als PDF
Transcription
als PDF
ix.0909.x.01-12 07.08.2009 12:26 Uhr Seite I sponsored by: Ein Verlagsbeihefter der Heise Zeitschriften Verlag GmbH & Co. KG Networking extra Networking Schwerpunkt: Sicher verbunden – Virtual Private Networks Wie Virtual Private Networks funktionieren Netze im Netz Seite I VPN als Hardware, Software oder doch als Service? Reine Formsache Seite VIII Vorschau Embedded Systems Automotive Computing Seite XI Veranstaltungen 8.ˇSeptember 2009, Wrexham, UK (Wales) Third International Conference on Internet Technologies and Applications www.ita09.org 06.–08. Oktober 2009, Den Haag Information Security Solutions Europe (ISSE) www.isse.eu.com 06.–08. Oktober 2009, Stuttgart IT & Business – Fachmesse für Software, Infrastruktur & IT-Services www.messe-stuttgart.de/it-business 27.–28. Oktober 2009, Frankfurt am Main Storage Networking World Europe 2009 www.snweurope.net 27.–28. Oktober 2009, Frankfurt am Main Virtualization World 2009 www.virtualizationworld.net iX extra schlagen: um Nach ing.shtml etworking z ork N tw e/ix/extra/ne www.heise.d Netze im Netz Wie Virtual Private Networks funktionieren Virtuelle private Netze ermöglichen den sicheren Zugriff auf das Firmennetz ebenso wie die Verbindung von Firmenstandorten über öffentliche IP-Netze. Am Markt finden sich hierfür spezielle Router, Switches oder Appliances, aber auch reine Softwarelösungen. Darüber hinaus können Firmen entsprechende VPN-Dienste vom Service-Provider in Anspruch nehmen. as heute selbstverständlich ist, wäre vor einigen Jahren noch völlig undenkbar gewesen: die Übertragung sensibler Firmendaten über gemeinsam genutzte Leitungen – oder gar über das öffentliche Internet. Die früher dediziert genutzten Mietverbindungen boten per se ein gewisses Maß an Datensicherheit und ließen sich zusätzlich mit Verschlüsselungstechniken kombinieren. Gemeinsam genutzte IP-Netze bieten aber einen so bedeutenden Kostenvorteil, mehr Flexibilität und allgemeine Verfügbarkeit, dass Anbieter früh nach Lösungen suchten, sie für die hohen Anforderungen von Firmen sicher zu gestalten. Die Lösung heißt Virtual Private Network, kurz VPN. Es stellt ein dynamisches, virtuelles Firmennetzwerk übers öffentliche Netz dar, in dem die Firmendaten von jeglichem anderen IP-Verkehr auf denselben Leitungen und Routern abgeschirmt sind. VPNs verbinden aber nicht nur Firmenstandorte direkt miteinander; sie machen das lokale Firmennetz auch von überall zugänglich: über DSL (Digital Subscriber Line) aus dem Home-Office, vom WLAN-Hot- W spot (Wireless Local Area Network) am Flughafen oder aus einem Kundenmeeting über das lokale Netz und das Internet. Für den Nutzer ist das VPN dabei immer transparent. Er arbeitet, als befände er sich im LAN der Firma, da das VPN lediglich eine logische Verbindung übers öffentliche Netz herstellt. Die Bedeutung von VPNs nimmt stetig zu, inzwischen sind sie selbst im Privatbereich zu finden. Der Begriff VPN steht für eine Vielzahl unterschiedlicher Techniken und ist nicht klar definiert. Auch wenn das Einsatzgebiet virtueller privater Netze nicht auf IP-Netze beschränkt ist, so geht es im Folgenden vor allem um die heute vorherrschenden IP-VPNs. Das vor rund 30 Jahren entwickelte Internet-Protokoll der Versionˇ4 besitzt keinerlei Sicherheitsmechanismen. Vertrauliche Daten sind bei der Übertragung über öffentliche Netze einer Vielzahl von Angriffsmöglichkeiten ausgesetzt, die darauf zielen können, in ihren Besitz zu gelangen oder sie zu verändern. VPNs, die für eine gesicherte Übertragung sorgen, müssen deshalb drei Anforderungen entsprechen: I ix.0909.x.01-12 07.08.2009 12:26 Uhr Seite II Networking Geschftsstelle Geschftsstelle IP-Telefon IP-Telefon IP/Internet VPN-Tunnel PC VPN-Router el unn N-T VPN-Router PC VP Applikationen mobiles Endgert mit VPN-Client Applikationen Über VPN-Tunnel verbindet man Geschäftsstellen und mobile Endgeräte so, als befänden sie sich in einem gemeinsamen LAN, obwohl die Datenübertragung über das öffentliche Internet läuft (Abb. 1). der Sicherstellung von Authentizität, Vertraulichkeit und Integrität. Authentizität bedeutet die Identifizierung von autorisierten Nutzern des VPN und die Überprüfung, dass Daten auch nur von dort stammen und nicht aus anderen Quellen. Vertraulichkeit bedeutet Geheimhaltung und damit die sichere Verschlüsselung von Daten. Schließlich muss gewährleistet sein, dass Dritte die Daten nicht verändern – die sogenannte Datenintegrität. Im Tunnel unterwegs VPNs bauen eine logische Verbindung von einem beliebigen Anfangspunkt (VPN-Client) zu einem VPN-Server (auch VPNGateway, VPN-Konzentrator oder VPN-Termination-Point) auf. Man nennt sie deswegen Tunnel, da der Inhalt der übertragenen Daten für die restliche IP-Welt nicht sichtbar ist (siehe Abbildungˇ1). Es gibt zwei wesentliche Anwendungsszenarien für den Einsatz von VPNs: die Verbindung von Firmenstandorten und die „Einwahl“ von Mitarbeitern. Ersteres bezeichnet man als Site-to-SiteVPN, wobei die lokalen Netze zweier oder mehrerer Firmenstandorte jeweils über ein VPN- II Gateway verbunden sind. Remote-Access-VPNs dagegen sollen mobilen Mitarbeitern – zunehmend aber auch Kunden oder Lieferanten – von einem beliebigen Ort aus über das Internet und einen VPN-Server den Zugriff auf das Firmennetz ermöglichen. Eine geringere Rolle spielen Punkt-zu-PunktVPNs, also die direkte VPNVerbindung zwischen zwei Computern, etwa für die Fernwartung. Das technische Prinzip ist bei allen drei Arten gleich: Die Gateways verschlüsseln jedes IPPaket und kapseln es in ein weiteres Paket ein. Während der Header des neuen Pakets den Weg durchs Internet zum Zielort weist, verschwindet der Header des eingepackten Pakets im Datenteil; die Internet-Router können die in ihm enthaltenen Informationen nicht mehr sehen und daher nicht auswerten. Die bekanntesten VPN- (oder Tunnel-) Protokolle sind das Point-to-Point Tunneling Protocol (PPTP), das Layer-2 Tunneling Protocol (L2TP) und das IP Security Protocol (IPSec). PPTP und L2TP stammen aus der Windows-Welt und verlieren an Bedeutung. Die Verschlüsselung von PPTP gilt schon seit längerer Zeit als nicht mehr sicher genug. L2TP besitzt keinen eigenen Verschlüsselungsmechanismus, lässt sich aber mit unterschiedlichen Verschlüsselungsverfahren kombinieren. Es bringt aber einen großen Overhead mit sich und führt zu geringeren NettoDatenraten. Einen Vorteil hat L2TP aber zumindest unter Windows noch vorzuweisen: Man benötigt keinen separaten VPN-Client; ihn bringt das Betriebssystem bereits mit. In Windows XP und Vista baut Microsoft das Protokoll L2TP over IPSec ein, das beide Protokolle kombiniert und in dem IPSec die in L2TP nicht vorhandene Verschlüsselung übernimmt. Während L2TP und PPTP auf der Ebene des EthernetProtokolls, also auf der OSISchichtˇ2 (Open Systems Interconnection) agieren, setzt IPSec auf IP-Höhe oder OSI-Schichtˇ3 an (siehe Abbildungˇ2). Es ist zudem das jüngste Tunnelprotokoll. Entstanden ist es als Verschlüsselungs- und Authentifizierungsmechanismus für IP Versionˇ6 (IPv6); danach portierten es die Entwickler als separates Protokoll in den IPStack der noch vorherrschenden Version 4 (IPv4) zurück. Es bietet modernste Verschlüsselungsverfahren und lässt sich nahtlos in bestehende IP-Netze einbinden. Daher hat es sich zum De-facto-Standard für IP-basierte VPN-Verbindungen entwickelt. Die Forderung nach Authentizität, Vertraulichkeit und Integrität erfüllt IPSec durch zwei Methoden der Datensicherung: Authentication Header (AH) und Encapsulated Security Payload (ESP). Der Authentication Header dient der Authentifizierung von IP-Paketen. Dabei bildet der Sender aus dem Originalpaket und einem geheimen Schlüssel, OSI-Schichtenmodell Layer 7 6 5 4 3 2 1 Bezeichnung Anwendungsschicht (Application Layer) Darstellungsschicht (Presentation Layer) Sitzungsschicht (Session Layer) Transportschicht (Transport Layer) Vermittlungsschicht (Network Layer) Sicherungsschicht (Data Link Layer) Bitbertragungsschicht (Physical Layer) Internet-Protokolle VPNs HTTP, SSH, SMTP, IMAP, POP, FTP, NFS, CIFS, SNMP etc. SSL, TLS TCP, UDP IP IPSec Ethernet L2TP, PPTP Twisted Pair, Glasfaser Die bei VPNs eingesetzten Protokolle können auf unterschiedlichen Ebenen des OSI-Schichtenmodells angesiedelt sein (Abb. 2). iX extra 9/2009 Unsere Alternative zu „geht nicht“, „kostet extra“, „können wir nicht“? Ein Lächeln! Vertrauen, Kompetenz und Leistungsbereitschaft sind die Grundlage für die perfekte Verbindung zu unseren Kunden. In den Bereichen Internet Access, Hosting Services und Corporate Networks sorgen wir für ein Maximum an Erreichbarkeit, Verfügbarkeit und absolute Sicherheit – für über 500 Kunden, wie z.B. Bauhaus, Steigenberger, TUI, Fraport, 1822direkt und Heise Online. Erfahrene Techniker sind rund um die Uhr für Sie erreichbar. Mehr Informationen erhalten Sie unter http://www.plusline.net Plus.line – Die perfekte Verbindung ix0909_x_000_Plusline.indd 1 10.08.09 13:15 ix.0909.x.01-12 07.08.2009 12:26 Uhr Seite IV Networking IP-Header TCP-Header neuer IP-Header ESP-Header Nutzdaten IP-Header TCP-Header Nutzdaten ESP-Trailer ESP-Auth. verschlsselter Bereich authentifizierter Bereich Im Tunnel-Modus versteckt das IPSec-Protokoll ESP das gesamte Datenpaket in einem verschlüsselten Nutzdatenfeld eines neuen IP-Pakets (Abb. 3). den nur Sender und Empfänger kennen, eine Prüfsumme. Der Empfänger berechnet ebenfalls eine Prüfsumme und vergleicht sie mit der vom Sender ans Paket angehängten. Auf diese Weise kann er sicherstellen, dass das Paket von dem angegebenen Sender stammt und unterwegs nicht verändert wurde. ESP dagegen authentisiert und verschlüsselt die Pakete (siehe Abbildungˇ3). Nur der Empfänger, der über den gleichen Schlüssel wie der Sender verfügt, kann die Daten wieder entschlüsseln. Beide Methoden sind unabhängig von den verwendeten kryptografischen Verfahren, die festlegen, wie die Prüfsumme zu bilden beziehungsweise wie die Daten zu verschlüsseln sind. Diese Unabhängigkeit macht IPSec extrem flexibel und zukunftssicher. Um die Interoperabilität zwischen VPN-Lösungen zu gewährleisten, unterstützt der IPSec-Standard unterschiedliche Verfahren: Für Authentication Header sind das die HashAlgorithmen MD5 und SHA, für ESP die am weitesten verbreiteten Verschlüsselungsstandards 3DES und AES. Die Verfahren unterscheiden sich vor allem in der Schlüssellänge. Ein zu kurzer Schlüssel lässt sich, genauso wie ein schwaches Passwort, durch einfache Rechenoperationen knacken. Die zunehmende Rechenleistung verkürzt die dafür benötigte Zeit zusehends. Immer IV leistungsfähigere Hardware ermöglicht einerseits den Einsatz immer längerer Schlüssel – macht diese aber auch notwendig, da sich mit mehr verfügbarer Rechenpower die Zeitspanne zum Entschlüsseln verkürzt. Der Data Encryption Standard (DES) mit 56-Bit-Schlüsseln ist das älteste Verfahren und gilt schon lange als nicht mehr sicher genug. Sein Nachfolger 3DES (oder Triple DES) codiert die Daten mit drei Schlüsseln à 56 Bit Länge nacheinander, wobei er den zweiten Schlüssel, wie bei der Dekodierung, umgekehrt anwendet – man bezeichnet das Verfahren auch als EDE (Encrypt-Decrypt-Encrypt). Dadurch ergibt sich eine effektive Schlüssellänge von nur 128 Bit. 3DES bietet zwar wesentlich mehr Sicherheit als DES, steht aber dennoch in der Kritik, insbesondere weil sich die hochentwickelten Crack-Algorithmen für DES auf 3DES portieren lassen. Außerdem erweist sich das Verfahren zunehmend als zu langsam für immer größere Datenmengen. Stand der Technik ist deshalb heute der auch in der WPA2Verschlüsselung für WLANs eingesetzte Advanced Encryption Standard (AES). Er verschlüsselt Datenblöcke von jeweils 128 Bit mit Schlüsseln von 128, 192 oder 256 Bit Länge. Der Vorteil gegenüber DES liegt vor allem in der hohen Geschwindigkeit des Algorithmus, jedoch ebenso in der einfachen Implementierung in Hardware oder Software. Momentan gelten die 128-BitSchlüssel als sicher vor BruteForce-Attacken, da 2ˇhochˇ128 mögliche Schlüssel bereits den Einsatz von Supercomputern erfordern. Doch dank Grafikkarten mit Hochleistungs-GPUs (Graphical Processing Units) ziehen auch die bald in kleinere Heime ein. Hindernisse beim Tunnelbau Durch die Kombination der modular gestalteten Mechanismen gilt IPSec als extrem sicheres Protokoll, aber auch als kompliziert zu konfigurieren. Einige Hersteller versuchen dem zu begegnen, indem sie aufeinander abgestimmte Server und Clients sowie grafische Tools anbieten, die die Einrichtung erleichtern sollen (siehe Abbildungˇ4). IPSec bietet unterschiedliche Betriebsmodi und Verschlüsselungsverfahren, die man für eine VPN-Verbindung festlegen muss. Darüber hinaus müssen sich die VPN-Teilnehmer beim Tunnelaufbau gegeneinander authentisieren und die geheimen Schlüssel für die folgende Datensicherung erzeugen und austauschen. All diese Aufgaben erfüllen bei IPSec-basierten VPNs zwei Komponenten: die Security Associations und das Key Management. Die Security Associations (SA) beschreiben die genaue Konfiguration der IPSec-Proto- kolle. Sie legen unter anderem fest, ob AH und/oder ESP genutzt wird, welche Verschlüsselungsalgorithmen zum Einsatz kommen und wie lange die Schlüssel gültig sind. Eine gültige Security Association ist Voraussetzung für jede IPSecVerbindung. Das Key Management ist für die Erzeugung und Verwaltung der Schlüssel zuständig. Das dabei verwendete IPSec-KeyExchange-Protokoll (IKE) authentifiziert die Teilnehmer gegeneinander, tauscht die in den SAs festgelegten Sicherheitsrichtlinien aus und übernimmt den Schlüsselaustausch für die Datenverschlüsselung. Die IKE-Aushandlung unterteilt sich in zwei Phasen. Während die erste Phase dem Aufbau einer verschlüsselten Verbindung dient, baut erst die zweite – bereits verschlüsselt – den eigentliche VPN-Tunnel auf. Spezielle Authentifizierungsverfahren gewährleisten, dass zu keiner Zeit der Aushandlung ein Passwort oder Schlüssel im Klartext übers Netz geht. Das Mitschneiden eines VPN-Aufbaus über IPSec gibt also keine sicherheitskritischen Informationen preis. Der komplexe Verbindungsaufbau führt zu Konflikten mit der in Access-Routern genutzten NAT (Network Address Translation), also der Umsetzung privater in öffentliche IPAdressen, die auch das von einigen Geräten unterstützte IPSec-Passthrough-Verfahren nicht vollständig löst. Erst die eigens deswegen entwickelte und genormte IPSec-Erweiterung NAT-Traversal behebt diese Schwierigkeiten. Dadurch, dass IPSec – wie L2TP und PPTP – auf den Schichten der Übertragungsprotokolle agiert, arbeitet es unabhängig von den jeweiligen Anwendungsprotokollen, die es überträgt. Für das Home Office oder eine kleine Außenstelle ist IPSec auch deshalb interessant, weil es etwa auch VoIP-Daten iX extra 9/2009 . n e u a r t r e V s e t k n ä . r e h t c s r e e g n W i Une lagbare gen Lösun n e t r ämie ren pr den e s n u ren mit zwerk er konkurrie t e N r n ih nüb chütze dget gege t. s t i e w u -B elt litä den w en Teil des IT ät und Qua n u K 0 t i ß l 0 ktiona en gro als 85.0 Mehr en somit ein ßen von Fun ar bu und sp - ohne Ein n ge Lösun h c s n U ÜHR B E G NZ E Z I ER. L Z E T N I U KE RN E D O VER R E S JE REIE F N E KOST GEN. UN L L E T TESTS SICHERHEIT Barracuda Web Application Firewall Ausfälle vermeiden. Schützt Webserver sowie Web Applikationen innerhalb Ihres Unternehmens vor bösartigen Angriffen. NETZWERK Barracuda SSL VPN Sicherstellung des Zugriffs. Bereitstellen von sicheren Verbindungen zu Netzwerkresourcen über Standard Web Browser. SPEICHER Barracuda Message Archiver Sicherstellung der Konformität und Effizienz. Indexieren und Schützen sie Emails bei gleichzeitiger Reduktion des Speicherbedarfes. Germany Barracuda Networks DACH (Germany) Phone: +49 8122 187 6050 Email: emeainfo@barracuda.com ix0909_000_Barracuda.indd 1 Europe, Middle East, Africa Barracuda Networks Ltd. (UK) Phone: +44 1256 300 100 Email: emeainfo@barracuda.com 11.08.09 10:00 ix.0909.x.01-12 07.08.2009 12:26 Uhr Seite VI Networking Komfort statt Kommandozeile: Grafische Werkzeuge sollen helfen, VPNs einfacher zu konfigurieren – hier der VPN Security Manager von Securepoint (Abb. 4). transparent transportiert. Auch arbeiten IPSec-Tunnel recht effizient, da alle Anwendungen nur einen Tunnel benutzen und kein weiterer Overhead für jede einzelne Anwendung anfällt. Andererseits benötigt IPSec bei Host-zu-LAN-Verbindungen auf dem Endgerät etwa unter Windows eine spezielle ClientSoftware, die inzwischen aber in größerer Auswahl zur Verfügung steht. Im Prinzip ist auch die Interoperabilität zwischen VPN-Clients und VPN-Servern unterschiedlicher Hersteller gegeben, bei Benutzung besonderer Funktionen ist aber ein Blick in die Kompatibilitätslisten der Hersteller ratsam. Auch Anwendungen können Tunnel bauen Einen Spezialfall von VPNs stellt der Secure Sockets Layer (SSL) respektive die Transport Layer Security (TLS) dar, die häufig nicht als vollwertige VPN-Lösung gilt. Als Application-LayerProtokoll arbeitet SSL/TLS auf der Ebene der Anwendungsprotokolle und ist dadurch an einzelne Applikationen gebunden. Die Entwicklung geht auf Netscape zurück, die es Mitte der 90er-Jahre erstmals in ihren Browser Navigator integriert hatten. Nach der Version 3.0 (SSLv3) übernahm die IETF (Internet Engineering Task Force) die Weiterentwicklung und Normung. Unter dem VI Namen Transport Layer Security bringt es nun eine sichere AES- oder RSA-Verschlüsselung mit. Die aktuelle TLS-Version 1.2 stammt vom August 2008. Heute beherrschen alle Browser SSL/TLS. Damit stellt das Protokoll die bei Weitem meistgenutzte VPN-Technik überhaupt dar. Denn die meisten Internetnutzer übertragen – in vielen Fällen unwissentlich – ihre persönlichen Daten über SSL: Alle Webdienste, die mit vertraulichen Daten operieren, etwa Webshops oder Banken, bauen automatisch eine solche Verbindung auf – vom Benutzer oft nur durch ein kleines Hinweisfenster wahrgenommen. Da der Secure Sockets Layer auf der Ebene der Anwendungsprotokolle sitzt, muss er in jedes einzelne von ihnen integriert sein. Um SSL/TLS erweitert haben die jeweiligen Protokolle einen neuen TCP/ UDP-Port und einen neuen Namen mit dem Zusatz „Secure“ bekommen: aus HTTP wurde HTTPS (HyperText Transfer Protocol Secure). Dasselbe Schicksal erlitten inzwischen auch andere: Die um SSL erweiterten Mail-Protokolle POP3, IMAP und SMTP etwa heißen nun POP3S, IMAPS und SMTPS. Zwar benötigt man für SSL/ TLS weder separate Client-Programme noch VPN-Gateways, dafür muss jede Software, die einen Dienst über SSL/TLS nut- zen oder zur Verfügung stellen will, die Erweiterung vorweisen – auf der einen Seite etwa jeder Browser und Mail-Client, auf der anderen jede Web-, SMTP-, POP- und IMAP-ServerImplementierung. Lösungen wie OpenVPN schaffen es, nicht einzelne Anwendungen, sondern die gesamte Kommunikation über TLS abzuwickeln, jedoch nur mit einem Trick: Sie schieben sich zwischen die – nicht-TLSfähige – Anwendung und den TCP-Layer. Eine andere Erweiterung des TLS-Zugriffs arbeitet mit Java-Servlets. Dabei lädt der Browser das Servlet herunter, das meist als generischer TCP/UDP-Proxy arbeitet und damit auch den Zugang zu allen UDP-fähigen Applikationen öffnet. Die Verwendung des Browsers als Client offenbart einen weiteren Vorteil dieses Ansatzes: Fast jedes Endgerät – also etwa Smartphones mit Browser und proprietärem Betriebssystem – lassen sich so für den Remote-Zugriff verwenden. Licht und Schatten Liest man die Vorteile von TLS, wie Nutzung direkt aus der Anwendung heraus, kostengünstige Implementierung durch Nutzung TLS-fähiger Server, so stellt sich die Frage, warum es nicht für alle VPN-Verbindungen zum Einsatz kommt. Der Grund liegt in den spezifischen Limitierungen: Erstens verschlüsselt sie nur die Daten, aber nicht die gesamte Kommunikation. Zweitens erlaubt sie nur den Zugriff auf die Dienste, die SSL/TLS unterstützen. Drittens erlaubt TLS den Zugriff von jedem beliebigen und ungesicherten Rechner aus. Das gerade macht aber TSL für Banken und Webshops interessant: Unabhängig von Ort und Konfiguration des Rechners bauen die Kunden über einen TLS-fähigen Browser einen – anwendungsspezifischen – Tunnel zu ihnen auf. IPSec hingegen schützt die gesamte Verbindung und erlaubt den Zugriff nur von Geräten oder Netzen, die dafür autorisiert sind. Es kann Zugriffs- und Sicherheitsrichtlinien durchsetzen und verhindert alle Angriffsversuche wie Spoofing oder Flooding auf das Netz. Damit gibt es eine Daseinsberechtigung für beide Protokolle entsprechend der unterschiedlichen Anwendungsfälle: IPSec für Firmenzugang und -vernetzung und SSL für sichere Internet-Transaktionen. Beide Protokolle gelten als sicher, da sie symmetrische Verschlüsselungsalgorithmen, Authentifizierung und Schlüsselmanagement nutzen. Während bei IPSec stets auf beiden Seiten Zertifikate vorliegen, ist dies bei SSL auf Client-Seite optional. Für mehr Sicherheit verwenden immer mehr Webseitenbetreiber sogenannte Extended-Validation-SSL-Zertifikate (EVSSL-Zertifikat) einer externen Zertifizierungsstelle etwa von VeriSign. Die Stärke von Layer2-VPNs wie PPTP oder L2TP, auch andere Netzwerkprotokolle als IP transportieren zu können – etwa IPX –, hat durch das fast völlige Aussterben eben dieser Protokolle an Bedeutung verloren. Da der Begriff VPN nicht klar abgegrenzt ist, bezeichnen einige Publikationen auch VLANs (Virtual LANs) als sogenannte Intranet-VPNs. Das Unterteilen eines LAN in mehrere virtuelle ist Aufgabe von Layer-2-Switches, die die Datenströme auf Portebene separieren. Damit können sie die Datenströme etwa von Arbeitsgruppen, Finanz- oder Personalabteilungen auf Port-Ebene trennen und dadurch ein Abhören erschweren. Da weder Verschlüsselung noch Authentifizierung zum Einsatz kommen, unterscheiden sich VLANs jedoch grundsätzlich von den oben beschriebenen Verfahren. (sun/hw) Uwe Schulze ist Fachautor in Berlin. iX extra 9/2009 Secure Business Connectivity HOB RD VPN PPP Tunnel IPsec hat ausgedient! Voller Netzwerkzugriff – ohne Installation am Client! Die einzigartige neue Technologie des HOB PPP Tunnels ermöglicht Clientrechnern mit Microsoft Windows Vista, Windows 7, Apple Mac OS X und Linux einen vollständigen Netzwerkzugriff vergleichbar mit einem IPsec VPN. Allerdings benötigt der PPP Tunnel weder Administrator-Rechte für den User noch eine Installation von Treibern oder Software auf dem Client-System. Einzige Voraussetzung ist ein Java-fähiger Web-Browser. Exzellente Performance – und kompromisslose Sicherheit Dank der integrierten Datenkompression erzielt der PPP Tunnel auch über langsame InternetVerbindungen eine überlegene Performance. Zwei-Faktor-Authentifizierung, SSL-Verschlüsselung bis AES 256 Bit, Client Integrity Check – bei der Sicherheit müssen keine Abstriche gegenüber IPsec gemacht werden! besuchen Sie uns auf der IT-Security-Messe it-sa Nürnberg 13. – 15. Oktober 2009 Stand 320 Halle 5 Reine Software-Lösung – für alle Anforderung an Remote Access im Unternehmen Durch das Feature PPP Tunnel deckt die Software HOB Remote Desktop VPN nun alle Anforderungen der verschiedenen Nutzergruppen in einem Unternehmen ab: t Intranet und E-Mail Zugriff für alle Mitarbeiter t Remote Desktop Zugriff für Home Office t Voller Netzwerkzugriff für Administratoren und das Top-Management Und das alles SSL-verschüsselt und Browser-basiert! www.hob.de/ppp09 Die Security-Suite von HOB RD VPN ist vom BSI (Bundesamt für Sicherheit in der Informationstechnik) nach Common Criteria zertifiziert.* Dadurch beweist HOB, dass der Zugriff wirklich sicher ist! *HOBLink Secure BSI-DSZ-CC-0260-2004 ix0909_x_000_HOB.indd 1 06.08.09 07:56 ix.0909.x.01-12 07.08.2009 12:26 Uhr Seite VIII Networking Reine Formsache VPN als Hardware, Software oder doch als Service? Ebenso vielfältig wie die technischen Varianten von Virtual Private Networks ist die Zahl der verfügbaren Produkte, mit denen sich VPNs einrichten lassen. Konkurrenz bekommen die Software- und ApplianceAnbieter zudem von Service-Providern. nwendungsszenarien für den Einsatz von Virtual Private Networks (VPNs) gibt es viele: Meist nutzt man sie aber zur Verbindung von Firmenstandorten und für den Zugriff von Mitarbeitern von unterwegs A oder zu Hause aufs FirmenLAN. Bei Ersterem, dem Siteto-Site-VPN, verbinden VPNGateways zwei oder mehrere Firmenstandorte miteinander. Remote-Access-VPNs verbinden den Rechner etwa eines mobilen Mitarbeiters über das Internet mit dem Firmennetz. Während VPN-Clients für Remote-Access-VPNs stets als Software auf dem Endgerät vorkommen, stehen auf der Firmennetzseite ganz unterschiedliche Varianten der VPN-Implementierung bereit. Die einfachste Lösung stellen Appliances dar – eine Art Blackbox, die die VPNGateway-Funktionen zur Verfügung stellt. Mit und ohne Schachtel Eine andere Variante stellt die Integration der VPN-GatewayFunktion in andere Netzkomponenten dar. Router und Firewalls nehmen bereits eine komplexe Datenverarbeitung vor und integrieren immer mehr Sicherheitsfunktionen. Da liegt es nahe, den VPN-Server als Dienst direkt darauf laufen zu lassen. ANBIETER VON VPN-SERVICES Die Übersicht sowohl der Anbieter als auch ihrer Leistungen erhebt keinen Anspruch auf Vollständigkeit. Anbieter Arcor Baracuda Communications BCC BT Claranet Colt Telecom Datadirect DeTeWe Communications Easynet HL komm Interoute iPass LambdaNet LEW Telnet Marcant MIVITEC M-net OFM Orange Plus.line Reliance Globalcom SecurStar Tiggerswelt T-Systems Verizon Versatel VIII URL www.arcor.de www.baracudacommunications.com www.bcc.de www.bt.com www.claranet.de www.colt.de www.datadirect.de www.detewe-communications.de www.easynet.de www.hlkomm.de www.interoute.de www.ipass.de www.lambdanet.de www.lewtelnet.de www.marcant.net www.mivitec.de www.m-net.de www.ofm.eu www.orange-business.com www.plusline.net www.relianceglobalcom.com www.securstar.de www.tiggerswelt.de www.t-systems.de www.verizonbusiness.de www.versatel.de Service Company Net M-VPN, MPLS Yournet BT MPLS MPLS-VPN, IPSec-VPN Colt IP VPN Corporate IPSec- und SSL-basierte VPNs DeTeWe.net-VPN Managed VPN-Services HL Private IP DSL-, MPLS-VPN iPass Branch Office l-Net-VIPNet MPLS-, IPSec-VPN M-VPN, M-VPN SSL VPNs Ethernet-, IP-VPN VPN-Connect, VPN-Security IP-VPN MPLS-, IPSec-, Mobile-VPN MPLS Matrix SurfSolo VPN-Gateway VPN-Basic, IntraSelect (IP-VPN) IP-VPN Dedicated, Remote VPN VT VPN Neben den Hardwarelösungen findet man reine Softwarepakete für Windows, Linux und andere Unix-Derivate. Sie lassen dem Anwender die Freiheit der Hardwareauswahl und eröffnen ihm viele Konfigurationsmöglichkeiten. Benötigt man das aber gar nicht, stellen Appliances meist die einfachere Lösung dar, zumal die Software einschließlich benötigter Hardware nicht immer kostengünstiger ist. Alternativ lassen sich VPNs mit Bordmitteln der Server-Betriebssysteme aufsetzen, etwa mit den mitgelieferten Werkzeugen der Linux-, Solaris- oder Windows-Server. Darüber hinaus steht Open-Source-Software zur Verfügung, wie das betriebssystemübergreifende OpenVPN – unter Linux, Mac OSˇX, Windows und unterschiedlichen Unix-Derivaten einsetzbar. Da die VPN-Server einen Single Point of Failure darstellen und im Fehlerfall kein Zugriff auf das gesamte Netz besteht, sollten sie redundant ausgelegt sein oder es sollten sich zumindest mehrere VPNGateways im Netz befinden. Welche Lösung zum Einsatz kommt, hängt vor allem von den Anforderungen an Performance und Skalierung ab, aber auch von Designaspekten. Sucht man bei den auf Netzsicherheit spezialisierten Anbietern nach VPN-Lösungen, findet man diese immer häufiger unter dem Schlagwort Unified Threat Management (UTM). Die Hersteller wollen damit betonen, dass einzelne Sicherheitsmaßnahmen keinen ausreichenden Schutz gewähren. Eine gute Platzierung ist gefragt Zu den Sicherheitsfunktionen von UTM zählt man außer VPNs unter anderem Firewalls, Virenschutz, Intrusion Detection and Prevention, Content- und SpamFilter. Als Abgrenzung dazu bezeichnet man Geräte, die auf nur eine Aufgabe spezialisiert iX extra 9/2009 CallForPaper_iXExtra 11.08.2009 12:02 Uhr Seite 1 Kongress-Kalender Open Source Meets Business Business-Effizienz mit IT 26. – 28. Januar 2010, Nürnberg Call for Papers – reichen Sie Ihren Vortrag ein! • Abgabeschluss: 31. August 2009 • Wer teilnehmen kann und wie: osmb.de • Kongress-Updates: twitter.com/osmb2010 • Business Best Practice – wie Unternehmen mit Open Source Geschäftsprozesse unterstützen und effizienter wirtschaften • Technology Solutions – wie Anwendungs- und Infrastruktur-Lösungen mit Open-Source-Technik realisiert werden • Future Technology – welche Open-Source-Software in Zukunft für Anwenderunternehmen wichtig wird Outlook sharing & Webaccess Fragen von Referenten: Heinrich Seeger hse@heise.de • 0511/ 5352-627 Fragen zu Kongresspartnerschaften: Sarah-Sophie Hillemann ssh@heise.de • 0511/ 5352-423 Ve rle ih u • ng • Op de O en r A pe - O u Pr n- So pe f ei So urc n S de sg ur e o m u c In eld e-U CIO rce K fo g n d B o s: es te es us n w am rne J in gr w w. t: 7 hm ahr ess es os 5 en es A s w : bf .00 d ar .d 0 es ds e E ur Ja an o hr : es Partner: ix.0909.x.01-12 07.08.2009 12:26 Uhr Seite X Networking sind, als Specialized Security Appliances (SSA). Ein anderes Marketingschlagwort für das zentralisierte und möglichst flexible Zugangsmanagement zu Firmennetzen ist die Network Admission (oder Access) Control (NAC), die sich im engeren Sinn aber nur auf die Zugangsberechtigungen bezieht. Da VPNs in Firmennetzen den Datenverkehr von außerhalb schützen sollen, platziert man das VPN-Gateway sinnvollerweise am Rand des eigenen Netzes. Von dort kommend leiten die Router den Datenverkehr unverschlüsselt weiter durch das lokale Firmennetz, damit auch der durch den Tunnel zugreifende Mitarbeiter alle dortigen Funktionen wie Quality of Service (QoS) nutzen kann. Das gilt sowohl für die Verbindung von Firmenstandorten als auch für den Zugriff entfernter Endgeräte. Da VPNGateways den Übergang des Firmennetzes zum Internet bilden, sind sie oft direkt auf der Firewall oder dem Access Router zu finden. ANBIETER VON VPN-HARDWARE UND -SOFTWARE Die Übersicht sowohl der Anbieter als auch ihrer Produkte erhebt keinen Anspruch auf Vollständigkeit. Anbieter 3Com Alcatel-Lucent Allied Telesis Allnet Aruba Astaro AVM Borderware CheckPoint Cisco Systems Cisco CBG Clavister D-Link DrayTek Enterasys F5 Fortinet Funkwerk GateProtect Hewlett-Packard HOB Juniper Lancom Linogate McAfee Microsoft Motorola NCP Netgear Nortel OpenVPN Phion Securepoint Sirrix Sonicwall Steganos Telcotech TheGreenBow Viprinet WatchGuard Zyxel X URL www.3com.de www.alcatel-lucent.de www.alliedtelesis.de www.allnet.de www.arubanetworks.com www.astaro.de www.avm.de www.borderware.com www.checkpoint.com www.cisco.de www.linksys.de www.clavister.de www.dlink.com www.draytek.de www.enterasys.com www.f5.com www.fortinet.de www.funkwerk-ec.de www.gateprotect.de www.hewlett-packard.de www.hob.de www.juniper.net www.lancom-systems.de www.linogate.de www.mcafee.com www.microsoft.de www.motorola.de www.ncp.de www.netgear.de www.nortel.com www.openvpn.net www.phion.com www.securepoint.de www.sirrix.de www.sonicwall.com/de www.steganos.de www.telco-tech.de www.thegreenbow.de www.viprinet.de www.watchguard.com www.zyxel.de Produkte VPN-Router, Firewalls VPN-Router, Firewalls VPN-Router VPN-Router, Firewalls VPNs für WLANs VPN-Gateways VPN-Home-Router Security-Appliances Security-Appliances VPN-Router, VPN-Clients, Firewalls VPN-Home-Router VPN-Gateways VPN-Router, Firewalls VPN-Router, Firewalls VPN-Router VPN-Gateways, VPN-Appliances VPN-Appliances VPN-Gateways Security-Appliances, VPN-Clients VPN-Server, VPN-Clients Remote Access Software Firewalls, Clients VPN-Router, VPN-Clients VPN-Server, Firewalls VPN-Gateways, Firewalls VPN-Software-Server VPN-Gateways, Mobillösungen VPN-Software, -Server und -Clients VPN-Router, Firewalls VPN-Router, Gateways Open-Source-Software-Server Security-Appliances, VPN-Gateways Security-Appliances VPN-Appliances Security-Appliances Secure VPN, Internet Anonym VPN VPN-Router, VPN-Client, Firewall VPN-Clients für Windows u. Mobilgeräte VPN-Router, VPN-Client Security-Appliances Security-Appliances, VPN-Gateway Separate VPN-Gateways und Appliances sind in der Regel direkt an die Access Router angeschlossen. Größere Firmen verfügen über mehrere VPNGateways, für deren Anordnung die Administratoren die regionale Verteilung, Skalierung und Verfügbarkeit als Anforderungen heranziehen. Greift ein entfernter, per VPN ans Firmennetz angeschlossener PC auf Sites des öffentlichen Internets zu, könnte er den direkten Weg gehen oder über das VPN. Auch wenn Letzteres auf den ersten Blick umständlich erscheint, ist es trotzdem immer zu empfehlen: Zum einen gehen die Daten den ersten Teil des Weges – vom eigenen Internetzugang zum Firmennetz – über die verschlüsselte Leitung, was insbesondere bei Nutzung eines WLANs die Sicherheit erheblich erhöht. Zum anderen passiert der Datenverkehr danach stets die Firewall der Firma, sodass alle dort implementierten Schutzmechanismen greifen können, etwa Virenschutz oder Intrusion Detection. Alles wie zu Hause Ein Nebeneffekt aus der vollständigen Kapselung des IPHeaders ergibt sich in Bezug auf die IP-Adressen. Sichtbar ist nicht mehr die ursprüngliche, meist vom Provider vergebene, sondern nur die beim Aufbau des VPN zugewiesene Adresse. Dies kann in Einzelfällen zu Problemen führen, wenn ein Dienst die IP-Adresse auf Herkunft oder bestimmte Adressbereiche überprüft. Umgekehrt lässt sich dieser Effekt aber nutzen, indem beispielsweise die Nutzung eines amerikanischen VPN-Anbieters zu einer amerikanischen IP-Adresse führt. Damit lassen sich sogenannte GeolokationsDienste umgehen und US-Websites im Original lesen. Bleibt die Frage nach möglichen Performance-Einbußen beim Einsatz von VPNs. Die iX extra 9/2009 ix.0909.x.01-12 07.08.2009 12:26 Uhr Seite XI Networking Praxis zeigt, dass die heutige Hardware genug Rechenleistung zur Verfügung stellt, um die VPN-Verschlüsselung für den Anwender unbemerkt durchzuführen. Beim Zugriff auf das Firmennetz von außerhalb ist der Durchsatz eher durch die Internet-Zugangstechnik wie DSL begrenzt. Zwar lässt die technisch nicht simple Materie vermuten, dass VPNs ausschließlich etwas für Firmennetze sind. Dennoch sind sie zunehmend für Heimnetze interessant. Das erkennt man etwa daran, dass immer mehr Hersteller von HeimRoutern eine entsprechende Funktion integrieren. Gründe sind neben immer schnelleren Internetzugängen neue Funktionen der Geräte, die sie etwa durch Anschluss einer USBFestplatte in sogenannte Integrated Access Devices (IAD) umwandeln. Damit kann man zum Beispiel aus dem Internet auf die heimische Festplatte zugreifen, um die Urlaubsbilder zu speichern, oder einen Blick auf die Überwachungskamera werfen. Einzige Hürde stellen die nach spätestens 24 Stunden durch Zwangstrennung wechselnden dynamischen IP-Adressen dar. Hierfür gibt es entsprechende Lösungen wie DynDNS (www.dyndns.de), die die jeweils aktuelle IP-Adresse auf einem Internet-Server hinterlegen. Bietet der Heimrouter nun noch die Funktionen eines VPNServers, kann man übers Internet so sicher auf das Heimnetz zugreifen, als wäre man zu Hause. Die von AVM in die Fritzbox integrierte VPN-Lösung kann in dieser Hinsicht als vorbildlich gelten, da sie nicht nur standardmäßig eine starke AES-Verschlüsselung mitbringt, sondern auch einen Assistenten anbietet, der die Konfiguration von Router und Client automatisch erzeugt. Neben einer eigenen Implementierung im Firmennetz kann man einen VPN-Dienst komplett iX extra 9/2009 bei einem Service-Provider einkaufen. Dies ist insbesondere dann sinnvoll, wenn der Provider nicht nur den Leitungszugang zur Verfügung stellt, sondern auch einen Managed Service, der den Betrieb des ZugangRouters einschließt. Alle großen Provider, die Firmenanschlüsse im Programm haben, bieten VPN als Managed Service an – dazu gibt es die auf VPNs spezialisierten Anbieter. Mein VPN, dein VPN Neben der Vereinbarung der Protokolle und technischer Parameter wie Durchsatz und Anzahl der Tunnel sind die Betriebsparameter zu berücksichtigen wie Verfügbarkeit, Reaktions- und Wiederherstellungszeiten oder MonitoringTools. Denn der Betrieb und die Verwaltung des VPN-Dienstes obliegt dem Service-Provider. Statt einzelne Knoten, Pfade und Parameter festzulegen, nutzen die Service-Provider Provisionierungs-Tools, mit denen sie lediglich die Endpunkte und Qualitätsmerkmale definieren und daraus eine automatische Konfiguration der Netzelemente erstellen. Einige Provider stellen sie dem Kunden auch direkt zur Verfügung (Self-Provisioning). Eine VPN-Service-Lösung befreit also nicht gänzlich von technischem Know-how, sie ist aber gegenüber einer Eigenrealisierung deutlich flexibler in Bezug auf Erweiterungen oder Änderungen. Eine Besonderheit stellen MPLS-VPNs (Multi Protocol Label Switching) dar, die ausschließlich Service-Provider – zumal mit eigener IP/MPLS-Infrastruktur – liefern können. MPLS hat sich zum Standard etabliert; Service-Provider nutzen es, um den IP-Verkehr in ihren riesigen IP-Netzen effektiv abzuwickeln: Statt dass jeder Router jedes Paket aufs Neue prüft, versieht einer am Rand (Edge) des Netzes die Pakete mit einer Markierung (Label), wodurch alle Pakete aus einer Sitzung in denselben Datenstrom gelangen. Damit arbeitet MPLS wie mit Tunneln und bietet sich für die Nutzung als VPN an. Der Vorteil von MPLS-Netzen besteht vor allem darin, dass sie für bestimmte Dienste eine Durchsatzgarantie geben können, indem sie unterschied- liche Datenströme (etwa Video oder Voice over IP) gesondert behandeln (CoS, Class of Service) und priorisieren können. MPLS-VPNs eignen sich gut für die Verbindung von Firmenstandorten, die etwa Telepresence und/oder IP-Telefonie im Einsatz haben. Für den Kunden stellt sich ein MPLS-VPN wie eine Standleitung dar, und da diese ausschließlich durch das abgeschottete Provider-Netz läuft, bietet es auch ohne Verschlüsselung bereits eine gewisse Datensicherheit. Besser ist allerdings eine Kombination mit IPSec zur Datenverschlüsselung – auch deshalb, weil MPLS nur innerhalb des Netzes des Service-Providers zur Verfügung steht. Aus Carrier-Sicht ist MPLS auch das Mittel der Wahl, um alte Plattformen zu migrieren, bietet es doch die Möglichkeit, über sogenannte Virtual Private Wire Services auch Tunnel für ATM- und Frame-Relay-Daten oder direkt Ethernet-Pakete über das IP-Netz zu schalten. Zudem erleichtert CoS die Migration bisher separater Voiceund Video-Netze. (sun/hw) Uwe Schulze In iX extra 10/2009 Embedded Systems – Automotive Computing Das Auto ist längst zur Hightech-Maschine geworden. Unter der Motorhaube steuern eingebettete IT-Systeme große Teile dessen, was mit dem Fahren zu tun hat. iX extra gibt einen Überblick über die Aktivitäten von Auto- mobilherstellern und High-TechUnternehmen: Entwickler von Embedded-Systemen müssen branchenspezifische Sicherheitsvorkehrungen einhalten; mit speziellen Testwerkzeugen können sie ihre Steuergeräte prüfen. Standardisierte Bussys- teme ermöglichen eine zunehmende Vernetzung von Einzelsystemen. Infotainment-Plattformen sollen eine umfassende Kommunikation ermöglichen. Erscheinungstermin: 17. September 2009 DIE WEITEREN IX EXTRAS: Ausgabe Thema Erscheinungstermin 11/09 IT-Security On- und Offline-Verschlüsselung 15.10.09 12/09 Storage Solid State Disks 19.11.09 01/10 Networking Hosting-Provider – Service und Kosten 17.12.09 XI P_VPN_200x280_0809_RZ:RZ 04.08.2009 12:06 Uhr Seite 1 . . . c o n n e c t i n g y o u r b u s i n e s s VPN von LANCOM. Das Beste für Ihr Netz! Hochverfügbarkeit, Virtualisierung, Kostenkontrolle, Voice – bei VPN geht es heute um mehr als „nur“ die sichere Vernetzung von Standorten. Mit VPN Routern, Gateways und Clients von LANCOM erfüllen Sie spielend alle Anforderungen. Ganz egal, ob für HomeOffices, mobile User, mobile Netzwerke oder Tausende von Filialen. LANCOM 1751 UMTS Von „One-Click-VPN“ und dem praktischen Budget-Manager im VPN Client über den UMTS-Router mit Hochverfügbarkeitsgarantie bis zum neusten VPN Gateway mit ungekannter Performance – LANCOM vernetzt Standorte schnell und sicher, über alle DSL-Anschlüsse, WLAN oder UMTS. Die ver Hochkei fügbar garts- ant ie! VPN von der deutschen Nummer EINS! Exzellenter Service & kostenlose Updates inklusive. LANCOM TS: M 1751 U ter u o R VPN L2+ S D A t mi T M S und U www.lancom.de