Testreihe VPN-Gateways, Teil 5: Genua
Hochsicherheits-VPN
Die Genuscreen VPN-Gateways von Genua erfüllen sehr hohe Sicherheitsanforderungen. Der Remote-Zugriff per Notebook ist nur mit Spezialhardware möglich, Standard-Notebooks benötigen dafür das Zusatzgerät Genucard. Im Test nahmen wir Genuas VPN-Lösung und die Management-Appliance Genucenter unter die Lupe.
Der deutsche Sicherheitsspezialist Genua bietet mit den Genuscreen-Appliances hochsichere VPN-Gateways mit integrierter Firewall an. Die Systeme sind vom Bundesamt für Sicherheit in der Informationstechnik (BSI) für den Einsatz bis zur Geheimhaltungsstufe „Verschlusssache – Nur für den Dienstgebrauch“ (VS-NfD) zugelassen. Aufgrund der hohen Sicherheitsanforderungen ist für den Fernzugriff per VPN-Verbindung entweder ein von Genua vertriebenes Spezialnotebook erforderlich. Als Alternative kann man ein kleines Genucard-Gerät mit integrierter Smartcard verwenden, über das auch Standard-Notebooks eine sichere VPN-Kommunikation aufbauen können. Für iPhones bietet der Hersteller zudem eine Software-VPN-Lösung an, die sich zusammen mit einer Smartcard als Zwei-Faktor-Authentifizierungslösung implementieren lässt.
Die Genuscreen-Appliances sind in verschiedenen Hardwarevarianten von XS bis XL erhältlich. Zur Testreihe VPN-Gateways traten zwei Appliances vom Typ S sowie eine Genucard an, mit der wir die VPN-Zugriffe von einem Standard-Notebook aus über das Internet testeten. Das S-Modell verfügt über eine 2-Core-CPU, 4 GByte RAM, vier LAN-/WAN-Ports mit 1 GBit/s, zwei USB-Ports, zwei serielle Konsolen-Ports und einen Smartcard-Steckplatz. Neben den VPN-Gateway-Funktionen stellen die Genuscreen-Systeme eine Firewall bereit, die unter anderem Stateful Packet Filtering, DoS- und Spoofing-Protection sowie Tag-basierte Filterfunktionen unterstützt. Per Bridging-Funktion lassen sich die Genuscreen-Appliances auch auf Layer 2 in Netzwerke einbinden, ohne dass man an der IP- oder Routing-Konfiguration im LAN etwas ändern muss. Virtuelles Routing und Quality of Service (QoS) zählen ebenfalls zum Funktionsumfang, ein SIP-Modul (Session Initiation Protocol) ist optional erhältlich.
Die Verwaltung der Genuscreen-Geräte ist über die integrierte Web-Konsole oder die lokale serielle Schnittstelle möglich, die meisten Anwender nutzen aber laut Hersteller die mandantenfähige Management-Software Genucenter, um alle Genua-Produkte zentral zu verwalten. Neue Geräte legt der Administrator in der Genucenter-Konsole per Klick auf Hinzufügen an, dann gibt er alle erforderlichen Parameter wie Name, Lizenzschlüssel, MAC- und IP-Adressen ein und speichert die Konfiguration. Ist bereits eine Management-Verbindung von Genucenter zur Appliance vorhanden, kann man die neue Konfiguration online aktualisieren. Die Config-Datei lässt sich auch auf einem USB-Stick speichern, den der Administrator dann in die Genuscreen-Box einsteckt. Beim nächsten Neustart lädt das Gerät automatisch die neue Konfiguration. Für den LANline-Test richteten wir auf einer VMware Workstation eine neue VM für Linux ein, um Genucenter zu installieren. Genua stellt dafür eine ISO-Setup-Datei bereit, die beim Hochfahren der VM Genucenter weitgehend automatisiert installiert. Der Administrator muss nur einige Basisparameter wie Name, IP-Adressdaten und Admin-Passwort eingeben. Danach konnten wir uns per Web-Browser an der Konsole anmelden. Als erstes legten wir LANline als neuen Mandanten an, fügten die zwei Genuscreen-Appliances hinzu und konfigurierten sie für unser Testnetz.
Für die Erstkonfiguration schlossen wir an eine Genuscreen-Box ein Notebook am LAN-Port 0 an und änderten via Browser-GUI die Management-IP auf eine Adresse unseres Testnetzes. So war das System im Genucenter bereits erreichbar und wir konnten die neue Konfigurationsdatei über das Netz auf die Appliance aufspielen. Die zweite Genuscreen-Box aktualisierten wir per USB-Stick. Beim Neustart erkannte das System die Konfigurationsdatei und führte eine Neuinstallation durch. Beide Updates verliefen fehlerfrei.
Die grafische Oberfläche der Genucenter-Konsole bietet zahlreiche Optionen für die Verwaltung der verschiedenen Genua-Produkte. Die Konfigurationsdialoge zeigen alle für den jeweiligen Bereich benötigten Parameter an und bieten dadurch eine gewisse Hilfestellung. Spezielle Setup-Assistenten, die bestimmte Aufgaben automatisiert einrichten, sind nicht vorhanden. Hilfreich ist, dass alle Admin-Handbücher direkt in die Genucenter-Konsole integriert und so immer griffbereit sind.
Für die VPN-Zugriffstests mit einem Notebook stellte Genua eine Genucard zur Verfügung. Die Hardwarebox ist ungefähr so groß wie ein Riesenhandy mit 7-Zoll-Display. Sie verfügt über einen kleinen textbasierten Bildschirm, ein Tastenfeld für die PIN-Eingabe und Menüsteuerung sowie einen Smartcard-Steckplatz. Die Verbindung mit dem Notebook erfolgt per USB-Kabel. An den zweiten USB-Port lässt sich ein LAN-Adapter für die Netzwerkverbindung stecken. Die Genucard kann auch per WLAN oder LTE auf das Internet zugreifen.
Wir installierten auf unserem Windows-10-Notebook den Genucard-Client, der die Verbindung zur Genucard herstellt und über eine kleine grafische Oberfläche den Verbindungsstatus anzeigt. Dann legten wir im Genucenter eine neue Genucard mit den für unser Test-Setup erforderlichen Konfigurationsparametern an und fügten sie zum VPN-Verbund hinzu. Sobald die Genucard eine Management-Verbindung zu Genucenter aufgebaut hat, kann der Administrator die Konfiguration anpassen und die PIN für die Smartcard per Remote-Update ändern. Das IPSec-IKEv1-VPN hatten wir zuvor auf den zwei Genuscreen-Appliances eingerichtet. Der Administrator legt hierfür unter anderem die internen und externen IP-Adressbereiche und die Art der Verschlüsselung fest. Bei hohen Sicherheitsanforderungen lässt sich der Schlüssel für das VPN auch auf einer Smartcard speichern, die im Kartenslot der Genuscreen-Box Aufnahme findet.
Bei den Zugriffstests stießen wir zunächst auf ein Problem: Die Genucard konnte zwar via Internet eine Management-Verbindung zu der hinter unserem DSL-Router laufenden Genucenter-VM aufbauen, nachdem wir auf dem DSL-Router ein Port-Forwarding für den Genuscreen-Management-Port 1022 aktiviert hatten. Der Aufbau einer VPN-Verbindung scheiterte allerdings, obwohl wir für die benötigten Ports 500 und 4500 ebenfalls eine Weiterleitung vom DSL-Router auf die Appliance eingerichtet hatten. Vermutlich ließ der Router das von der Appliance für das IPSec-VPN genutzte ESP-Protokoll (Encapsulating Security Payload) nicht durch. Laut Genua zählt ein Betrieb der hochsicheren Genuscreen-Appliances hinter einem Privatkunden-DSL-Anschluss eben nicht zu den Standard-Einsatzszenarien der Lösung.
Um die VPN-Funktionen trotzdem testen zu können, stellte uns Genua im hauseigenen Testcenter eine Genuscreen-Appliance inklusive Genucenter-Instanz bereit und konfigurierte diese für den VPN-Zugriff mit unserer Genucard, die wir entsprechend umkonfigurierten. Dabei legten wir auch ein Auto-Connect-Verbindungsprofil an, wodurch die VPN-Lösung sehr einfach zu handhaben ist: Das Notebook fährt mit angeschlossener Genucard hoch und der Benutzer gibt auf dem Genucard-Tastenblock seine Smartcard-PIN ein; nun kann er sich am Genucard-Client und an Windows anmelden. Die Genucard stellt dabei automatisch die Internetverbindung her und baut den VPN-Tunnel zur Genuscreen-Appliance im Firmennetz auf. Im Test funktionierte dies problemlos. Auch die Verwaltung der Genucard über das Genucenter verlief fehlerfrei.
Um eine der zwei im LANline-Testnetz laufenden Genuscreen-Appliances in den VPN-Verbund zu integrieren, erstellten wir in Genucenter des Genua-Testcenters eine neue Konfiguration für dieses Gerät, luden die Config-Datei auf einen USB-Stick und führten damit eine Neuinstallation der Box durch. Nachdem das System mit der neuen Konfiguration hochgefahren war, stellte es automatisch über das Internet die Management-Verbindung zu Genucenter her.
Für die Site-to-Site-VPN-Verbindung waren im Genua-Testcenter noch Firewall-Freischaltungen durchzuführen. Dann ließ sich die Appliance auch in den VPN-Verbund integrieren. Wir konnten nun vom Notebook aus über die Genucard und die Genuscreen-Box im Genua-Testcenter auf ein zweites Notebook zugreifen, das an einen LAN-Port der Genuscreen-Box im LANline-Testnetz angeschlossen war. In der umgekehrten Richtung war der Zugriff ebenfalls möglich. Die Genuscreen-Appliances unterstützen auch SSH-VPNs. Dafür muss man die IP-Adressen der Gegenstellen nicht anpassen, sondern die Sender-Appliance nimmt die Daten entgegen und überträgt sie per SSH-VPN zur Genuscreen-Box der Gegenstelle.
Fazit
Die Genuscreen VPN-Gateways von Genua erfüllen hohe Sicherheitsanforderungen, weshalb der Remote-Zugriff per Notebook nur mit Spezial-Laptops von Genua oder über die Genucard-Zusatzhardware möglich ist. Im Test überzeugte die einfache Handhabung der Genucard im Auto-Connect-Modus, der die Internet- und VPN-Verbindung automatisch herstellt. Auch die Site-to-Site-Kopplung zwischen zwei Appliances ließ sich mittels vorkonfigurierter Installationsdateien relativ einfach einrichten. Um alle Geräte zentral zu verwalten, empfiehlt sich der Einsatz der Management-Appliance Genucenter. Preisinformationen sind bei Genua auf Anfrage erhältlich.
Lesen Sie mehr zum Thema
