Sichere Vernetzung von Zweigstellen

Site-to-Site-VPNs verwalten

18. Mai 2011, 6:00 Uhr | Andreas Baehre, Entwicklungsleiter bei NCP Engineering in Nürnberg

Bei einem Site-to-Site-VPN handelt es sich meist um die Verbindung der Niederlassungsnetzwerke mit dem Netzwerk der Firmenzentrale. Auf diese Weise kommunizieren aber auch Maschinen mit dem zentralen Gateway (Machine-to-Machine- oder M2M-Vernetzung). Zum Einsatz kommen VPN-Gateways, die eine Verbindung zum Internet herstellen und die IP-Nutzdaten verschlüsseln, authentisieren und tunneln. Das am häufigsten verwendete VPN-Protokoll für diese Art von Verbindungen ist IPSec. Bei der Vernetzung von Zweigstellen gibt es zwei Arten der Anbindung: vermaschte und sternförmige Netzwerke. Vermaschte Netzwerke sind so aufgebaut, dass die Filialen nicht nur mit der Zentrale, sondern auch untereinander verbunden sind. Bei der sternförmigen Vernetzung läuft auch die Anbindung der Filialen untereinander ausschließlich über ein zentrales VPN-Gateway. Unternehmen müssen deshalb eine höhere Latenzzeit bei der Kommunikation zwischen den einzelnen Zweigstellen hinnehmen. Vorteilhaft wirkt sich jedoch aus, dass IT-Administratoren bei einer sternförmigen Vernetzung das Netzwerk über ein zentrales Monitoring immer im Griff haben. Dies ermöglicht, ein zentrales VPN-Management-System vorausgesetzt, das Lokalisieren von Verbindungsstörungen zwischen den einzelnen Zweigstellen geschieht schnell und in Echtzeit. Treten hingegen in einem vermaschten Netzwerk Verbindungsstörungen innerhalb der Querverbindungen auf, ist die Ortung wesentlich schwieriger. Bei einer Vernetzung von beispielsweise 100 Filialen ist das Netzwerk nur mit stark erhöhtem Aufwand in den Griff zu bekommen.

Je nachdem, welche Zweigstellen einzubinden sind, unterscheiden sich die Verfügbarkeitskriterien. So muss bei ausfallkritischen Zweigstellen wie beispielsweise Bankfilialen und deren Geldautomaten oder Kassensystemen von Einzelhandelsketten zu jeder Zeit eine hohe Verfügbarkeit gewährleistet sein. Deshalb unterstützen professionelle VPN-Systeme mehrere Backup-Mechanismen.

Eine grundlegende Voraussetzung, um Backups durchführen zu können, ist die Überwachung der VPN-Verbindung. Eine Methode der Verbindungsüberwachung ist DPD (Dead Peer Detection gemäß RFC 3706). Des Weiteren sollte das VPN-Gateway in der Filiale alternative Medientypen (Übertragungswege) zur Einwahl ins Internet beherrschen. Die VPN-Lösung muss entsprechend intelligent sein und automatisch erkennen, wenn eine Verbindungsstörung mit einer Gegenstelle vorliegt. Das Gateway baut dann automatisch die Standardverbindung ab und einen Backup-Link auf. Inzwischen gibt es VPN-Softwarelösungen, die Backup-Verbindungen unbegrenzt unterstützen.

Die Basis für eine effektive Vernetzung von Filialen ist ein zentrales VPN-Management-System. Selbst bei nur wenigen Zweigstellen ist der Aufwand einer Administration vor Ort meist unverhältnismäßig, im M2M-Bereich ist diese zudem oft nur schwer möglich. Ein zentrales VPN-Management automatisiert die Verwaltung der Remote- oder Filial-VPN-Gateways. Je mehr VPN-relevante Systeme in das zentrale Management eingebunden sind, desto einfacher und überschaubarer wird es für Administratoren. Neben Konfigurations- und Software-Update-Management kommen hier noch in Frage: das Management der Verteilung digitaler Software- oder Hardwarezertifikate (CA), die LDAP-Konsole für das Identitäts- und Rechte-Management sowie die Sicherheitsüberprüfung der Endgeräte (Network Access Control/Endpoint Security).

Ein VPN-System sichert sämtliche Datentransfers im verschlüsselten Tunnel. Doch schon die Einwahl ins Internet muss abgeschottet sein, denn das ist der häufigste Angriffspunkt der Hacker. Es geht also darum, wie sich die Filialen gegenüber dem zentralen Gateway authentisieren. Zum einen besteht die Möglichkeit, dies über Pre-Shared Keys zu regeln, zum anderen über Zertifikate. Aus Sicherheitsgründen sind zertifikatsbasierte Lösung vorzuziehen, da ein Unternehmen hier Zertifikate anpassen kann: Es kann alte Zertifikate sperren und neue verteilen. Hier gilt es nun, das Zertifikats-Handling zu organisieren: Ist ein Zertifikat abgelaufen, sollte das VPN-Management über Automatismen verfügen, neue Zertifikate anzufordern und zu verteilen.

Eine weitere Sicherheitsanforderung wird manchmal übersehen: Die Firewall darf ausschließlich IPSec-Verbindungen zulassen. Üblicherweise verfügen Filialen über einen DSL-Router zur Verbindung ins Internet. Dieser schottet das VPN-Gateway entsprechend ab. Manche VPN-Gateways unterstützen auch PPPoE (Point-to-Point Protocol over Ethernet) als Medientyp. Daher können diese direkt zur DSL-Einwahl zum Einsatz kommen, ein DSL-Router ist nicht notwendig. Auch in diesem Fall darf die Firewall nur IPSec-Verbindungen durchlassen. Zur Wartung des VPN-Gateways in der Filiale ist auch eine direkte Einwahl via ISDN denkbar - also nicht über das Internet.

Eine aus Administratorensicht berechtigte Forderung ist häufig, dass er von der Zentrale oder genauer von seinem Management-System Zugriff auf jedes einzelne Filialendgerät hat. Allerdings ist es einfacher, die IP-Netze der Filiale außen vor zu lassen und bei der Verbindung zur Zentrale zu maskieren, also hinter einer IP-Adresse zu verstecken. Diese beiden Forderungen bilden in sich aber einen Widerspruch.

Maskieren

Müssen Administratoren transparent auf die Filialen zugreifen, ist es unumgänglich, dass jedes Filialnetz einen eigenen, eindeutigen IP-Adressbereich bekommt (falls nicht schon vorhanden). Dies aber bedeutet gleichzeitig, dass alle installierten Router und Endgeräte neu konfiguriert werden müssten. In kleinen, überschaubaren Netzwerken mag dies noch zu handhaben sein, in größeren Netzwerkumgebungen jedoch ist der Aufwand für IT-Administratoren enorm. Der Administrator muss dafür Sorge tragen, dass entsprechende Routen auf Zentralseite bekannt gemacht werden. Manche VPN-Gateways propagieren bei aufgebauter Verbindung die Routing-Infomationen dynamisch.

Ist der transparente Zugriff nicht zwingend erforderlich, bietet sich an, mittels Network Address Translation (NAT) die IP-Adressen zu maskieren: Die IP-Adresse wird umgewandelt in eine VPN-Tunnel-IP-Adresse, die der Host oder das zentrale VPN-Management-System erkennt und automatisch der jeweiligen Zweigstelle zuordnet, nicht aber den Endgeräten. Im Hinblick auf den Konfigurations- und Rollout-Aufwand resultiert daraus eine erhebliche Erleichterung.

Fragmentierung und MTU

Eine weitere Hürde, die es zu umschiffen gilt, ist die Größe der Datenpakete bei der Kommunikation über unterschiedliche Internet-Einwahltypen. DSL erlaubt beispielsweise eine Größe von 1.492 Byte. Nun kommt es aber häufig vor, dass die Größe der VPN-Datenpakete, die vom Filial-VPN-Gateway via DSL an einen Router geschickt werden, diese 1.492 Byte überschreiten. Die Folge: Die VPN-IPSec-Datenpakete werden standardmäßig fragmentiert. Allerdings wirkt sich diese Fragmentierung auf IP-Ebene nachteilig aus, da viele Router die fragmentierten IPSec-Pakete nicht zulassen - mit dem Ergebnis, dass Daten es zu Datenverlusten kommt.

Dieses Problem lässt sich durch eine so genannte Präfragmentierung umgehen. Dabei werden nicht die IPSec-Pakete fragmentiert, sondern die Fragmentierung der Datenpakete erfolgt bereits vor dem Tunneling und erst danach wird der IPSec-Tunnel-Header aufgesetzt. Somit werden für den Router und die Firewall "zugelassene", also nicht fragmentierte Datenpakete verschickt. Inzwischen bieten professionelle VPN-Lösungen mit der Methode des dynamischen Heruntersetzens der Maximum Transmission Unit (MTU) eine wesentlich intelligentere Vorgehensweise: Diese VPN-Gateways sind in der Lage, bei TCP-Verbindungen die Paketgröße vor dem Verbindungsaufbau automatisch der vorgegebenen Größe anzupassen.

Bild 2: Administratoren stehen immer wieder vor der Frage: Maskieren mittels NAT, transparenter Filialnetzzugriff oder beides? Bild: NCP Engineering
LANline.

Lesen Sie mehr zum Thema


Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Dell EMC

Weitere Artikel zu Electronic Partner

Weitere Artikel zu Kyocera Wireless Corp.

Weitere Artikel zu DATAKOM Ges. f. Daten- kommunikation mbH

Matchmaker+