Die Virtual-Private-Networks-Technologie (VPN) hat sich in allen IT-Bereichen als kostengünstige und sichere Alternative zur Datenübertragung über das Internet und öffentlich zugängliche Netzwerke etabliert. Dabei hat sich in diesem Umfeld eine Vielzahl von verschiedenen Zugangsmethoden entwickelt, die unterschiedliche Endgeräte und Übertragungsprotokolle verwenden. Neben den in die Jahre gekommnen Analogmodems sind ISDN-fähige Geräte sowie unterschiedliche Breitbandanschlüsse und WLAN bis hin zu GPRS/UMTS-Verbindungen in Gebrauch. Im Bereich Sicherheit haben sich bei VPN bevorzugt die Protokolle IPsec und SSL über http durchgesetzt.
Foto: NCP
Durch die Vielzahl an verschiedenen Geräten, Verbindungen und Protokollen stehen die Anwender oft hilflos vor einer Menge in der Regel auch unüberschaubarer Einstellungsmöglichkeiten. Um die VPN-Technik sinnvoll zu nutzen, sollten der VPN-Anbieter und auch ein Unternehmen, das seinen Mitarbeitern VPN zur Verfügung stellt, einen solchen Zustand seinen Nutzern nicht zumuten. Ein effektiver und produktiver Einsatz der VPN-Technologie ist nur dann sicher gewährleistet, wenn es für den Endbenutzer so transparent und einfach zu nutzen ist, wie ein Handygespräch. Eine wichtige Voraussetzung für die einfache Handhabung von VPN-Verbindung ist der Einsatz einer zentralen Management Komponente. Diese fungiert als Steuerzentrale und verwaltet und automatisiert alle Verbindungen im Hintergrund, so dass der Endnutzer von der Komplexität einer VPN-Datenübertragung nichts mitbekommt.
Komfort für Nutzer und Administratoren
Komfortabel für die User, aber auch für die Administratoren ist beispielsweise das zentrale Verteilen und Aktualisieren der Client-Software. Lange Zeit wurde zu Recht bemängelt, dass für den VPN-Betrieb auf Basis des IPsec-Protokolls eigene Software auf jedem Endgerät installiert, regelmäßig aktualisiert und überwacht werden musste. Die IPsec-Alternative "SSL-Verschlüsselung über http" schien einen Ausweg zu eröffnen. De facto ist ein SSL-VPN aber nicht in der Breite der Anwendungen nutzbar oder allenfalls dann, wenn aufwändige Anpassungen an den Applikationen vorgenommen werden. Für den Zugriff auf Web-Applikationen sind SSL-VPNs aber durchaus sinnvoll. Eine zentrale VPN-Management-Konsole muss in einem solchen Mischbetrieb auf jeden Fall sowohl mit IPsec- als auch mit SSL-VPNs umgehen können.
Zentrale Softwareverteilung ist nur eines der Features, die ein zentraler VPN-Management-Server automatisiert. Auf dem Bildschirm der zentralen Konsole können auch viele andere Tätigkeiten, die beim VPN-Betrieb für den Administrator anfallen, überwacht und angestoßen werden. Dazu gehören die Verwaltung des VPN-Gateways, also der Endpunkt des VPN-Tunnels im Unternehmensnetz, das Management der Ausgabe für digitale Software- oder Hardwarezertifikate (CA), die LDAP-Konsole in Richtung Identitäts- und Rechte-Management sowie die Sicherheitsüberprüfung der Endgeräte (Endpoint Security).
Ganz anders definiert sich Komfort auf der Endnutzerseite. Die Anwender schätzen integrierte Wählmechanismen (Dialer) für die verschiedenen Zugriffsszenarien (WLAN, GPRS/UMTS, Hotspot, Modem), so dass sie sich nicht mit unterschiedlichen Softwareoberflächen herumschlagen müssen. Die Wahlparameter sollten zentral verwaltet und dann auf die zugelassenen Nutzer und deren Endgeräte verteilt oder bei Bedarf gesperrt (Parametersperre) werden.
Integration in die Unternehmens-IT
Eine andere Aufgabe der VPN-Management-Komponente ist die Verzahnung des VPN-Betriebs mit der Gesamt-IT eines Unternehmens. So liegen viele Daten wie Nutzeridentitäten und Nutzerrechte schon in zentralen Verzeichnissen vor. Können diese durch eine entsprechende Verzahnung der Systeme genutzt werden, erspart dies doppelte Arbeit und hilft damit, Kosten zu vermeiden.
Wichtige Leistungsmerkmale sind dabei die komplette Nutzerverwaltung (Anlegen und Löschen von Benutzern, Verwalten der Zugangsdaten, Administrieren der einzelnen Nutzerrechte), das Überwachen der Einhaltung der Sicherheitsrichtlinien sowie nicht zuletzt die Protokollierung aller Administrationsschritte, so dass die internen Kontrollsysteme jederzeit mit entsprechenden Nachweisen beliefert werden können.
Verfügt ein Unternehmen über ein zentrales Identitäts-Management-System, kommuniziert die zentrale VPN-Management-Komponente über Schnittstellen wie LDAP mit dem zentralen Unternehmensverzeichnis. Gesonderte Datenbanken für die Verwaltung der Benutzerrechte sind damit überflüssig, da man ja die Rechte aus dem zentralen Unternehmensverzeichnis abrufen kann.
Sicherheit am Endpunkt des VPN-Tunnels
Zu den zentralen Elementen eines VPN zählen zudem die Sicherheitsmechanismen von der Authentifizierung über die Tunneltopologie und die Verschlüsselung bis hin zur Schlüsselverwaltung. Aufgaben, die ebenfalls in die Zuständigkeit eines VPN-Management-Servers fallen. Allerdings ist dabei zu beachten, dass bei VPN-Verbindungen nicht nur die Übertragungsstrecke zu sichern ist, sondern auch das jeweilige Endgerät. Was heute unter Begriffen wie "Network Admission Control" (NAC), "Network Access Protection" (NAP) oder "Endpoint Security" vor allem von den Marketing-Abteilungen der Netzwerk- und Sicherheitsanbieter hoch gehandelt wird, ist im VPN-Bereich eigentlich ein alter Hut. Jedenfalls insofern, als ein unsicherer Client (als der eine Endpunkt des VPN-Tunnels) nicht in Frage kommen darf und kann. Denn wenn ein Endpunkt - in diesem Fall der Client-Rechner - infiltriert werden konnte, dann »tunnelt« sich der Angreifer unerkannt in das Unternehmensnetz.
Vom zentralen Management-Server sollte deshalb auf alle Clients - ganz gleich ob Notebook, Bürorechner oder Smartphone - eine Personal Firewall aufgespielt werden, die an das jeweilige Endgerät angepasst ist. Darauf sind Regelwerke für Ports, IP-Adressen und Applikationen definierbar. Neben der richtigen Einstellung der Firewall müssen die Endpunkte auch darauf hin geprüft werden, ob beispielsweise die neueste Version eines Virenschutzprogramms installiert und alle Patches aufgespielt sind. Alle Prüfungen des zentralen Management-Servers sind dabei so zu gestalten, dass sie der Nutzer nicht umgehen kann. Sämtliche Nutzer, die diese Kriterien nicht mit Bravour erfüllen, müssen vom Unternehmensnetz ausgeschlossen bleiben beziehungsweise erst einmal in einer Quarantäne-Zone landen.
Weiter sollte das Sicherheits-Management in der Lage sein, zwischen sicheren und unsicheren Netzen zu unterscheiden und die jeweiligen Zugriffsziele auf die Sicherheitsqualität der Übertragungsstrecke abzustimmen. Last, but not least muss ein zentrales VPN-Management auch alle gängigen Formen der Nutzerauthentifizierung verarbeiten. Die Palette reicht von Einmal-Passwort-Tokens über digitale Zertifikate (mit und ohne Smartcard) bis hin zu biometrischen Eingabeverfahren.
Offene und weniger offene VPN-Management-Server
Ein VPN-Management-Server, der alle diese Aufgaben erfüllt, ist zugegebenermaßen recht aufwändig. Aber er ist sein Geld wert, weil er nicht nur für weitgehende Sicherheit sorgt, sondern den Unternehmen auch eine neue weltweite Offenheit bringt. Das Unternehmensnetz kann nicht nur für (mobile) Mitarbeiter, sondern auch für Kunden und Lieferanten geöffnet werden. Dabei ist diese Öffnung aber nicht fahrlässig, sondern durch die installierten Sicherheitsmechanismen und Automatismen gut kontrolliert.
Den Administratoren eines solchen VPN-Management-Servers obliegt es dabei, die internen und externen Nutzer nicht zu sehr die Einschränkungen fühlen zu lassen, sondern ihnen den Komfort aufzuzeigen, den sie durch die Voreinstellungen erhalten. Automatismen können hier genauso helfen wie eine behutsame Benutzerführung, die im Fall von Verboten immer auch auf die jeweils verbleibenden Möglichkeiten verweist.
Heute gehen viele Hersteller in die hier beschriebene Richtung und offerieren, wie es Fran Howarth, Analystin vom britischen Marktforschungsunternehmen Quocirca, nennt, eine "Remote Access-Technologie der nächsten Generation". Die wesentlichen Unterschiede der verschiedenen Angebote liegen wohl darin, dass weltweit agierende Netzwerk- oder Firewall-Schwergewichte wie Cisco, Juniper oder Check Point, die "nebenbei auch VPN machen" (und das sicher nicht schlecht), den Anwender für ihre Gesamt-Produktlinie gewinnen wollen. Kleinere Anbieter - wie beispielsweise der deutsche Hersteller NCP - die "ausschließlich VPN machen", scheinen dagegen offener und flexibler sein.
VPN-Tipps für End-User
Anwender, die die VPN-Technologie nutzen wollen, sollten für eine sichere VPN-Verbindung die folgenden Tipps und Empfehlungen beachten:
• Überprüfen Sie, ob Ihr lokal installierter Virenscanner oder die Personal-Firewall Probleme verursachen.
• Schauen Sie, ob ein weiterer VPN-Client auf dem System vorhanden ist, und schalten Sie diesen gegebenenfalls ab beziehungsweise deinstallieren Sie ihn - oft bereiten zwei VPN-Clients auf einem Rechner Schwierigkeiten.
• Testen Sie, ob das gewünschte Medium auch existiert (oft wird bei GPRS / UMTS eine spezielle Rufnummer genutzt wie *99# oder *99***# oder *99****3#, GPRS/UMTS verwenden ferner einen bestimmten APN = Access Point Name)
• Sind die konfigurierten VPN-Ports bei eingeschalteter Firewall auch freigegeben? Sollten Sie hinter einem Router, aus einem lokalen LAN heraus arbeiten, so sind auch die Firewall-Regeln des Routers zu überprüfen.
• Sind die IPsec-Einstellungen korrekt konfiguriert?
• Ist die Firewall auf der Gegenseite richtig eingerichtet?
• Unterstützt das verwendete Medium - etwa der Hotspot im Hotel - die benötigten Ports (es gibt ferner UMTS-Provider, die IPsec nur über eine Zusatzoption erlauben)?
• Unterstützt die Gegenstelle "echtes" IPsec oder nur IPsec over L2TP (Microsoft-IPsec)?
• Beherrscht der VPN-Client die gewünschte Verbindungsart, oder muss ein zusätzlicher Dialer installiert sein?
• Ist die WLAN Karte aktiv? In Laptops integrierte WLAN-Karten müssen mit einem Extraschalter aktiviert werden.
Viele dieser Fehlerquellen lassen sich mit guten VPN-Clients vermeiden. Solche Software überprüft bei Verbindungsschwierigkeiten teilweise bereits automatisch obige Problemfälle.
Fazit
Anwender, die die Anschaffung einer neuen, zentral verwaltbaren VPN-Management-Lösung planen, sollten zunächst einmal die angebotenen Leistungsmerkmale prüfen. Diese ähneln sich heute aber bei den meisten Herstellern stark. Deshalb sollte der Entscheider sein Augenmerk besonders darauf richten, inwieweit die Funktionsintegration gelungen und automatisiert ist.
Unter Aspekten der Investitionssicherheit ist zudem darauf zu achten, ob die zentrale Verwaltungskomponente nur mit dem hauseigenen VPN-Gateway eines Herstellers zusammenspielt oder später im Bedarfsfall auch Komponenten eines Mitbewerbers verwendet werden können. (hal)
Dieser Artikel basiert auf Beiträgen unserer Schwesterpublikation Computerwoche.