Nachdem nun ein erster Eindruck von einem VPN besteht,
werden in diesem Kapitel die Einsatzbereiche bzw. typische Implementierungen
gezeigt. Weiters sollen auch Alternativen zu einem VPN für bestimmte
Anwendungen aufgezeigt werden.
Nach [7] können vier Grundformen von VPNs unterschieden werden:
Die einfachste Form eines VPN ist das Intranet VPN. Dabei
wird ein bestehendes Intranet den
Zweigstellen oder Filialen zur Verfügung gestellt. Am Hauptsitz oder im
Rechenzentrum stehen alle relevanten Server (E-mail, Web, Daten-, Datenbank).
Die Rechner der Zweigstelle(n) werden über das VPN so mit dem Intranet
verbunden, als wären sie direkt im Rechenzentrum selbst.
Die Rechner der Zweigstellen können auch vom Intranet aus verwendet bzw.
verwaltet werden, sie sind also Teil des Intranets.
|
|
Beim Remote-Access VPN wird nicht von Zweigstellen, sondern von mobilen Klienten
auf das Intranet zugegriffen. Dies können Vertreter mit Notebooks sein, aber
auch Manager, die von mehreren Standorten (Privat, Dienstreise,
Auslandsaufenthalt) aus auf ihre persönlichen und firmeninterne Daten zugreifen
müssen. Dabei besteht die Schwierigkeit, dass die mobilen Klienten, abhängig
von ihrer Internetverbindung (z.B. auch verschiedene Provider) unterschiedliche
IP-Adressen erhalten. Der einzelne mobile Klient kann also nicht anhand seiner
IP-Adresse identifiziert werden, sondern der Benutzer muss sich mit Benutzername
und Passwort ausweisen. Diese sensiblen Daten müssen bereits verschlüsselt übermittelt
werden.
Bei einem Extranet werden ausgewählte Bereiche des Intranets für bestimmte firmenexterne Benutzer zugänglich gemacht. Dies tritt vor allem im sogenannten Business-to-Business Bereich auf, in dem Firmen ihre Daten mit Zulieferern, Händlern und Kunden austauschen. So können z.B. Lagerbestände aktualisiert oder Lieferzeiten abgefragt und eingetragen werden. Da diese Daten vertraulich zu behandeln sind (Kunden sollen z.B. keine Händlerpreise erfahren), müssen auch die firmenexternen Benutzer über ein VPN mit dem Intranet verbunden werden. Dabei ist auf gemeinsame Standards zu achten, die von beiden Seiten einzuhalten sind. Diese Standards gelten nicht nur für die ausgetauschten Daten sondern auch für die gemeinsame VPN-Lösung.
In der Praxis wird, gerade bei größeren Firmen, nicht die eine oder andere Form vorkommen sondern eine Mischform entstehen, bei der auch alle drei bisher besprochenen Formen vorkommen können. Diese Mischformen stellen hohe Ansprüche an die verwendete VPN-Technologie bzw. an die IT-Abteilung, die das VPN verwalten und administrieren muss. Dabei sollte das VPN weitgehend transparent sein, d.h. es sollte den laufenden Betrieb nicht behindern oder anderweitig negativ auffallen.
Ein VPN ist nicht immer die beste Lösung. Es gibt mehrere Anwendungsfälle bei denen eine andere Lösung einfacher oder billiger ist, und den technischen Aufwand für ein VPN nicht rechtfertigt. Eine vom Aufbau des Netzwerkes her ähnliche Lösung sind Standleitungen.
Wie schon in der Einführung erwähnt sind viele Firmen über Standleitungen mit ihren Filialen verbunden. Dies ist unter bestimmten Vorrausetzungen durchaus sinnvoll.
Vorteile:
Nachteile:
Der Nachteil, dass bei Standleitungen mitgehorcht werden kann, lässt sich leicht umgehen, indem man den Datenverkehr über die Standleitung verschlüsselt. Dies kann mit Hilfe einer VPN-Lösung geschehen. Ein VPN muss nicht zwingend das Internet verwenden.
Um sich einen Eindruck machen zu können, was eine Standleitung kostet und wie das im Vergleich zu einem lokalen Internetzugang für ein VPN aussieht hier ein Preisvergleich (Stand Mai 2000):
|
Standleitung
Wien - Bregenz |
VPN
(Einwählknoten im Ortsgebiet) |
||
|
monatliche Kosten |
einmalige Kosten |
monatliche Kosten |
einmalige Kosten |
|
Leitung:
20000.- |
Router: 2 x 10,000.-
|
Providergebühren + Standleitung:
3,000.- |
Einrichtungsgebühr Provider:
20,000.- |
|
|
|
|
Router:
5,000.- |
|
20,000.- |
20,000.- |
3,000.- |
25,000.- |
Es wird nicht immer gleich ein VPN benötigt, wenn man Daten Personen oder Firmen zur Verfügung stellen will. Eine Datenabfrage kann auch einfach über einen Web-basierenden Dienst erfolgen. Dazu wird der Webserver mit dem Datenbankserver verbunden. Es gibt verschiedenen Möglichkeiten, am einfachsten sind Datenbankabfragen mittels ODBC (Open Database Connectivity). ODBC ist eine von Microsoft für Windows entwickelte Schnittstelle zu Datenbanksystemen. Sie findet Anwendung bei der Speicherung von über das Internet gesandten oder abgefragten Daten.
Eine Abfrage könnte so aussehen:
Dasselbe kann nicht nur mit Abfragen, sondern auch mit Änderungen und
Neueingaben erfolgen. Da der Klient über das Internet auf den Webserver
zugreift, ist es wichtig, die Kommunikation
zwischen Klienten und Webserver zu verschlüsseln. Eine Möglichkeit dazu ist
SSL (Secure Socket Layer), eine von Netscape entwickelte Technik zur sicheren Übertragung
von HTTP.
Die Webseiten selber sollte man ebenfalls schützen um unbefugtem Zugriff zu verhindern. Der Webserver kann für bestimmte Seiten eine Authentifizierung des Klienten verlangen.
Sollen viele Daten eingegeben werden sind bei web-basierenden Diensten schnell die Grenzen erreicht. Entweder wird es sehr umständlich oder es dauert sehr lange. Es ist also nur dazu geeignet um gelegentlich Daten abzufragen (Lieferzeiten, Verfügbarkeit, Lagerbestand, etc.).
Die Secure Shell ist hauptsächlich dazu geeignet, auf Unix-basierende Rechner zuzugreifen. Es können damit auch Daten übermittelt werden, trotzdem wird sie meist nur dazu verwendet, den Rechner zu administrieren.
Bei der Secure Shell handelt es sich lediglich um eine Shell, also ein Fenster bei dem, ähnlich dem Befehl telnet, Befehle eingegeben und Programme ausgeführt werden können. Dabei wird jeglicher Datenverkehr verschlüsselt. Die Anmeldung erfolgt wahlweise mittels Passwort oder einem geheimen Schlüssel, der auf dem Zielrechner vorhanden sein muss.
Die typischen Anwendungen einer Secure Shell liegen eher im Bereich der Administration als bei einem Datenaustausch.
PGP (Pretty Good Privacy, [4] ), S/MIME (Secure Multipurpose Mail Extensions) und PEM (Privacy Enhanced Mail) sind Standards bzw. Software zur sicheren Übertragung von Emails. Besteht nur der Bedarf, Emails sicher (über das Internet) zu übertragen, kann einer dieser Standards verwendet werden, wobei der häufigste wohl PGP sein dürfte.