Ein Netzwerk kann nur dann effektiv arbeiten, wenn alle benötigten Daten in einer akzeptablen Zeit transportiert werden können. Dies hängt im wesentlichen von der Bandbreite ab. Dabei kommen innerhalb eines LAN hauptsächlich 10 oder 100 Mbps Netzwerke zum Einsatz, typische Bandbreiten für Internetverbindungen fangen bei 64 kbps mit einer ISDN Leitung an und sind auf der oberen Seite durch 155 Mbps mit ATM-Leitungen beschränkt. Größere Bandbreiten sind für Privatkunden unüblich bzw. einfach zu teuer.
Verschlüsselung und Authentifizierung kosten Rechenzeit. Je stärker die Verschlüsselung desto mehr Rechenzeit wird benötigt. Bei einer ISDN-Verbindung wird der Geschwindigkeitsverlust kaum zu bemerken sein, erste Engpässe sind in typischen Konfigurationen erst ab einer Bandbreite über 1 Mbps zu erwarten. Da die wenigsten Firmen eine Internetverbindung mit mehr als 1 Mbps besitzen, werden sie durch den VPN-Einsatz kaum mit Performanceschwierigkeiten oder Geschwindigkeitseinbrüchen zu kämpfen haben. Verwendet man jedoch ein VPN im LAN muss man sich sehr wohl Gedanken darüber machen, welche Art von VPN und Verschlüsselung zum Einsatz kommen sollen. Bei Software-VPNs sollte man eigene VPN-Server verwenden, d.h. es ist auf dem Rechner weder eine Firewall installiert, noch wird er als Router verwendet. Für Anforderungen über 10Mbps wird man um den Einsatz einer Hardwarelösung nicht mehr herum kommen. Diese können dann Bandbreiten bis ca. 100Mbps verarbeiten, die Kosten für solche Geräte können aber schnell über 50.000€ betragen.
Die Kostenersparnis ist ein wesentliches Argument für die Verwendung einer VPN-Lösung im Gegensatz zu herkömmlichen Standleitungen. Die Einsparungen bei den Leitungskosten können sehr leicht ermittelt werden, man braucht nur entsprechende Angebote von Telekomanbietern einholen. Die Kosten, die für Hard- und Software anfallen, sind schwieriger zu kalkulieren. VPN-Lösungen gibt es bereits als Freeware (z.B. Free/SWAN, PGPNet); der Preis kann aber auch, speziell bei höheren Anforderungen einige 10.000€ ausmachen.
Ein wesentlicher Kostenfaktor bei VPN-Lösungen ist die mögliche Bandbreite, die sich aus der Anzahl der Benutzer und der verwendeten Applikationen ergibt. Softwarelösungen sind meist billiger als ihre Hardwarekonkurrenten, aber auch weniger leistungsfähig (siehe Kapitel „Geschwindigkeit und Performance“).
Für die Implementierung eines VPN ergeben sich folgende Kostenarten [13] :
Bei einer Hardwarelösung wird zunächst die VPN-Hardware selbst Kosten erzeugen. Bei Softwarelösungen braucht man einen oder mehrere Rechner, auf denen die VPN-Lösung installiert wird. Dabei sollte für eine Bandbreite bis zu 1 Mbps ein moderner PC mit Pentiumprozessor und Taktrate über 300Mhz ausreichend sein.
Zusätzlich können bei beiden Lösungsarten noch Kosten für zusätzliche Router oder andere leistungsfähigere Netzwerkkomponenten wie Switches, Hubs, etc. anfallen. Eine teure VPN-Lösung sollte nicht durch eine minderwertige oder schlechte Netzwerkarchitektur gebremst werden.
Außer für die VPN-Software selbst können noch Kosten für Betriebssystemlizenzen, Monitoringsoftware für die Beobachtung des VPN bzw. Analyseprogramme für die Auswertung der Logfiles anfallen.
Die Kosten für den Internetanschluss sind abhängig von der benötigten Bandbreite und dem Provider der den Einwahlknoten zur Verfügung stellt. Abhängig von der Entfernung zum Einwahlknoten errechnen sich die Kosten für die Standleitung. Werden nur sehr kleine Datenmengen über das Internet ausgetauscht kann auch eine normale Modemverbindung (bis 64kbps bzw. 128kbps) als Internetverbindung verwendet werden. Dabei spielt die Entfernung zum Einwahlknoten keine so große Rolle mehr, er sollte nur innerhalb eines Radius von 50 Kilometer sein um den Onlinetarif nutzen zu können (Stand Herbst 2000). Der Vorteil von Standleitungen ist der schnelle Verbindungsaufbau und die pauschalierten Kosten. Bei einer Modemverbindung fallen für jede Einwahl Kosten an.
Werden höhere Bandbreiten benötigt kommt nur mehr eine Standleitung in Frage bzw. ab einer Bandbreite von 1 Mbps ist auch die Verwendung von ATM-Leitungen sinnvoll. Die Leitungskosten steigen zunächst proportional mit der Bandbreite an, bei ATM-Leitungen sinken die Kosten pro Mbps aber wieder sehr schnell. Der Verfall der Leitungspreise ist zur Zeit sehr rasant und dieser Trend wird auch in der Zukunft fortgesetzt werden, sodass es schwierig ist, hier konkrete Angaben zu machen. Es sollten jedoch in jedem Fall verschiedenen Angebote von regionalen und überregionalen Providern eingeholt und verglichen werden.
Kommerzielle Produkte liefern eine ausführliche Installationsanleitung, die es auch Nichtprofis ermöglicht, das VPN zu installieren. Ohne ausreichende Kenntnisse kann es aber leicht passieren, dass man eine Sicherheitslücke offen lässt. Deshalb sollte man bei komplexeren Anforderungen unbedingt eine Firma mit der Installation beauftragen, falls dies nicht ohnehin bereits bei der Ausschreibung gefordert wurde.
Bei Freeware-Produkten ist die Installationszeit ein wichtiger Kostenfaktor. Die eigentliche Software ist zwar größtenteils kostenlos, dafür können stundenlanges Suchen nach Anleitungen und Fehlern die Kosten explodieren lassen. Bei kommerziellen Produkten gibt es meist eine Hotline oder einen Technischen Support, bei dem man sich erkundigen kann. Bei Freeware-Produkten ist man auf FAQ’s, Newsgroups und diverse Internetseiten angewiesen.
Nicht vernachlässigen sollte man das ausreichende Testen der Installation bzw. die Beobachtung des Verhaltens des VPN bei starker Belastung in Stoßzeiten. Hier können sich noch Sicherheitslücken oder Fehler offenbaren, die bei der Installation nicht berücksichtigt bzw. bemerkt wurden.
Läuft das VPN einmal stabil, fallen im laufenden Betrieb nur geringe Wartungskosten an. Die Kontrolle der Logfiles sollte in die laufenden Sicherheitsüberprüfungen einbezogen werden. Kosten fallen erst wieder an, falls neue Dienste oder Rechner im Netzwerk installiert werden. Diese sind vor der Installation in das Sicherheitskonzept einzubeziehen und entsprechende Regeln im VPN aufzustellen bzw. anzupassen.
Die Kompatibilität der verschiedenen VPN-Produkte untereinander kann eine wichtige Rolle bei der Auswahl der richtigen VPN-Lösung spielen. Es ist nicht immer sinnvoll bei jedem Standort ein Produkt desselben Herstellers zu verwenden. Am Hauptstandort wird ein leistungsfähiges VPN-Produkt zum Einsatz kommen, das für Zweigstellen überdimensioniert und überteuert ist. Bietet ein Hersteller nur Hochleistungslösungen an, muss für die Zweigstellen eine einfachere Lösung gesucht werden. Ebenso kann am Hauptstandort eine Firewall mit integriertem VPN installiert sein, bei den Zweigstellen ist jedoch nicht einmal eine Firewall vorhanden.
In all diesen Fällen ist es wichtig, dass die verwendeten Produkte miteinander kompatibel sind. Das wichtigste Kriterium dabei ist das verwendete Protokoll. Ein PPTP-VPN kann nicht mit einem IPSec-VPN zusammenarbeiten, da diese auf einer anderen Ebene ansetzen. Aber auch Protokolle derselben Ebene können nicht miteinander kommunizieren. Am einfachsten ist es, Produkte mit dem selben Protokoll zu verwenden, doch auch hier kann es Probleme geben.
PPTP ist von Microsoft selbst entwickelt worden, ist aber kein anerkannter Standard. PPTP ist in das Betriebsystem Windows NT (ab Version 4.0) integriert und deshalb zu jedem anderen Windows NT Rechner kompatibel. Inzwischen gibt es Implementationen für Windows 9x, Linux und diversen anderen Unix-Versionen. VPN-Produkte die PPTP verwenden bauen direkt auf die Implementation von Windows NT auf, es sollte deshalb keine oder nur geringe Kompatibilitätsprobleme geben
L2F bzw. L2TP sind meist direkt im Router implementiert, vor allem in jenen der Firma Cisco, die L2F selbst entwickelt hat und bei L2TP eine Kooperation mit Microsoft eingegangen ist. Beide Protokolle sind in RFC’s definiert und deshalb genau festgeschrieben. Jedes Produkt, dass diese Protokolle verwendet, muss sich an die RFC’s halten, und sollte deshalb problemlos mit anderen Produkten, die dasselbe Protokoll verwenden zusammenarbeiten.
IPSec ist ein offener Standard, der für die Hersteller gewisse Freiheiten offen lässt (z.B. den Verschlüsselungsalgorithmus) und genau dadurch Probleme bei der Kompatibilität verursacht. Man sollte sich deshalb beim Hersteller des VPN-Produktes erkundigen, wie kompatibel es zu anderen VPN-Produkten ist bzw. welche Verfahren von IPSec verwendet werden. Einige Hersteller bieten eine Zertifizierung für die Kompatibilität zu ihrem Produkt an. Die Firma Checkpoint, die vor allem Firewalls herstellt, bietet z.B. den sog. OPSEC Standard (Open Security Platform) an. Die OPSEC-Zertifizierung garantiert, dass ein Produkt zu Checkpoint kompatibel ist.
Einige Hersteller entwickeln eigene Protokolle, die meist modifizierte Standardprotokolle sind. Bieten diese Produkte keine Schnittstellen zu anderen Protokollen an, können nur Produkte des selben Herstellers verwendet werden.
Die Replikation von Daten, also die lokale Bereitstellung der Daten an strategisch wichtigen Punkten, hat den Vorteil, dass die Daten nicht über das VPN sondern über das schnellere lokale Netzwerk verfügbar sind. So können z.B. Kundendaten in den Zweigstellen repliziert werden, sodass eine Abfrage am lokalen Server möglich ist und nicht an den zentralen Rechner weitergeleitet werden muss. Probleme ergeben sich aus der Aktualität der Daten, d.h. wie aktuell sind die Daten auf einem lokalen Server. Werden sie täglich, stündlich oder bei jeder Transaktion aktualisiert?
Auf jeden Fall wird eine vernünftige Datenreplikation von vielen Faktoren beeinflusst und ist stark anwendungsabhängig. Das erschwert generelle Aussagen, ob Datenreplikation sinnvoll ist oder wie sie implementiert werden kann. VPN-Lösungen bieten keine Unterstützung zur Datenreplikation an. Man muss sich also zuerst Gedanken über die Implementierung des VPN machen und dann entscheiden, ob es sinnvoll ist Datenreplikation einzusetzen. Diese Entscheidung kann sich im Kreis drehen, da mit Datenreplikation vielleicht kleinere Bandbreiten ausreichen und deshalb wieder eine andere VPN-Lösung zum Einsatz kommen kann.
Durch eine Komprimierung der zu übertragenden Daten können größere Datenmengen in der selben Zeit übermittelt werden. Dabei wird nicht eine einzelne Datei komprimiert, sondern es muss der gesamte Datenstrom in Echtzeit komprimiert werden. Damit eine Komprimierung sinnvoll ist, muss sie vor der Verschlüsselung geschehen, da verschlüsselte Daten nicht mehr komprimiert werden können.
Zur Zeit kommen verschiedene Arten der Komprimierung zum Einsatz. Die Komprimierung durch ein Modem bzw. einen Router erfolgt durch V.42bis. Es kann nur genutzt werden, wenn der Empfänger fehlerfreie Daten erhält. Deshalb muss bei der Datenfernübertragung ein Fehlerkorrekturmechanismus vorhanden sein. Bei Modems ist dies V.42 und bei ISDN HDLC mit X.75 und T.70.
Setzt die Komprimierung bei PPP an wird meist das PPP Compression Control Protocol (CCP, RFC 1962) und das Microsoft Point-to-Point Compression Protocol (MPPC) verwendet. Einige Produkte verwenden eigene Komprimierungsverfahren, die genauso wie V.42bis und MPPC die „Lempel-Ziv Kodierung“ zum Komprimieren von Datenströmen verwenden. Es gibt verschieden Versionen der Lempel-Ziv Kodierung, die alle auf der Urversion LZ77 beruhen, die 1977 von Abraham Lempel und Jacob Ziv veröffentlicht wurde (Lempel, A. and Ziv, J., "A Universal Algorithm for Sequential Data Compression", IEEE Transactions On Information Theory, Vol. IT-23, No. 3, May 1977). LZ77 führt ein Fenster über die Eingabedaten und sucht im Eingabestrom nach Mustern, die in diesen Fenstern schon gesehen worden sind. In diesem Fall wird anstatt der Eingabe nur der Index und die Länge des Musters im Fenster ausgegeben. Bei der Dekodierung wird das Fenster in der selben Weise gehandhabt wie bei der Kodierung. Das Wörterbuch für die erkannten Muster wird implizit im Laufe der Dekodierung aus dem Datenstrom gewonnen, d.h. es müssen keine Informationen über die Nachricht an den Kompressor bzw. Dekompressor übermittelt werden. Die bekannteste Implementierung ist sicherlich die LZW-Kodierung, die 1984 von Terry A. Welch vorgestellt wurde. Sie ist sogar so populär, dass man sie fälschlicherweise oft als DIE „Lempel-Ziv Kodierung“ bezeichnet.
Bei VPN-Produkten wird häufig die „Stac LZS Komprimierung“ (RFC 1974) implementiert. Dabei handelt es sich um eine von Stac Electronics weiterentwickelte Form der Lempel-Ziv Kodierung die optimiert wurde um mit allen Dateitypen möglichst effektiv umgehen zu können. Bei der normalen Lempel-Ziv Kodierung konnte es vorkommen, dass vor allem bereits komprimierte Dateien bei nochmaliger Komprimierung größer wurden. Dies soll beim „Stac LZS“ verhindert werden [27] .
Die oben erwähnten Komprimierungsverfahren werden bei PPP verwendet. PPP arbeitet auf Layer 2, d.h. VPN Lösungen, die auf Layer 3 Basis funktionieren, können diese Komprimierung nicht mehr verwenden, da bereits auf Layer 3 verschlüsselt wurde. Um IPSec komprimieren zu können muss bereits auf Layer 3 komprimiert werden und zwar bevor verschlüsselt wird. Deshalb wurde für IPSec das „IP Payload Compression Protocol“ (IPComp, RFC 2393) entwickelt, das eine verlustfreie Komprimierung von IP-Datagrammen ermöglicht. Dabei wird jeweils ein IP-Datagramm komprimiert und zwar bevor das Datagramm durch Authentifizierung oder Verschlüsselung verändert wird. Nach der Komprimierung muss der IP-Header wegen der veränderten Größe des Pakets entsprechend abgeändert werden. Bevor eine IPComp-Verbindung aufgebaut werden kann müssen zuerst durch die „IPComp Association Negotiation“ (IPCA) Vereinbarungen über die Komprimierung (Komprimierungsalgorithmus, -modus, Compression Parameter Index (CPI), usw.) ausgetauscht werden. Dies kann dynamisch durch ISAKMP oder durch manuelle Konfiguration erfolgen.
IPComp wird erst teilweise in VPN-Lösungen implementiert, da sich dieser Standard noch nicht völlig durchgesetzt hat bzw. die Auswirkungen auf IPSec noch nicht vollständig geklärt sind. Deshalb wird bei VPN-Lösungen, die auf IPSec basieren, oft auf eine Komprimierung verzichtet. Lediglich die Einwahlverbindungen über langsame Modems werden teilweise durch Komprimierung unterstützt.