Der Mercedes unter den VPN-Protokollen ist derzeit ohne Frage IPsec. Und genau wie sein automobiles Pendant hat es seinen Preis.
Im Gegensatz zu PPTP und L2TP wurde IPsec, dessen Basis in RFC 2401 zu finden ist, nicht mit dem Ziel entwickelt, den Fernzugriff auf ein lokales Netz zu ermöglichen. Es handelt sich auch nicht um ein Protokoll, sondern wie der vollständige Name „Security Architecture for IP“ verdeutlicht, um eine komplette Architektur. Sie soll eine ganze Reihe von Sicherheitsdiensten für die Protokolle IPv4 und IPv6 bereit stellen. Dazu gehören unter anderem Interoperabilität, kryptografischer Schutz der übertragenen Daten, Zugriffskontrolle, Datenintegrität, und Absenderauthentifizierung. Kurz: Alles, was man auch in einem VPN gerne hätte.
Realisiert werden diese Dienste durch die beiden Protokolle Authentication Header (AH, RFC 2402) und Encapsulating Security Payload (ESP, RFC 2406). Diese lassen sich entweder einzeln oder gemeinsam dazu einsetzen, die unterschiedlichen Ansprüche des Anwenders an die Sicherheit der übertragenen Daten zu realisieren.
Keine Authentifizierung
Die schlechte Nachricht gleich vorweg: Für die meisten VPN-Anwender ist der Einsatz von AH tabu. Zumindest dann, wenn sich der VPN-Client hinter einer Firewall befindet und seine Adresse per Network Address Translation (NAT) umgesetzt wird. Ursache ist, dass AH Prüfsummen über Teile des Headers eines IP-Pakets erzeugt – unter anderem auch über die Absenderadresse. Da eben diese bei der Network Address Translation geändert wird, kommen beim Empfänger nur ungültige Pakete an, die dieser konsequenterweise verwirft. Abhilfe schafft hier nur die Zuteilung einer offiziellen, im Internet gültigen IP-Adresse an die Clients, bei denen der Einsatz von AH zur Authentisierung der Kommunikationspartner gewünscht ist.
Aber auch ohne AH hat IPsec durchaus seine Reize, denn alle von AH bereit gestellten Funktionen lassen sich auch via ESP realisieren. Zusätzlich bietet es neben den in den Standards definierten Verschlüsselungsmethoden auch die Option, eigene Routinen zu verwenden. So kann der Anwender jederzeit auf eine bessere Verschlüsselung upgraden, sobald diese verfügbar ist.
Für alle Fälle gewappnet
Ermöglicht wird dies durch eine durchdachte Arbeitweise. IPsec bietet Methoden, die es einem System erlauben, die für einen Dienst benötigten Protokolle und Algorithmen festzustellen und kryptografische Schlüssel zwischen Systemen auszutauschen.
Dreh- und Angelpunkt von IPsec sind die Security Associations. Diese existieren zwischen zwei Kommunikationspartnern und entscheiden darüber, wie mit den empfangenen Informationen zu verfahren ist. Dabei ist es nicht zwingend, dass zwischen den beiden kommunizierenden Systemen eine Security Association besteht. Für das Tunneling reicht es aus, wenn zwei auf dem Kommunikationsweg liegende Systeme – zum Beispiel die jeweils beteiligten Firewalls – eine Security Association haben.
Um einen sicheren Tunnel über das Internet aufzubauen genügt es, wenn die beteiligten Router eine IPsec-Security-Association besitzen.
Wer mehr Sicherheit braucht, kann darüber hinaus auch weitergehende Security Associations einrichten. Zum Beispiel für End-to-End-Security zusätzlich eine zwischen den Kommunikationspartnern direkt.
Wer mehr Sicherheit haben will, kann auch zwischen den Kommunikationspartnern eine zusätzliche Security Association einrichten.
Für mobile User kann auch ein anderer Weg gewählt werden. Da hier in der Regel eine Einwahl bei einem Provider nötig ist, lässt sich keine Security Association zwischen den beteiligten Routern einrichten. Das hindert aber nicht daran, eine eigene Security Association zwischen dem Client und dem Router im Zielnetzwerk zu definieren.
Der Preis der Sicherheit
Schon diese Möglichkeiten zeigen, dass mit IPsec ein umfangreiches Regelwerk einher geht, das verwaltet sein will. Für jeden Kommunikationspartner und jede Kommunikationsrichtung sind eigene Security Associations zu erstellen, die in eigenen Datenbanken verwaltet werden. Entsprechend groß sind die Anforderungen sowohl an das Management-Interface – vor allen in Geräte wie Router oder Firewall – sondern auch an Speicherausbau und nicht zuletzt Rechenleistung, um eine zügige Bearbeitung der Daten zu gewährleisten.
Trotzdem: Wer ultimative Sicherheit braucht oder will, der kommt derzeit um IPsec nicht herum.
Neueste Kommentare
Noch keine Kommentare zu Virtuelle Private Netze: Das bringt VPN
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.