Standortvernetzung und Remote Access
Das passende VPN
Virtual Private Networks müssen heute sowohl bei der Standortvernetzung als auch beim Remote Access maximale Sicherheit und effizientes Management bieten. Mit der richtigen Planung und Analyse im Vorfeld ist es dennoch kein Problem, die richtige Lösung auszuwählen.
Die Hauptaufgabe von VPNs hat sich in den letzten Jahren langsam, aber sicher von der Standortvernetzung in Richtung Fernzugriff (Remote Access) verschoben. Sicher gab es bereits früher Unternehmen wie Versicherungen, die einer großen Zahl von mobilen Mitarbeitern eine Verbindung mit dem Firmen-LAN bieten mussten. Doch der Großteil der VPN-Nutzer koppelte über die Crypto-Gateways die Zentrale mit den Außenstellen oder verband die Niederlassungen untereinander. Und schon damals galt eine VPN-Lösung erst dann als praxistauglich, wenn sie das Management der verschiedenen Tunnel so einfach wie möglich gestaltete. Mittlerweile sind mobile Endgeräte in einem Ausmaß verbreitet, wie es sich vor zehn Jahren niemand vorstellen konnte. Inzwischen erlauben viele Unternehmen Smartphones, Tablets und Laptops den Zugang zum LAN. VPN-Gateways müssen heute in der Regel Alleskönner sein, gleichermaßen gut für das Handling von Remote Access und Standortkopplung geeignet.
Verwaltung im Fokus
Die technischen Herausforderungen sind überschaubar. Die Anbindung mobiler und stationärer Clients läuft über TCP/IP, der Router stellt die physische Schnittstelle für die ein- und ausgehenden Verbindungen bereit. ISDN-Einwahl gehört außer in Sonderfällen wie der Machine-to-Machine-Kommunikation der Vergangenheit an. Auch in puncto Power muss man nicht unbedingt nachrüsten, wenn sich der Fokus von der Zweigstellenvernetzung in Richtung Remote Access verschiebt. Viele parallele VPN-Tunnel benötigen nicht unbedingt mehr Rechenleistung als wenige, dafür auf hohen Durchsatz ausgelegte Daten-Pipelines.
Ob die Hardware den Anforderungen des Unternehmens genügt, muss der Administrator zusammen mit dem Management aufgrund der projektierten Nutzer und des Datenaufkommens abschätzen. Durch die Leistungssprünge bei der Prozessortechnik und immer effizienter implementierte Crypto-Algorithmen bewältigen heute schon kleinere Gateways technisch durchaus massive Leistungsansprüche. Häufig gibt der Hersteller durch seine Lizenzpakete künstlich vor, wie viele parallele Tunnel aufgebaut werden dürfen. Bei den Protokollen gibt es ohnehin keine Unterschiede: IPSec und SSL sind die Industriestandards für VPNs, und beide Protokolle sind seit Jahren weitgehend stabil.
Die zwei Verfahren haben spezifische Eigenschaften. Der Client eines IPSec-VPNs will konfiguriert und auf dem Endgerät des Nutzers installiert sein. Dies ist gerade in größeren Umgebungen mit vielen Hundert PCs aufwändig, lässt sich aber mit entsprechenden professionellen Management-Lösungen regeln. Wenn Client und Gateway von unterschiedlichen Herstellern stammen, kann es zu Problemen mit der Kompatibilität kommen, allerdings ist dies mit universell einsetzbaren VPN-Produkten kaum noch relevant. Dafür bieten IPSec-VPNs eine vollständige Netzverbindung auf Layer 3, alle Anwendungen wie SAP oder Voice over IP funktionieren problemlos über den verschlüsselten Tunnel. Im Unternehmensumfeld genutzte Firewalls bieten ausnahmslos Unterstützung für IPSec-VPNs, die Konfiguration ist kein Problem.
Hybrid-VPNs
Bei SSL wird meist als prägnantester Vorteil die einfache Konfiguration genannt. SSL-VPNs nutzen seitens des Clients entweder vorhandene Komponenten des Browsers oder laden ad hoc ein Java- oder Active-X-Applet herunter. Dies ist auch bei fremden PCs ohne Administrationsrechte möglich, das VPN lässt sich also auf öffentlich zugänglichen PCs oder Leihgeräten aufsetzen. Allerdings liegt hierin auch eine Schwachstelle, denn solche Rechner lassen sich nicht kontrollieren und könnten Schadsoftware enthalten, die Passwörter für den VPN-Zugang mitlesen.
Im Unternehmenseinsatz nutzen SSL-VPNs meist eine Zwei-Faktor-Authentisierung. Allerdings sollte man auch IPSec-VPNs schon ab mittleren Sicherheitsanforderungen mit zwei Authentisierungsmethoden schützen. Per SSL sind zunächst nur Web-Anwendungen direkt nutzbar, beispielsweise Outlook Web App (vormals Outlook Web Access). Über Zusatzfunktionen des Gateways und Thin- oder Fat-Client-Technik kann man auch andere Anwendungen nutzen.
Die beiden VPN-Techniken sind heute bei vielen Anbietern nicht mehr strikt getrennt: Hybride VPNs akzeptieren Anfragen sowohl von IPSec- als auch von SSL-Clients und bieten Unternehmen und Mitarbeitern viel Flexibilität. Wichtiger sind mittlerweile andere Aspekte. Eine aktuelle VPN-Lösung sollte die wichtigsten Betriebssysteme in diesem Bereich - Android, Windows Mobile und Blackberry - abdecken können. Apples IOS stellt eine Sonderfall dar, weil es VPNs in der Regel mit seinem eigenen Client aufbaut. Besonders komfortabel wird es, wenn sich IOS-Endgeräte dennoch über die Bordmittel des VPN-Herstellers verwalten lassen. Damit mobile Anwender beständig über den geschützten Tunnel kommunizieren können, unabhängig davon, ob sie über das Firmennetz, einen WLAN-Hotspot oder per 3G verbunden sind, muss das VPN des Weiteren bei Bedarf ein nahtloses Roaming ohne Neuverbindungen erlauben.
Mittlerweile mindestens ebenso wichtig wie die Leistungsfähigkeit der Hardware ist das Management-Konzept geworden. Ohne eine sinnvolle Management-Lösung steigt der Aufwand für die Verwaltung schnell in unakzeptable Höhen. Gutes VPN-Management ist nicht nur eine Frage der Sicherheit - reibungslos laufende Prozesse und geringerer Aufwand sparen auch Kosten. Experten weisen darauf hin, dass die Möglichkeiten zum Management der VPN-Lösung den größten Einfluss auf die Kaufentscheidung haben sollten: Je einfacher die Verwaltung, desto billiger lässt sich das VPN mittelfristig und auf lange Sicht betreiben.
Eine grundlegende Anforderung ist ein richtlinienbasiertes Management: Verwalten sollte eine VPN-Lösung die Funktionen und Richtlinien, nicht die Geräte. Dies hat auch Vorteile für die Sicherheit - simple, intuitive Abläufe mit Plausibilitätskontrolle verhindern Konfigurationsfehler. Eine zentrale Management-Software betrachtet jeden Standort als ein Objekt innerhalb des Gesamtsystems und fügt die notwendigen Berechtigungen in Abhängigkeit zu den anderen Objekten automatisch hinzu. Welche Nutzer sind eingeloggt, wo müssen Objekte ergänzt oder geändert werden, neue Regeln für die Sicherheitsrichtlinien - je schneller und unkomplizierter das geht, desto besser. Darüber hinaus verteilt eine gute zentrale Management-Software Richtlinien und Änderungen an alle VPN-Gateways im Verbund, sodass jeder Standort jederzeit die neuesten Regeln und Objekte kennt. Eine grafische Darstellung der möglichen und zurzeit aktiven VPN-Tunnel hilft Administratoren bei der Übersicht ihres verschlüsselten Netzes.
Gutes Management erfordern auch die VPN-Clients, gerade weil ihre Zahl in der Regel ein Vielfaches der stationären VPN-Gateways ausmacht. Benutzerkonfiguration und Zertifikatsverteilung wollen zentral durch eine Instanz geregelt sein, sonst droht neben Sicherheitslücken auch erheblicher Mehraufwand bei der Verwaltung. Schon früher mussten VPN-Lösungen mit mobilen Endgeräten wie Laptops und Notebooks klarkommen. Auch diese IT-Systeme können sich von verschiedenen Standorten aus über nicht kontrollierbare Medien mit dem Firmennetz verbinden, per WLAN-Hotspot oder auch mittels UMTS-Modem.
Die neuen mobilen Clients haben das Anforderungsprofil nochmals verschärft. Ein Tablet wird möglicherweise an einem Tag benutzt, dann zur Seite gelegt und für einige Minuten oder auch für Stunden oder Tage nicht mehr in die Hand genommen. Was passiert mit dem bis dahin aufgebauten VPN-Tunnel? Wie lange hält das System den Tunnel aktiv und riskiert damit erhöhten Stromverbrauch beim Endgerät und einen möglichen Vertraulichkeitsverlust, wenn ein Dritter das Tablet benutzt? Wird aber der Tunnel beendet, sobald der VPN-Client den Energiesparmodus meldet, nötigt man dem Benutzer unter Umständen häufige Einlog-Vorgänge auf. Dies wird über kurz oder lang zu Abwehrmaßnahmen gegen die Sicherheitseinstellungen führen, zum Beispiel eine auf endlos gestellte Wartezeit, bevor der Energiesparmodus greift. Damit hat jeder andere, der physischen Zugriff auf das Tablet erhält, Zugang zu den Anwendungen auf der anderen Seite des VPN-Tunnels.
Balance zwischen Sicherheit und Komfort
Auch ohne solche Überlegungen ist es technisch komplex, die wechselnden Netzverbindungen aufrechtzuerhalten. Dazu nutzen die VPN-Gateways meist eine logische IP-Adresse pro Endgerät, die für die Dauer der Tunnelnutzung unverändert bleibt. Die verschiedenen Medien und Netze verteilen unterschiedliche IP-Adressen an den Client, die dieser aber nur intern benutzt. So lassen sich Handover-Vorgänge bei WLAN oder Roaming zwischen Mobilfunk-Sendemasten vor Benutzern und Anwendungen verbergen.
Auch beim bereits angesprochenen Energiesparmodus hält das VPN-Gateway die Verbindung aufrecht, selbst wenn der Client nicht mehr antwortet. Denn auch die Applikationen und Dienste im LAN erfordern regelmäßige Antworten, damit sie keine Fehler melden oder eine erneute Authentisierung verlangen. Zudem sind Dinge wie die Vergabe der IP-Adressen zu beachten. Wenn die Verbindungsparameter für das VPN ausgehandelt werden, dürfen die VPN-Clients die DHCP-Server des LANs normalerweise noch nicht kontaktieren. Das VPN-Gateway muss in der Lage sein, die Adressen entweder aus einem eigenen Pool zu verteilen oder über eine Relay-Funktion vom DHCP-Server des Netzes zu vermitteln.
Nahtlos integriert muss auch die Benutzerverwaltung des Unternehmens sein, gerade wenn viele Remote-Access-Nutzer auf das VPN-Gateway zugreifen. Es würde zum einen doppelten Aufwand verursachen und außerdem die Wahrscheinlichkeit von Fehlern erhöhen, wenn Administratoren die Benutzerdaten für VPN-Verbindungen getrennt von den Zugangsdaten für das LAN verwalten würden. Meist findet die vorhandene zentrale Benutzerverwaltung auf Basis eines Verzeichnisdienstes wie LDAP oder Microsoft Active Directory Verwendung. Die Authentisierung der VPN-Clients läuft entweder direkt über den Verzeichnisdienst oder über einen Radius-Server, der eigenständig oder Bestandteil der VPN-Management-Software sein kann. Die VPN-Management-Software muss in der Lage sein, alle für den VPN-Zugang notwendigen Daten wie Gruppenzugehörigkeit, Benutzernamen und Passwörter dort herauszuziehen und abzugleichen.
Am besten wickelt das VPN-Gateway die komplette Nutzerverwaltung der VPN-Anwender autark ab und greift nur lesend auf die übergeordneten Datenbanken des Verzeichnisdienstes zu. Alle zusätzlichen Parameter der Clients, die für VPN-Verbindung notwendig sind, verwaltet das VPN-Management selbst. So lassen sich VPN-spezifische Erweiterungen des Schemas oder der Datenbank vermeiden.
Lesen Sie mehr zum Thema
