VPN-Tücken ade

Direkter Zugang zum Firmennetz mit DirectAccess

Eric Tierling, Master in Information Systems Security Management (Professional), blickt auf über 25 Jahre Erfahrung im IT-Bereich zurück. Neben Hunderten an Fachbeiträgen hat er über 50 Bücher veröffentlicht. Er ist Spezialist für Themen rund um die Informationssicherheit sowie einer der bekanntesten Experten Deutschland für Windows Server und Microsoft-basierte Infrastrukturen.
Aufgrund der Schwierigkeiten, die in der VPN-Praxis gerne auftreten, hat Microsoft mit DirectAccess eine Technik zum sicheren Remotezugriff geschaffen, die ohne virtuelle private Netze auskommt.
Unterwegs schnell mit dem Notebook ins Intranet gehen ist gar nicht so einfach - zumindest per VPN.
Unterwegs schnell mit dem Notebook ins Intranet gehen ist gar nicht so einfach - zumindest per VPN.
Foto: Fotolia, Jeremias Münch

VPNs sind eine nette Erfindung, wenn sie denn so laufen, wie sie sollen. NAT (Network Address Translation), Portblockaden und andere technische Schwierigkeiten bereiten Benutzern immer wieder Probleme, während Administratoren einen hohen Einrichtungsaufwand beklagen. Aus diesem Grund hat Microsoft "DirectAccess" entwickelt. Diese VPN-Alternative soll den Remotezugriff vereinfachen und technischen Stolperfallen von vorneherein aus dem Weg gehen - auch und vor allem durch die Verwendung von IPv6.

Von VPN-Zwängen befreit

Windows Server 2008 R2 ist das erste Serverbetriebssystem von Microsoft, das DirectAccess unterstützt.
Windows Server 2008 R2 ist das erste Serverbetriebssystem von Microsoft, das DirectAccess unterstützt.

Auf mobilen PCs kann DirectAccess seine Vorteile ausspielen. Automatisch wird eine Verbindung zum Unternehmensnetz aufgebaut, sobald der Computer mit dem Internet verbunden ist. Im Idealfall geschieht dies direkt nach dem Windows-Start und somit noch vor der Anmeldung des Benutzers am System. Der separate Aufruf von Tools, um die Verbindung zum Firmennetz herzustellen, entfällt daher.

DirectAccess verhält sich transparent, sodass Mitarbeiter (abgesehen von Übertragungsgeschwindigkeiten, die via Internet naturgemäß geringer ausfallen als innerhalb des Firmen-LANs) gar nicht merken, dass diese Technik im Hintergrund am Werke ist. Remotezugriffe beispielsweise auf freigegebene Ordner von Dateiservern sowie Unternehmensanwendungen finden daher genauso wie beim lokalen Arbeiten im Firmennetz statt. Dadurch brauchen sich Mitarbeiter zur Nutzung von DirectAccess nicht umgewöhnen.

Ein weiteres Merkmal unterscheidet Microsofts Remotezugriffstechnik von herkömmlichen VPNs. Die Programmierer in Redmond haben DirectAccess mit einer bidirektionalen Kommunikationsmöglichkeit versehen. Das eröffnet interessante Möglichkeiten: Beispielsweise lässt sich ein entfernter Computer auf dieselbe Art und Weise wie ein im LAN befindlicher Firmen-PC administrieren und über Active Directory-Gruppenrichtlinien zentral konfigurieren.

Hindernisse

DirectAccess wurde von mit Windows Server 2008 R2 und Windows 7 (nur Enterprise und Ultimate) eingeführt. Verwenden lässt sich die Technik bislang leider ausschließlich mit diesen Betriebssystemen sowie darauf basierenden Abkömmlingen wie Windows Small Business Server 2011 und Windows Thin PC. Frühere Windows-Versionen werden ebenso wenig wie Linux- und Mac-Clients unterstützt. Gleichermaßen müssen Smartphones und Tablets auf Android- und iOS-Basis draußen bleiben.

Als No-Go für viele mittelständische und kleine Firmen hat sich die Anforderung herausgestellt, für DirectAccess zwei aufeinander folgende, öffentliche, nicht ge-NAT-tete IPv4-Adressen bereitstellen zu müssen. Die praktische Verwendbarkeit von DirectAccess ist hierdurch aktuell empfindlich eingeschränkt.

Diese Hürde soll jedoch das kommende Serverbetriebssystem-Release Windows Server 2012 nehmen, für das diese Einschränkung nicht mehr gilt. Des Weiteren besteht damit keine Notwendigkeit mehr zur Einrichtung einer Public Key Infrastructure (PKI) für die Authentifizierung, wie es noch bei Windows Server 2008 R2 der Fall ist. Vielmehr werden bei Windows Server 2012 Authentifizierungsanfragen von Clients an den Kerberos-Proxy eines DirectAccess-Servers gesandt, der diese Anfragen dann an einen Domänencontroller weiterleitet.

Außerdem können Windows 8-Clients mit DirectAccess besser umgehen. Beispielsweise wählen diese automatisch den nächstgelegenen Einstiegspunkt, während Windows 7-Clients mit einem dedizierten Entry-Point operieren.

Dazugelernt

Diese Maßnahmen dürften dazu führen, den Verbreitungsgrad der VPN-Alternative aus Redmond zu steigern. Wünschenswert ist das alleine schon, weil DirectAccess stark auf IPv6 baut - und diese Remotezugriffstechnik vielleicht eine der Killer-Anwendungen sein könnte, die dem IPv4-Nachfolger endlich zu dem seit Jahren prophezeiten, bislang aber ausgebliebenen Durchbruch verhilft. (mb)