VPN, IP-Sec und SSL - wenn es um die Verknüpfung von Netzwerken über andere Netzwerkstrukturen hinweg geht, so kommt gleich ein ganzer Schwung von Abkürzungen zum Einsatz. Was steckt hinter den Begriffen, und welche Technologien benötigt der Systembetreuer, um Außendienstkollegen mit dem Firmennetzwerk oder Standorte untereinander zu verknüpfen?
Um einen gesicherten Austausch von Daten über fremde Netzwerke abwickeln zu können, bedarf es einer zuverlässigen und etablierten Lösung. Das gilt ganz besonders dann, wenn das Internet als "fremdes Netzwerk" fungiert. "Virtuelle Private Netze" (kurz VPN) sind der Quasi-Standard für diese sichere Datenübertragung. IP-gestützte VPNs sind zudem eine kostengünstige Alternative zu den im Vergleich eher teuren Standleitungen auf ISDN-, Frame Relay- und ATM-Basis. Solche Standleitungen werden in der Regel für dauerhafte Verbindungen zwischen Standorten benötigt.
Es ist die Soft- und nicht die Hardware …
Auch wenn häufig der Eindruck entsteht, dass es sich bei VPN-Umgebungen um Hardware handeln müsse, so ist es doch in erster Linie die Software, die diese Systeme ausmacht. Spezielle Hardware kommt in der Regel nur dann zum Einsatz, wenn eine deutlich höhere Betriebssicherheit und eine möglichst optimierte Verarbeitung der verschlüsselten Pakete gefordert sind. Jede Standard-PC-Hardware ist grundsätzlich in der Lage, eine entsprechende Technik zu unterstützen!
Auf dem Markt gibt es eine große Anzahl verschiedener Systeme, die einen gesicherten Zugriff auf das Firmennetzwerk ermöglichen. Wir haben hier eine Auswahl unterschiedlicher VPN-Ansätze getestet. Sie reichen von Open-Source- über Standard-Windows-Möglichkeiten bis hin zu kommerziellen Lösungen, die alle nur einem Zweck dienen: Mitarbeiter mit dem Firmennetzwerk zu verbinden.
Darüber hinaus haben wir für Sie in einer Übersicht eine Checkliste für die Auswahl einer VPN-Lösung zusammengestellt. Am Ende des Artikels stellen wir Ihnen zudem einige Grundlagen und Faktoren vor, die beim VPN-Einsatz eine wichtige Rolle spielen.
Checkliste für die Auswahl einer VPN-Lösung
Allgemeines
-
Anzahl der mobilen und stationären Benutzer, die gleichzeitige Tunnelverbindungen eingehen?
-
Von welchen Standorten soll auf das Firmennetz zugegriffen werden?
-
Kommen neben Standard-Windows-PCs weitere Gerätetypen (beispielweise ThinClients, Handhelds, MacOS-Rechner) zum Einsatz?
-
Wird dauerhaft mobiles Teleworking genutzt? Falls ja, ist eine höhere Leistung beim Kabel oder Gerät sinnvoll)
-
Welche Anwendungen sollen genutzt werden (Terminal-Server-Anwendung oder lokale Anwendung)?
-
Welche Anforderung an das Sicherheitsniveau bestehen?
-
Können zentrale Komponenten wie RADIUS, Verzeichnisdienst oder Benutzerdatenbanken von der Lösung genutzt werden?
Technik und Integration
-
Ist die Lösung einfach zu bedienen?
-
Sind Benutzerschulungen erforderlich?
-
Verfügt die Lösung über alle erforderlichen Sicherheits- und Kommunikationsmechanismen (Personal Firewall, Mobile Connect Cards)?
-
Ist eine komfortable Domänenanmeldung möglich?
-
Sofern die Lösung über eine Personal Firewall verfügt, lässt sich diese zentrale durch den Administrator verwalten?
-
Gibt es standortabhängige (vertrauenswürdig, unbekannt) Firewall-Regeln?
-
Ist der Client kompatibel zu VPN-Gateways anderer Hersteller?
-
Unterstützt die Lösung alle IPSec-Protokoll-Erweiterungen wie XAUTH, NAT-T oder IKE Config Mode?
-
Wie erfolgt die Authentifizierung gegenüber dem Gateway (Einmal-Passwort, Software-Zertifikate, Smartcards, USB-Token)?
-
Muss das VPN-Gateway skalierbar sein?
-
Soll die Lösung als Hardware (Appliance) oder als Software (Standard-PC) bereitgestellt werden?
Anforderungen an den Anbieter
-
Ist der Hersteller auf Security-Produkte spezialisiert?
-
Unterliegen die Produkte speziellen Exportbestimmungen?
-
Befindet sich der Unternehmenssitz in Deutschland oder Europa? Wo wird die Sicherheitslösung programmiert?
-
Gibt es einen Support (deutschsprachig, Zeitzone)?
-
Wurden die Sicherheitsangaben durch unabhängige Institutionen oder Unternehmen mit hohen Sicherheitsanforderungen bestätigt?
-
Verfügt der Anbieter des Produkts über aussagefähige Referenzen (beispielsweise Behörden oder Managed Security Service Provider, MSSP)?
Kostenloses VPN mit OpenVPN
Mit OpenVPN steht eine kostenfreie Lösung der Open-Source-Community unter der GPL-Lizenz zur Verfügung. OpenVPN ist eine Software zum Aufbau eines Virtual Private Network (VPN) über eine verschlüsselte TLS-Verbindung. Zur Verschlüsselung nutzt OpenVPN die Bibliotheken des Programms OpenSSL und verwendet wahlweise UDP oder TCP zum Transport.
Welche Vorteile bietet diese Open-Source-Lösung dem Anwender?
-
Die komplette Lösung steht kostenlos zur Verfügung, sodass sich auch Anwender und Firmen mit kleinem Budget einen sicheren VPN-Zugang einrichten können.
-
Die Lösung ist sehr flexibel und steht sowohl für Windows als auch für Unix, Linux und Mac OS-X in entsprechenden Versionen zum Download bereit.
Wer allerdings mit OpenVPN eine geschützte Verbindung über das Internet einrichten möchte, muss sicherstellen, dass all seine Client-Systeme den entsprechenden Server im Internet erreichen können. Damit wären wir auch schon bei den Einschränkungen, die für diese Lösung gelten:
-
Eine solche Verbindung verwendet entweder eine feste IP-Adresse oder einen dynamischen DNS-Dienst wie DynDNS. Während eine feste IP-Adresse nicht zuletzt eine Kosten- und Verfügbarkeitsfrage ist, erfordert der Einsatz von DynDNS doch etwas größeres technisches Know-how aufseiten des Administrators, damit die Verbindung immer reibungslos klappt.
-
Wie bei Open-Source-Lösungen üblich, benötigt der Systemverantwortliche oder Administrator entsprechendes Fachwissen bei Einrichtung und Betrieb der Software. Tief greifendes Wissen über Netzwerktechnologien ist dabei in jedem Fall erforderlich.
-
Kommt keine 1:1-VPN-Verbindung zum Einsatz, so ist es in der Regel erforderlich, dass eine PKI-Infrastruktur verwendet wird, deren Einrichtung, Aufbau und Betrieb ebenfalls umfangreiche Kenntnisse erfordert.
Zum Zeitpunkt der Recherche zu diesem Artikel waren bereits drei Bücher in deutscher Sprache zum Thema OpenVPN erschienen, die sowohl die Konfiguration als auch den Aufbau einer VPN-Umgebung detailliert beschreiben. Eine Kurzbeschreibung in Englisch findet der interessierte Leser in der Dokumentation.
Direct Access - Microsofts eigener Weg zum sicheren Zugriff
Mit Erscheinen der Betriebssysteme Windows 7 und Windows Server 2008 R2 hat Microsoft auch verschiedene neue Techniken auf den Markt gebracht. Eine davon ist die sogenannte Direct Access Technologie. Mit ihrer Hilfe soll es für Anwender sehr viel einfacher werden, unter Einsatz von IPv6 und IPSec beispielsweise eine sichere Verbindung zum Firmennetzwerk aufzubauen. Dadurch sollen Anwender im Idealfall direkt auf die Dateifreigaben, Webseiten und Anwendungen im Unternehmensnetz zugreifen können, ohne dass sie dazu eine spezielle Verbindung mittels eines virtuellen privaten Netzwerks herstellen müssen. So bietet der Einsatz der Direct-Access-Technik eine ganze Reihe von Vorteilen:
-
Direct Access ist integraler Bestandteil der Betriebssysteme Windows 7 und Windows Server 2008 R2; dadurch ist grundsätzlich keine weitere Hard- und Software nötig.
-
Das Client-System baut die Verbindung automatisch im Hintergrund schon vor der Anmeldung des Anwenders am System auf.
-
Im Zusammenhang mit der bidirektionalen Arbeitsweise von Direct Access können Systemverwalter die Technik ideal dazu einsetzen, mobile Systeme zu administrieren.
-
Der Anwender muss selbst keinerlei Aktionen unternehmen oder gar spezielle Programme starten, um sich mit dem Firmennetzwerk zu verbinden.
Allerdings werden diese Vorteile durch einige Einschränkungen und Vorbedingungen erkauft, wodurch Direct Access nicht zu idealen Lösung für alle Anwendungsfälle wird:
-
Nur Client-Systeme unter Windows 7 können diese Technik nutzen, und im Netzwerk muss ein Windows Server 2008 R2 vorhanden sein. Nur auf diesem Release läuft der Direct-Access-Server.
-
Im Firmennetzwerk müssen mindestens ein Domänen-Controller und ein DNS-Server unter Windows Server 2008 SP2 oder Windows Server 2008 R2 betrieben werden.
-
Direct Access baut auf den Einsatz von IPv6 auf. Zwar stellt es auch den Zugang mittels Übergangstechniken wie 6to4 oder Teredo zur Verfügung, aber auch die müssen dann auf dem Windows Server 2008 R2 implementiert werden.
-
Zusätzlich ist der Aufbau einer Public Key-Infrastruktur (PKI), notwendig, damit das System sowohl Computer- und Smartcard-Zertifikate als auch Integritätszertifikate für den Netzwerkzugriffsschutz ausstellen und einsetzen kann.
Stellt die Direct-Access-Technik damit eine Alternative zum üblichen VPN-Einsatz dar? Jeder System-Profi, der einmal Direct Access im Einsatz testen und verwenden durfte, ist begeistert, wie elegant und grundsätzlich einfach sich diese Technik in das Windows-System besonders auf der Client-Seite einfügt. Allerdings ist der technische Aufwand auf der Serverseite für Einführung und Betrieb dieser Technik so hoch, dass sich deren Einsatz zurzeit nur für reine Windows-Netzwerke lohnt, die schon komplett auf neue Systeme (Windows Server 2008 R2, Windows 7) und auf die aktuellsten Netzwerkprotokolle wie IPv6 umgestellt wurden. Weiterhin sollte Know-how über Pflege und Betrieb einer PKI vorhanden sein, bevor die IT-Mannschaft an die Implementierung dieser Technik herangeht.
Anbindungen mit NCP
Eine ganze Reihe von Unternehmen bietet kommerzielle Lösungen an, die eine gesicherte Verbindung in ein Firmennetzwerk aufbauen können. Wir stellen hier als ein Beispiel für derartige Anwendungen die Lösung des in Nürnberg beheimateten Unternehmens NCP Secure Communication vor. Die Firma entwickelt und vertreibt seit vielen Jahren "Secure Remote Access"-Lösungen für die unterschiedlichsten Anbindungsszenarien. Darüber hinaus bietet sie einen sogenannten universellen IPsec VPN Client an.
Die Vorteile einer solchen kommerziellen Lösung:
-
Sie steht für alle gängigen Windows-Versionen, Mac OS X sowie Windows Mobile 5 (und höher) und Symbian OS zur Verfügung. So lassen sich auch mobile Client-Systeme leichter an das Firmennetzwerk anbinden.
-
Kompatibilität zu den Produkten von Cisco, Check Point, Juniper, Netgear, SonicWall oder Linksys ist ebenfalls gegeben.
-
Wenn also ein Systembetreuer eine VPN-Verbindung für eine heterogene IT-Landschaft bereitstellen muss, kann eine derartige Software zumindest auf der Seite der Clients für Homogenität sorgen.
-
Höhere Sicherheitsstandards: So kann die hier in die Client-Software integrierte Firewall-Lösung die Sicherheit der mobilen Systeme deutlich erhöhen.
Direkte Nachteile sind uns bei kurzen Testeinsätzen dieser Software nicht aufgefallen - sie funktioniert, wie es der Hersteller verspricht.
-
Allerdings bedeutet die Einführung einer solchen Lösung in ein größeres Netzwerk einen nicht unerheblichen finanziellen Aufwand.
-
Wir haben es zudem als umständlich empfunden, dass die Client-Software nicht nur bei einer Neuinstallation, sondern auch bei größeren Hardwareänderungen auf dem jeweiligen System erneut via Internet aktiviert werden muss. Diese Unbequemlichkeit ist dem Lizenzmodell des Herstellers geschuldet.
-
Schließlich sollte ein IT-Verantwortlicher nicht vergessen, dass auch eine kommerzielle Lösung bei Einrichtung und Betrieb Spezialwissen erfordert.
G/On - anders als die anderen
Wie bereits erwähnt, ist der Aufwand beim Aufbau einer VPN-Umgebung mit DMZ, Firewall, Authentication Server, Certificate Server, IPSec-VPN Terminator, SSL VPN Application und möglicherweise einem IDS (Intrusion Detection System) hoch. Zudem verlangt eine solche Lösung vom Systembetreuer in der Regel eine Menge Spezialwissen. Ein weiterer Aufwand für den Administrator besteht dann darin, dass er die IPSec-VPN-Software auf den Clients installieren muss.
Einen anderen Weg geht die dänische Firma Giritech, die auf Basis ihrer EMCADS-Technik (Encrypted Multipurpose Content and Application Deployment System) das Produkt G/On auf den Markt gebracht hat. Dabei handelt es sich um eine Serversoftware, die Anfragen von Clients über eine gesicherte Verbindung an einem einzigen, freigeschalteten Port entgegennimmt und diese dann wie eine Art Proxy-Server weiterreicht. Die Client-Software wird dabei typischerweise direkt von einem speziellen USB-Stick gestartet, auf dem alle benötigten Programme abgelegt sind.
Dadurch ergibt sich eine ganze Reihe von Vorteilen:
-
Das ISO-Image der Client-Software ist auf dem USB-Stick in der üblicherweise unsichtbaren "Read Only"-Partition abgelegt. Änderungen an dieser Partition sind durch den Anwender nicht möglich, und etwaige Manipulationsversuche würden die Hash-Werte der Dateien ändern.
-
Bevor Client und Server miteinander in Verbindung treten, muss der Client auf dem Server einmalig freigeschaltet sein. Unveränderliche Merkmale der Client-Software und die weltweit eindeutige Seriennummer des USB-Sticks dienen als sichere Erkennungszeichen. Der Benutzer muss sich zudem bei Anmeldung noch mit einem Passwort und einem Benutzernamen identifizieren - so kommt es zu einer integrierten Zwei-Faktor Authentifizierung.
-
Die Besonderheit der Lösung stellt die Art der Verbindung dar: Es handelt es sich um eine Verbindung auf Applikationsebene anstelle einer klassischen VPN-TCP-Verbindung.
-
Neben dem USB-Stick wird der Client auch zur lokalen Installation auf Standard-PCs und mobilen Endgeräten wie dem Apple iPhone oder Apple iPad angeboten.
Auch diese Lösung hat bei unserem Test einwandfrei funktioniert und war vor allen Dingen sehr einfach in der Installation und Anwendung. Mögliche Einschränkung beim Einsatz dieser Software:
-
Es ist eine kommerzielle Software, sodass auch hier ein entsprechend hoher finanzieller Aufwand entsteht, falls ein größeres Netz mit vielen Geräten eingebunden werden soll.
-
Die Besonderheit der Software kann auch als Nachteil angesehen werden: Die IT-Abteilung bindet sich beim Einsatz dieser Lösung an die Technik eines Herstellers, die grundsätzlich nicht einfach mit anderen VPN-Lösungen kombiniert oder durch diese ergänzt werden kann.
Kostenlose Fernwartung für schnelles Aufschalten
Wenn es nur darum geht, sich eher selten und für kurze Zeit auf einen Arbeitsrechner aufzuschalten, dann können die vielen, teilweise auch kostenlos erhältlichen Fernwartungslösungen aus dem Internet möglicherweise eine interessante Alternative darstellen.
So kann beispielsweise NTR Connect auf bis zu zwei Maschinen kostenlos genutzt werden und erlaubt nach der Installation einer kleinen Software auf dem jeweiligen Client die Fernwartung und den Dateiaustausch über das Internet. Die Software meldet einem zentralen Server regelmäßig die aktuelle IP-Adresse, über die der Client erreichbar sein soll. Neben dem klassischen Windows-Login auf dem PC als Zugriffsschutz kann der Benutzer zusätzliche Passwörter in der NTR-Software hinterlegen.
In der jüngsten Version der Software ist auch die Verwendung der Microsoft-Standard-Terminalserver-Technik "RDP" möglich, was sehr positive Auswirkung auf die Geschwindigkeit der Darstellung hat. Dadurch wird diese Lösung noch interessanter für den Einsatz in der täglichen Praxis.
VPN-Grundlagen und -Techniken
Zu den grundlegenden Techniken, die bei VPNs zum Einsatz kommen können, gehört das Protokoll IPSec (Internet Protokoll Security). Es wird bei traditionellen VPNs verwendet, um einen Tunnel zwischen zwei Endpunkten aufzubauen. Bei IPSec handelt es sich um ein Protokoll der Netzebene im OSI-Referenzmodell. Es schützt losgelöst von einer definierten Anwendung alle Daten zwischen den Endpunkten. Ein Client, der sich mit IPSec in ein Netzwerk einwählt, verhält sich gegenüber dem Netzwerk so, als wäre er lokal eingebunden. Typischerweise erfordert der Einsatz von IPSec die Installation einer lokalen Client-Software.
Das Konkurrenzprodukt SSL (Secure Sockets Layer), genauer als Transport Layer Security (TLS) bezeichnet, ist weit verbreitet, da es faktisch in jeden Webbrowser integriert ist. Die lokale Installation einer Client-Software ist somit nicht erforderlich. Im Gegensatz zu IPSec ist es dem Administrator bei dieser Technik auch möglich, den Zugriff auf einzelne Applikationen zu beschränken.
Was bei VPN zu beachten ist
Form der Anbindung
Sobald Zweigstellen angebunden werden, gilt es zwei mögliche Arten der Anbindung zu unterscheiden: Maschennetzwerke und sternförmige Netzwerke. Maschennetzwerke sind so aufgebaut, dass die Filialen nicht nur mit der Zentrale, sondern auch mit den anderen Filialen vernetzt sind. Die sternförmige Vernetzung verbindet die Filialen hingegen ausschließlich über ein zentrales VPN-Gateway. Maschennetzwerke erlauben einen schnelleren Austausch und eine geringere Latenz, Sternnetzwerke bieten den Vorteil des zentralen Monitoring durch die IT. Es versteht sich beinahe von selbst: je schneller die Leitung, desto besser das Ergebnis. Kommen Standard-DSL-Leitungen zum Einsatz, so muss weiterhin bedacht werden, dass die jeweiligen Upstream-Geschwindigkeiten die tatsächliche Nutzgeschwindigkeit darstellen.
Frage der Verfügbarkeit
Nicht jede Zweigstelle muss mit zusätzlichen Backup-Mechanismen an die Zentrale angebunden werden. Es gibt Applikationen und Geschäftsbereiche, die einen teilweisen Ausfall der Zweigstellen-Zentral-Anbindung durchaus tolerieren. Kassensysteme von Einzelhandelsketten, Dependancen von Kliniken oder Geldautomaten von Banken gehören jedoch definitiv nicht dazu - hier bedarf es einer Backup-Anbindung.
Um eine Backup-Anbindung überhaupt nutzen zu können, muss die primäre VPN-Verbindung zunächst einmal überwacht werden. Hierfür gibt es die etablierte Methode der "Dead Peer Detection" (DPD). Das VPN-Gateway in der Filiale muss, sofern Backup-Leitungen genutzt werden, diese natürlich beherrschen. Ein Umschalten geschieht im Optimalfall von allein.
Zentralisiertes Management
Die entscheidende Voraussetzung für eine sichere und effektive Anbindung von Filialen an eine zentrale IT ist ein ebenfalls zentralisiertes VPN-Management-System. Der zuständige Administrator muss aus der Zentrale auf die komplette Einrichtung auch bei einem Ausfall der Primärleitung zugreifen können. Neben der Überwachung, der Konfiguration und den Software-Updates vereinfacht eine zentrale Managementlösung die Verteilung digitaler Software- oder Hardwarezertifikate (CA), die LDAP-Konsole für das Identitäts- und Rechtemanagement sowie die Sicherheitsüberprüfung der Endgeräte (Network Access Control/Endpoint Security).
Outsourcing
Verfügt die eigene IT eines Unternehmens nicht über das notwendige Know-how, um Sicherheitssysteme ordentlich und verlässlich zu betreiben, so ist der Einsatz eines externen Dienstleisters möglicherweise die beste Lösung. Es gibt in Deutschland eine große Anzahl von Firmen, die sich auf ein solches Geschäftsmodell spezialisiert haben. Die beste Lösung nützt wenig, wenn sie aus Unwissenheit falsch konfiguriert wird. (hal)
Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation Computerwoche.