Das Angebot der Virtual Network Operators
Managed VPNs - virtuell und sicher
International agierende Unternehmen müssen im Wettlauf mit der Zeit immer neue Risiken meistern. Die täglichen Angriffe aus dem Netz haben sich im Laufe der letzten zwei Jahre durchschnittlich verdoppelt. Wer VPNs plant, muss deshalb auf Flexibilität und Sicherheit achten.
Viele IT-Abteilungen sind mit der aktuellen Gefahrenflut aus Richtung des Internets überfordert
und geben deshalb die Verantwortung für den sicheren Datenverkehr aus der Hand – bis 2010 steigen
laut Yankee Group in Europa, im Nahen Osten und in Afrika die Ausgaben für Managed Security
Services um jährlich zirka zehn Prozent. Das Virtual Private Network (VPN) ist dabei eine der
prominentesten Security-Lösungen. 88 Prozent der deutschen Unternehmen setzen laut einer Studie von
Lünendonk auf das private Netz, das zwei Dinge unter einen Hut bringt, die sich auf den ersten
Blick scheinbar ausschließen: Internet und Privatsphäre.
Mittlerweile haben viele Carrier IP-VPNs in ihr Produktportfolio aufgenommen und nutzen dafür
ihren eigenen IP-Backbone. Solche Private-IP(PIP)-Netzwerke sind geografisch beschränkt, denn sie
sind an die Infrastruktur eines einzelnen Carriers gebunden. Streng genommen ist damit das Merkmal "
virtuell" nur teilweise erfüllt, denn lokale Carrier verfügen nur über eine begrenzte physische
Basis für den Datenstrom. Die Folge: Oft stoßen Unternehmen bei exotischen Vernetzungswünschen
beispielsweise in Osteuropa, Afrika und Asien an die Grenzen eines einzelnen Providers. Ist der
Carrier im gewünschten Land nicht mit einem eigenen PoP (Point of Presence) vertreten, wird auf
einen Partner verwiesen. Kommt es dann zu Störungen, beispielsweise bei der Datenübertragung über
Infrastrukturgrenzen hinweg, wandert die Verantwortung für den Fehler oft zwischen den Anbietern
hin und her.
Unternehmen können solche Konflikte umgehen, wenn sie sich für eine Managed VPN-Lösung von einem
Virtual Network Operator entscheiden. Im Gegensatz zu herkömmlichen Carriern wie Deutsche Telekom
oder British Telecom bauen VNOs tatsächlich ein wortwörtlich virtuelles privates Netzwerk auf. Sie
verfügen nämlich über keine eigenen Leitungen, sondern integrieren je nach Kundenwunsch gleich
mehrere Carrier beim Aufbau eines beliebig großen WANs in eine einzige Netzwerklösung. VNOs
beziehen ihre Bandbreite folglich von verschiedenen Providern und können durch die spezifische
Auswahl ein individuelles, globales Netzwerk mit einem "Single Point of Contact" anbieten. Als
unabhängige Instanz achtet der VNO beim Netzwerkaufbau darauf, dass nur so viel Bandbreite
eingeplant wird, wie zum performanten Betrieb des WAN notwendig ist. Der Kunde zahlt folglich nur,
was er braucht. Kontinuierliche Marktbeobachtungen sorgen dafür, dass er auch von eventuellen
Preisreduktionen auf dem Leitungsmarkt profitiert.
Um eine passende VPN-Lösung zu finden, müssen sich Unternehmen und Dienstleister zunächst einen
realistischen Überblick über die anfallenden Aufgaben und ihre Verknüpfung mit den übrigen
organisatorischen Abläufen verschaffen. Ein VPN ist nämlich nie isoliert, sondern mit der gesamten
Infrastruktur verknüpft. Im Zuge der Globalisierung ist dabei vor allem eines wichtig: Eine sichere
Lösung, die ein einheitliches Management verschiedenster Servicekomponenten über Länder- und
Infrastrukturgrenzen hinweg ermöglicht.
Wie wird der Tunnel sicher?
Zum Aufbau von VPNs stehen je nach Anforderung verschiedene Implementierungstechniken zur
Verfügung. Gängig sind die Protokolle L2TP, PPTP, IPsec, SSL, ViPNet, OpenVPN, CIPE und PPP über
SSH. IPsec eignet sich sowohl für Site-to-Site-VPNs als auch für End-to-Site-VPNs. TLS und SSL
werden hauptsächlich für End-to-Site-VPNs eingesetzt. ViPNet eignet sich besonders für
Ende-zu-Ende-VPNs, erlaubt aber auch End-to-Site- und Site-to-Site-VPNs. PPTP und L2TP bedürfen
zusätzlich des Protokolls IPsec, sie allein bieten keinen ausreichenden Schutz.
Was macht nun konkret ein gutes VPN aus? Grundvoraussetzung für einen sicheren Tunnel ist die
Verschlüsselung aller Übertragungs- und Anwendungsprotokolle. Zentrales Element dafür ist die
Certification Authority (CA). Diese Instanz gibt Zertifikate aus, bestehend aus Benutzerkennung,
öffentlichem Schlüssel und beispielsweise Ablaufdatum des Schlüssels. Die Zertifikate versieht die
CA mit einer Signatur, anhand derer die Kommunikationspartner die Richtigkeit der Zertifikate
überprüfen. Wichtig ist die regelmäßige Wartung der CA. Gelingt es nämlich einem Angreifer, ein
falsches Zertifikat einzuschleusen oder einen Schlüssel zu dekodieren, kann dies verheerende Folgen
haben. Eine CA bietet daher auch die Möglichkeit, ein Zertifikat sofort zurückzuziehen, wenn
bekannt ist, dass der Schlüssel eines Beteiligten dekodiert wurde.
Verschlüsseln und authentisieren
Verschlüsselungs- und Authentisierungsverfahren garantieren, dass mit dem korrekten User oder
Host kommuniziert wird. Entsprechende Mechanismen sollten schon in den unteren Schichten des
Protokolls angesiedelt sein. Zum Schutz der Vertraulichkeit bestimmter Daten, etwa beim Versand
wichtiger E-Mails, bietet sich eine Ende-zu-Ende-Verschlüsselung an.
Zur zuverlässigen Kodierung kommen zwei Techniken zum Einsatz: symmetrische und asymmetrische
Verschlüsselung. Bei der symmetrischen Verschlüsselung wird zum Ver- und Entschlüsseln der gleiche
Schlüssel verwendet. Der Empfänger der kodierten Informationen kann mit Hilfe des gleichen
Verfahrens und Schlüssels wie der Absender die Daten wieder in ihren Originalzustand bringen.
Dieses Verfahren ist schnell zu implementieren, setzt aber voraus, dass ein Schlüssel pro
Kommunikationsbeziehung bereits vor dem Versand der Daten definiert und ausgetauscht wird. Die
geheime Übermittlung dieses Schlüssels ist die Schwachstelle des Verfahrens und Angriffspunkt für "
Lauscher" im Internet.
Anders arbeitet die asymmetrische Verschlüsselung: Sie nutzt zwei Schlüssel, einen öffentlichen
und einen privaten. Der öffentliche Schlüssel kann gefahrlos weitergegeben werden, der private
Schlüssel bleibt geheim. Daten, die mit dem "geheimen" Schlüssel kodiert sind, können nur mit Hilfe
des dazugehörigen öffentlichen Schlüssels wieder entschlüsselt werden. Von Vorteil ist, dass jeder
Nutzer außer dem öffentlichen einen eigenen privaten Schlüssel besitzt und kein Schlüsselaustausch
stattfinden muss. Riskant erscheint zunächst, dass der öffentliche Schlüssel auch jedem
potenziellen Angreifer bekannt sein könnte. Dennoch kann ein solcher eine Nachricht aber nicht
unbemerkt verändern oder unerlaubt lesen, da er dazu den privaten Schlüssel braucht. Weiterer
Mangel des asymmetrischen Verfahren ist, dass die Verschlüsselung bei gleicher Datenmenge langsamer
vonstatten geht als beim symmetrischen Verfahren. Häufig eingesetztes Beispiel für das
asymmetrische Verfahren ist das frei verfügbare Programmpaket PGP (Pretty Good Privacy).
Schutz vor Malicious Code
Neben der Datenverschlüsselung bieten eine gesicherte Identifikation und Authentisierung
wesentlichen Schutz vor Missbrauch von Unternehmenssystemen. Möglich ist dies zum Beispiel durch
Challenge-Response-Verfahren oder durch den Einsatz von Einmalkennwörtern, bei denen die sensitiven
Informationen nur ein einziges Mal benutzt werden. Das Mitlesen ist für Hacker damit uninteressant.
Außerdem gehören Produkte zum Schutz vor Computerviren zur Grundausrüstung eines Unternehmens mit
Internetzugang. Content-Security-Komponenten geben zusätzliche Sicherheit, damit E-Mails oder
Webseitenbesucher keine gefährlichen Inhalte durch Java Applets oder Activex einschleppen. Die
Komponente nimmt von Viren befallene E-Mails in Quarantäne und analysiert anhand von Bitmustern
deren Inhalt. Unerwünschte Inhalte, mobile Codes und infizierte Post werden dann bereits am
Internet-Gateway gestoppt.
"Managed" von Anfang bis Ende
Sind sich Unternehmen und Dienstleister einig über die VPN-Lösung, gehören zur gegenseitigen
Absicherung Service Level Agreements (SLAs). Auch hier punkten VNOs mit Managed VPNs gegenüber
herkömmlichen Carriern: Sie sorgen als Single Point of Contact dafür, dass bei einem globalen
Netzwerk Reaktionszeiten und Latenzzeiten eingehalten, Netzwerkkapazitäten und die
Peering-Vereinbarungen der Internet-Service-Provider gesichert sowie die Reaktionszeiten bei
Fehlerbehebung, Umzug einer Niederlassung oder dem Erweitern der Bandbreite eingehalten werden. Der
Kunde ist von der Verantwortung für Aufbau, Pflege und Monitoring des VPNs vollständig
entlastet.
Lesen Sie mehr zum Thema
