Vor rund zehn Jahren war die Welt in Sachen Remote Access noch übersichtlich. Kam das Thema zur Sprache, dann wussten alle Beteiligten, dass sie sich über die Remote Access Services (RAS) unterhielten, die in der Regel als Services auf einem Netz-Server liefen. Heute ist das Ganze deutlich komplexer, denn Remote Access steht mittlerweile für eine Vielzahl von Anwendungsszenarien (mobile Mitarbeiter, Teleworker, Standortvernetzung) und ein buntes Potpourri an Übertragungstechniken (xDSL, Mobilfunk, Satellit etc.), was die Administration und Konfiguration nicht unbedingt vereinfacht. Auf der Haben-Seite finden sich dafür eine größere Flexibilität, ein fast LAN-artiges Arbeiten sowie in der Regel geringere Übertragungskosten.
Die alte RAS-Welt
Diese Variationen bietet der klassische RAS-Ansatz nicht. Bei ihm handelt es sich letztlich um Punkt-zu-Punkt-Verbindungen. Hohe Übertragungsraten wie etwa mit xDSL sind damit nicht realistisch, dafür sind sie aber zu vielen Übertragungsprotokollen kompatibel - von analog über ISDN bis hin zu X.31. Deshalb wird RAS heute meist dazu genutzt, um wenige Daten sicher zu übermitteln wie etwa bei Fahrkartenautomaten oder bei Röntgengeräten, die dem Hersteller selbständig von Zeit zu Zeit ihren Wartungsbedarf melden. Als Übertragungsmedium kommen dabei auch moderne Mobilfunktechniken wie GPRS oder UMTS zum Einsatz, um beispielsweise Geldautomaten oder andere Geräte fernab von einer Backbone-Infrastruktur zu vernetzen. Ferner sollte die RAS-Technik heute bei Verbindungen in Betracht gezogen werden, die fest definierte Antwortzeiten erfordern und als Backup-Lösung in Frage kommen.
Die Alternativen
Weil es sich bei RAS jedoch um Direktverbindungen handelt, explodieren die Kosten vor allem über größere Entfernungen schnell. Deshalb hat sich mittlerweile ein anderer Ansatz durchgesetzt: Man nehme ein Access-Medium mit interessantem Preis-Leistungs-Verhältnis und transportiere die Daten dann möglichst kostengünstig über das öffentliche Internet oder spezielle Datenfernverbindungen der Carrier. Um die Daten vor neugierigen Blicken zu schützen, wird VPN-Technik (Virtual Private Networks) verwendet.
Eine Kombination, die so erfolgreich ist, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) im IT-Grundschutzkatalog Remote Access gar nicht mehr als eigenes Thema behandelt, sondern unter dem Begriff Remote-Access-VPNs dem VPN-Segment zuordnet. Dabei lassen sich grundsätzlich drei Remote-Access-Spielarten unterscheiden:
Site-to-Site,
End-to-End und
End-to-Site (siehe Kasten).
Die verwendete Anbindungsart hat direkten Einfluss auf die erforderliche Sicherheitsstrategie, denn es ist ein Unterschied, ob man zwei LANs per Remote Access miteinander koppelt oder nur ein mobiler Mitarbeiter per Notebook Zugriff auf das Unternehmensnetz erhalten soll. Gleichzeitig hat dies direkte Auswirkungen auf die erforderliche Bandbreite. Hinsichtlich der Gefährdungslage sollte sich jeder IT-Verantwortliche vor Augen halten, dass sich mit dem Aufbau einer Remote-Access-Infrastruktur die Perimetergrenzen drastisch verschieben. Der Limes verläuft nun nicht mehr durch die Unternehmens-Firewall, sondern direkt durch die Filiale vor Ort, das Internet-Cafe des mobilen Mitarbeiters oder das Wohnzimmer des Teleworkers.
Remote-Access-Szenarien
Site-to-Site: Hier werden zwei Computernetze miteinander gekoppelt, etwa eine Außenstelle oder Filiale mit dem Netz der Zentrale.
End-to-End: Es wird eine Verbindung zwischen zwei dedizierten Endgeräten – meist Servern – aufgebaut. Deshalb wird diese Form häufig als Host-to-Host-Verbindung bezeichnet.
End-to-Site: Ein Endgerät erhält Zugriff auf ein entferntes Netz. Der typische Anwendungsfall hierfür ist der mobile Mitarbeiter, der von unterwegs mit seinem Laptop auf das Unternehmensnetz zugreift.
Dementsprechend kritisch sollte die Gefährdungslage eingeschätzt werden. Neben allgemeinen organisatorischen Mängeln wie etwa unzureichender Planung oder menschlichem Fehlverhalten (beispielsweise durch Administratoren und Endbenutzer) sind noch die Besonderheiten des jeweiligen Remote-Access-Szenarios zu beachten – davon abgesehen, dass ein Datentransport über öffentliche Netze grundsätzlich eine Gefahr darstellt.
Sicherheits-Policies durchsetzen
Aus Sicherheitssicht am unproblematischsten ist die Site-to-Site-Koppelung. Da hier zwei Unternehmensnetze miteinander verbunden werden, lässt sich an allen Standorten die unternehmenseigene Sicherheits-Policy durchsetzen. Eine leistungsstarke Infrastruktur vorausgesetzt, können an den entfernten Standorten auch Techniken wie Network Access Control (NAC) genutzt und zentral gemanagt werden. Lediglich einem Gerät sollte besondere Aufmerksamkeit gewidmet werden: dem Gateway – in der Regel wohl ein Router –, das die Verbindung in das Firmennetz aufbaut. Kommt ein Eindringlich physisch an dieses Gerät heran, weil etwa das Gebäude schlecht gesichert ist, dann steht ihm theoretisch das gesamte Unternehmensnetz offen.
NAC tut not
Andere Herausforderungen warten auf den Security-Verantwortlichen im End-to-Site-Szenario. Da nicht sichergestellt werden kann, dass das Notebook eines mobilen Mitarbeiters nur in gesicherten Umgebungen eingesetzt wird, sollte das Gerät erst einmal als unsicher betrachtet werden. Bevor es per Remote-Access-Zugriff auf das Unternehmensnetz erhält, muss dann überprüft werden, ob Virenschutz, Firewall und andere Schutzmechanismen auf dem aktuellen Stand sind und nicht manipuliert wurden. Deshalb wird man in den meisten Fällen nicht umhinkommen, weitergehende Verfahren wie NAC einzusetzen. Die Alternative wäre die absolute Beschneidung der User-Freiheiten, was wiederum nicht unbedingt der Arbeitsmotivation zugutekommt und eventuell den Workflow bremst, wenn wegen jeder kleinen Änderung der IT-Support bemüht werden muss.
Das wohl schwierigste Szenario stellen die Teleworker im Home Office dar. In Zeiten von NAS, vernetzten Fernsehern und Verstärkern wird bei den Teleworkern in der Regel ein LAN anzutreffen sein. Koppeln sie dieses mit dem Firmennetz, entsteht ein klassisches Site-to-Site-Szenario – mit einem wesentlichen Unterschied: Wer glaubt, hier eine unternehmenseigene Security Policy durchsetzen zu können, ist ein hoffnungsloser Träumer, denn den potenziellen Störenfried im Kinderzimmer wird dies wenig beeindrucken. Wie sich solche Szenarien dennoch in den Griff bekommen lassen, lesen Sie auf Seite 8.
Zukunftsmusik Ethernet-WAN
Heute stehen Remote-Access-Lösungen auf VPN-Basis, die auf Mobilfunk oder xDSL aufsetzen, hoch im Kurs. Sie sind günstig sowie meist schnell zu installieren und scheinen sich nahtlos in die IP-Welt zu integrieren. Allerdings könnte mittelfristig eine neue Technik bei der Site-to-Site-Vernetzung den Markt dominieren: Ethernet im WAN. Anfang 2000 als Metro Ethernet gefeiert, verschwand die Technik im allgemeinen IP-Hype aus dem Fokus. Mit dem jetzt beginnenden bundesweiten Glasfaserausbau im Zuge des Konjunkturpakets II wird diese Technik aber wieder interessant, wenn in wenigen Jahren Glasfaseranschlüsse bis zum Gebäude, der Wohnung oder dem Büro zum Standard gehören. Die neue Technik verspricht nicht nur höhere Geschwindigkeiten im Gigabit-Bereich, sondern arbeitet auf Ebene 2 des OSI-Modells. Damit ist eine transparentere Netzkoppelung als mit den heute üblichen IP-basierenden Remote-Access-Lösungen möglich. Erste Service-Provider offerieren bereits entsprechende Dienste. So bietet die Münchner Teragate eine bedarfsorientierte Geschwindigkeitsanpassung an.
Vor lauter Sicherheit sollte jedoch ein anderer Aspekt nicht vergessen werden: Welche Geschwindigkeit benötigt die Remote-Access-Anbindung, und wie zuverlässig muss sie sein? Für einen Teleworker wird in der Regel ein Consumer-DSL-Anschluss ausreichen, während eine Zweigstelle meist höherwertige Anbindungen benötigt. Zudem hängt der Bedarf von den verwendeten Anwendungen ab. Gerade wenn in Zweigstellen der Einsatz von VoIP oder Conferencing-Systemen bevorsteht, stoßen asynchrone DSL-Varianten als Access-Medium schnell an ihre Grenzen.
Last, but not least ist in die Kalkulation noch die Ausfallsicherheit einzubeziehen. Selbst die günstigste Access-Technik wird schnell teuer, wenn etwa eine Filiale ihren Verkauf einstellen muss, weil die vernetzten Kassensysteme aufgrund einer Netzstörung nicht mehr funktionieren. Für solche Fälle ist zumindest eine Backup-Lösung einzuplanen – etwa in Form der alten ISDN-RAS-Verbindungen.