Was sind die Unterschiede zwischen einem IPSec VPN und einem GRE-Tunnel?

Von Tim Charlton
IP-Sicherheit (IPSec) Virtuelle private Netzwerke (VPNs) und Generic Routing Encapsulation (GRE)-Tunnel sind beides Methoden zur Übertragung von Daten über öffentliche, zwischengeschaltete Netze, wie das Internet. Es gibt jedoch erhebliche Unterschiede zwischen den beiden Technologien. Beginnen wir mit einem kurzen Überblick.

Ein VPN ermöglicht es einem Unternehmen, Daten und Dienste sicher und zu minimalen Kosten zwischen verschiedenen Standorten auszutauschen. Benutzer, die keinen festen Arbeitsplatz in einem Unternehmen haben, können sich mit einem VPN verbinden, um von einem Heimcomputer, Laptop oder einem anderen mobilen Gerät aus auf Unternehmensdaten zuzugreifen. Durch die Implementierung einer VPN-Lösung kann ein Unternehmen von den folgenden Vorteilen profitieren:

• Kosteneinsparungen – Wenn Sie ein VPN über eine bestehende Internetverbindung implementieren, müssen Sie keine Leitungen von einem Telekommunikationsdienstleister anmieten, um ein Weitverkehrsnetz (WAN) zu errichten. Daher sind die Kosten für die Implementierung eines VPNs geringer als die Kosten für die Implementierung eines herkömmlichen WANs mit Standleitungen. Eine VPN-Lösung erfordert jedoch einen Internetzugang für jeden einzelnen Standort oder mobilen Benutzer, der sich mit dem VPN verbinden soll.
• Verschlüsselter Datenverkehr – VPNs können eine Vielzahl von Verschlüsselungsmethoden innerhalb des IPSec-Protokollrahmens verwenden, um den Datenverkehr zwischen einer Organisation und ihren entfernten Standorten oder Benutzern zu sichern. Alternativ dazu verschlüsseln einige VPN-Installationen Daten mit Secure Sockets Layer (SSL), dem Verschlüsselungsstandard, der von vielen Online-Händlern, Bank-Websites und anderen internetbasierten Unternehmen verwendet wird.
• Einfache Netzwerkerweiterung – Für den VPN-Zugang sind in der Regel nur eine Internetverbindung, eine VPN-Gateway-Appliance und bei einigen Installationen eine Softwareanwendung erforderlich. Daher ist die Erweiterung eines VPN um neue Standorte und Remote-Benutzer in der Regel kostengünstiger und erfordert weniger Konfigurationsaufwand als der Anschluss eines neuen Standorts an ein WAN mit Standleitung.

Wie IPSec-VPNs werden GRE-Tunnel verwendet, um Punkt-zu-Punkt-Verbindungen zwischen zwei Netzwerken herzustellen. Zu den Vorteilen und Eigenschaften von GRE-Tunneln gehören die folgenden:

• Datenkapselung – GRE-Tunnel kapseln Pakete, die mit einem zwischengeschalteten Netzwerk inkompatible Protokolle (Passagierprotokolle) verwenden, in kompatible Protokolle (Transportprotokolle) ein. Auf diese Weise können Daten über Netzwerke gesendet werden, die sonst nicht durchquert werden könnten. Sie könnten beispielsweise einen GRE-Tunnel implementieren, um zwei AppleTalk-Netze über ein reines IP-Netz zu verbinden oder um IPv4-Pakete über ein Netz zu leiten, das nur IPv6 verwendet.
• Einfachheit – GRE-Tunneln fehlen standardmäßig Mechanismen zur Flusskontrolle und Sicherheit. Dieser Mangel an Funktionen kann den Konfigurationsprozess vereinfachen. Sie möchten jedoch wahrscheinlich keine unverschlüsselten Daten über ein öffentliches Netz übertragen. Daher können GRE-Tunnel zu Sicherheitszwecken durch die IPSec-Protokollsuite ergänzt werden. Darüber hinaus können GRE-Tunnel Daten aus nicht zusammenhängenden Netzen durch einen einzigen Tunnel weiterleiten, was VPNs nicht können.
• Weiterleitung von Multicast-Verkehr – GRE-Tunnel können zur Weiterleitung von Multicast-Verkehr verwendet werden, was ein VPN nicht kann. Aus diesem Grund kann Multicast-Verkehr, wie z. B. von Routing-Protokollen gesendete Werbung, bei Verwendung eines GRE-Tunnels problemlos zwischen entfernten Standorten übertragen werden.

Zusammenfassend kann gesagt werden, dass sowohl VPNs als auch GRE-Tunnel zur Datenübertragung zwischen entfernten Standorten verwendet werden können. Doch damit enden die Ähnlichkeiten. Wenn Sie eine sichere Methode suchen, um entfernte Benutzer mit Ressourcen zu verbinden, die an einem zentralen Standort gespeichert sind, sollten Sie wahrscheinlich ein VPN implementieren. Wenn Sie jedoch Datenverkehr über ein ansonsten inkompatibles Netzwerk leiten müssen, sollte ein GRE-Tunnel implementiert werden.