computerwoche.de

Netzwerke

Tipps zur Wahl der richtigen VPN-Technik

02.08.2007
Von 
Jürgen Hill ist Chefreporter Future Technologies bei der COMPUTERWOCHE. Thematisch befasst sich der studierte Diplom-Journalist und Informatiker derzeit mit aktuellen IT-Trendthemen wie KI, Quantencomputing, Digital Twins, IoT, Digitalisierung etc. Zudem verfügt er über einen langjährigen Background im Bereich Communications mit all seinen Facetten (TK, Mobile, LAN, WAN). 
Alle Posts des Autors Email: Connect:

Per Browser ins SSL-VPN

Für die Installation einer solchen Lösung ist in der einfachsten Variante, wie Sysob-Geschäftsführer Hruby erklärt, "nur ein SSL-fähiger Web-Server mit den nötigen Inhalten erforderlich, und als Client genügt der zur Verfügung stehende Browser, um eine gesicherte Verbindung zu der gewünschten Anwendung herzustellen". Die Beschränkung auf einen Browser als Client offenbart einen weiteren Vorteil dieses Ansatzes: Fast jedes Endgerät ? also auch Handys mit Browser und proprietärem Betriebssystem - kann so für den remoten Zugriff verwendet werden, denn anders als bei IPsec-VPNs ist keine spezielle Client-Software erforderlich, die dann womöglich für die eine oder andere Plattform nicht erhältlich ist.

Allerdings funktioniert diese einfache Variante nur, wenn die Unternehmensanwendungen als HTTP Applikationen ausgelegt sind. Ist dies nicht der Fall benötigt der Anwender einen SSL-VPN-Server beziehungsweise Proxy als Bindeglied zu den anderen Anwendungen. Mit einem entsprechenden Server lässt sich zudem gleich ein weiteres Manko der SSL-VPNs umschiffen. Da die Technik per se auf der Anwendungsebene aufsetzt, erlaubt sie keinen direkten Zugriff auf Dateiebene. Diesen remoten File Access kann der Anwender wiederum mit Hilfe des VPN-Servers ermöglichen. Der Einsatz entsprechender dedizierter Server empfiehlt sich laut NCP noch aus einem anderen Grund: Sie können etwa Client-Parameter wie verwendetes Betriebssystem, Service Packs und Hotfixes prüfen oder die gestarteten Dienste und Anwendungen auf dem remoten Rechner abfragen sowie checken, ob zum Beispiel die Virenscanner auf dem aktuellen Stand sind. Mit Hilfe dieser Daten lässt sich dann ein sehr fein graduierter Zugriff einstellen: Wird der Status des Endgerätes als unsicher eingestuft, so erhält der Anwender beispielsweise lediglich Zugriff auf den Speiseplan der Kantine, während ihm die Verwendung der ERP-Software nur dann erlaubt ist, wenn sein Endgerät alle Sicherheitschecks besteht. Ein Vorgehen, das laut Hruby auch eine Anpassung an die Sicherheits-Level, verschiedener Lokalitäten erlaubt: "Ein Zugriff aus einem Internet-Cafe braucht eine wesentlich restriktivere Sicherheitsrichtlinie als der Zugriff von einem Firmen-Laptop, das in der Regel über Antivirus-Programm und Desktop-Firewall verfügen sollte."

Der Sicherheitscheck ist nicht nur beim Aufbau der Verbindung wichtig. Vielmehr sollte er auch beim Verbindungsabbau erfolgen. Denn die beste verschlüsselte Verbindung nützt wenig, wenn hinterher unternehmenskritische Daten ungeschützt im Cache des Browsers zurückbleiben. Ein Fehler, der vor allem bei der Benutzung fremder Rechner auf einer Konferenz oder im Internet-Cafe fatale Folgen haben könnte.