- III -

4  VPN-Protokolle  18

4.1  VPN der ISO/OSI-Schicht 2.  19

4.1.1  L2F: Layer-2-Forwarding Protocol  20

4.1.2  PPTP: Point-to-Point-Tunneling Protocol.  21

4.1.3  L2TP: Layer-2-Tunneling-Protokoll  22

4.1.4  L2Sec: Layer-2 Security Protocol  25

4.2  VPN der ISO/OSI-Schicht 3: Das IP-Security Protocol (IPSec)  25

4.3  VPN der höheren ISO/OSI-Schichten.  31

5  Kosten eines IP-VPN  31

6  Die Gegenwart und Zukunft von VPN-Lösungen.  34

Anhang VIII   

Literaturverzeichnis   XI

- IV - Abkürzungsverzeichnis

AAA Authentifizierung

Autorisation Accounting

Abb. Abbildung EU Europäische Union

AH Authentication Header f. folgende

ATM Asynchronous Transfer FDDI Fibre Distributed Data

Mode Interface

bzw. beziehungsweise ff. fortfolgende

CHAP Challenge Handshake FR Frame Relay

Authentication Protocol

GByte Gigabyte

CN Corporate Network

CUG Closed User Group

DDV Datendirektverbindung

DES Data Encryption Standard

DFÜ Datenfernübertragung

DHCP Dynamic Host Control

Protocol

i.e.S. im engeren Sinne

DiffServ Differentiated Services

i.V.m. in Verbindung mit

DNIS Dialed Number Information

String IDEA International Data

Encryption Algorithm

DSA Digital Signature Algorithm

DSCP Differentiated Service Code

Point

IKE Internet Key Exchange

DSS Digital Signatur Standard

inkl. inklusive

DWDM Dense Wave Division

Multiplexing IP Internet Protocol

EAP Extensible Authentication IPSec Internet Protocol Security

Protocol

IPv4 Internet Protocol Version 4

engl. englisch

IPv6 Internet Protocol Version 6

ENX European Automotive

Network Exchange

- V -ISAKMP Internet Security Association o.g. oben genannt

and Key Management

Protocol

ISDN Integrated Services Digital

Network

ISO International Standards

PC Personal Computer Organization PKI Public Key Infrastructure ISP Internet Service Provider POP Point of Presence IT Informationstechnologie PPP Point-to-Point-Protocol ITSEC Information Technology

Security Evaluation Criteria

ITU-T International

Telecommunication Union

QoS Quality of Service

IuK Information und

RA Remote Access Kommunikation

kb/s Kilobit pro Sekunde

L2F Level 2 Forwarding

RFC Request for Comment

L2Sec Level 2 Security

RSA Rivest, Shamir, Adlemann

L2TP Level 2 Tunneling Protocol

RSVP Resource Reservation

Protocol LAC L2TP Access Concentrator S. Seite LAN Local Area Network s.o. siehe oben LCP Link Control Protocol SA Security Association LNS L2TP Network Server

Mbit/s Megabit pro Sekunde

MD4 Message Digest 4

MD5 Message Digest 5

MPPE Microsoft Point-to-Point

SigV Signaturverordnung Encryption SLA Service Level Agreements MS-CHAP Microsoft Challenge-Handshake Authentication

SPD Security Policy Database Protocol SPI Security Parameters Index NAT Network Adress Translation

- VI -SSL Secure Socket Layer

SSV Standardfestverbindung

Std. Stunden

TACACS Terminal Access Controller

Access Control System

TAN Transaktionsnummer

TCO Total Cost of Ownership

TCP Transmission Control

Protocol

TLS Transport Layer Security

TOS Type-of-Service

u.a. unter anderem

UDP User Datagram Protocol

vgl. vergleiche

VPN Virtual Privtate Network

z.B. zum Beispiel

- VII -

Abbildungsverzeichnis   

Abb.  1: Verschiedene Einsatzbereiche von VPN  

Abb.  2: Ein Vergleich der prognostizierten Entwicklung von Frame-Relay- und IP-VPN  

  (Quelle: The Yankee Group, 2001)  

Abb.  3: Schema für informationstechnische Sicherheitsdienste.  

Abb.  4: Dreistufige Authentifizierung mittels CHAP  

Abb.  5: Die Priorität der Anforderung verschiedener Applikationen an die QoS.  

Abb.  6: Die drei Tunneling-Modelle im Vergleich.  

Abb.  7: L2TP-Paketaufbau.  

Abb.  8: Prinzip eines L2TP-Tunnels, über den eine PPP-Verbindung vom PC-Endgerät  

bis  zum Gateway des Unternehmens aufgebaut wurde  

Abb.  9: Paketaufbau mit IPSec  

Abb.  10: Diffie-Hellmann-Schlüsselaustausch (Y H1 , Y H2 ) zwischen zwei Host-Systemen  

  (H1, H2) mit globalen Parametern (g, p) und geheimen Schlüsseln X H1 und X  

Ermittelter  Sitzungsschlüssel ist (K K H1 K H2 )  

- 1 - 1Einleitung

Ohne Zweifel kann sicherlich gesagt werden, dass die Internationalisierung der Märkte stetig zunimmt. Diese Tendenz beeinflusst die Verflechtungsstärke der Unternehmen untereinander (vertikal und horizontal) als auch zwischen Unternehmensteilen. ¹ Hinzu kommt der verstärkte Einsatz von verteilten Anwendungen ² und die Bildung von Arbeitsgemeinschaften aus räumlich verteilt angesiedeltem Personal. ³ E inhergehend steigen die Anforderungen an die benötigten Kommunikationsmittel: Immer größere Datenmengen müssen in kürzerer Zeit weltweit schnell, flexibel und kostengünstig zwischen den Kommunikationspartnern ausgetauscht werden.

Um eine solche hochintegr ierte Kommunikationsstruktur zu erreichen, müssen die bislang nach außen abgeschotteten lokalen Netze der einzelnen

Kommunikationspartner, die ursprünglich zur gemeinsamen Nutzung zentraler Ressourcen und Zusammenarbeit lokaler Arbeitsgruppen angelegt wurden, miteinander verbunden werden. Einerseits stellt sich dabei die Frage der Sicherheit des Datenaustausches und andererseits die der dadurch entstehenden Kosten. ⁴ Eine Möglichkeit zur Optimierung der beiden Zielgrößen Sicherheit und Kosten i.V.m. den weiter oben genannten Anforderungen an Flexibilität und Performance stellt die Nutzung von so genannten VPN (Virtual Private Networks) dar.

Da es in der Literatur keine eindeutige Definition des Begriffs VPN gibt, soll an dieser Stelle als Arbeitsdefinition die Auslegung von Böhmer genutzt werden:

„Ein virtuelles privates Netz (VPN) ist ein Netz von logischen Verbindungen zur Übermittlung von privaten Daten/ Informationen bzw. Datenverkehr. Eine logische Verbindung ist eine Netzverbindung zwischen einem Sender und einem Empfänger, bei der der Weg der Informationen und die Bandbreite dynamisch zugewiesen werden.“ 5

¹ Vgl. Böhmer, W. (2002), S. 3

² Vgl. a Campo, M. (2001), S. 44

³ Vgl. Böhmer, W. (2002), S.

⁴ Vgl. Lienemann, G. (2002), S. 17

⁵ Böhmer, W. (2002), S.8

- 2 -Unter privatem Datenaustausch versteht Böhmer, dass Integrität und Vertraulichkeit der übertragenen Daten gewahrt bleiben. Nicht in die Definition aufgenommen hat Böhmer die Zugriffskontrolle und Authentifizierung als Bestandteil eines VPN, da er diese als systemimmanent ansieht. 6

Aufbauend auf der angeführten Definition werden in den nächsten Kapiteln zunächst Grundlagen und Einsatzgebiete von VPN erläutert. Daran anschließend folgen Anforderungen an die Technologie und deren Möglichkeiten zur Erfüllung. Abschließend folgen eine Kostenbetrachtung und Überlegungen zur weiteren Entwicklung von VPN.

2 VPN-Einsatzbereiche und mögliche Kommunikationsplattformen

Aus der o.g. Definition des Begriffs VPN geht hervor, dass zwei Kommunikationspartner über logische Verbindungen Daten austauschen. Die verschiedenen Kommunikationspartner und die zwischen ihnen möglichen Kombinationen sowie die daraus resultierenden spezifischen Anforderungen an das VPN werden in Kapitel 2.1 näher betrachtet. Dabei wird von der eigentlichen Kommunikationsplattform abstrahiert, da diese in Kapitel 2.2 in ihren Ausprägungsformen näher betrachtet wird.

2.1 Einsatzbereiche von VPN und ihre Anforderungen

Bereits in der Einleitung wurden die verschiedenen Einsatzbereiche für VPN angedeutet. Wie in Abb. 1 dargestellt, kann ein VPN als Intranet-VPN (z.B. zur Anbindung einer Filiale an die Firmenzentrale; auch: Site-to-Site-VPN), Extranet-VPN (z.B. zum Datenaustausch zwischen einem Unternehmen und seinem Zulieferer oder Kunden; auch: End-to-End-VPN) oder als Remote-Access-VPN (z.B. als Einwahlmöglichkeit eines reisenden Vertriebsmitarbeiters an das IKS der Firma oder die Anbindung von Heimarbeitsplätzen; auch: End-to-Site-VPN) aufgebaut werden. ⁷ Nicht in Abb. 1 dargestellt, aber ebenfalls möglich, ist der Aufbau eines VPN innerhalb eines lokalen Netzes, z.B. zum sicheren Austausch von sensiblen Daten zwischen den Mitgliedern der Geschäftsleitung.

⁶ Zu den Ausführungen dieses Absatzes vgl. Böhmer, W. (2002), S.8

⁷ Vgl. Lipp, M. (2001), S. 37 ff.

Kombinationen aus den oben genannten Anwendungsformen sind möglich, wodurch der Komplexitätsgrad der Installation jedoch steigt. Jede einzelne

Anwendungsmöglichkeit stellt besondere Anforderungen an das VPN.

2.1.1 Intranet-VPN

Ein Intranet-VPN dient lediglich der sicheren Übertragung von Daten zwischen zwei LAN-Standorten über ein unsicheres öffentliches Netz. Die Verschlüsselung der Daten ist also nur zwischen den VPN-Gateways/ Firewall-Systemen der beiden Standorte von Bedeutung. ⁹ Gleiches gilt für die Authentifizierung. Ein so aufgebautes VPN stellt also keine Anforderungen an die Clients eines jeden Standortes und bietet somit eine hohe Transparenz.

2.1.2 Extranet-VPN

Ein Extranet-VPN stellt hingegen erheblich höhere Anforderungen an die Clients. Hierzu stelle man sich die Kooperation der Forschungsabteilungen eines Automobilherstellers und seines Zulieferbetriebes vor (z.B. ENX: European Automotive Network Exchange). ¹⁰ Es reicht nicht mehr aus, die reine Datenübertragung

⁸ Böhmer, W. (2002), S. 212

⁹ Vgl. Hansen, H.R. (2001), S. 1270

¹⁰ Vgl. a Campo, M. (2001), S. 47