Sicherheit besitzt gerade in der IT viele Facetten: Das reicht von klug gewählten und häufig geänderten Passwörtern über eine allgemeine Datensparsamkeit bis hin zu regelmäßigen Sicherungen und Backups der wichtigen Daten. Das gilt gleichermaßen für den Einsatz im privaten wie im professionellen Bereich.
Aber gerade an der Schnittstelle zwischen diesen beiden Welten kommt es häufig zu Problemen: Beispielsweise dann, wenn Mitarbeiter aus dem Home-Office oder aus dem Hotelzimmer über das Internet auf die Daten und Anwendungen der Firma greifen möchten oder müssen.
VPN (Virtual Private Networks) können hier die Lösung sein, denn mit ihrer Hilfe können die Nutzer ihre Daten durch einen sicheren "Tunnel" über das Internet senden und auch auf Anwendungen und Daten in ihrer Firma zugreifen. Wir geben in diesem Artikel einen Überblick über die Grundlagen dieser Technik, erläutern Begriffe und zeigen, wofür diese sicheren Verbindungen eingesetzt werden können.
Was ist ein VPN?
Grundsätzlich handelt es sich bei einem VPN um ein eigenständiges virtuelles Netzwerk auf IP-Basis, das es ermöglicht, verschiedene Netzwerke miteinander zu verbinden.
Dabei kommt in der Regel eine Internet-Verbindung als Transportweg zum Einsatz. Für die Nutzer erscheint es dabei, als seien sie in einem gemeinsamen Netzwerk. VPN-Verbindungen kommen häufig auch dann zum Einsatz, wenn Außendienstmitarbeiter remote auf die Firmendienste und -daten zugreifen möchten oder sie werden in Form von VPN-Diensten dazu verwendet, anonym zu surfen oder durch Geoblocking aufgestellte Barrieren zu überwinden.
VPN-Technik: IPSec und SSL
Es existieren verschiedene technische Ansätze, ein VPN zu realisieren. Zu den Techniken, die am häufigsten verwendet werden, gehören die IPSec- und SLL-VPNs. Microsoft bietet seit der Verfügbarkeit von Windows 7 und dem Windows Server 2008 zudem mit Direct Access eine weitere eigene Lösung an.
Mit IPSec (Internet Protocol Security) existiert ein Protokoll, das grundsätzlich dafür sorgen soll, dass eine gesicherte Kommunikation auch über unsichere IP-Netzwerke - zu denen grundsätzlich das Internet zählt - möglich ist. Es arbeitet auf Layer 3 des TCP/IP-Referenzmodells, also auf der Vermittlungsschicht. Deshalb ist ein solches virtuelles Netzwerk völlig unabhängig von der Anwendung, die darauf läuft. So kann dann auch jedes Protokoll, das auf IP aufsetzt, problemlos auf diesem Weg übertragen werden. Der Einsatz von IPSec erfordert in der Regel die Installation einer lokalen Client-Software.
IPSec-VPNs wurden dafür entwickelt, direkte Punkt-zu-Punkt-Verbindungen zwischen zwei Netzwerken zu ermöglichen. Dabei kann es sich beispielsweise um den Hauptsitz einer Firma und eine Nebenstelle handeln. Deshalb verwenden Administratoren VPNs auf Basis von IPSec nach wie vor besonders gerne dann, wenn es darum geht, eine dauerhafte Verbindung zwischen zwei Netzen über das Internet hinweg einzurichten: Das ist dann der klassische, sichere Tunnel über das Internet hinweg. Ein weiterer Vorteil besteht darin, dass dieser Ansatz weitaus kostengünstiger ist als andere Lösungen ist, die beispielsweise Standleitungen auf ISDN-, Frame Relay- und ATM-Basis zur Verbindung zweier Standorte einsetzen.
Wollen Administratoren ihren mobilen Anwender einen Remote-Zugriff auf das Unternehmensnetzwerk ermöglichen, so setzen sie häufig SSL-VPNs ein. Diese Variante der virtuellen, privaten Netzwerke setzt das SSL-Protokoll (Secure Socket Layer) heute zumeist in der modernen Variante TLS (Transport Layer Security) ein.
Ein großer Vorteil dieser Technik besteht darin, dass sie prinzipiell in jedem Web-Browser integriert werden kann. Während IPSec-Lösungen in der Regel einen eigenen Netzwerktreiber mit einer virtuellen Netzwerkkarte auf dem Client-System installieren, kann dies bei einem SSL-VPN grundsätzlich auch entfallen. Die lokale Installation einer Client-Software ist hierbei ebenfalls nicht notwendig. Jedoch existieren auch SSL-Lösungen, die einen virtuellen Netzwerkadapter auf dem Client-System installieren.
Im Gegensatz zu IPSec ist es dem Administrator bei dieser Technik zudem leicht möglich, den Zugriff auf einzelne Applikationen zu beschränken. Er kann diese Zugriffe dabei weitaus genauer und gezielter kontrollieren, als das bei einem IPSec-VPN normalerweise der Fall ist. Kommt auf der Client-Seite eine Verbindung via NAT (Network Address Translation) zum Einsatz, so ist bei IPSec-Netzwerken in der Regel eine spezielle, darauf ausgerichtete Konfiguration notwendig, während dies beim Einsatz von SLL-VPNs entfällt.
Microsoft-Spezialität: DirectAccess
Mit der Verfügbarkeit von Windows 7 und dem Windows-Server 2008 hat Microsoft mit der DirectAccess Technologie eine eigene VPN-Variante direkt in seine Betriebssysteme integriert. Sie erlaubt es den Anwendern unter Einsatz von IPv6 und IPSec direkt eine sichere Verbindung in das Firmennetzwerk aufzubauen, ohne dass sie dazu eine spezielle Verbindung mittels eines virtuellen privaten Netzwerks herzustellen müssen.
Grundsätzlich stellt DirectAccess immer automatisch eine Verbindung mit dem Unternehmensnetzwerk her, wenn ein Nutzer eine Internet-Verbindung aufbaut. Dadurch, dass die Anwender nichts mehr tun müssen, um eine solche Verbindung anzustoßen, sinkt für die Systemverwalter der Aufwand bei der Verwaltung der Remote-Systeme. Zudem ist es durch die Integration dieser Technik in die Betriebssysteme nicht mehr nötig, zusätzliche Hard- oder Software anzuschaffen.
Zu den Nachteilen dieser Technik gehört es, dass sie die entsprechenden Microsoft-Betriebssysteme sowohl auf der Server- als auch auf der Client-Seite zwingend voraussetzt. Zudem baut DirectAccess auf den Einsatz von IPv6 auf, was gerade in Inbetriebnahme und Konfiguration unter Windows 7 und dem Windows Server 2008 doch recht aufwändig gestaltete.
Mit dem Erscheinen von Windows 8/8.1 und dem Windows Server 2012 und Windows Server 2012 R2 haben die Entwickler an dieser Stelle allerdings eine Reihe von Verbesserungen und Neuheiten bei DirectAccess zur Verfügung gestellt, die gerade die Konfiguration auf der Server-Seite deutlich erleichtern sollen. War zuvor beispielsweise eine PKI (Public Key Infrastructure) unbedingte Voraussetzung für den Einsatz von DirectAccess im Unternehmensnetzwerk, so ist dies mit dem Windows Server 2012 nicht mehr notwendig.
Zudem steht den Administratoren ein neuer Assistent für die ersten Schritte mit DirectAccess zu Verfügung, der die Einrichtung von DirectAccess erleichtert und die Beschäftigung mit IPv6-Übergangstechnologien wie 6to4 oder Teredo und deren Bereitstellung nahezu überflüssig. Der Assistent installiert und konfiguriert diese IPv6-Übergangstechniken nun ebenfalls automatisch.
Mussten DirectAccess-Server hinter NAT-Routern bisher zwingend mit einer öffentlichen IPv4-Adresse konfiguriert werden, damit ein Zugriff möglich war, so ist das seit dem Windows Server 2012 nicht mehr nötig: DirectAccess-Server können nun auch hinter Unternehmen-Firewalls betrieben werden. Nach dem aktuellen Stand der Dinge zum Zeitpunkt der Erstellung dieses Artikels (Mitte Juni 2015) werden auch Windows 10 und der Windows Server 2016 diese Art eines VPNs unterstützen.
Welches VPN darf es sein?
Wer ein VPN aufbauen will oder muss, steht also vor der Wahl. Dabei betrifft diese Auswahl nicht nur die Unterscheidung zwischen der technischen Umsetzung und damit möglichst reibungslosen Implementierung in die eigene IT-Umgebung, sondern auch die Wahl aus der breiten Palette an Produkten: Soll es eine kostenfreie Version wie OpenVPN sein, die von der Open Source-Gemeinschaft unter GPL-Lizenz zur Verfügung zur Verfügung gestellt wird? Oder kommt eher eine kommerzielle Software wie der sogenannte universelle VPN-Client der Firma NCP in Frage?
Gerade bei den kommerziellen Produkten steht den IT-Verantwortlichen und Administratoren eine große Palette von Lösungen zur Verfügung, die dann auch weitergehende Features wie beispielsweise eine durchgehende Verschlüsselung und eine integrierte Firewall bei der Software ViPNet der Firma infotecs anzubieten haben.
Wer mit all seinen Client-, Server- und mobilen Systemen in einem reinen Windows-Netzwerk arbeitet, sollte sicher auch den Einsatz von DirectAccess als standardmäßig vorhandene VPN-Lösung in Betracht ziehen. Für die IT-Profis bleibt es dabei jedoch wichtig, dass sie eine solche Technik nicht nur testen, einführen und warten können, sondern dass sie diese als Teil eines umfassenden Sicherheitskonzeptes in die eigne IT-Umgebung integrieren müssen. Deshalb ist die Wahl des "richtigen" VPNs immer auch von den Anforderungen der Firma und der Nutzer abhängig. (mb/mje)