Suchen

IP-Insider fragt nach – VPN-Experte Rainer Enders antwortet PPTP-VPN, VoIP over VPN und MTU-VPN-Header-Settings im Detail

Autor / Redakteur: Jürgen Hönig / Dipl.-Ing. (FH) Andreas Donner

Wie sicher ist ein PPTP VPN? warum gibt es bei VoIP-over-VPN häufig Probleme? und warum muss man die MTU für den VPN Header ändern? – Der ausgemachte VPN-Experte Rainer Enders, Technischer Leiter bei NCP Engineering in Nordamerika, gibt Antworten.

Firmen zum Thema

Virtual Private Networking im Detail: IP-Insider fragt nach – VPN-Experte Rainer Enders antwortet
Virtual Private Networking im Detail: IP-Insider fragt nach – VPN-Experte Rainer Enders antwortet

IP-Insider: Herr Enders, wie sicher ist ein PPTP VPN für sich alleine betrachtet und wie sicher ist es im Vergleich zu anderen VPNs?

Enders: PPTP ist eine VPN Technologie, die von Systemanbietern entwickelt wurde, um einfache VPN Bereitstellungen zu ermöglichen. PPTP wird in verschiedensten herstellerspezifischen Ausführungen eingesetzt, wie zum Beispiel in Microsofts PPTP. Allerdings sind die zu Grunde liegenden Mechanismen für Authentisierung und Verschlüsselung leicht angreifbar.

Trotz vieler Versuche diese Sicherheitslücken in PPTP zu schließen, wurden diese in verwendeten Mechanismen der Authentisierung und der Verschlüsselung weder geschlossen noch sind die Mechanismen State-of-the-Art. Auf den aktuellen Stand der Entwicklung im Bereich PPTP wird hier nicht weiter eingegangen, da er leicht recherchiert werden kann.

Man sollte PPTP aus den genannten Gründen aber nicht als VPN Lösung einsetzen. Der Einzige einigermaßen sicherere Einsatz von PPTP wäre im Zusammenspiel mit TLS denkbar. Da TLS mit einer kompletten PKI-Infrastruktur eingesetzt werden muss, wird es jedoch meist nicht genutzt. Allerdings gibt es beim Einsatz von TLS die gleichen Sicherheitsprobleme wie in einem SSL VPN.

SSL und IPsec sind die einzigen beiden ernsthaften VPN Technologien. Und die Bereitstellung eines SSL VPN ist ähnlich einfach wie bei PPTP.

Der Vorteil eines IPsec VPN ist dessen Transparenz bezüglich der IP-Netzwerk-Layer, die in den Versionen IP4 und IP6 gleichermaßen funktionieren. IPsecs größte Stärke ist jedoch, dass es einer IETF-Norm folgt. IETF definiert offene Normprotokolle, die modernste Technologien wie starke Authentisierung, Berechtigungen und Verschlüsselung unterstützen und in vielfältiger Weise eingesetzt werden können.

IP-Insider: Warum gibt es bei VoIP-over-VPN immer wieder Probleme?

Enders: Es gibt viele Faktoren die VoIP beeinflussen. Im Allgemeinen ist VoIP empfindlich bei Paketverlust und längeren Latenzzeiten. Deshalb muss genügend Bandbreite für alle Verbindungen bereitgestellt werden und der Provider entsprechende Hilfestellung geben können.

Bezüglich des VPNs kommt es auch hier auf die Art der eingesetzten VPN Technologie an. Wird ein VPN eingesetzt, muss zusätzliche Bandbreite für den Header der Pakete einkalkuliert werden. Es gibt Tests die belegen, dass SSL VPNs tatsächlich die VoIP-Qualität durch die TCP-Datenkapselung verbessern. Neben ausreichender Bandbreite verbessert auch Servicequalität die VoIP-Qualität. In einem IPsec VPN muss der Client VoIP-Traffic erkennen und sollte diesen entsprechend bevorzugen.

IP-Insider: Muss man die MTU für den VPN Header ändern?

Enders: IPsec fügt jedem Paket einen Protocol Header hinzu, was zu Fragmentierung führen kann. Fragmentierte Pakete müssen dann am Empfänger-Gateway wieder zusammengesetzt werden, wodurch die Leistung reduziert werden kann. Um die Leistung des Netzwerkes zu erhalten, kann Pre-Fragmentierung helfen, die Paketgröße entsprechend einzustellen, sodass keine weitere Fragmentierung nötig ist. Der Protokollheader ist vom eingesetzten Verschlüsselungstyp abhängig und kann entsprechend berechnet werden.

Rainer Enders, VPN-Experte bei NCP Engineering
Rainer Enders, VPN-Experte bei NCP Engineering

Über den Experten

Rainer Enders ist technischer Leiter der NCP Engineering in Nordamerika, einer Niederlassung der deutschen Firma NCP Engineering GmbH, welche Lösungen für sicheren Remote Access VPN entwickelt.

Enders arbeitet seit 20 Jahren in der Netzwerk- und Sicherheitsindustrie und hat darüber hinaus Erfahrung in Testautomatisierung, Qualitätssicherung sowie Test und Verifikation von komplexen Netzwerk- und Systemarchitekturen.

Bevor Rainer Enders 2010 zu NCP wechselte, war er Geschäftsführer seiner eigenen Consultingfirma, Rainer Enders Consulting Enterprises, die sich auf Computer-Netzwerksicherheit und Storage Netzwerke spezialisiert hatte. Davor besetzte er verschiedenste technische Posten bei Identity Engines, NeoScale Systems, Yipes Enterprise Services und Ericsson.

(ID:31570650)