computerwoche.de

Netzwerke

Test: VPN mit Client-Server-Struktur

Sichere Netze ohne Konfigurationsärger

27.10.2009
Von 
Jürgen Hill ist Chefreporter Future Technologies bei der COMPUTERWOCHE. Thematisch befasst sich der studierte Diplom-Journalist und Informatiker derzeit mit aktuellen IT-Trendthemen wie KI, Quantencomputing, Digital Twins, IoT, Digitalisierung etc. Zudem verfügt er über einen langjährigen Background im Bereich Communications mit all seinen Facetten (TK, Mobile, LAN, WAN). 
Alle Posts des Autors Email: Connect:

VPN mit Client-Server-Struktur

Eine andere Idee, die uns ebenfalls neugierig machte, hatte die saarländische Sirrix Technologies AG mit der Lösung Sirrix.Trusted VPN. Vereinfacht ausgedrückt, setzten die Saarländer zur Realisierung eines VPN auf eine Art Client-Server-Installation. Dabei besteht die Trusted-VPN-Produktfamilie aus drei Komponenten:

Eine zentrale Rolle kommt beim Sirrix-Konzept dem Management-Server zu. Auf ihm werden alle VPN-Einstellungen gespeichert.
Eine zentrale Rolle kommt beim Sirrix-Konzept dem Management-Server zu. Auf ihm werden alle VPN-Einstellungen gespeichert.

Der Clou an dem Konzept ist nun, dass die VPN-Boxen vor Ort bis auf die eigene IP-Adresse und die des Management-Servers keine weiteren sensiblen Daten konstant vorhalten. Wird also eine TrustedVPN.Box entwendet oder woanders installiert, dann ist sie schlicht wertlos, denn sie holt sich die erforderlichen Konfigurationsdaten im Live-Betrieb vom Server und generiert Schlüssel etc. mit Hilfe des integrierten TPM-Chips (Trusted Platform Module). Gut geschützt sollte dagegen der TrustedObjects.Manager sein, denn er ist bei diesem Ansatz der zentrale Punkt, auf dem alle relevanten Informationen lagern. Dabei steht es dem User frei, ob er den Management-Server physikalisch selbst betreiben will, eine Managed-Lösung vorzieht oder eine gehostete Lösung (das System ist mandatenfähig). Der Zugriff auf den Server erfolgt über eine verschlüsselte Web-Browser-Verbindung. Dabei soll das System, so die Sirrix-Broschüren, eine "narrensichere Bedienbarkeit und ultimative Sicherheit" bieten.

Technische Daten

  • Produkt: VPN-Gateway Sirrix.TrustedVPN.Box;

  • Hersteller: www.sirrix.de;

  • Dienste: IKE-Server, IPsec-Server, IP-Filter, DHCP-Server;

  • Management: Web-basiert über Sirrix.TrustedObjects.Manager;

  • Protokolle (unterstützt): Encapsulating Security Payload (ESP), Authentication Header (AH), Tunnel- oder Transportmodus, Dead Peer Detection (DPD), Traffic Shaping (Minima/Maxima je Netzwerk);

  • VPN-Modi: Site-to-Site VPN zur direkten Verbindung zwischen zwei Standorten, IPsec-Software-Client-Support für mobile Mitarbeiter, interne IP-Adresse für Road Warrior im Source-NAT-Verfahren zuweisbar;

  • Sicherheitsverfahren: Main und Aggressive Modus, Diffie-Hellman (2048 - 8192 Bit), Perfect Forward Secrecy (PFS), Preshared Key (PSK), TPM-gehärtete X.509 Zertifikate (RSA 2048 - 8192 Bit), externe oder integrierte Zertifizierungsstelle (CA);

  • Verschlüsselung: AES-128, AES-256, Blowfish, CAST, 3DES, Hash-Funktionen SHA256, SHA512, MD5, SHA1.