VPN-Workshop

iPhone-Praxis: VPN richtig einrichten und nutzen

25.11.2013
Von 
Thomas Joos ist freiberuflicher IT-Consultant und seit 20 Jahren in der IT tätig. Er schreibt praxisnahe Fachbücher und veröffentlicht in zahlreichen IT-Publikationen wie TecChannel.de und PC Welt.
Mit dem iPhone und iOS 7 lässt sich wie mit PC-Clients ein sicherer Zugriff aufs Unternehmensnetzwerk via VPN realisieren. Das Smartphone unterstützt verschiedene Protokolle. Der folgende Beitrag erläutert eingehend die Konfiguration und die unterschiedlichen Lösungen.

Bei der Anbindung an ein VPN verhält sich das iPhone wie ein üblicher PC. Das heißt, Unternehmen benötigen einen ganz normalen VPN-Zugang. Das kann ein VPN-Router oder ein Windows-Server sein. Die Anbindung erfolgt über interne Einstellungen auf dem iPhone. Von Herstellern wie Juniper oder Cisco stehen im App-Store Apps zur Anbindung bereit, die die Konfiguration und den Start des VPNs vereinfachen und den Datenverkehr steuern.

VPN-Protokolle für das iPhone - Cisco und Co.

Das iPhone unterstützt als Protokolle L2TP/IPSec, PPTP und Cisco IPSec. Das bedeutet, Sie können jeden VPN-Server einsetzen, der diese Protokolle verwendet. Die Benutzer-Authentifizierung können Sie über MS-ChapV2, RSA SecurID mit CryptoCard oder über einen symmetrischen Schlüssel (Shared Secret) konfigurieren.

Point-to-Point-Tunnel-Protocol (PPTP)-basierter VPN-Datenverkehr besteht aus einer TCP-Verbindung zum TCP-Port 1723 auf dem VPN-Server, um den Tunnel zu verwalten, und aus GRE (Generic Routing Encapsulation)-gekapselten Paketen für die VPN-Daten. PPTP-Datenverkehr kann jedoch Probleme mit Firewalls, NATs und Webproxys haben. Um Probleme zu vermeiden, müssen Firewalls so konfiguriert sein, dass sie sowohl die TCP-Verbindung als auch GRE-gekapselte Daten ermöglichen.

PPTP ermöglicht die verschlüsselte Einkapselung von verschiedenen Netzwerkprotokollen. Nachdem die Authentifizierung durchgeführt ist, verschlüsselt ein PPTP-VPN die Verbindung. Die Verschlüsselung baut auf dem Kennwort der Authentifizierung auf. Je komplexer das Kennwort ist, umso besser ist die Verschlüsselung. Da die Verschlüsselung und der Transport der einzelnen IP-Pakete durch das GRE-Protokoll durchgeführt werden, müssen Sie darauf achten, dass die Hardware-Firewall beziehungsweise der DSL-Router, den Sie verwenden, dieses Protokoll beherrscht.

Wer eine aktuelle FritzBox einsetzt, kann auch diese als VPN-Server konfigurieren, der mit iPhones funktioniert. Mehr Informationen dazu finden Sie auf der Website von AVM

VPN per L2TP

Die zweite Variante, ein VPN aufzubauen, ist das Layer 2 Tunnel Protocol (L2TP). Dieses Protokoll ist sicherer als PPTP, aber dafür komplexer in der Einrichtung. L2TP verwendet IPSec, um eine Verschlüsselung aufzubauen. Beim Aufbau eines VPN mit L2TP wird der Datenverkehr, im Gegensatz zu PPTP, bereits vor der Authentifizierung zuverlässig verschlüsselt.

Da L2TP zur Verschlüsselung des Datenverkehrs IPSec verwendet, können Sie mit diesem VPN-Typ auch eine 3DES-Verschlüsselung durchführen. Der Einsatz eines VPN auf Basis von L2TP setzt eine Zertifizierungsstelleninfrastruktur voraus. Sie können auch Juniper Junos Pulse und Cisco AnyConnect einsetzen.

Für diese Methoden stehen im App-Store entsprechende Apps zur Verfügung, mit denen Sie die Einrichtung durchführen. Die Einrichtung können auch normale Anwender leicht durchführen, wenn die entsprechenden Verbindungsdaten des VPN zur Verfügung stehen.

Der Cisco-AnyConnect-Client

Mit dem Cisco-AnyConnect-Client lassen sich iPhones an Cisco-VPN-Server, zum Beispiel der ASA-5500-Serie oder der IronPort-S-Serie, anbinden. Der Client dazu steht als App kostenlos im App-Store zur Verfügung. Die Software verwendet SSL (Secure Sockets Layer) und DTLS (Datagram Transport Layer Security).

Einrichtung: Der Cisco-VPN-Client erlaubt die manuelle Konfiguration.
Einrichtung: Der Cisco-VPN-Client erlaubt die manuelle Konfiguration.

Der Client erlaubt die manuelle Konfiguration, aber auch den Import von Profilen mit dem iPhone-Konfigurationsprogramm. Die Konfiguration des AnyConnect-Clients ist genauso einfach wie die Konfiguration mit Bordmitteln des iPhones.

Anwender geben die Daten ein, die Administratoren ihnen mitteilen. Zur Authentifizierung lassen sich auch Zertifikate einsetzen. Das ist Voraussetzung, wenn Sie Connect-on-Demand nutzen wollen. Auf diese Weise lassen sich bestimmte Zugriffe auf Ressourcen, zum Beispiel Exchange-Postfach oder SharePoint, automatisch über das VPN routen.

Datenübergabe: Hier geben Sie die Daten für das Cisco-VPN ein.
Datenübergabe: Hier geben Sie die Daten für das Cisco-VPN ein.

Im unteren Bereich der App stehen über den Menüpunkt Statistics weitere Informationen zur Nutzung des Clients zur Verfügung. In diesem Bereich sehen Anwender den Status der Verbindung sowie Informationen zu den gesendeten und heruntergeladenen Daten.

Wenn Sie ein zertifikatsbasiertes VPN einsetzen, können Sie Zertifikate in den Formaten PKCS#1 (.cer, .crt, .der) und PKCS#12 (.p12, .pfx) verwenden. Der Import der Zertifikate erfolgt entweder manuell oder über das iPhone-Konfigurationsprogramm. Grundlage des iPhone-Konfigurationsprogramms sind Konfigurationsprofile (siehe auch iPhone-Praxis: Einstellungen per Konfigurationsprogramm automatisieren). Hierbei handelt es sich um XML-Dateien, in denen Sie Einstellungen des iPhones vordefinieren und verteilen können. Dies können zum Beispiel Einstellungen für VPN sowie Zertifikate sein, die Sie für VPN benötigen.