als PDF

Transcription

als PDF
ix.0909.x.01-12
07.08.2009
12:26 Uhr
Seite I
sponsored by:
Ein Verlagsbeihefter der Heise Zeitschriften Verlag GmbH & Co. KG
Networking
extra
Networking
Schwerpunkt:
Sicher verbunden –
Virtual Private Networks
Wie Virtual Private Networks funktionieren
Netze im Netz
Seite I
VPN als Hardware, Software oder doch als Service?
Reine Formsache
Seite VIII
Vorschau
Embedded Systems
Automotive Computing
Seite XI
Veranstaltungen
8.ˇSeptember 2009, Wrexham, UK (Wales)
Third International Conference on
Internet Technologies and Applications
www.ita09.org
06.–08. Oktober 2009, Den Haag
Information Security Solutions Europe (ISSE)
www.isse.eu.com
06.–08. Oktober 2009, Stuttgart
IT & Business – Fachmesse für Software,
Infrastruktur & IT-Services
www.messe-stuttgart.de/it-business
27.–28. Oktober 2009, Frankfurt am Main
Storage Networking World Europe 2009
www.snweurope.net
27.–28. Oktober 2009, Frankfurt am Main
Virtualization World 2009
www.virtualizationworld.net
iX extra schlagen:
um Nach ing.shtml
etworking z
ork
N
tw
e/ix/extra/ne
www.heise.d
Netze im Netz
Wie Virtual Private Networks funktionieren
Virtuelle private Netze ermöglichen den sicheren Zugriff
auf das Firmennetz ebenso wie die Verbindung von
Firmenstandorten über öffentliche IP-Netze. Am Markt
finden sich hierfür spezielle Router, Switches oder
Appliances, aber auch reine Softwarelösungen. Darüber
hinaus können Firmen entsprechende VPN-Dienste vom
Service-Provider in Anspruch nehmen.
as heute selbstverständlich ist, wäre vor
einigen Jahren noch völlig undenkbar gewesen: die Übertragung sensibler Firmendaten
über gemeinsam genutzte Leitungen – oder gar über das öffentliche Internet. Die früher
dediziert genutzten Mietverbindungen boten per se ein gewisses Maß an Datensicherheit und ließen sich zusätzlich
mit Verschlüsselungstechniken
kombinieren. Gemeinsam genutzte IP-Netze bieten aber
einen so bedeutenden Kostenvorteil, mehr Flexibilität und
allgemeine Verfügbarkeit, dass
Anbieter früh nach Lösungen
suchten, sie für die hohen Anforderungen von Firmen sicher
zu gestalten. Die Lösung heißt
Virtual Private Network, kurz
VPN. Es stellt ein dynamisches,
virtuelles Firmennetzwerk
übers öffentliche Netz dar, in
dem die Firmendaten von jeglichem anderen IP-Verkehr auf
denselben Leitungen und Routern abgeschirmt sind.
VPNs verbinden aber nicht
nur Firmenstandorte direkt miteinander; sie machen das lokale Firmennetz auch von überall
zugänglich: über DSL (Digital
Subscriber Line) aus dem
Home-Office, vom WLAN-Hot-
W
spot (Wireless Local Area Network) am Flughafen oder aus
einem Kundenmeeting über
das lokale Netz und das Internet. Für den Nutzer ist das VPN
dabei immer transparent. Er
arbeitet, als befände er sich
im LAN der Firma, da das VPN
lediglich eine logische Verbindung übers öffentliche Netz
herstellt. Die Bedeutung von
VPNs nimmt stetig zu, inzwischen sind sie selbst im Privatbereich zu finden.
Der Begriff VPN steht für
eine Vielzahl unterschiedlicher
Techniken und ist nicht klar definiert. Auch wenn das Einsatzgebiet virtueller privater Netze
nicht auf IP-Netze beschränkt
ist, so geht es im Folgenden vor
allem um die heute vorherrschenden IP-VPNs.
Das vor rund 30 Jahren
entwickelte Internet-Protokoll
der Versionˇ4 besitzt keinerlei
Sicherheitsmechanismen. Vertrauliche Daten sind bei der
Übertragung über öffentliche
Netze einer Vielzahl von Angriffsmöglichkeiten ausgesetzt,
die darauf zielen können, in
ihren Besitz zu gelangen oder
sie zu verändern. VPNs, die für
eine gesicherte Übertragung
sorgen, müssen deshalb drei
Anforderungen entsprechen:
I
ix.0909.x.01-12
07.08.2009
12:26 Uhr
Seite II
Networking
GeschŠftsstelle
GeschŠftsstelle
IP-Telefon
IP-Telefon
IP/Internet
VPN-Tunnel
PC
VPN-Router
el
unn
N-T
VPN-Router
PC
VP
Applikationen
mobiles EndgerŠt
mit VPN-Client
Applikationen
Über VPN-Tunnel verbindet man Geschäftsstellen und mobile Endgeräte so, als befänden sie
sich in einem gemeinsamen LAN, obwohl die Datenübertragung über das öffentliche Internet
läuft (Abb. 1).
der Sicherstellung von Authentizität, Vertraulichkeit und Integrität. Authentizität bedeutet
die Identifizierung von autorisierten Nutzern des VPN und
die Überprüfung, dass Daten
auch nur von dort stammen
und nicht aus anderen Quellen.
Vertraulichkeit bedeutet Geheimhaltung und damit die
sichere Verschlüsselung von
Daten. Schließlich muss gewährleistet sein, dass Dritte
die Daten nicht verändern –
die sogenannte Datenintegrität.
Im Tunnel unterwegs
VPNs bauen eine logische Verbindung von einem beliebigen
Anfangspunkt (VPN-Client) zu
einem VPN-Server (auch VPNGateway, VPN-Konzentrator
oder VPN-Termination-Point)
auf. Man nennt sie deswegen
Tunnel, da der Inhalt der übertragenen Daten für die restliche
IP-Welt nicht sichtbar ist (siehe
Abbildungˇ1). Es gibt zwei wesentliche Anwendungsszenarien für den Einsatz von VPNs:
die Verbindung von Firmenstandorten und die „Einwahl“
von Mitarbeitern. Ersteres bezeichnet man als Site-to-SiteVPN, wobei die lokalen Netze
zweier oder mehrerer Firmenstandorte jeweils über ein VPN-
II
Gateway verbunden sind. Remote-Access-VPNs dagegen
sollen mobilen Mitarbeitern –
zunehmend aber auch Kunden
oder Lieferanten – von einem
beliebigen Ort aus über das Internet und einen VPN-Server
den Zugriff auf das Firmennetz
ermöglichen. Eine geringere
Rolle spielen Punkt-zu-PunktVPNs, also die direkte VPNVerbindung zwischen zwei
Computern, etwa für die Fernwartung.
Das technische Prinzip ist bei
allen drei Arten gleich: Die Gateways verschlüsseln jedes IPPaket und kapseln es in ein weiteres Paket ein. Während der
Header des neuen Pakets den
Weg durchs Internet zum Zielort
weist, verschwindet der Header
des eingepackten Pakets im Datenteil; die Internet-Router können die in ihm enthaltenen Informationen nicht mehr sehen und
daher nicht auswerten.
Die bekanntesten VPN- (oder
Tunnel-) Protokolle sind das
Point-to-Point Tunneling Protocol
(PPTP), das Layer-2 Tunneling
Protocol (L2TP) und das IP Security Protocol (IPSec). PPTP und
L2TP stammen aus der Windows-Welt und verlieren an Bedeutung. Die Verschlüsselung
von PPTP gilt schon seit längerer Zeit als nicht mehr sicher
genug.
L2TP besitzt keinen eigenen
Verschlüsselungsmechanismus,
lässt sich aber mit unterschiedlichen Verschlüsselungsverfahren kombinieren. Es bringt aber
einen großen Overhead mit sich
und führt zu geringeren NettoDatenraten. Einen Vorteil hat
L2TP aber zumindest unter
Windows noch vorzuweisen:
Man benötigt keinen separaten
VPN-Client; ihn bringt das Betriebssystem bereits mit. In
Windows XP und Vista baut Microsoft das Protokoll L2TP over
IPSec ein, das beide Protokolle
kombiniert und in dem IPSec
die in L2TP nicht vorhandene
Verschlüsselung übernimmt.
Während L2TP und PPTP
auf der Ebene des EthernetProtokolls, also auf der OSISchichtˇ2 (Open Systems Interconnection) agieren, setzt IPSec
auf IP-Höhe oder OSI-Schichtˇ3
an (siehe Abbildungˇ2). Es ist
zudem das jüngste Tunnelprotokoll. Entstanden ist es als
Verschlüsselungs- und Authentifizierungsmechanismus für IP
Versionˇ6 (IPv6); danach portierten es die Entwickler als
separates Protokoll in den IPStack der noch vorherrschenden Version 4 (IPv4) zurück. Es
bietet modernste Verschlüsselungsverfahren und lässt sich
nahtlos in bestehende IP-Netze
einbinden. Daher hat es sich
zum De-facto-Standard für
IP-basierte VPN-Verbindungen
entwickelt.
Die Forderung nach Authentizität, Vertraulichkeit und Integrität erfüllt IPSec durch zwei
Methoden der Datensicherung:
Authentication Header (AH) und
Encapsulated Security Payload
(ESP). Der Authentication Header
dient der Authentifizierung von
IP-Paketen. Dabei bildet der
Sender aus dem Originalpaket
und einem geheimen Schlüssel,
OSI-Schichtenmodell
Layer
7
6
5
4
3
2
1
Bezeichnung
Anwendungsschicht
(Application Layer)
Darstellungsschicht
(Presentation Layer)
Sitzungsschicht
(Session Layer)
Transportschicht
(Transport Layer)
Vermittlungsschicht
(Network Layer)
Sicherungsschicht
(Data Link Layer)
BitŸbertragungsschicht
(Physical Layer)
Internet-Protokolle
VPNs
HTTP, SSH,
SMTP, IMAP,
POP, FTP,
NFS, CIFS,
SNMP etc.
SSL, TLS
TCP, UDP
IP
IPSec
Ethernet
L2TP, PPTP
Twisted Pair,
Glasfaser
Die bei VPNs eingesetzten Protokolle können auf
unterschiedlichen Ebenen des OSI-Schichtenmodells
angesiedelt sein (Abb. 2).
iX extra 9/2009
Unsere Alternative zu „geht nicht“,
„kostet extra“, „können wir nicht“?
Ein Lächeln!
Vertrauen, Kompetenz und Leistungsbereitschaft sind die Grundlage
für die perfekte Verbindung zu unseren Kunden. In den Bereichen
Internet Access, Hosting Services und Corporate Networks sorgen
wir für ein Maximum an Erreichbarkeit, Verfügbarkeit und absolute
Sicherheit – für über 500 Kunden, wie z.B. Bauhaus, Steigenberger,
TUI, Fraport, 1822direkt und Heise Online. Erfahrene Techniker sind
rund um die Uhr für Sie erreichbar.
Mehr Informationen erhalten Sie unter http://www.plusline.net
Plus.line – Die perfekte Verbindung
ix0909_x_000_Plusline.indd 1
10.08.09 13:15
ix.0909.x.01-12
07.08.2009
12:26 Uhr
Seite IV
Networking
IP-Header
TCP-Header
neuer
IP-Header
ESP-Header
Nutzdaten
IP-Header
TCP-Header
Nutzdaten
ESP-Trailer
ESP-Auth.
verschlŸsselter Bereich
authentifizierter Bereich
Im Tunnel-Modus versteckt das IPSec-Protokoll ESP das gesamte Datenpaket in einem
verschlüsselten Nutzdatenfeld eines neuen IP-Pakets (Abb. 3).
den nur Sender und Empfänger
kennen, eine Prüfsumme. Der
Empfänger berechnet ebenfalls
eine Prüfsumme und vergleicht
sie mit der vom Sender ans
Paket angehängten. Auf diese
Weise kann er sicherstellen,
dass das Paket von dem angegebenen Sender stammt und
unterwegs nicht verändert
wurde. ESP dagegen authentisiert und verschlüsselt die Pakete (siehe Abbildungˇ3). Nur der
Empfänger, der über den gleichen Schlüssel wie der Sender
verfügt, kann die Daten wieder
entschlüsseln.
Beide Methoden sind unabhängig von den verwendeten
kryptografischen Verfahren, die
festlegen, wie die Prüfsumme
zu bilden beziehungsweise wie
die Daten zu verschlüsseln
sind. Diese Unabhängigkeit
macht IPSec extrem flexibel
und zukunftssicher.
Um die Interoperabilität zwischen VPN-Lösungen zu gewährleisten, unterstützt der
IPSec-Standard unterschiedliche Verfahren: Für Authentication Header sind das die HashAlgorithmen MD5 und SHA, für
ESP die am weitesten verbreiteten Verschlüsselungsstandards 3DES und AES.
Die Verfahren unterscheiden
sich vor allem in der Schlüssellänge. Ein zu kurzer Schlüssel
lässt sich, genauso wie ein
schwaches Passwort, durch
einfache Rechenoperationen
knacken. Die zunehmende Rechenleistung verkürzt die dafür
benötigte Zeit zusehends. Immer
IV
leistungsfähigere Hardware ermöglicht einerseits den Einsatz
immer längerer Schlüssel –
macht diese aber auch notwendig, da sich mit mehr verfügbarer Rechenpower die Zeitspanne
zum Entschlüsseln verkürzt.
Der Data Encryption Standard (DES) mit 56-Bit-Schlüsseln ist das älteste Verfahren
und gilt schon lange als nicht
mehr sicher genug. Sein Nachfolger 3DES (oder Triple DES)
codiert die Daten mit drei
Schlüsseln à 56 Bit Länge
nacheinander, wobei er den
zweiten Schlüssel, wie bei der
Dekodierung, umgekehrt anwendet – man bezeichnet das
Verfahren auch als EDE (Encrypt-Decrypt-Encrypt). Dadurch ergibt sich eine effektive
Schlüssellänge von nur 128 Bit.
3DES bietet zwar wesentlich
mehr Sicherheit als DES, steht
aber dennoch in der Kritik, insbesondere weil sich die hochentwickelten Crack-Algorithmen
für DES auf 3DES portieren lassen. Außerdem erweist sich das
Verfahren zunehmend als zu
langsam für immer größere Datenmengen.
Stand der Technik ist deshalb
heute der auch in der WPA2Verschlüsselung für WLANs eingesetzte Advanced Encryption
Standard (AES). Er verschlüsselt
Datenblöcke von jeweils 128 Bit
mit Schlüsseln von 128, 192
oder 256 Bit Länge. Der Vorteil
gegenüber DES liegt vor allem in
der hohen Geschwindigkeit des
Algorithmus, jedoch ebenso in
der einfachen Implementierung
in Hardware oder Software.
Momentan gelten die 128-BitSchlüssel als sicher vor BruteForce-Attacken, da 2ˇhochˇ128
mögliche Schlüssel bereits den
Einsatz von Supercomputern
erfordern. Doch dank Grafikkarten mit Hochleistungs-GPUs
(Graphical Processing Units)
ziehen auch die bald in kleinere
Heime ein.
Hindernisse
beim Tunnelbau
Durch die Kombination der modular gestalteten Mechanismen
gilt IPSec als extrem sicheres
Protokoll, aber auch als kompliziert zu konfigurieren. Einige
Hersteller versuchen dem zu
begegnen, indem sie aufeinander abgestimmte Server und
Clients sowie grafische Tools
anbieten, die die Einrichtung
erleichtern sollen (siehe Abbildungˇ4).
IPSec bietet unterschiedliche Betriebsmodi und Verschlüsselungsverfahren, die
man für eine VPN-Verbindung
festlegen muss. Darüber hinaus
müssen sich die VPN-Teilnehmer beim Tunnelaufbau gegeneinander authentisieren und die
geheimen Schlüssel für die folgende Datensicherung erzeugen und austauschen. All diese
Aufgaben erfüllen bei IPSec-basierten VPNs zwei Komponenten: die Security Associations
und das Key Management.
Die Security Associations
(SA) beschreiben die genaue
Konfiguration der IPSec-Proto-
kolle. Sie legen unter anderem
fest, ob AH und/oder ESP genutzt wird, welche Verschlüsselungsalgorithmen zum Einsatz
kommen und wie lange die
Schlüssel gültig sind. Eine gültige Security Association ist
Voraussetzung für jede IPSecVerbindung.
Das Key Management ist für
die Erzeugung und Verwaltung
der Schlüssel zuständig. Das
dabei verwendete IPSec-KeyExchange-Protokoll (IKE) authentifiziert die Teilnehmer gegeneinander, tauscht die in den
SAs festgelegten Sicherheitsrichtlinien aus und übernimmt
den Schlüsselaustausch für die
Datenverschlüsselung.
Die IKE-Aushandlung unterteilt sich in zwei Phasen. Während die erste Phase dem
Aufbau einer verschlüsselten
Verbindung dient, baut erst die
zweite – bereits verschlüsselt –
den eigentliche VPN-Tunnel auf.
Spezielle Authentifizierungsverfahren gewährleisten, dass zu
keiner Zeit der Aushandlung ein
Passwort oder Schlüssel im
Klartext übers Netz geht. Das
Mitschneiden eines VPN-Aufbaus über IPSec gibt also keine
sicherheitskritischen Informationen preis.
Der komplexe Verbindungsaufbau führt zu Konflikten mit
der in Access-Routern genutzten NAT (Network Address
Translation), also der Umsetzung privater in öffentliche IPAdressen, die auch das von
einigen Geräten unterstützte
IPSec-Passthrough-Verfahren
nicht vollständig löst. Erst die
eigens deswegen entwickelte
und genormte IPSec-Erweiterung NAT-Traversal behebt
diese Schwierigkeiten.
Dadurch, dass IPSec – wie
L2TP und PPTP – auf den
Schichten der Übertragungsprotokolle agiert, arbeitet es
unabhängig von den jeweiligen
Anwendungsprotokollen, die es
überträgt. Für das Home Office
oder eine kleine Außenstelle ist
IPSec auch deshalb interessant,
weil es etwa auch VoIP-Daten
iX extra 9/2009
.
n
e
u
a
r
t
r
e
V
s
e
t
k
n
ä
.
r
e
h
t
c
s
r
e
e
g
n
W
i
Une lagbare
gen
Lösun
n
e
t
r
ämie
ren pr den
e
s
n
u
ren
mit
zwerk er konkurrie
t
e
N
r
n ih
nüb
chütze dget gege t.
s
t
i
e
w
u
-B
elt
litä
den w en Teil des IT ät und Qua
n
u
K
0
t
i
ß
l
0
ktiona
en gro
als 85.0
Mehr en somit ein ßen von Fun
ar
bu
und sp - ohne Ein
n
ge
Lösun
h
c
s
n
U
ÜHR
B
E
G
NZ
E
Z
I
ER.
L
Z
E
T
N
I
U
KE
RN
E
D
O
VER
R
E
S
JE
REIE
F
N
E
KOST GEN.
UN
L
L
E
T
TESTS
SICHERHEIT
Barracuda Web Application Firewall
Ausfälle vermeiden. Schützt Webserver sowie Web Applikationen
innerhalb Ihres Unternehmens vor bösartigen Angriffen.
NETZWERK
Barracuda SSL VPN
Sicherstellung des Zugriffs. Bereitstellen von sicheren
Verbindungen zu Netzwerkresourcen über Standard Web Browser.
SPEICHER
Barracuda Message Archiver
Sicherstellung der Konformität und Effizienz. Indexieren und
Schützen sie Emails bei gleichzeitiger Reduktion des Speicherbedarfes.
Germany
Barracuda Networks DACH (Germany)
Phone: +49 8122 187 6050
Email: emeainfo@barracuda.com
ix0909_000_Barracuda.indd 1
Europe, Middle East, Africa
Barracuda Networks Ltd. (UK)
Phone: +44 1256 300 100
Email: emeainfo@barracuda.com
11.08.09 10:00
ix.0909.x.01-12
07.08.2009
12:26 Uhr
Seite VI
Networking
Komfort statt Kommandozeile: Grafische Werkzeuge sollen
helfen, VPNs einfacher zu konfigurieren – hier der VPN
Security Manager von Securepoint (Abb. 4).
transparent transportiert. Auch
arbeiten IPSec-Tunnel recht
effizient, da alle Anwendungen
nur einen Tunnel benutzen und
kein weiterer Overhead für jede
einzelne Anwendung anfällt.
Andererseits benötigt IPSec
bei Host-zu-LAN-Verbindungen
auf dem Endgerät etwa unter
Windows eine spezielle ClientSoftware, die inzwischen aber
in größerer Auswahl zur Verfügung steht. Im Prinzip ist auch
die Interoperabilität zwischen
VPN-Clients und VPN-Servern
unterschiedlicher Hersteller gegeben, bei Benutzung besonderer Funktionen ist aber ein Blick
in die Kompatibilitätslisten der
Hersteller ratsam.
Auch Anwendungen
können Tunnel bauen
Einen Spezialfall von VPNs stellt
der Secure Sockets Layer (SSL)
respektive die Transport Layer
Security (TLS) dar, die häufig
nicht als vollwertige VPN-Lösung gilt. Als Application-LayerProtokoll arbeitet SSL/TLS auf
der Ebene der Anwendungsprotokolle und ist dadurch an einzelne Applikationen gebunden.
Die Entwicklung geht auf
Netscape zurück, die es Mitte
der 90er-Jahre erstmals in
ihren Browser Navigator integriert hatten. Nach der Version
3.0 (SSLv3) übernahm die IETF
(Internet Engineering Task
Force) die Weiterentwicklung
und Normung. Unter dem
VI
Namen Transport Layer Security bringt es nun eine sichere
AES- oder RSA-Verschlüsselung mit. Die aktuelle TLS-Version 1.2 stammt vom August
2008.
Heute beherrschen alle
Browser SSL/TLS. Damit stellt
das Protokoll die bei Weitem
meistgenutzte VPN-Technik
überhaupt dar. Denn die meisten
Internetnutzer übertragen – in
vielen Fällen unwissentlich –
ihre persönlichen Daten über
SSL: Alle Webdienste, die mit
vertraulichen Daten operieren,
etwa Webshops oder Banken,
bauen automatisch eine solche
Verbindung auf – vom Benutzer
oft nur durch ein kleines Hinweisfenster wahrgenommen.
Da der Secure Sockets
Layer auf der Ebene der Anwendungsprotokolle sitzt, muss
er in jedes einzelne von ihnen
integriert sein. Um SSL/TLS erweitert haben die jeweiligen
Protokolle einen neuen TCP/
UDP-Port und einen neuen
Namen mit dem Zusatz „Secure“ bekommen: aus HTTP
wurde HTTPS (HyperText Transfer Protocol Secure). Dasselbe
Schicksal erlitten inzwischen
auch andere: Die um SSL erweiterten Mail-Protokolle POP3,
IMAP und SMTP etwa heißen
nun POP3S, IMAPS und SMTPS.
Zwar benötigt man für SSL/
TLS weder separate Client-Programme noch VPN-Gateways,
dafür muss jede Software, die
einen Dienst über SSL/TLS nut-
zen oder zur Verfügung stellen
will, die Erweiterung vorweisen
– auf der einen Seite etwa
jeder Browser und Mail-Client,
auf der anderen jede Web-,
SMTP-, POP- und IMAP-ServerImplementierung.
Lösungen wie OpenVPN
schaffen es, nicht einzelne Anwendungen, sondern die gesamte Kommunikation über
TLS abzuwickeln, jedoch nur
mit einem Trick: Sie schieben
sich zwischen die – nicht-TLSfähige – Anwendung und den
TCP-Layer. Eine andere Erweiterung des TLS-Zugriffs arbeitet
mit Java-Servlets. Dabei lädt
der Browser das Servlet herunter, das meist als generischer
TCP/UDP-Proxy arbeitet und
damit auch den Zugang zu
allen UDP-fähigen Applikationen öffnet. Die Verwendung des
Browsers als Client offenbart
einen weiteren Vorteil dieses
Ansatzes: Fast jedes Endgerät
– also etwa Smartphones mit
Browser und proprietärem
Betriebssystem – lassen sich
so für den Remote-Zugriff
verwenden.
Licht und Schatten
Liest man die Vorteile von TLS,
wie Nutzung direkt aus der Anwendung heraus, kostengünstige Implementierung durch
Nutzung TLS-fähiger Server, so
stellt sich die Frage, warum es
nicht für alle VPN-Verbindungen
zum Einsatz kommt. Der Grund
liegt in den spezifischen Limitierungen: Erstens verschlüsselt
sie nur die Daten, aber nicht die
gesamte Kommunikation. Zweitens erlaubt sie nur den Zugriff
auf die Dienste, die SSL/TLS
unterstützen. Drittens erlaubt
TLS den Zugriff von jedem beliebigen und ungesicherten
Rechner aus. Das gerade macht
aber TSL für Banken und Webshops interessant: Unabhängig
von Ort und Konfiguration des
Rechners bauen die Kunden
über einen TLS-fähigen Browser
einen – anwendungsspezifischen – Tunnel zu ihnen auf.
IPSec hingegen schützt
die gesamte Verbindung und
erlaubt den Zugriff nur von Geräten oder Netzen, die dafür
autorisiert sind. Es kann Zugriffs- und Sicherheitsrichtlinien
durchsetzen und verhindert alle
Angriffsversuche wie Spoofing
oder Flooding auf das Netz.
Damit gibt es eine Daseinsberechtigung für beide Protokolle entsprechend der unterschiedlichen Anwendungsfälle:
IPSec für Firmenzugang und
-vernetzung und SSL für sichere
Internet-Transaktionen. Beide
Protokolle gelten als sicher, da
sie symmetrische Verschlüsselungsalgorithmen, Authentifizierung und Schlüsselmanagement
nutzen. Während bei IPSec
stets auf beiden Seiten Zertifikate vorliegen, ist dies bei SSL
auf Client-Seite optional. Für
mehr Sicherheit verwenden
immer mehr Webseitenbetreiber sogenannte Extended-Validation-SSL-Zertifikate (EVSSL-Zertifikat) einer externen
Zertifizierungsstelle etwa von
VeriSign. Die Stärke von Layer2-VPNs wie PPTP oder L2TP,
auch andere Netzwerkprotokolle als IP transportieren zu
können – etwa IPX –, hat
durch das fast völlige Aussterben eben dieser Protokolle an
Bedeutung verloren.
Da der Begriff VPN nicht klar
abgegrenzt ist, bezeichnen einige Publikationen auch VLANs
(Virtual LANs) als sogenannte
Intranet-VPNs. Das Unterteilen
eines LAN in mehrere virtuelle
ist Aufgabe von Layer-2-Switches, die die Datenströme auf
Portebene separieren. Damit
können sie die Datenströme
etwa von Arbeitsgruppen, Finanz- oder Personalabteilungen
auf Port-Ebene trennen und dadurch ein Abhören erschweren.
Da weder Verschlüsselung noch
Authentifizierung zum Einsatz
kommen, unterscheiden sich
VLANs jedoch grundsätzlich von
den oben beschriebenen Verfahren.
(sun/hw)
Uwe Schulze
ist Fachautor in Berlin.
iX extra 9/2009
Secure Business Connectivity
HOB RD VPN PPP Tunnel
IPsec hat ausgedient!
Voller Netzwerkzugriff – ohne Installation am Client!
Die einzigartige neue Technologie des HOB PPP Tunnels ermöglicht Clientrechnern mit Microsoft
Windows Vista, Windows 7, Apple Mac OS X und Linux einen vollständigen Netzwerkzugriff
vergleichbar mit einem IPsec VPN. Allerdings benötigt der PPP Tunnel weder Administrator-Rechte
für den User noch eine Installation von Treibern oder Software auf dem Client-System. Einzige
Voraussetzung ist ein Java-fähiger Web-Browser.
Exzellente Performance – und kompromisslose Sicherheit
Dank der integrierten Datenkompression erzielt der PPP Tunnel auch über langsame InternetVerbindungen eine überlegene Performance. Zwei-Faktor-Authentifizierung, SSL-Verschlüsselung
bis AES 256 Bit, Client Integrity Check – bei der Sicherheit müssen keine Abstriche gegenüber
IPsec gemacht werden!
besuchen Sie uns auf
der IT-Security-Messe
it-sa Nürnberg
13. – 15. Oktober 2009
Stand 320
Halle 5
Reine Software-Lösung – für alle Anforderung an Remote
Access im Unternehmen
Durch das Feature PPP Tunnel deckt die Software HOB Remote Desktop VPN nun alle
Anforderungen der verschiedenen Nutzergruppen in einem Unternehmen ab:
t Intranet und E-Mail Zugriff für alle Mitarbeiter
t Remote Desktop Zugriff für Home Office
t Voller Netzwerkzugriff für Administratoren und das Top-Management
Und das alles SSL-verschüsselt und Browser-basiert!
www.hob.de/ppp09
Die Security-Suite von HOB RD VPN ist vom BSI (Bundesamt für
Sicherheit in der Informationstechnik) nach Common Criteria zertifiziert.*
Dadurch beweist HOB, dass der Zugriff wirklich sicher ist!
*HOBLink Secure BSI-DSZ-CC-0260-2004
ix0909_x_000_HOB.indd 1
06.08.09 07:56
ix.0909.x.01-12
07.08.2009
12:26 Uhr
Seite VIII
Networking
Reine
Formsache
VPN als Hardware, Software oder
doch als Service?
Ebenso vielfältig wie die technischen Varianten von
Virtual Private Networks ist die Zahl der verfügbaren
Produkte, mit denen sich VPNs einrichten lassen.
Konkurrenz bekommen die Software- und ApplianceAnbieter zudem von Service-Providern.
nwendungsszenarien für
den Einsatz von Virtual
Private Networks (VPNs) gibt es
viele: Meist nutzt man sie aber
zur Verbindung von Firmenstandorten und für den Zugriff
von Mitarbeitern von unterwegs
A
oder zu Hause aufs FirmenLAN. Bei Ersterem, dem Siteto-Site-VPN, verbinden VPNGateways zwei oder mehrere
Firmenstandorte miteinander.
Remote-Access-VPNs verbinden den Rechner etwa eines
mobilen Mitarbeiters über das
Internet mit dem Firmennetz.
Während VPN-Clients für Remote-Access-VPNs stets als
Software auf dem Endgerät vorkommen, stehen auf der Firmennetzseite ganz unterschiedliche
Varianten der VPN-Implementierung bereit. Die einfachste Lösung stellen Appliances dar
– eine Art Blackbox, die die VPNGateway-Funktionen zur Verfügung stellt.
Mit und ohne
Schachtel
Eine andere Variante stellt die
Integration der VPN-GatewayFunktion in andere Netzkomponenten dar. Router und Firewalls
nehmen bereits eine komplexe
Datenverarbeitung vor und integrieren immer mehr Sicherheitsfunktionen. Da liegt es nahe,
den VPN-Server als Dienst direkt
darauf laufen zu lassen.
ANBIETER VON VPN-SERVICES
Die Übersicht sowohl der Anbieter als auch ihrer Leistungen erhebt keinen Anspruch auf Vollständigkeit.
Anbieter
Arcor
Baracuda Communications
BCC
BT
Claranet
Colt Telecom
Datadirect
DeTeWe Communications
Easynet
HL komm
Interoute
iPass
LambdaNet
LEW Telnet
Marcant
MIVITEC
M-net
OFM
Orange
Plus.line
Reliance Globalcom
SecurStar
Tiggerswelt
T-Systems
Verizon
Versatel
VIII
URL
www.arcor.de
www.baracudacommunications.com
www.bcc.de
www.bt.com
www.claranet.de
www.colt.de
www.datadirect.de
www.detewe-communications.de
www.easynet.de
www.hlkomm.de
www.interoute.de
www.ipass.de
www.lambdanet.de
www.lewtelnet.de
www.marcant.net
www.mivitec.de
www.m-net.de
www.ofm.eu
www.orange-business.com
www.plusline.net
www.relianceglobalcom.com
www.securstar.de
www.tiggerswelt.de
www.t-systems.de
www.verizonbusiness.de
www.versatel.de
Service
Company Net
M-VPN, MPLS
Yournet
BT MPLS
MPLS-VPN, IPSec-VPN
Colt IP VPN Corporate
IPSec- und SSL-basierte VPNs
DeTeWe.net-VPN
Managed VPN-Services
HL Private IP
DSL-, MPLS-VPN
iPass Branch Office
l-Net-VIPNet
MPLS-, IPSec-VPN
M-VPN, M-VPN SSL
VPNs
Ethernet-, IP-VPN
VPN-Connect, VPN-Security
IP-VPN
MPLS-, IPSec-, Mobile-VPN
MPLS Matrix
SurfSolo
VPN-Gateway
VPN-Basic, IntraSelect (IP-VPN)
IP-VPN Dedicated, Remote VPN
VT VPN
Neben den Hardwarelösungen findet man reine Softwarepakete für Windows, Linux und
andere Unix-Derivate. Sie lassen
dem Anwender die Freiheit der
Hardwareauswahl und eröffnen
ihm viele Konfigurationsmöglichkeiten. Benötigt man das
aber gar nicht, stellen Appliances meist die einfachere Lösung
dar, zumal die Software einschließlich benötigter Hardware
nicht immer kostengünstiger ist.
Alternativ lassen sich VPNs mit
Bordmitteln der Server-Betriebssysteme aufsetzen, etwa mit
den mitgelieferten Werkzeugen
der Linux-, Solaris- oder Windows-Server. Darüber hinaus
steht Open-Source-Software zur
Verfügung, wie das betriebssystemübergreifende OpenVPN –
unter Linux, Mac OSˇX, Windows
und unterschiedlichen Unix-Derivaten einsetzbar.
Da die VPN-Server einen
Single Point of Failure darstellen und im Fehlerfall kein Zugriff auf das gesamte Netz besteht, sollten sie redundant
ausgelegt sein oder es sollten
sich zumindest mehrere VPNGateways im Netz befinden.
Welche Lösung zum Einsatz
kommt, hängt vor allem von
den Anforderungen an Performance und Skalierung ab, aber
auch von Designaspekten.
Sucht man bei den auf Netzsicherheit spezialisierten Anbietern nach VPN-Lösungen, findet
man diese immer häufiger
unter dem Schlagwort Unified
Threat Management (UTM). Die
Hersteller wollen damit betonen, dass einzelne Sicherheitsmaßnahmen keinen ausreichenden Schutz gewähren.
Eine gute Platzierung
ist gefragt
Zu den Sicherheitsfunktionen
von UTM zählt man außer VPNs
unter anderem Firewalls, Virenschutz, Intrusion Detection and
Prevention, Content- und SpamFilter. Als Abgrenzung dazu bezeichnet man Geräte, die auf
nur eine Aufgabe spezialisiert
iX extra 9/2009
CallForPaper_iXExtra
11.08.2009
12:02 Uhr
Seite 1
Kongress-Kalender
Open Source
Meets Business
Business-Effizienz mit IT
26. – 28. Januar 2010, Nürnberg
Call for Papers
– reichen Sie Ihren Vortrag ein!
• Abgabeschluss: 31. August 2009
• Wer teilnehmen kann und wie: osmb.de
• Kongress-Updates: twitter.com/osmb2010
• Business Best Practice – wie Unternehmen mit Open Source Geschäftsprozesse unterstützen und effizienter wirtschaften
• Technology Solutions – wie Anwendungs- und Infrastruktur-Lösungen mit
Open-Source-Technik realisiert werden
• Future Technology – welche Open-Source-Software in Zukunft für Anwenderunternehmen wichtig wird
Outlook sharing & Webaccess
Fragen von Referenten:
Heinrich Seeger
hse@heise.de • 0511/ 5352-627
Fragen zu Kongresspartnerschaften:
Sarah-Sophie Hillemann
ssh@heise.de • 0511/ 5352-423
Ve
rle
ih
u
• ng
• Op de
O en r A
pe - O u
Pr n- So pe f
ei So urc n S de
sg ur e o m
u
c In eld e-U CIO rce K
fo g n d B o
s: es te es us n
w am rne J in gr
w
w. t: 7 hm ahr ess es
os 5 en es A s
w :
bf .00 d
ar
.d 0 es
ds
e E
ur Ja
an
o hr
:
es
Partner:
ix.0909.x.01-12
07.08.2009
12:26 Uhr
Seite X
Networking
sind, als Specialized Security
Appliances (SSA). Ein anderes
Marketingschlagwort für das
zentralisierte und möglichst
flexible Zugangsmanagement
zu Firmennetzen ist die Network Admission (oder Access)
Control (NAC), die sich im
engeren Sinn aber nur auf die
Zugangsberechtigungen
bezieht.
Da VPNs in Firmennetzen
den Datenverkehr von außerhalb schützen sollen, platziert
man das VPN-Gateway sinnvollerweise am Rand des eigenen
Netzes. Von dort kommend leiten die Router den Datenverkehr unverschlüsselt weiter
durch das lokale Firmennetz,
damit auch der durch den Tunnel zugreifende Mitarbeiter alle
dortigen Funktionen wie Quality of Service (QoS) nutzen
kann. Das gilt sowohl für die
Verbindung von Firmenstandorten als auch für den Zugriff
entfernter Endgeräte. Da VPNGateways den Übergang des
Firmennetzes zum Internet bilden, sind sie oft direkt auf der
Firewall oder dem Access
Router zu finden.
ANBIETER VON VPN-HARDWARE UND -SOFTWARE
Die Übersicht sowohl der Anbieter als auch ihrer Produkte erhebt keinen Anspruch auf Vollständigkeit.
Anbieter
3Com
Alcatel-Lucent
Allied Telesis
Allnet
Aruba
Astaro
AVM
Borderware
CheckPoint
Cisco Systems
Cisco CBG
Clavister
D-Link
DrayTek
Enterasys
F5
Fortinet
Funkwerk
GateProtect
Hewlett-Packard
HOB
Juniper
Lancom
Linogate
McAfee
Microsoft
Motorola
NCP
Netgear
Nortel
OpenVPN
Phion
Securepoint
Sirrix
Sonicwall
Steganos
Telcotech
TheGreenBow
Viprinet
WatchGuard
Zyxel
X
URL
www.3com.de
www.alcatel-lucent.de
www.alliedtelesis.de
www.allnet.de
www.arubanetworks.com
www.astaro.de
www.avm.de
www.borderware.com
www.checkpoint.com
www.cisco.de
www.linksys.de
www.clavister.de
www.dlink.com
www.draytek.de
www.enterasys.com
www.f5.com
www.fortinet.de
www.funkwerk-ec.de
www.gateprotect.de
www.hewlett-packard.de
www.hob.de
www.juniper.net
www.lancom-systems.de
www.linogate.de
www.mcafee.com
www.microsoft.de
www.motorola.de
www.ncp.de
www.netgear.de
www.nortel.com
www.openvpn.net
www.phion.com
www.securepoint.de
www.sirrix.de
www.sonicwall.com/de
www.steganos.de
www.telco-tech.de
www.thegreenbow.de
www.viprinet.de
www.watchguard.com
www.zyxel.de
Produkte
VPN-Router, Firewalls
VPN-Router, Firewalls
VPN-Router
VPN-Router, Firewalls
VPNs für WLANs
VPN-Gateways
VPN-Home-Router
Security-Appliances
Security-Appliances
VPN-Router, VPN-Clients, Firewalls
VPN-Home-Router
VPN-Gateways
VPN-Router, Firewalls
VPN-Router, Firewalls
VPN-Router
VPN-Gateways, VPN-Appliances
VPN-Appliances
VPN-Gateways
Security-Appliances, VPN-Clients
VPN-Server, VPN-Clients
Remote Access Software
Firewalls, Clients
VPN-Router, VPN-Clients
VPN-Server, Firewalls
VPN-Gateways, Firewalls
VPN-Software-Server
VPN-Gateways, Mobillösungen
VPN-Software, -Server und -Clients
VPN-Router, Firewalls
VPN-Router, Gateways
Open-Source-Software-Server
Security-Appliances, VPN-Gateways
Security-Appliances
VPN-Appliances
Security-Appliances
Secure VPN, Internet Anonym VPN
VPN-Router, VPN-Client, Firewall
VPN-Clients für Windows u. Mobilgeräte
VPN-Router, VPN-Client
Security-Appliances
Security-Appliances, VPN-Gateway
Separate VPN-Gateways und
Appliances sind in der Regel direkt an die Access Router angeschlossen. Größere Firmen
verfügen über mehrere VPNGateways, für deren Anordnung
die Administratoren die regionale Verteilung, Skalierung und
Verfügbarkeit als Anforderungen heranziehen.
Greift ein entfernter, per VPN
ans Firmennetz angeschlossener PC auf Sites des öffentlichen Internets zu, könnte er den
direkten Weg gehen oder über
das VPN. Auch wenn Letzteres
auf den ersten Blick umständlich erscheint, ist es trotzdem
immer zu empfehlen: Zum
einen gehen die Daten den
ersten Teil des Weges – vom
eigenen Internetzugang zum
Firmennetz – über die verschlüsselte Leitung, was insbesondere bei Nutzung eines
WLANs die Sicherheit erheblich
erhöht. Zum anderen passiert
der Datenverkehr danach stets
die Firewall der Firma, sodass
alle dort implementierten
Schutzmechanismen greifen
können, etwa Virenschutz oder
Intrusion Detection.
Alles wie zu Hause
Ein Nebeneffekt aus der vollständigen Kapselung des IPHeaders ergibt sich in Bezug auf
die IP-Adressen. Sichtbar ist
nicht mehr die ursprüngliche,
meist vom Provider vergebene,
sondern nur die beim Aufbau
des VPN zugewiesene Adresse.
Dies kann in Einzelfällen zu Problemen führen, wenn ein Dienst
die IP-Adresse auf Herkunft oder
bestimmte Adressbereiche überprüft. Umgekehrt lässt sich dieser Effekt aber nutzen, indem
beispielsweise die Nutzung
eines amerikanischen VPN-Anbieters zu einer amerikanischen
IP-Adresse führt. Damit lassen
sich sogenannte GeolokationsDienste umgehen und US-Websites im Original lesen.
Bleibt die Frage nach möglichen Performance-Einbußen
beim Einsatz von VPNs. Die
iX extra 9/2009
ix.0909.x.01-12
07.08.2009
12:26 Uhr
Seite XI
Networking
Praxis zeigt, dass die heutige
Hardware genug Rechenleistung zur Verfügung stellt, um
die VPN-Verschlüsselung für
den Anwender unbemerkt
durchzuführen. Beim Zugriff auf
das Firmennetz von außerhalb
ist der Durchsatz eher durch
die Internet-Zugangstechnik
wie DSL begrenzt.
Zwar lässt die technisch
nicht simple Materie vermuten,
dass VPNs ausschließlich etwas
für Firmennetze sind. Dennoch
sind sie zunehmend für Heimnetze interessant. Das erkennt
man etwa daran, dass immer
mehr Hersteller von HeimRoutern eine entsprechende
Funktion integrieren. Gründe
sind neben immer schnelleren
Internetzugängen neue Funktionen der Geräte, die sie etwa
durch Anschluss einer USBFestplatte in sogenannte Integrated Access Devices (IAD)
umwandeln. Damit kann man
zum Beispiel aus dem Internet
auf die heimische Festplatte
zugreifen, um die Urlaubsbilder
zu speichern, oder einen Blick
auf die Überwachungskamera
werfen.
Einzige Hürde stellen die
nach spätestens 24 Stunden
durch Zwangstrennung wechselnden dynamischen IP-Adressen dar. Hierfür gibt es entsprechende Lösungen wie DynDNS
(www.dyndns.de), die die jeweils aktuelle IP-Adresse auf
einem Internet-Server hinterlegen. Bietet der Heimrouter nun
noch die Funktionen eines VPNServers, kann man übers Internet so sicher auf das Heimnetz
zugreifen, als wäre man zu
Hause.
Die von AVM in die Fritzbox
integrierte VPN-Lösung kann in
dieser Hinsicht als vorbildlich
gelten, da sie nicht nur standardmäßig eine starke AES-Verschlüsselung mitbringt, sondern
auch einen Assistenten anbietet,
der die Konfiguration von Router
und Client automatisch erzeugt.
Neben einer eigenen Implementierung im Firmennetz kann
man einen VPN-Dienst komplett
iX extra 9/2009
bei einem Service-Provider einkaufen. Dies ist insbesondere
dann sinnvoll, wenn der Provider
nicht nur den Leitungszugang
zur Verfügung stellt, sondern
auch einen Managed Service,
der den Betrieb des ZugangRouters einschließt. Alle großen
Provider, die Firmenanschlüsse
im Programm haben, bieten
VPN als Managed Service an –
dazu gibt es die auf VPNs spezialisierten Anbieter.
Mein VPN, dein VPN
Neben der Vereinbarung der
Protokolle und technischer Parameter wie Durchsatz und Anzahl der Tunnel sind die Betriebsparameter zu berücksichtigen wie Verfügbarkeit,
Reaktions- und Wiederherstellungszeiten oder MonitoringTools. Denn der Betrieb und die
Verwaltung des VPN-Dienstes
obliegt dem Service-Provider.
Statt einzelne Knoten, Pfade
und Parameter festzulegen, nutzen die Service-Provider Provisionierungs-Tools, mit denen
sie lediglich die Endpunkte und
Qualitätsmerkmale definieren
und daraus eine automatische
Konfiguration der Netzelemente
erstellen. Einige Provider stellen
sie dem Kunden auch direkt zur
Verfügung (Self-Provisioning).
Eine VPN-Service-Lösung befreit also nicht gänzlich von
technischem Know-how, sie ist
aber gegenüber einer Eigenrealisierung deutlich flexibler in
Bezug auf Erweiterungen oder
Änderungen.
Eine Besonderheit stellen
MPLS-VPNs (Multi Protocol
Label Switching) dar, die ausschließlich Service-Provider –
zumal mit eigener IP/MPLS-Infrastruktur – liefern können.
MPLS hat sich zum Standard
etabliert; Service-Provider nutzen es, um den IP-Verkehr in
ihren riesigen IP-Netzen effektiv
abzuwickeln: Statt dass jeder
Router jedes Paket aufs Neue
prüft, versieht einer am Rand
(Edge) des Netzes die Pakete
mit einer Markierung (Label),
wodurch alle Pakete aus einer
Sitzung in denselben Datenstrom gelangen. Damit arbeitet
MPLS wie mit Tunneln und bietet sich für die Nutzung als VPN
an. Der Vorteil von MPLS-Netzen besteht vor allem darin,
dass sie für bestimmte Dienste
eine Durchsatzgarantie geben
können, indem sie unterschied-
liche Datenströme (etwa Video
oder Voice over IP) gesondert
behandeln (CoS, Class of Service) und priorisieren können.
MPLS-VPNs eignen sich gut
für die Verbindung von Firmenstandorten, die etwa Telepresence und/oder IP-Telefonie im
Einsatz haben. Für den Kunden
stellt sich ein MPLS-VPN wie
eine Standleitung dar, und da
diese ausschließlich durch das
abgeschottete Provider-Netz
läuft, bietet es auch ohne Verschlüsselung bereits eine gewisse Datensicherheit. Besser
ist allerdings eine Kombination
mit IPSec zur Datenverschlüsselung – auch deshalb, weil
MPLS nur innerhalb des Netzes
des Service-Providers zur Verfügung steht.
Aus Carrier-Sicht ist MPLS
auch das Mittel der Wahl, um
alte Plattformen zu migrieren,
bietet es doch die Möglichkeit,
über sogenannte Virtual Private
Wire Services auch Tunnel für
ATM- und Frame-Relay-Daten
oder direkt Ethernet-Pakete
über das IP-Netz zu schalten.
Zudem erleichtert CoS die Migration bisher separater Voiceund Video-Netze.
(sun/hw)
Uwe Schulze
In iX extra 10/2009
Embedded Systems – Automotive Computing
Das Auto ist längst zur Hightech-Maschine geworden. Unter
der Motorhaube steuern eingebettete IT-Systeme große Teile
dessen, was mit dem Fahren zu
tun hat.
iX extra gibt einen Überblick
über die Aktivitäten von Auto-
mobilherstellern und High-TechUnternehmen: Entwickler von
Embedded-Systemen müssen
branchenspezifische Sicherheitsvorkehrungen einhalten;
mit speziellen Testwerkzeugen
können sie ihre Steuergeräte
prüfen. Standardisierte Bussys-
teme ermöglichen eine zunehmende Vernetzung von Einzelsystemen. Infotainment-Plattformen sollen eine umfassende
Kommunikation ermöglichen.
Erscheinungstermin:
17. September 2009
DIE WEITEREN IX EXTRAS:
Ausgabe
Thema
Erscheinungstermin
11/09 IT-Security
On- und Offline-Verschlüsselung
15.10.09
12/09 Storage
Solid State Disks
19.11.09
01/10 Networking
Hosting-Provider – Service und Kosten
17.12.09
XI
P_VPN_200x280_0809_RZ:RZ
04.08.2009
12:06 Uhr
Seite 1
. . .
c o n n e c t i n g
y o u r
b u s i n e s s
VPN von LANCOM.
Das Beste für Ihr Netz!
Hochverfügbarkeit, Virtualisierung, Kostenkontrolle, Voice – bei
VPN geht es heute um mehr als „nur“ die sichere Vernetzung von
Standorten.
Mit VPN Routern, Gateways und Clients von LANCOM erfüllen
Sie spielend alle Anforderungen. Ganz egal, ob für HomeOffices,
mobile User, mobile Netzwerke oder Tausende von Filialen.
LANCOM 1751 UMTS
Von „One-Click-VPN“ und dem praktischen Budget-Manager im
VPN Client über den UMTS-Router mit Hochverfügbarkeitsgarantie bis zum neusten VPN Gateway mit ungekannter
Performance – LANCOM vernetzt Standorte schnell und sicher,
über alle DSL-Anschlüsse, WLAN oder UMTS.
Die
ver Hochkei fügbar
garts- ant
ie!
VPN von der deutschen Nummer EINS! Exzellenter Service
& kostenlose Updates inklusive.
LANCOM TS:
M
1751 U ter
u
o
R
VPN
L2+
S
D
A
t
mi
T
M S
und U
www.lancom.de