wird die Verbindung abgesichert. Aber auch vollständig? Die Bedenken der Arbeitgeber fokussieren sich noch immer auf das Thema sichere Standortvernetzung. funkschau hat bei Herstellern und Dienstleistern nachgefragt, welche Konzepte und Technologien sie empfehlen können.

Von Claudia Rayling

Zur Datensicherheit in einem Unternehmensnetz gehört nicht nur die Verschlüsselung der Übertragungsmedien, sondern auch die Gewährleistung, dass überhaupt Daten übertragen werden können.

Die Struktur

Viprinet - Ausfallsicherheit nur mit mehreren Providern

In allen WAN-Netzen kommt es immer wieder zu Ausfällen. Die meisten davon dauern nur kurz an, und werden von den meisten Teilnehmern kaum registriert. Aber auch größere und weiträumige Ausfälle kommen vor: So fiel 2009 das komplette UMTS-Netz von T-Mobile bundesweit für rund eineinhalb Tage aus. Was in diesem Fall besonders viele Privatanwender betroffen hat, kann in anderen Fällen zu wesentlich schwerwiegenderen Folgen für Unternehmen führen.

Mit einer durchschnittlichen jährlichen Ausfallzeit zwischen rund 250 Stunden (ADSL) und 128 Stunden (dedizierte Standleitung) sind die Datennetze in Deutschland alles andere als zuverlässig. Im Unternehmensumfeld führt dies sofort zu Betriebsstillständen, denn immer mehr Prozesse sind zwingend auf eine stabile IP-Vernetzung angewiesen. Die zunehmende Verlagerung von Anwendungen in die Cloud erhöht diesen Bedarf. Als die Internetnutzung der Unternehmen sich noch vorwiegend darauf beschränkte, mehrfach täglich E-Mails abzuholen, störten kurze Aussetzer oder Latenzschwankungen auf den Zugangsmedien nicht besonders. Das ist heute völlig anders: Eine zunehmend zentralisierte EDV sorgt dafür, dass selbst kürzeste Störungen der Internet- beziehungsweise VPN-Anbindung deutlich spürbar werden - wenn zum Beispiel Terminal Server Sessions hängen oder das VoIP-Telefonat stockt.

Die Qualitätsanforderungen an WAN-Vernetzungen haben damit ein Niveau erreicht, das die vorwiegend auf Konsumenten-Interessen ausgelegten Breitbandnetze nicht mehr erfüllen können. Bisher hatten Unternehmen keine Möglichkeit, das Risiko eines Leitungsausfalls selbst aktiv zu minimieren. Sie waren von der Leitungsqualität ihres Netzanbieters abhängig und konnten nur hoffen, dass sich Betriebsstörungen nicht allzu schwerwiegend auf die Arbeitsprozesse auswirken. Teure Service Level Agreements (SLAs) sollten den Anschein von mehr Sicherheit erwecken, letztlich gab es bei Nichteinhaltung der festgeschriebenen Garantien keinerlei rechtliche Handhabe oder gar finanzielle Ansprüche. Ausreichende Ausfallsicherheit lässt sich grundsätzlich nicht mit nur einem Netzanbieter erreichen. Sobald dessen Netze gestört sind, wirkt sich das sofort auf die angeschlossenen Nutzer aus.

Die einzig wirksame Möglichkeit besteht in der Verteilung des Ausfallrisikos auf mehrere ISPs und Zugangsmedien. Hierfür hat der rheinhessische Routerhersteller Viprinet eine außergewöhnliche Lösung entwickelt. Durch die Kombination unterschiedlicher Zugangsangebote reduzieren sich die Ausfallzeiten mit der Anzahl der Leitungen exponentiell - und es werden Gesamtverfügbarkeitszeiten erreicht, die mit keiner herkömmlichen Technik zu realisieren wären. Durch beliebige Bündelung von bis zu sechs mal DSL, Kabelanschluss, UMTS oder anderen Medien sorgt selbst ein Brand in einer Vermittlungsstelle nicht für einen Verbindungsabbruch. Solange noch eines der gebündelten Medien verfügbar ist, bleibt die Unternehmensanbindung stabil.

Viprinet verwendet für die Einrichtung sicherer und schneller Unternehmensnetzwerke ein einzigartiges VPN-Tunnelverfahren in Sternstruktur, für das die Einbindung von zwei verschiedenen Geräten notwendig ist: In jeder eingebundenen Niederlassung baut ein Multichannel-VPN-Router über jede der angeschlossenen Leitungen einen verschlüsselten VPN-Tunnel zu einer zentralen Gegenstelle, einem Multichannel-VPN-Hub, auf. Diese VPN-Tunnel werden zu einem Gesamttunnel gebündelt, durch den die eigentliche Datenübertragung erfolgt. Der Multichannel-VPN-Hub, üblicherweise in einem hochausfallsicheren Rechenzentrum platziert, fungiert als Vermittlungsstelle: Daten mit Ziel in einer anderen Niederlassung werden über den zugehörigen VPN-Tunnel weiter versandt. Daten mit dem Ziel des öffentlichen Internets werden hingegen entschlüsselt und in Richtung des Ziels weitergeleitet. Der VPN-Hub sorgt für eine sichere und schnelle Kommunikation der Standorte untereinander, dient aber zugleich auch als zentraler Austauschpunkt zwischen dem verschlüsselten VPN und dem öffentlichen Internet.

Natürlich spielt auch die Datensicherheit selbst eine wesentliche Rolle; für den Aufbau jedes Tunnels wird ein proprietäres VPN-Protokoll mit integrierter AES-256-Bit-SSL-Verschlüsselung verwendet. Doch das ist noch nicht alles: Der Router bündelt intern diese VPN-Tunnel, und macht daraus eine einzige, virtuelle Breitbandverbindung. Vom LAN aus ist der Tunnel von einer Einzelleitung nicht zu unterscheiden. Die von den verschiedenen Anbietern der physikalischen Leitungen bereitgestellten IP-Adressen finden keine Verwendung mehr - sie sind unsichtbar und abgeschirmt. Die Daten, die durch diesen virtuellen VPN-Tunnel fließen, werden für die Anwender unsichtbar zerschnitten und auf die einzelnen Leitungen aufgeteilt zur Gegenstelle versandt.

Erstmals werden Unternehmen damit in die Lage versetzt, die Sicherheit ihres Netzwerkes aktiv mitzugestalten. Unabhängig von einzelnen Anbietern können sie flexibel die bestmöglichen und günstigsten Zugangsangebote kombinieren und so neben maximaler Ausfallsicherheit auch noch große Bandbreiten erreichen. Dank höchs-ter Verschlüsselungsstandards und zusätzlicher Sicherheit für den Aufbau von außen nicht einsehbarer VPN-Tunnel genügt die Technologie höchsten Anforderungen, wie beispielsweise aus dem Finanz- oder Gesundheitssektor.