Praxistest Saytec Saytrust Access
Privat im Tunnel
Für Fernzugriffe auf das Unternehmensnetzwerk und die dortigen Anwendungen kommt in aller Regel ein VPN zum Einsatz - mit allen Vor- und Nachteilen. Der deutsche Security-Anbieter Saytec wählt mit seiner VPT-Technik (Virtual Private Tunneling) einen anderen Weg. LANline hat Saytecs Tunneling-Verfahren näher betrachtet.
Anwender, die im Home Office oder mobil arbeiten, sollen in der Regel auch auf Firmendaten zugreifen können. Dazu benötigen sie einen Fernzugriff auf das Unternehmensnetzwerk, der nicht nur eine schnelle und stabile, sondern auch sichere Verbindung bereitstellt. Ein Großteil der Unternehmen setzt dazu eine der vielen VPN-Lösungen ein, die der Markt bietet. Administratoren wie Anwender beklagen beim Einsatz solcher VPN-Programme aber häufig eine Reihe von Problemen: Software, die sich auf den Client-Systemen nur schlecht oder gar nicht integriert, umständliche, proprietäre Hardware, die bei manchen Anwendungen zusätzlich nötig ist, oder auch quälend langsame Verbindungen sind nur einige der Herausforderungen, die auftreten können. Saytec stellt mit Saytrust Access eine eigene Lösung bereit, die viele dieser Probleme nicht aufweisen soll.
Mobiler Zugang per USB-Stick
Grundsätzlich besteht die Lösung aus einem Server und einer Client-Komponente in Form eines USB-Sticks, einer SD-Card oder einer App. Der Server kann als Appliance oder als Software (auch virtualisiert) zum Einsatz kommen. Laut Aussagen von Saytec setzt ein sehr großer Teil der Kunden aber die Appliance im RZ ein. Als SaaS-Lösung (Software as a Service) steht Saytrust derzeit nicht bereit.
Saytec stellte uns eine Testumgebung mit einem vorkonfigurierten Server in deren RZ und mit den entsprechenden Clients zur Verfügung. Es existieren unterschiedliche Ausprägungen des Clients, die sich vor allen Dingen durch die Sicherheitsstufen unterscheiden. Die auf dem PC installierbare Software unterstützt ebenso wie die App für Mobilgeräte eine Authentifizierung mittels Zertifikat und Passwort. Der Anbieter stellt USB-Sticks mit Zwei-Faktor- und für höhere Sicherheitsansprüche auch mit Drei-Faktor-Authentifizierung (2FA, 3FA) bereit. Während die 2FA-Anmeldung mittels Zertifikat und Passwort erfolgt, kommt bei den 3FA-Modellen Biometrie hinzu. Dies lässt sich so konfigurieren, dass ein Computer den USB-Client erst nach der biometrischen Identifikation überhaupt als Gerät erkennt.
Im täglichen Einsatz werden Administratoren ihren Nutzern vorkonfigurierte USB-Sticks an die Hand geben, mit denen diese dann direkt den Tunnel zum Unternehmens-Server aufbauen können. Uns standen 2FA-USB-Sticks zur Verfügung. Zudem konnten wir uns via Web-Zugang auf den Server im RZ aufschalten, um diesen Teil der Lösung zu begutachten.
Einsatz in der Praxis
Wir haben die USB-Sticks mit PCs unter Windows 10 getestet, die eine aktive Verbindung zum Internet besaßen, was eine Voraussetzung für den Einsatz der Lösung ist. Auf unseren USB-Clients war das zum Verbindungsaufbau benötigte Zertifikat bereits installiert. Dieses kann ein Administrator seinen Anwendern aber auch auf anderen Wegen übergeben, etwa per Download oder E-Mail. Nachdem das Zertifikat erfolgreich importiert war, stand uns im oberen linken Bereich des insgesamt recht übersichtlichen, wenn auch etwas "altmodisch" erscheinenden Menü im Zertifikatsbereich der Menüpunkt "Verbinden" bereit. Nach einen Klick erschien eine Aufforderung zur Eingabe einer PIN, die der Administrator uns zuvor mitgeteilt hatte. Dann erfolgte relativ zügig der Verbindungsaufbau und wir konnten nun auch auf die zuvor nicht aktiven Bereiche des Menüs zugreifen.
All dies lief völlig logisch und leicht durchschaubar ab. Auch weniger erfahrene Anwender dürften mit dem Einsatz dieses Clients kaum Probleme haben. Im Bereich "Remote-Anwendungen" standen vorkonfiguriert Anwendungen wie Microsoft Word oder Excel bereit, die sich per Doppelklick starten und verwenden ließen. Beim erstmaligem Klick auf eine Applikation innerhalb einer solchen Sitzung muss der Anwender sich allerdings noch einmal mittels Benutzernamen und Passwort authentifizieren, bevor er Zugriff auf die vorkonfigurierten Remote- oder Web-Apps erhält.
Wer erstellte Dokumente abspeichern möchte, kann dies problemlos auf dem USB-Stick tun (vorausgesetzt, seine Dateien sind nicht zu groß) oder auf lokalen Ressourcen wie den Laufwerken des PCs. Diese lassen sich mittels der bekannten Laufwerksbuchstaben in die Sitzung einbinden. Wird kein Buchstabe angegeben, wählt die Software den nächste freien oder einen fix vorgegeben Buchstaben aus. Dies kann entweder mittels durchgereichter Anmeldung via LDAP oder über den eingetragenen Nutzer mittels Passwort für den Zugriff geschehen. Dabei handelt es sich dann um UNC-Freigaben (gegen 127.0.0.1\{FREIGABE}), die der Client lokal initiiert.
Sehr gut aus Sicht der Sicherheit: Der Administrator kann zuvor festlegen, dass ein derartiger Zugriff beispielsweise nur dann erlaubt ist, wenn das fremde Netzwerk eine Adresse in der Form 192.168.x.y besitzt. Sitzt der Mitarbeiter also im Home Office, kann er auf seine Laufwerke zugreifen, aber nicht, wenn er den Stick beispielsweise im Internet-Café nutzt. Anwender können die Freigaben dabei einfach per Mausklick im Client öffnen, das Einbinden mittels der gerade für wenig erfahrene Anwender recht umständlichen Laufwerk/UNC-Freigabe entfällt.
Erfahrene Anwender und Administratoren erwarten in der Regel, dass eine derartige Lösung eine virtuelle Netzwerkkarte auf dem Client-System einrichtet, um auf diese Weise den Tunnel über das Internet aufzubauen und sicher zu betreiben. Saytec verwendet hier ein anderes Konzept, als Virtual Private Tunneling (VPT) bezeichnet. Die Verbindung wird dabei auf Anwendungsebene aufgebaut. Damit ist keine direkte Koppelung über das Netzwerk nötig.
So galt unser erster Blick auf den Client-Systemen nach dem Aufbau der Verbindung zum Saytrust-Server auch den Netzwerkeinstellungen und danach der Prozessliste auf dem System. Es war wirklich keine zusätzliche Netzwerkkarte zu entdecken, und auch mithilfe einiger Sniffer war der Netzwerkverkehr so nicht auszumachen.
Fachleute von Saytec erläuterten uns, dass die Verbindung auf Prozessebene im User-Kontext des jeweiligen Programms aufgebaut wird. Man verlängere dabei quasi die TCP- und UDP-Sockets in das Unternehmensnetzwerk. Dabei werden nur die vom Administrator konfigurierten Anwendungen und die dafür konfigurierten Zieladressen und Ports erfasst. Netzintern erscheinen diese Anwendungen dann mit den Adressen des Saytrust-Servers. Dieser bestimmt auch mittels Black- und Whitelists, welche Programme ein Benutzer oder eine Benutzergruppe über die Tunnel verwenden darf. Alle nicht freigegebenen Anwendungen bleiben von der Verbindung ausgeschlossen. Zusätzlich können Systemverwalter Client-Anwendungen gezielt verbieten. Beendet der Anwender die SSL-verschlüsselte Verbindung, bleiben keine Daten auf dem Client zurück.
Der Administrator verwaltet den Server oder die Appliance per Web-Konsole. Die lokale Konsole zeigt lediglich einen Dialog zur Anpassung der IP-Adresse an - weitere Einrichtungsschritte sind nicht vorgesehen. Auch sonst zeigt sich das Basisbetriebssystem eher verschlossen. Ein SSH-Zugriff auf die Linux-Konsole ist nur möglich, sofern der Administrator dies über das Web-Interface explizit aktiviert. Die Saytec-Mitarbeiter versicherten uns, dass dies aber auch nur höchst selten notwendig sei.
Die Grundkonfiguration besteht in erster Linie aus der Einbindung in die vorhandene Netzwerkumgebung und ähnelt stark der Einrichtung eines Routers. In rund 30 Minuten, so der Hersteller, sei eine Server-Installation mit der Netzwerkeinrichtung abgeschlossen. Der Administrator füllt dabei die typischen Felder mit Informationen: IP-Adresse, Router-Gateway-Adresse, DNS-Einträge, Syslog-Server oder Proxy-Anbindung. Die Benutzerverwaltung in diesem Bereich der Web-Konsole ist nicht für den VPT-Client-Zugriff gedacht, sondern regelt die administrativen Zugänge.
Welche Teilbereiche der Dialoge zur Verfügung stehen sollen, definiert der Hauptadministrator mit einigen Mausklicks. Legt man beispielsweise ein Konto für einen Backup-Verantwortlichen an, so sieht dieser nur die entsprechenden Dialoge. Für die Sicherung verfügt der Server über eingebaute Backup- und Restore-Funktionen. In einem kurzen Test war das Backup der Zertifikate und Einstellungen in wenigen Augenblicken erledigt. Eine zügige Sicherung vor einem Update oder Konfigurationsänderungen ist somit kein Problem.
Auch sonst findet der Administrator einige gut umgesetzte Ideen, darunter "Activate Panic Login". Hier handelt es sich um eine Möglichkeit, den aktuellen Stand "einzufrieren" und temporäre Zertifikate für den externen Zugriff zu aktivieren. Systemhäuser schalten sich damit beispielsweise auf Wunsch des Kunden zügig auf ein System auf oder holen sich über diesen Weg Unterstützung vom Hersteller. Dabei kappt der Server jedoch alle zuvor aktiven Verbindungen. Wird "Panic" deaktiviert, ist ein regulärer Zugang wieder möglich. Je nach Einstellung versorgt sich das System selbstständig mit Updates über das Internet, sofern der entsprechende Vertrag mit dem Anbieter abgeschlossen wurde. Ansonsten installiert der Administrator Update-Dateien per Web-Dialog manuell.
Die Hauptarbeit verrichtet der Administrator jedoch im Menüabschnitt "Remote Access". Hier legt er für Personen und Gruppen die Zugriffe mittels Policies an und verwaltet sie. Dazu gehören typische Einstellungen wie die Richtlinie, ob der Nutzer bei der Anmeldung zwingend eine PIN angeben muss, wie komplex diese sei soll und ob sie geändert werden muss. All diese Änderungen und Einstellungen konnten wir im Test leicht vornehmen und unseren Clients "präsentieren". Bei den Nutzergruppen bietet die Software die Möglichkeit, die Server mit einem LDAP-Server zu verbinden. Zudem können Administratoren lokale Gruppe anlegen, etwa wenn externe Consultants für eine bestimmte Zeit mitarbeiten sollen.
Grundsätzlich zeigte sich auch bei der Konfiguration des Servers das gleiche Prinzip, das wir schon bei den Clients entdeckt hatten: Ein Großteil der Einstellungen ist selbsterklärend. Zwar erfordern die Server-Settings ein größeres IT-Know-how als die auf den Endanwender ausgerichteten Clients, aber insgesamt sollten sie keine Probleme bereiten.
Die Preise für den Saytrust Access Server Software beginnen bei 828 Euro für die Basic-Version mit fünf Lizenzen (ausbaufähig bis zu 25 Lizenzen), während die für die Saytrust Access Appliances Basic inklusive fünf Lizenzen für fünf Named User bei 2.388 Euro anfangen. Saytec bietet dazu diverse zusätzliche Lizenzpakete und größere Server-Versionen an. Der kleinste Saytrust-USB-Client mit 2FA und 4 GByte Speicherplatz kostet 18 Euro im Einzelverkauf. Für alle Clients bietet Saytec Paketpreise für zehn, 25 und 50 Clients an. Die Preise für die Clients mit 3FA beginnen bei 36 Euro pro Stück (alles Einzelverkaufspreise inklusive Mehrwertsteuer).
Fazit: Sicheres mobiles Arbeiten per USB-Client
Uns hat die Saytrust-Lösung im Testbetrieb sehr gut gefallen. Besonders die einfache und logisch gut durchdachte Handhabung auf der Client-Seite hat Lob verdient. Jeder IT-Profi, der mobile Anwender mit den diversen VPN-Lösungen betreuen musste, wird zu schätzen wissen, dass er genau vorkonfigurierte USB-Sticks an seine Anwender ausgeben kann, die diese dann einfach und sicher an ihren Endgeräten verwenden können. Durch die Regelung mittels Policies kann ein Administrator dabei die meisten Einsatzfälle gut im Vorfeld konfigurieren. Die von uns getesteten 2FA-Clients haben während der Testdauer problemlos funktioniert, und auch das probeweise erstellen neuer Zertifikate und Ausbringen auf die Clients bereitete keine Probleme.
Hinzu kommen weitere Feinheiten, die uns im Testbetrieb positiv aufgefallen sind, darunter die Möglichkeit, Wake on LAN (WOL) direkt vom Stick aus einzusetzen. Per Eingabe der MAC-Adresse und der Festlegung eines Zugriffnamens kann man mit dieser Lösung Benutzern die Möglichkeit zum "Aufwecken" ihrer Rechner direkt in den Client einbauen - sehr praktisch.
Tel.: 089/578361400
Web: www.saytec.eu
Lesen Sie mehr zum Thema
