Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Security > Qual der Provider-Wahl

Auswahl eines Managed VPNs

Qual der Provider-Wahl

16. Juli 2008, 22:56 Uhr | Christoph Crasselt/wg Christoph Crasselt ist Product and Solution Manager für VPNs bei Lambdanet Communications.

Für gesicherte Netze setzt sich MPLS (Multi-Protocol Label Switching) als Standard durch. Je nach Anforderungen und Zugängen ist in der Praxis jedoch die Kombination mit anderen Techniken wie IPSec und SSL erforderlich. Bei Aufbau und Betrieb eines VPNs gilt es, die technischen Möglichkeiten zu beachten und die Relation zwischen Kosten und Leistung im Auge zu behalten.

Managed VPNs geben Unternehmen die Möglichkeit, ohne eigene Ressourcen über ein sicheres Netz zu
verfügen. Dabei ist es eine der Hauptaufgaben, die passenden Techniken zu kombinieren. In
besonderem Maße gilt dies für komplexe Netze, wie sie in der Regel bei Unternehmen mit mehr als
1000 Mitarbeitern bestehen. Die Bandbreite reicht von Fest- und Ethernet-Verbindungen über
Glasfaser für zentrale Standorte bis zu DSL für Vertriebsbüros und Home Offices, wenn erforderlich
mit Backup. Die Backup-Lösung kann gleichwertig – eventuell mit disjunkter Trassenführung und
getrennten Hauseinführungen – oder über geringerwertige Lösungen (ISDN, xDSL, IPSec) aufgebaut
sein. Zusätzlich können doppelte Abschlussgeräte und Router die Verfügbarkeit erhöhen. Wie die
gesamte Struktur des VPNs und der Dienste einschließlich SLAs (Service Level Agreements) ist in
einer Analyse zu klären, ob Absicherungen redundant oder abgestuft erfolgen.

Betreibt ein Unternehmen ein WAN mit alter Technik wie ATM oder Frame Relay, so kann ein VPN auf
MPLS die Kommunikation leistungsfähiger wie auch kostengünstiger gestalten. Nutzt es bereits ein
WAN auf IPSec-Basis, so kann ein Managed VPN zur Personalentlastung, Verbesserung der Prozesse und
Optimierung der ITK-Struktur beitragen. Know-how und Infrastruktur eines spezialisierten Anbieters
bedeuten meist Qualitätssteigerungen und bereiten auf Techniksprünge vor, wie sie unter dem Begriff
"Unified Communications" in den nächsten Jahren absehbar sind. MPLS ermöglicht die übergreifende
Nutzung verschiedener Techniken ebenso wie garantierte Datenraten und Paketlaufzeiten und die
Priorisierung der geschäftskritischen Dienste und Anwendungen.

Bedarfsanalyse

Zur Bestimmung der benötigten VPN-Struktur ist eine Analyse mit mehreren Kriterien sinnvoll.
Dabei sollte man sich von dem Gedanken leiten lassen, das MPLS-VPN als Integrationsfaktor zu
nutzen. Die Darstellung der Netzwerkarchitektur sollte am Anfang stehen und eine Klassifizierung
der Standorte einschließen. Dann sind die Einsatzzwecke zu beschreiben und geschäftskritische
Verbindungen herauszustellen. Auf dieser Grundlage lassen sich die Qualitätsstandards und
Mindesterfordernisse feststellen und Anforderungen an die Verfügbarkeit definieren. Diese vier
Kriterien entscheiden über die an jedem einzelnen Punkt benötigten Techniken. Zugleich geben sie
einen Rahmen, um über die Service- und Support-Leistungen Klarheit zu gewinnen.

Ein SLA sollte Verfügbarkeiten sowie Obergrenzen für die Wiederherstellungs- und
Paketlaufzeiten, Paketverlustraten und die Dienstbereitstellungszeiten festlegen. Kommt es zu einer
Störung des VPN, so wird diese in den meisten Fällen bereits vom Netzmanagement erkannt und dem
Kunden gemeldet, noch bevor sich Auswirkungen bemerkbar machen. Fehler sind in klar fixierten und
mit dem Kunden vereinbarten Routinen abzuarbeiten. Dies gilt für alle Fristen und Abläufe, von
Bestätigungs- und Entstörzeiten bis zu Statusmeldungen und Eskalationsmechanismen, die vom Support
bis zur Geschäftsleitung führen.

Mit den genannten Definitionen ist systematisch eine Konfiguration zu erarbeiten, die
Bedürfnisse, verfügbare Technik und Kosten in Relation bringt. Für zentrale Standorte wird man
Fest- oder Ethernet-Anschlüsse mit 10 bis 155 MBit/s vorsehen. Derzeit sind bis zu 10 GBit/s
möglich. Wichtige Standorte im In- und Ausland sollten eine Festverbindung (2 MBit/s) mit Backups
über xDSL, ISDN oder IPSec erhalten. Kleinere Standorte wie Repräsentanzen oder Vertriebsbüros sind
je nach Datenaufkommen und Bedeutung über IPSec anzuschließen.

Besonders im Inland kommt bei geringeren Bedürfnissen xDSL in Frage. Für mobile Zugänge steht
weltweit ein Dienst wie Ipass bereit. Neben der VPN-Struktur ist festzulegen, welche
Managed-Services erforderlich sind. So bieten VPN-Provider in puncto Sicherheit eine Palette von
Diensten: von Stateful Firewalls über die Abwehr von Einbruchsversuchen (IPS) bis zu Antivirus,
Anti-Spam und Webfiltern. Managed-Router-Services umfassen die Lieferung, Installation,
Konfiguration und Wartung der Abschluss-Router beim Unternehmen.

Dessen Anforderungen sind flexibel zu berücksichtigen – etwa die Einbindung selbst
administrierter Router. Managed-Router-Services sollten in garantierte SLAs mit eingeschlossen
sein, auch im Ausland. Manche Provider übernehmen auch die Steuerung der LAN-Switches.

Internationale Präsenz gefordert

Unternehmen der genannten Größenordnung sind meist in mehreren Ländern präsent. Die
Internationalisierung ist eine grundlegende Anforderung, die ein gesichertes WAN erfüllen muss.
Besonders die Nutzung des VoIP und datenintensiver Dienste wie Telepresence ist bei der Bestimmung
der VPN-Struktur zu berücksichtigen. Weltweit agierende Unternehmen besitzen häufig bestimmte
Schwerpunkte etwa in Asien, USA etc. In diesen Fällen ermöglicht MPLS eine ausgezeichnete regionale
Kommunikation mit kürzeren Laufzeiten im Netz des jeweiligen Gebiets. Generell lassen sich
Auslandsstandorte über eine MPLS-Zuführung kostengünstiger anbinden als über dedizierte Leased
Lines (Mietleitungen). Die Voraussetzung ist ein Dienstleister, der eine weltweite
MPLS-Konnektivität gewährleisten kann.

Hochverfügbare Verbindungen sind für Branchen wie die Medien und den Finanzsektor oder
Unternehmensbereiche wie die Produktionssteuerung und Logistik lebenswichtig. Für
Zentralanbindungen sind 99,95 Prozent Verfügbarkeit mit vier Stunden Wiederherstellungszeit
vorzusehen. Dies wird erreicht unter Einsatz von Backups; ohne diese liegen die Werte bei 99,75
Prozent und sechs Stunden. Für hochkritische Anbindungen kann der Einsatz von zwei unabhängigen
lokalen Carriern weitere Sicherheit schaffen. Wegen der verteilten Verantwortlichkeiten bietet es
sich an, auch dies in die Vereinbarung mit einem VPN-Dienstleister zu fassen.

Ein Parameter wie die Paketlaufzeiten (bidirektional) sollte in Deutschland mit 30, in Europa
mit 65 und in wichtigen Ländern wie den USA – je nachdem, ob Ost- oder Westküste – mit 90 bis 200
ms garantiert sein. Die Obergrenzen für Dienste wie VoIP oder Telepresence sind zu beachten. Die
ITU-T empfiehlt bei hoch interaktiven Kommunikationsformen eine Einweglaufzeit von 150 ms, normiert
auf Two-Way 300 ms, die auf Verbindungen nach Japan, China oder Australien durchaus zu erreichen
sind. Voraussetzung sind die nötigen Bandbreiten; so sind je nach Qualität und Bildschirmgröße für
Telepresence 2 bis 20 MBit/s erforderlich.

Lesen Sie mehr zum Thema

Lampertz GmbH & Co. KG
Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Lampertz GmbH & Co. KG

Erweiterungen in All-in-One-Forensik-Lösung

Oxygen Forensics: Datenextraktion mit Mediatek-Chipsatz

Neue Datenarchitekturen schaffen

Denodo: Anforderungen an moderne Daten-Architekturlösungen

Hilfe bei Abwehr von Advanced Persistent Threats

Guardicore: Weitere Version von Infection Monkey

Auswahl des Managed-Security-Services-Providers

Indevis: Tipps zur Auslagerung von IT-Security-Prozessen

Anzeige

SECUDOS bietet Adhoc-Lösung für Teamarbeit vom Homeoffice

Matchmaker+
Securepoint GmbH

Securepoint GmbH
sysob IT-Distribution GmbH & Co. KG

sysob IT-Distribution GmbH & Co. KG
Plusnet GmbH

Plusnet GmbH
Rittal GmbH & Co. KG

Rittal GmbH & Co. KG
GERMAN DATACENTER ASSOCIATION e.V.

GERMAN DATACENTER ASSOCIATION e.V.
dtm Datentechnik Moll GmbH

dtm Datentechnik Moll GmbH