ingenieurbüro für innovative informationstechnik
Dipl.-Ing. Jörg Beckmann
Unternehmen mit mehreren Standorten haben vielfach das Problem, dass Daten zwischen diesen Standorten ausgetauscht und zentrale EDV-Systeme, wie z.B. eine Warenwirtschaft, von allen Standorten aus genutzt werden sollen.
Oftmals werden zu diesem Zweck Standleitungen zwischen den Standorten geschaltet, was aber mit erheblichen Kosten verbunden ist. Viel preiswerter können solche Verbindungen über das Internet realisiert werden.
In diesem Beispiel wird ein Unternehmen dargestellt, dass Rechner an drei Standorten über das Internet vernetzen möchte.
Das erste Bild zeigt, wie klassisch mehrere Standorte über das Internet (dargestellt durch die Wolke) vernetzt wurden. Jeder Rechner der beteiligten Standorte ist direkt an das Internet angeschlossen und kann dadurch prinzipiell mit jedem anderen Rechner im Internet kommunizieren.
Allerdings gibt es im Internet nicht nur diese drei Standorte. So ist es sehr wahrscheinlich, dass früher oder später versucht wird, Firmendaten unseres Beispielunternehmens von anderen Rechnern im Internet aus auszuspähen.
Da jeder Rechner, der an das Internet angeschlossen ist, über eine eindeutige Adresse – die sog. IP-Adresse – verfügt, ist es relativ einfach, über eine Firewall allen Datenverkehr von anderen Rechnern im Internet von den drei Standorten fernzuhalten. Dadurch werden die Rechner gegen Zugriff von dritten geschützt.
Das zweite Bild zeigt die Variante mit einer Firewall, symbolisiert durch die Mauern am jeweiligen Standort.
Hat ein Angreifer allerdings Zugriff auf Rechner, die auf dem direkten Weg zwischen den Standorten für den Datentransport zuständig sind, so ist es durch verfälschen der Absenderadressen – das sog. IP-Spoofing – möglich, die Firewall zu durchdringen und die jeweiligen Antworten auf eigene Anfragen abzufangen.
Ein weiteres Problem bei dieser Art der Vernetzung ist oben schon erwähnt: Jeder der Rechner an den gezeigten Standorten benötigt eine eigene IP-Adresse. Diese aber sind knapp. Für jeden hier gezeigten Standort drei IP-Adressen zu bekommen ist zwar kein Problem, viele solcher Adressen zu bekommen ist jedoch kaum realisierbar.
Das Problem mit der Anzahl der verfügbaren Adressen wird dadurch umgangen, dass im vorhandenen IP-Nummernbereich einige Teilbereiche zur Verwendung innerhalb von privaten Netzwerken reserviert sind, die jedoch nicht für die Kommunikation über das Internet verwendet werden können.
Um trotzdem Standorte über das Internet vernetzten zu können, definiert man sog. IP-Tunnel, mit denen Rechner zu einem virtuellen privaten Netzwerk (VPN) zusammengeschaltet werden. Dadurch wird gleichzeitig die interne Netzstruktur vor potentiellen Angreifern versteckt, was Angriffe per IP-Spoofing erheblich erschwert.
Man kann sich diese Tunnel ähnlich wie die klassische Rohrpost vorstellen, bei der Rohre durch ein Gebäude verlegt werden, um räumlich voneinander entfernte Arbeitsplätze zu "vernetzen".
Das dritte Bild zeigt schematisch, wie diese "Rohre" durch das Internet und durch die Firewalls "verlegt" wurden, um die Standorte miteinander zu verbinden.
Aber auch mit diesen "Rohren" sind noch nicht alle Probleme gelöst, die mit einer solchen Vernetzung über das Internet verbunden sind.
Ohne weitere Vorkehrungen werden Daten im Internet immer unverschlüsselt übertragen. Um beim Beispiel der Rohrpost zu bleiben, wäre das so, als wenn man gläserne Rohre verwenden und nur unverpackte Postkarten hindurchschicken würde. So wie in diesem Beispiel jeder, der am Rohr stände, alle Informationen mitlesen könnte, kann dass im Internet prinzipiell an den vielen Schaltstellen auch geschehen. Bei privaten E-Mails mag das ärgerlich sein, bei vertraulichen Firmendaten ist es eine Katastrophe.
Zwar gibt es die Möglichkeit, z.B. E-Mails mit dem Mailprogramm zu verschlüsseln und auch beim Zugriff auf Web-Server kann man die Daten per HTTPS verschlüsseln. Alle diese Verfahren haben jedoch gemeinsam, das sie für jeden Dienst einzeln und, wie bei der E-Mail, teilweise sogar an jedem Arbeitsplatz konfiguriert werden müssen. Sie sind dadurch mit erheblichem Aufwand verbunden und setzen teilweise auch ein entsprechendes Verständnis und Sorgfalt beim Anwender voraus. Bei Applikationen, die nicht explizit Verschlüsselung vorgesehen haben, ist es i.d.R. sogar unmöglich, nachträglich den Datenverkehr zu verschlüsseln.
Um trotzdem sicher und mit vergleichsweise geringem Aufwand Firmenstandorte über das Internet vernetzen zu können wurde das sog. IP-Sec-Verfahren definiert.
Bei diesem Verfahren werden alle Daten, die durch den Tunnel geschickt werden, automatisch verschlüsselt. Das ist praktisch so, als würde man die "gläsernen Rohre" anstreichen und die Postkarten verpacken. Im vierten Bild ist dies dadurch dargestellt, dass die "Rohre" jetzt nicht mehr transparent, sondern grau eingefärbt sind. Ein Außenstehender bemerkt zwar noch, dass etwas durch die Rohre verschickt wird. Jedoch bleiben Inhalt, Absender und Empfänger verborgen. Durch anerkannte kryptographische Verfahren wird dabei sichergestellt, dass die Nachrichten unterwegs weder gelesen noch verfälscht werden können. Dabei ist dieses Verfahren für die Rechner im Unternehmen völlig transparent und auch der Anwender braucht sich nicht darum kümmern, dass z.B. seine E-Mail verschlüsselt wird.
