Integration in die Unternehmens-IT
Eine andere Aufgabe der VPN-Management-Komponente ist die Verzahnung des VPN-Betriebs mit der Gesamt-IT eines Unternehmens. So liegen viele Daten wie Nutzeridentitäten und Nutzerrechte schon in zentralen Verzeichnissen vor. Können diese durch eine entsprechende Verzahnung der Systeme genutzt werden, erspart dies doppelte Arbeit und hilft damit, Kosten zu vermeiden. Wichtige Leistungsmerkmale sind dabei die komplette Nutzerverwaltung (Anlegen und Löschen von Benutzern, Verwalten der Zugangsdaten, Administrieren der einzelnen Nutzerrechte), das Überwachen der Einhaltung der Sicherheitsrichtlinien sowie nicht zuletzt die Protokollierung aller Administrationsschritte, so dass die internen Kontrollsysteme jederzeit mit entsprechenden Nachweisen beliefert werden können. Verfügt ein Unternehmen über ein zentrales Identitäts-Management-System, kommuniziert die zentrale VPN-Management-Komponente über Schnittstellen wie LDAP mit dem zentralen Unternehmensverzeichnis. Gesonderte Datenbanken für die Verwaltung der Benutzerrechte sind damit überflüssig, da man ja die Rechte aus dem zentralen Unternehmensverzeichnis abrufen kann.
Sicherheit am Endpunkt des VPN-Tunnels
Zu den zentralen Elementen eines VPN zählen zudem die Sicherheitsmechanismen von der Authentifizierung über die Tunneltopologie und die Verschlüsselung bis hin zur Schlüsselverwaltung. Aufgaben, die ebenfalls in die Zuständigkeit eines VPN-Management-Servers fallen. Allerdings ist dabei zu beachten, dass bei VPN-Verbindungen nicht nur die Übertragungsstrecke zu sichern ist, sondern auch das jeweilige Endgerät. Was heute unter Begriffen wie "Network Admission Control" (NAC), "Network Access Protection" (NAP) oder "Endpoint Security" vor allem von den Marketing-Abteilungen der Netzwerk- und Sicherheitsanbieter hoch gehandelt wird, ist im VPN-Bereich eigentlich ein alter Hut. Jedenfalls insofern, als ein unsicherer Client (als der eine Endpunkt des VPN-Tunnels) nicht in Frage kommen darf und kann. Denn wenn ein Endpunkt - in diesem Fall der Client-Rechner - infiltriert werden konnte, dann »tunnelt« sich der Angreifer unerkannt in das Unternehmensnetz.
VPN-Tipps für End-User
-
Überprüfen Sie, ob Ihr lokal installierter Virenscanner oder die Personal-Firewall Probleme verursachen.
-
Schauen Sie, ob ein weiterer VPN-Client auf dem System vorhanden ist, und schalten Sie diesen gegebenenfalls ab beziehungsweise deinstallieren Sie ihn - oft bereiten zwei VPN-Clients auf einem Rechner Schwierigkeiten.
-
Testen Sie, ob das gewünschte Medium auch existiert (oft wird bei GPRS / UMTS eine spezielle Rufnummer genutzt wie *99# oder *99***# oder *99****3#, GPRS/UMTS verwenden ferner einen bestimmten APN = Access Point Name)
-
Sind die konfigurierten VPN-Ports bei eingeschalteter Firewall auch freigegeben? Sollten Sie hinter einem Router, aus einem lokalen LAN heraus arbeiten, so sind auch die Firewall-Regeln des Routers zu überprüfen.
-
Sind die IPsec-Einstellungen korrekt konfiguriert?
-
Ist die Firewall auf der Gegenseite richtig eingerichtet?
-
Unterstützt das verwendete Medium - etwa der Hotspot im Hotel - die benötigten Ports (es gibt ferner UMTS-Provider, die IPsec nur über eine Zusatzoption erlauben)?
-
Unterstützt die Gegenstelle "echtes" IPsec oder nur IPsec over L2TP (Microsoft-IPsec)?
-
Beherrscht der VPN-Client die gewünschte Verbindungsart, oder muss ein zusätzlicher Dialer installiert sein?
-
Ist die WLAN Karte aktiv? In Laptops integrierte WLAN-Karten müssen mit einem Extraschalter aktiviert werden.
Viele dieser Fehlerquellen lassen sich mit guten VPN-Clients vermeiden. Solche Software überprüft bei Verbindungsschwierigkeiten teilweise bereits automatisch obige Problemfälle.
Vom zentralen Management-Server sollte deshalb auf alle Clients - ganz gleich ob Notebook, Bürorechner oder Smartphone - eine Personal Firewall aufgespielt werden, die an das jeweilige Endgerät angepasst ist. Darauf sind Regelwerke für Ports, IP-Adressen und Applikationen definierbar. Neben der richtigen Einstellung der Firewall müssen die Endpunkte auch darauf hin geprüft werden, ob beispielsweise die neueste Version eines Virenschutzprogramms installiert und alle Patches aufgespielt sind. Alle Prüfungen des zentralen Management-Servers sind dabei so zu gestalten, dass sie der Nutzer nicht umgehen kann. Sämtliche Nutzer, die diese Kriterien nicht mit Bravour erfüllen, müssen vom Unternehmensnetz ausgeschlossen bleiben beziehungsweise erst einmal in einer Quarantäne-Zone landen. Weiter sollte das Sicherheits-Management in der Lage sein, zwischen sicheren und unsicheren Netzen zu unterscheiden und die jeweiligen Zugriffsziele auf die Sicherheitsqualität der Übertragungsstrecke abzustimmen. Last, but not least muss ein zentrales VPN-Management auch alle gängigen Formen der Nutzerauthentifizierung verarbeiten. Die Palette reicht von Einmal-Passwort-Tokens über digitale Zertifikate (mit und ohne Smartcard) bis hin zu biometrischen Eingabeverfahren.