Inhaltsverzeichnis
Werbung
Sicherheit auf Verbindungsebene – PPTP, L2F, L2TP
Bereits auf der Verbindungsebene (Level 2 des OSI-Modells) können Tunnel gebildet werden. Microsoft und Ascend
entwickelten frühzeitig das Point-to-Point Tunneling Protocol (PPTP). Cisco stellte ein ähnliches Protokoll mit Layer
2Forwarding (L2F) vor. Beide Hersteller einigten sich auf ein gemeinsames Vorgehen und in der IETF wurde daraus das
Layer 2Tunnel Protocol (L2TP).
Der Vorteil dieser Protokolle gegenüber IPSec liegt vor allem darin, dass beliebige Netzwerk-Protokolle auf eine solche
sichere Netzwerkverbindung aufgesetzt werden können, insbesondere NetBEUI und IPX.
Ein wesentlicher Nachteil der beschriebenen Protokolle ist die fehlende Sicherheit auf Paketebene. Außerdem wurden
die Protokolle speziell für Einwahlverbindungen entwickelt.
Sicherheit auf höherer Ebene – SSL, S/MIME, PGP
Auch auf höheren Ebenen des OSI-Modells lässt sich die Kommunikation durch Verschlüsselung absichern. Bekannte
Beispiele für Protokolle dieser Art sind SSL (Secure Socket Layer) vornehmlich für Webbrowser-Verbindungen, S/MIME
(Secure Multipurpose Internet Mail Extensions) für E-Mails und PGP (Pretty Good Privacy) für E-Mails und Dateien.
Bei allen obengenannten Protokollen übernimmt eine Anwendung die Verschlüsselung der übertragenen Daten,
beispielsweise der Webbrowser auf der einen Seite und der HTTP-Server auf der anderen Seite.
Ein Nachteil dieser Protokolle ist die Beschränkung auf bestimmte Anwendungen. Für verschiedene Anwendungen
werden zudem in aller Regel verschiedene Schlüssel benötigt. Die Verwaltung der Konfiguration wird auf jedem einzelnen
Rechner vorgenommen und kann nicht komfortabel nur auf den Gateways erfolgen, wie das bei IPSec möglich ist. Zwar
sind Sicherungsprotokolle auf Anwendungsebene intelligenter, schließlich kennen sie die Bedeutung der übertragenen
Daten. Zumeist sind sie aber auch deutlich komplexer.
Alle diese Layer-2-Protokolle erlauben nur Ende-Ende-Verbindungen, sind also (ohne Ergänzungen) ungeeignet für die
Kopplung ganzer Netzwerke.
Andererseits benötigen diese Mechanismen nicht die geringsten Änderungen der Netzwerkgeräte oder der
Zugangssoftware. Zudem können sie im Unterschied zu Protokollen in unteren Netzwerkebenen auch dann noch wirken,
wenn die Dateninhalte schon in den Rechner gelangt sind.
Die Kombination ist möglich
Alle genannten Alternativen sind verträglich zu IPSec und daher auch parallel anzuwenden. Auf diese Weise kann das
Sicherheitsniveau erhöht werden. Es ist beispielsweise möglich, sich mit einer L2TP-Verbindung ins Internet einzuwählen,
einen IPSec-Tunnel zu einem Web-Server aufzubauen und dabei die HTTP-Daten zwischen Webserver und Browser im
gesicherten SSL-Modus auszutauschen.
Allerdings beeinträchtigt jede zusätzlich eingesetzte Verschlüsselung den Datendurchsatz. Der Anwender wird im Einzelfall
entscheiden, ob ihm die Sicherheit alleine über IPSec ausreicht oder nicht. Nur in seltenen Fällen wird eine höhere
Sicherheit tatsächlich notwendig sein. Zumal sich der verwendete Grad an Sicherheit auch innerhalb von IPSec noch
einstellen lässt.
10.18 Die Standards hinter IPSec
IPSec basiert auf verschiedenen Protokollen für die verschiedenen Teilfunktionen. Die Protokolle bauen aufeinander auf
und ergänzen sich. Die durch dieses Konzept erreichte Modularität ist ein wichtiger Vorteil von IPSec gegenüber anderen
Standards. IPSec ist nicht auf bestimmte Protokolle beschränkt, sondern kann jederzeit um zukünftige Entwicklungen
ergänzt werden. Die bisher integrierten Protokolle bieten außerdem schon jetzt ein so hohes Maß an Flexibilität, dass
IPSec perfekt an nahezu jedes Bedürfnis angepasst werden kann.
10.18.1 Module von IPSec und ihre Aufgaben
IPSec hat eine Reihe von Aufgaben zu erfüllen. Für jede dieser Aufgaben wurde eines oder mehrere Protokolle definiert.
Referenzhandbuch
10 Virtual Private Networks - VPN
651
Werbung
Inhaltsverzeichnis
