Mehr und mehr Unternehmen setzen heute VPN-Technik für die sichere Datenfernübertragung in öffentlichen Netzen ein. Doch immer wieder hört man die Aussage: "VPN ist nicht gleich VPN". Das hat seinen Grund: Proprietäre Protokollerweiterungen des Verfahrens IP Security (IPsec) für Remote Access seitens einiger Hersteller führen den Anwender häufig in eine Sackgasse. Dieser Artikel beschäftigt sich mit den wichtigsten Funktionen einer universellen VPN-Lösung. Im Mittelpunkt stehen dabei die Anforderungen an das IPsec-Protokoll, den VPN-Client und das zentrale Enterprise Management.

Anforderungen an eine VPN-Lösung für Fernzugriffe

Ausgangspunkt ist die Neuorganisation von Geschäfts- sowie Entscheidungsprozessen und die damit verbundene Dezentralisierung von Arbeitsplätzen. Teleworker müssen heute in der Lage sein, rund um die Uhr von jedem beliebigen Ort weltweit auf zentrale Datenbestände und Ressourcen zuzugreifen. Dabei kann es sich um eigene Mitarbeiter, aber auch um Geschäftspartner und Kunden handeln. Dementsprechend unterscheidet man zwischen verschiedenen Arten von VPNs. Bei einem Remote Access- oder Dial Up-VPN wählt sich der Benutzer von unterwegs, zu Hause oder aus einem LAN beispielsweise am Hotspot oder in der Filiale auf das Corporate Network ein. In einem Branch Office- beziehungsweise Site-to-Site-VPN werden dezentrale LANs in Zweigstellen vernetzt. Ein Intranet-VPN erlaubt ausschließlich eigenen Mitarbeitern den Zugriff auf das zentrale Datennetz, während in einem Extranet-VPN auch definierte Geschäftspartner oder Kunden eingebunden werden.

Entsprechend den unterschiedlichen Anforderungen muss eine VPN-Lösung eine einheitliche Plattform darstellen und allen Remote-Access-Varianten entsprechen. Vor allem aber sollte ein VPN unabhängig von der vorhandenen, meist heterogenen IT-Infrastruktur sein, um bereits getätigte Investitionen zu schützen. Weitere wichtige Funktionen sind das automatisierte Management aller Sicherheitsmaßnahmen und der eingebundenen PCs sowie die transparente Integration beliebiger starker Authentisierungsmechanismen (zum Beispiel digitaler Zertifikate).

IPsec als Basistechnologie für IP-VPNs

IP-gestützte VPNs (IP-VPNs) sind die Alternative zur klassischen Standortvernetzung mit Techniken wie Frame Relay oder ATM. Der Begriff IP-VPN beschreibt ein virtuelles privates Netz, das zum Übertragen von Datenpaketen nach dem IP-Standard geeignet ist. Es wird keine Auskunft über die eingesetzte Technologie und Infrastruktur gegeben. Häufig werden IP-VPNs mit Internet-VPNs gleichgesetzt, da diese Methode die derzeit einfachste, preiswerteste und verbreitetste Lösung darstellt.

Die IPsec-Spezifikation der Internet Engineering Task Force (IETF) ist der Protokoll-Standard für den Aufbau solcher privater Netze. Ursprünglich wurde IPsec für Site-to-Site-Kommunikationsumgebungen definiert, die durch fest installierte VPN-Gateways und statische IP-Adressen in vermaschten Wide Area Networks (WAN) geprägt sind. Das Einbinden einzelner Telearbeitsplätze stellt allerdings abweichende Anforderungen an End-to-Site- beziehungsweise End-to-End-VPNs, bedingt durch den Einsatz von Wählverbindungen und wechselnden (dynamischen) IP-Adressen. Die hierfür erforderlichen Erweiterungen des IPsec-Protokolls liegen zwischenzeitlich als Internet-Drafts auf den Seiten der IPsec-Working-Group vor, sind aber noch nicht im "offiziellen" Standardisierungsprozess der IETF angelangt.

Bevor mit IPsec Nutzdaten geschützt übertragen werden können, erfolgt im Rahmen des Internet Key Exchange (IKE) die Verhandlung aller hierfür notwendigen Sicherheitsparameter: Hierzu gehören der eingesetzte Verschlüsselungsalgorithmus, das Schlüssel-Management und die Authentifizierung zwischen VPN-Client und -Gateway. Diese erfolgt standardmäßig durch Preshared Key oder Zertifikate; die Protokollerweiterung Extended Authentication (XAUTH) ermöglicht hier zusätzliche Methoden, unter anderem Einmalpasswörter.

Der IKE-Config-Mode als weitere Protokollerweiterung ermöglicht die dynamische Zuteilung einer virtuellen IP-Adresse aus dem internen Adressbereich (private IP) eines Unternehmens an den Client. Darüber hinaus können dem Client auch Domain- und Serverdaten für DNS und WINS (Windows Internet Name Server) gesichert zugewiesen werden.

Probleme beim Remote Access treten dann auf, wenn ein PC über Netzwerkkomponenten mit Adressumsetzung (Network Address Translation, NAT) Datenverbindungen aufbauen möchte. Nach der IKE-Aushandlung überfordern die verschlüsselten und signierten Datenpakete der Encryption Security Payload (ESP) jedes zwischengeschaltete NAT-System, weil diese keine Ports benutzen. Etliche Netzwerkkomponenten mit NAT haben daher eine "IPsec Passthru"-Option, die aber nur ein festgelegtes Endgerät hinter der NAT-Linie mit den durchgereichten ESP-Frames versorgen kann. Die Protokollerweiterung NAT Traversal (NAT-T) im VPN-Client und VPN-Gateway sorgt hier für Abhilfe.

Zusammen mit dem Protokoll Dead Peer Detection (DPD) lässt sich jede Netzwerktopologie überlagern - eine wichtige Voraussetzung im Umfeld von Remote-Access- und Site-to-Site-VPN. Die DPD-Funktion optimiert das Ressourcen-Management der Tunnel in einem zentralen Gateway. Sie gewährleistet einen kontinuierlichen Verbindungs-Check zur Gegenstelle und leistet einen automatischen Wiederaufbau bei ungewolltem Verbindungsabbruch.

Sicherheitsanforderungen an den VPN-Client

IPsec-Tunnel schützen die VPN-Verbindung auf dem Weg durch unsichere Netze. Um neben der Daten- auch Zugangssicherheit zu garantieren, gilt es den von außen zugreifenden PC und letztlich das Firmennetz gegen jedwede Attacken abzuschotten. Gefahr droht immer dann, wenn ein mobiler Teleworker neben der VPN-Verbindung zur Firmenzentrale gleichzeitig eine direkte ungeschützte Verbindung zum Internet oder eine zweite VPN-Verbindung zu einem alternativen VPN-Gateway unterhält (so genanntes Split-Tunnelling). In derartigen Fällen gilt es zu verhindern, dass sich ein Angreifer über den Umweg des Endgeräts durch den VPN-Tunnel Zugriff auf das Firmennetz verschafft.

Nachhaltigen Schutz gegenüber Viren aus dem Internet bietet das "kontrollierte Surfen". Der VPN-Client ist dabei so konfiguriert, dass der mobile Anwender das Internet ausschließlich getunnelt über die Firmenzentrale nutzen darf. Der große Vorteil liegt darin, dass alle Internet-Verbindungen über das zentrale VPN-Gateway laufen und von zentralen Security-Einrichtungen kontrolliert werden.

Neben der VPN-Client-Software müssen die Endgeräte über zusätzliche Sicherheitsmechanismen verfügen, die ausreichend Schutz gegen "Back-Door-Attacken" bieten. Entsprechende Funktionen bietet eine Personal Firewall, die alle ein- und abgehenden Verbindungen überwacht. Idealerweise ist sie direkt in den VPN-Client integriert. Das sorgt nicht nur für eine einfache Bedienung, sondern ist auch Voraussetzung für die Einbindung in ein unternehmensweites Management-System.

Des Weiteren sollte der mobile Anwender keine Möglichkeit haben, Änderungen an den Firewall-Einstellungen vorzunehmen, denn letztlich würde auch eine "durchgeschlüpfte" Malware mit seinen Berechtigungen arbeiten. Diese Forderung steht vordergründig im Widerspruch zur Anmeldung eines mobilen Teleworkers an einem Hotspot. Hier ist eine besondere Vorgehensweise erforderlich: Die Anmeldung findet in der Regel über HTTP oder HTTPS statt, was bedeutet, dass diese Ports vor der Etablierung eines sicheren VPN-Tunnels an der Personal Firewall geöffnet werden müssen sein, was ein grundsätzliches Sicherheitsrisiko darstellt.

Der Anwender könnte in dieser Phase ungehindert im Internet arbeiten und wäre angreifbar. Die Personal Firewall muss deshalb in Abhängigkeit vom Verbindungsstatus dynamisch sicherstellen, dass nur die Hotspot-Anmeldung und der VPN-Aufbau erfolgen, jedoch keine weiteren Programme direkt auf das Internet zugreifen können. Alle Firewall-Mechanismen sollten frühest möglich - idealerweise bereits beim Systemstart - aktiviert werden und gegebenenfalls auch dann aktiv bleiben, wenn kein VPN-Dienst genutzt wird.

Es ist sicherlich in großen Datennetzen heute nicht mehr ausreichend, den Zugriff per einfachem User-Namen und Passwort zu gestatten. Bewährte Methoden der Authentifizierung sind heute der Einsatz von Einmalpasswort-Tokens oder Zertifikaten als Software und auf Smartcards beziehungsweise anderen Formfaktoren wie einer Multimedia-Card. Der VPN-Client muss alle Authentisierungstechniken auch im Umfeld einer Public Key Infrastructure (PKI) nutzen können. Voraussetzung ist natürlich, dass auch auf der Zentralseite entsprechende IT-Strukturen installiert sind und vom VPN-Gateway unterstützt werden.

Um einen VPN-Client rundum sicher zu gestalten, sollte er auch immun gegen eine unbemerkte Installation von Fremd-Dialern sein. Ein eigener, vom Microsoft-DFÜ-Netzwerk unabhängiger Dialer sorgt hier für Abhilfe.

Kommunikationsanforderungen an den VPN-Client

Ob im Home Office, in der Filiale oder von unterwegs aus, ob über Kabel- oder Funknetze, am Laptop, Desktop oder Handheld, ob E-Mail, Serverzugriff oder Datenbankabfrage: Eine universelle Client-Software muss allen Kommunikationsumgebungen und -anforderungen entsprechen. Der Teleworker muss auf seinem PC die gleichen Arbeitsbedingungen vorfinden wie im Büro. Auf- und Abbau von Datenverbindungen erfolgen für den User unbemerkt automatisiert im Hintergrund. Hand-over beim Ortswechsel im Umfeld von Wireless-LANs von einem Access Point zu einem anderen sowie der Wechsel zwischen unterschiedlichen Übertragungsnetzen dürfen mit keinem Abbruch der Datenverbindung verbunden sein.

Extranet-, aber auch Intranet-VPNs sind häufig durch eine heterogene IT-Infrastruktur geprägt. Der VPN-Client muss mit Gateways unterschiedlicher Hersteller kommunizieren. Das Hauptaugenmerk liegt hier auf einer möglichst umfangreichen Kompatibilitätsliste. Ein weiterer wesentlicher Punkt bei der Beurteilung des Leistungsumfangs eines VPN-Clients ist die Domänenanmeldung. So sollte es nach Möglichkeit vor der eigentlichen Benutzeranmeldung möglich sein, eine VPN-Verbindung zu etablieren.

Zuletzt spielt die Gestaltung der Benutzeroberfläche für die Nutzerakzeptanz eine wichtige Rolle. Denn auch hier gilt die Regel: "Eine nicht oder nur wenig genutzte Investition ist eine Fehlinvestition." Von Vorteil ist ein grafisches, übersichtliches und intuitiv zu bedienendes User-Interface.

Ganzheitliche VPN-Lösung für unternehmensweiten Einsatz

Remote Access im Allgemeinen und Mobile Computing im Speziellen dürfen keine Insellösung(en) in der Unternehmenskommunikation darstellen. Beide müssen vielmehr Teil einer ganzheitlichen, unternehmensweiten VPN-Plattform mit zentralem Management sein. Alle remoten Komponenten (Clients und Gateways) gilt es zu administrieren und zu überwachen. Wichtige Bereiche sind hier: Massen-Roll-out, Softwareverteilung, Remote Helpdesk, Zertifikatsverwaltung und Endpoint Security. Jeder Zugriff auf das Firmennetz muss sich sicherheitstechnisch überprüfen und protokollieren lassen. Dazu gehört auch eine grafisch übersichtliche Aufbereitung aller erfassten Daten für die Administratoren. (ave)