VPN mit Client-Server-Struktur
Eine andere Idee, die uns ebenfalls neugierig machte, hatte die saarländische Sirrix Technologies AG mit der Lösung Sirrix.Trusted VPN. Vereinfacht ausgedrückt, setzten die Saarländer zur Realisierung eines VPN auf eine Art Client-Server-Installation. Dabei besteht die Trusted-VPN-Produktfamilie aus drei Komponenten:
dem Sirrix.TrustedObjects.Manager als zentralem Management-Server,
den Sirrix.TrustedVPN.Boxen als VPN-Gateway,
sowie den VPN-Clients, derzeit Software von NCP.
Der Clou an dem Konzept ist nun, dass die VPN-Boxen vor Ort bis auf die eigene IP-Adresse und die des Management-Servers keine weiteren sensiblen Daten konstant vorhalten. Wird also eine TrustedVPN.Box entwendet oder woanders installiert, dann ist sie schlicht wertlos, denn sie holt sich die erforderlichen Konfigurationsdaten im Live-Betrieb vom Server und generiert Schlüssel etc. mit Hilfe des integrierten TPM-Chips (Trusted Platform Module). Gut geschützt sollte dagegen der TrustedObjects.Manager sein, denn er ist bei diesem Ansatz der zentrale Punkt, auf dem alle relevanten Informationen lagern. Dabei steht es dem User frei, ob er den Management-Server physikalisch selbst betreiben will, eine Managed-Lösung vorzieht oder eine gehostete Lösung (das System ist mandatenfähig). Der Zugriff auf den Server erfolgt über eine verschlüsselte Web-Browser-Verbindung. Dabei soll das System, so die Sirrix-Broschüren, eine "narrensichere Bedienbarkeit und ultimative Sicherheit" bieten.
Technische Daten
Produkt: VPN-Gateway Sirrix.TrustedVPN.Box;
Hersteller: www.sirrix.de;
Dienste: IKE-Server, IPsec-Server, IP-Filter, DHCP-Server;
Management: Web-basiert über Sirrix.TrustedObjects.Manager;
Protokolle (unterstützt): Encapsulating Security Payload (ESP), Authentication Header (AH), Tunnel- oder Transportmodus, Dead Peer Detection (DPD), Traffic Shaping (Minima/Maxima je Netzwerk);
VPN-Modi: Site-to-Site VPN zur direkten Verbindung zwischen zwei Standorten, IPsec-Software-Client-Support für mobile Mitarbeiter, interne IP-Adresse für Road Warrior im Source-NAT-Verfahren zuweisbar;
Sicherheitsverfahren: Main und Aggressive Modus, Diffie-Hellman (2048 - 8192 Bit), Perfect Forward Secrecy (PFS), Preshared Key (PSK), TPM-gehärtete X.509 Zertifikate (RSA 2048 - 8192 Bit), externe oder integrierte Zertifizierungsstelle (CA);
Verschlüsselung: AES-128, AES-256, Blowfish, CAST, 3DES, Hash-Funktionen SHA256, SHA512, MD5, SHA1.