Inhaltsverzeichnis

Inhaltsverzeichnis   I

Abbildungsverzeichnis   III

Einleitung   1

1  Bedeutung von VPN für Unternehmen  3

2  Grundlagen  6

2.1  Computernetzwerke und ihre Übertragungstechniken  6

2.1.1  Unterscheidung der Netze  6

2.1.2  Ethernet  7

2.1.3  Wireless LAN  7

2.1.4  IrDA  8

2.1.5  Bluetooth  8

2.1.6  Der Mobilfunkstandard GSM2  8

2.1.7  Mobilfunkerweiterungen GSM2  9

2.1.8  UMTS  10

2.1.9  Integrated Services Digital Network (ISDN)  10

2.1.10  Digital Subscriber Line (xDSL)  11

2.2  TCP/IP und das OSI Referenzmodell  12

2.2.1  Das Referenzmodell ISO/OSI  12

2.2.2  TCP/IP im OSI Modell  13

2.3  Die 4 Schichten von TCP/IP  14

2.3.1  Low-Level-Protokolle der Netzwerkschicht  14

2.3.2  Die Internetschicht mit dem Internet Protokoll  15

2.3.3  TCP und UDP auf der Transportschicht  16

2.3.4  Die Anwendungsschicht  16

INHALTSVERZEICHNIS II

2.4  Betriebswirtschaftliche Grundlagen  17

2.4.1  Kosten  17

2.4.2  Quality of Service  18

2.4.3  Sicherheitsanforderungen  20

3  Das Virtuelle Private Netzwerk  22

3.1  Was ist ein Virtuelles Privates Netzwerk  22

3.2  Sicherheitsanforderung an VPN’s  23

3.3  Formen von VPN  24

3.4  Tunneling  25

3.4.1  Layer 2 - Tunneling Protokolle  26

3.4.2  Layer 3 - Tunneling Protokoll IPsec  29

3.5  Weitergehende Sicherungsmaßnahmen  32

3.5.1  Der Network Access Server  32

3.5.2  Benutzer Authentisierungsverfahren  33

3.5.3  Verschlüsselungsverfahren  34

4  VPN-Formen in praktischen Beispielen  37

4.1  PPP-Einwahl auf Tunnel zwischen NSP und Unternehmen  38

4.2  SecurePPP-Einwahl auf Tunnel zwischen NSP und Unternehmen  40

4.3  Direkter Tunnel vom Enduser zum Unternehmen über NSP  41

5  Betriebswirtschaftliche Abwägungen  44

Schlusswort   46

Abk  ürzungsverzeichnis  47

Literaturverzeichnis   51

Buchquellen   51

Internetquellen   51

Bilderquellen   52

Abbildungsverzeichnis   

2.1  Vier-Schichten Modell von TCP/IP  13

2.2  Vergleich OSI Modell - TCP/IP Modell  14

2.3  Qualitätsanforderung einzelner Anwendungen  19

3.1  Positionierung von SSL im TCP/IP Modell  24

3.2  Unterschied Layer 2 - Layer 3 Tunnelingprotokolle  24

3.3  Encapsulation von einem IP Datenstrom  26

3.4  Der Tunnelheader bei L2TP  27

3.5  Der Tunnelheader bei PPTP  28

3.6  Protokollaufbau bei IPsec (in Anlehnung an 1 , S. 560)  29

3.7  Formen von IPsec (in Anlehnung an 1 , S. 576)  31

4.1  Fallbeispiel PPP-Einwahl mit PPTP-Tunnel zwischen NSP und NAS  39

4.2  Fallbeispiel PPP-Einwahl mit IPsec und Tunnel zwischen NSP und NAS  41

4.3  Fallbeispiel IPsec-Tunnel über Wireless LAN vom Client bis zum Gateway  43

Einleitung

Information ist für einen globalisierten Markt ein wichtiges Instrument, um als Unternehmen bestehen können. Auch für viele Privatpersonen scheint es unabdingbar zu sein jederzeit an Informationen zu gelangen. Die derzeit größte Informationsquelle ist das Internet. Es ist jedem zugänglich und macht es möglich mit weit enfernten Stellen zu kommunizieren. Viele Hersteller von technischen Geräten haben sich die Befriedigung des Dranges nach Mobilität zur Aufgabe gemacht. So findet man eine Vielzahl an Lösungen auf dem Markt, angefangen mit einem Mobiltelefon über PDA bis zum MDA oder Notebook. Eine Grenzziehung zwischen den Kategorien ist heute sehr schwierig, da fast alle Geräte Funktionen aus anderen Bereichen enthalten. Standards haben dafür gesorgt, dass eine gewisse Kompatibilität zwischen den Lösungen besteht und eine Kombination von Geräten zwecks Datenaustausch, seien es Adressdaten, E-Mails, Bilder, MP3-Dateien oder anderen Daten existiert. Es ist heute kein Problem mehr, mit einer digitalen Kamera Bilder auf ein Notebook per Infrarotverbindung zu übertragen oder MP3- Dateien per Bluetooth auf einen PDA zu spielen, um ihn als Walkman zu benutzen. All diese schönen Möglichkeiten stellen aber in der Regel keine hohen Anforderungen hinsichtlich der Sicherheit der Daten, da sie hauptsächlich für die Privatperson als Endconsumer entwickelt wurden. In diesem Falle mag Sicherheit keine bedeutende Rolle spielen. Für Unternehmen aber, die immer bestrebt sind ihren Konkurrenten gegenüber einen einzigartigen Marktvorteil zu haben, stellt dieser ungenügende Datenschutz dagegen ein existenzielles Problem dar. Virtuelle Private Netzwerke stellen eine Lösungsmöglichkeit, speziell zur Extraneterweiterung dar. Unter Zuhilfenahme von speziellen Protokollen und Verschlüsselungsverfahren kann eine Abschottung der eigenen Daten gegenüber Unberechtigten erreicht werden. Diese Arbeit geht besonders auf die am häufigsten verwendeten und vorkommenden Netzwerktechnologien ein. Es wird davon ausgegangen, dass bei den häufigsten VPN-Anwendungen das öffentliche Internet, als mehr oder weniger physisches Medium, der Übertragung privater Daten dient. Deshalb bauen nachfolgende Ausführungen auf dem Internetprotokoll auf. Eine Einwahl bei einem Internet Service Provider wird damit, egal

EINLEITUNG

welche Übertragungstechnologie benutzt wird, zur Prämisse. Für die tatsächlichen Tunneltechnologien wurden nur die drei Protokolle L2TP, PPTP und IPsec betrachtet, weil diese am weitesten verbreitet sind und auch für Heimanwender zur Benutzung bereitstehen. Eine Betrachtung des Aufbaus und der Funktionen dieser Protokolle ist für das technisches Verständnis der VPN- Technologie zwingend notwendig. Die betriebswirtschaftlichen Entscheidungen für oder gegen eine Variante werden stark von der Funktionsweise der Protokolle beeinflusst. Hierbei müssen aber auch andere wirtschaftliche Parameter hinzugezogen werden, um Aussagen über die Fähigkeit des Einsatzes eines Protokolls in einer bestimmten Umgebung zu treffen. Die Vielzahl der Geräte und deren Kombinationsmöglichkeiten durch unterschiedliche Übertragungs- und VPN-Technologien, führen dazu, dass es keine universelle Lösung gibt. Deswegen wurde versucht wichtige technische und wirtschaftliche Aspekte zu beleuchten, die Einflussfaktoren für die Auswahl sind. Es geht dabei hauptsächlich um Schutzwürdigkeit von Daten, Leistungsfähigkeit der Endgeräte und Umfang, der zu nutzenden Anwendungen. Dabei fließt die Option des Zwischenschaltens eines Externen, dem Netzwerk Service Providern, in die Entschei- dungsfindung mit ein.

Kapitel 1

Die Bedeutung von RAS und VPN für

Unternehmen

Individuelle Informationsverarbeitung erlangte in den letzten Jahren wachsende Bedeutung. So waren noch vor einigen Jahren in Büros, an jedem Schreibtisch ein PC mit Drucker zu finden. Der Kostenaufwand für all diese Geräte wurde immens. Als Alternative wurde das Ressourcen-Sharing betrachtet. Anfängliche Beispiele dafür waren die gemeinsame Nutzung von Druckern oder Plottern. Die Vernetzung kompletter Rechnersysteme war ein weiterer Entwicklungsschritt. Netzwerke wurden ein sehr wichtiges Thema, wenn es um effiziente Nutzung von EDV-Anlagen ging. Es konnten nun entfernte Rechnersysteme zu einem Gesamtnetzwerk zusammengeschlossen werden. Dieser Boom in der Netzwerktechnologie brachte die unterschiedlichsten Lösungen auf den Markt. Es wurde nach und nach immer wichtiger, Standards für Netzwerke und Protokolle zu finden, um verschiedene Systeme problemlos miteinander verbinden zu können. Heute hat die Kommunikation für Unternehmen eine solche Bedeutung erlangt, dass sie über deren Fortbestehen entscheiden kann. Die Entwicklungen im Bereich der Computertechnologie, speziell im Bereich Netzwerktechnologie, resultieren zum großen Teil aus betriebswirtschaftlichen Anforderungen. In einer Marktwirtschaft herrscht, bei polypolistischen Marktstrukturen, das Modell der vollständigen Konkurrenz. Eine volkswirtschaftliche Grundlage für dieses Modell ist die vollständige Information über Kunden, Konkurrenten, Preise der Pro-duktionsfaktoren und Produkte sowie deren Mengen am Markt. So ergibt sich aus dem primären Unternehmensziel der Gewinnmaximierung auch das Teilziel, vollständige In-formationen über alle Marktakteure zu haben. Zur Erfüllung dieses, meist nicht bewusst wahrgenommenen Ziels, müssen die richtigen Informationen, dem berechtigten Empfän- ger jederzeit und an jedem Ort zur Verfügung stehen. Besonders in Zeiten der Globalisie-

KAPITEL 1. BEDEUTUNG VON VPN FÜR UNTERNEHMEN

rung der Märkte, muss dies kurzfristig über große Entfernungen möglich sein. Hierbei ist der Sicherheitsaspekt der eigenen Daten keinesfalls zu vernachlässigen, da andere Marktteilnehmer ebenfalls diese Unternehmensziele verfolgen. Die technischen Grundlagen dafür sind Netzwerke mit hoher Bandbreite und Sicherheit bei der Übertragung, um Dienste wie Webanwendungen, Echtzeitkommunikation, Electronic Mail oder Client-Server Applikationen wie Groupware oder Datenbanken auf weit verteilten Systemen zuverlässig zu bewerkstelligen. Mit moderner Netzwerktechnologie kann der Begriff Ressourcensharing in einem neuen Kontext gesehen werden. Der Begriff Ressource soll sich nun nicht mehr nur auf Peripheriegeräte, sondern auch auf Softwareprodukte ¹ sowie den Faktor Mensch als unternehmerischen Funktionsträger beziehen. Das

Gerade die Globalisierung der Märkte macht es für viele Unternehmen unabdingbar ihren Betätigungsbereich weltweit präsent zu machen, ob physisch oder virtuell im Internet. Große lokale Unterschiede zwischen Kommunikationspartnern müssen überwunden werden. Dabei hilft besonders das öffentliche Internet. Um aber den Datenschutzbestimmungen genüge zu tun, muss man auf eine Benutzung gesichterter Netze zurückgreifen, wenn wichtige Unternehmensdaten bspw. zwischen zwei Betriebsteilen ausgetauscht werden sollen. Die Kommunikation zwischen Systemen muss abgeschirmt sein, um die ablaufenden Prozesse der Systeme einwandfrei und ohne äußerliche Störeinflüsse zu ermöglichen. Datenschutz betrifft aber nicht nur die Kommunikation, sondern auch die Datenhaltung. Für Unternehmen ist der Schutz der betriebswirtschaftlichen Informationen überlebenswichtig. Außer, dem im schlimmsten Falle auftretenden Informationsverlust, könnten Unternehmen zusätzlich ihr Image schädigen. Wird bekannt, dass es Löcher im Sicherheitssystem des Unternehmensnetzes gibt, wird schnell daraus geschlossen, dass im gesamten Unternehmen alles so lax gehandhabt wird, wie die Sicherheit. Am Einfachsten wäre es daher, alle brisanten Daten isoliert und ohne Zugriffsmöglichkeit aus dem Internet zu speichern. Diese Art und Weise schränkt aber die Datenverfügbarkeit sehr ein, denn nicht alle Mitarbeiter haben jederzeit die Möglichkeit direkt auf das private Unternehmensnetz zuzugreifen. Heimarbeiter oder Mitarbeiter im Außendienst benötigen den Zugriff auf ihre Daten von überall auf der Welt. Virtuelle Private Netzwerke machen es möglich, über ein öffentliches Netz ein privates Netz zu erstellen. So können Mitarbeiter oder Unternehmenspartner, wie Lieferanten oder Berater, von außerhalb des Unternehmens direkt über Internet und das Telefonnetz auf wichtige Daten zugreifen. Dabei ist auch hier der Datenschutz nicht zu vernachlässigen. Die Datenübermittlung über das öf-

¹ Client / Server - Anwendungen

KAPITEL 1. BEDEUTUNG VON VPN FÜR UNTERNEHMEN

fentliche, jedem zugängliche Netz muss gegen unberechtigte Zugriffe geschützt werden. Dabei helfen Firewalls, Authentisierungsmechanismen, Verschlüsselung und Tunnelprotokolle. Aber auch für Administratoren oder Help Desk Mitarbeiter ist es wichtig auf ferne Systeme zugreifen zu können, um kostengünstig und schnell Fehler zu beheben. Zusammenfassend lässt sich sagen, dass moderne Unternehmen ohne Netzwerke, egal ob private oder öffentliche, keine Möglichkeit haben, den raschen Veränderungen der globalen Märkte zu folgen und zu agieren. Computernetzwerke helfen, mit den entsprechenden Diensten, die inner- und außerbetrieblichen Abläufe in Hinblick auf Reaktionsgeschwindigkeit und Qualität zu verbessern. Technologien wie VPN ermöglichen RAS Zugriff und somit eine hohe Datenverfügbarkeit, unabhängig von Ort und Zeit. Die richtig eingesetzte VPN Technologie bietet einen Lösungsansatz entsprechende Verbindungen herzustellen, den Secure Mobile Access.

Kapitel 2

Technische und betriebswirtschaftliche

Grundlagen

Netzwerke und deren Protokolle bilden die Grundlage für die Kommunikation zwischen Rechnern. Bei der Frage, welches Netzwerk oder Protokoll in einem Unternehmen zum Einsatz kommen soll, muss zwischen standardisierten und nicht standardisierten Technologien unterschieden werden. In vielen Unternehmen werden oft nur standardisierte Protokolle und Netzwerktechnologien eingesetzt, um nach außen ein möglichst kompatibles System zu besitzen. Aufgrund der Tatsache, dass sich bestimmte Gremien, als Meinungsführer, schon mit einer Technologie befasst haben, ist ein weiterer Grund für die Benutzung von Standards gegeben. Es wird eine Art der Sicherheit impliziert, die bei nicht standardisierten Technologien durchaus auch gewährleistet ist. Die häufigsten Standards basieren auf der TCP/IP-Protokollfamilie, die weltweit anzutreffen ist und rücken somit in die nähere Betrachtung.

2.1 Computernetzwerke und ihre Übertragungstechniken

2.1.1 Unterscheidung der Netze

Eine grobe Differenzierung der Computernetze erfolgt nach ihrem Erstreckungsbereich und Nutzerspektrum. Es gibt einerseits öffentliche Netze, wie das Global Area Network, dessen typischster Vertreter das jedem zugängliche Internet ist. Auf der anderen Seite gibt es die privaten Netze, welche mit abnehmender Ausdehnung wie folgt unterteilt werden können: Wide Area Networks, Lokal Area Networks und Personal Area Networks. Es bleibt noch das Metropolitan Area Network zu nennen, welches eine Mischform dar-

KAPITEL 2. GRUNDLAGEN

stellt. Die Grenzen der oben genannten Aufzählungen sind fließend. Eine Unterscheidung der Arten ist dadurch nicht exakt möglich. Dabei erfolgt der Informationsaustausch auf physisch unterschiedlichen Medien und bildet eine Grundlage für TCP/IP.

2.1.2 Ethernet

Ethernet, als Standard, basiert aus physikalischer Sicht auf der Bus-Topologie und wurde in den 80er Jahren von der IEEE im Standard 802.3 festgelegt. Haupteinsatzgebiet von Ethernet sind lokale Netzwerke. Deshalb ist diese Form hauptsächlich für Remote Access Verbindungen sinnvoll. Das Ethernet kann als Kabelverbindung mit genau zwei zu terminierenden Enden gesehen werden. Der Zugriff auf das Computersystem erfolgt über den sogenannten Transceiver, der in der Regel durch die Netzwerkkarte repräsentiert wird. Die Kabelbezeichnung ist nach dem Modell XbaseY gewählt, wobei X für die Übertragungsgeschwindigkeit steht. Bei Ethernet können das 10, 100 oder 1.000Mbit/s sein. Das Y bezeichnet die Länge des Kabelstrangs, die sich aus der angegebenen Zahl multipliziert mit 100 ergibt. Y kann aber auch für andere Bezeichnungen, so zum Beispiel F für Fibre Optic, also Glasfaserkabel stehen. Als Kabeltypen werden 100BaseT, 100BaseTX, 100BaseFX oder 100BaseT4 verwendet. Die Unterscheidung der Typen liegt in der Anzahl einzelner Adern und Anschlusstypen. Als weitere Spezifizierung kann man Gigabit Ethernet nennen. Diese Art des Ethernet ist in Bezug auf die Verbindungsschicht des ISO/OSI Referenzmodells dem Standard IEEE 802.3 gleich. Aufgrund physikalischer Probleme musste allerdings die erste Schicht (Physical Layer) angepasst werden, um 1Gbit/s Übertragungsraten auf Kupferkabel bzw. Glasfaserkabel zu realisieren. Dazu wurden 1999 die Standards 802.3z für Glasfaser und 802.3ab für Gigabit Ethernet über Kupferkabel geschaffen. Abschließend lässt sich sagen, dass Ethernet eine Verbindung physikalischer Medien mit sehr hohem Datendurchsatz darstellt. Dies ist ein Grund für die starke Verbreitung bei Netzwerken.

2.1.3 Wireless LAN

WirelesLAN stellt einen eigenen Standard dar und ist im IEEE 802.11 definiert. Anhand der Bezeichnung wird erkennbar, dass es sich um eine, dem klassischen Ethernet (802.3) ähnliche Form handelt. Wireless LAN bietet deutliche Kostenvorteile im Aufbau von drahtlosen Netzwerken, da keine Investition in statische Vernetzungen notwendig ist und eine Flexibilität hinsichtlich einer lokalen Anpassung. Wie auch Ethernet ist WLAN auch in den Schichten 1 und 2 des OSI Modells definiert. Dabei können die darüberliegenden