Ratgeber Virtual Private Network

VPN-Lösungen im Test

Thomas Bär
Thomas Bär, der seit Ende der neunziger Jahre in der IT tätig ist, bringt weit reichende Erfahrungen bei der Einführung und Umsetzung von IT-Prozessen im Gesundheitswesen mit. Dieses in der Praxis gewonnene Wissen hat er seit Anfang 2000 in zahlreichen Publikationen als Fachjournalist in einer großen Zahl von Artikeln umgesetzt. Er lebt und arbeitet in Irsee im Allgäu.
Email:
Frank-Michael Schlede
Frank-Michael Schlede arbeitet seit den achtziger Jahren in der IT und ist seit 1990 als Trainer und Fachjournalist tätig. Nach unterschiedlichen Tätigkeiten als Redakteur und Chefredakteur in verschiedenen Verlagen arbeitet er seit Ende 2009 als freier IT-Journalist für verschiedene Online- und Print-Publikationen. Er lebt und arbeitet in Pfaffenhofen an der Ilm.
Email:

VPN Grundlagen, Techniken und wichtige Faktoren

Zu den grundlegenden Techniken, die bei VPNs zum Einsatz kommen können, gehört das Protokoll IPSec (Internet Protokoll Security). Es wird bei traditionellen VPNs verwendet, um einen Tunnel zwischen zwei Endpunkten aufzubauen. Bei IPSec handelt es sich um ein Protokoll der Netzebene im OSI-Referenzmodell. Es schützt losgelöst von einer definierten Anwendung alle Daten zwischen den Endpunkten. Ein Client, der sich mit IPSec in ein Netzwerk einwählt, verhält sich gegenüber dem Netzwerk als wäre er lokal eingebunden. Typischerweise erfordert der Einsatz von IPSec die Installation einer lokalen Client-Software.

Das Konkurrenzprodukt SSL (Secure Sockets Layer), genauer als Transport Layer Security (TLS) bezeichnet, ist weit verbreitet, da es faktisch in jeden Webbrowser integriert ist. Die lokale Installation einer Client-Software ist somit nicht erforderlich. Im Gegensatz zu IPSec ist es dem Administrator bei dieser Technik auch möglich, den Zugriff auf einzelne Applikationen zu beschränken.

1. Form der Anbindung

Sobald Zweigstellen angebunden werden, gilt es zwei mögliche Arten der Anbindung zu unterscheiden: Maschennetzwerk und sternförmige Netzwerke. Maschennetzwerke sind so aufgebaut, dass die Filialen nicht nur mit der Zentrale, sondern auch mit den anderen Filialen vernetzt sind. Die sternförmige Vernetzung verbindet die Filialen hingegen ausschließlich über ein zentrales VPN-Gateway. Maschennetzwerke erlauben einen schnelleren Austausch und eine geringere Latenz, Sternnetzwerke bieten den Vorteil des zentralen Monitoring durch die IT. Es versteht sich beinahe von selbst: Je schneller die Leitung, desto besser das Ergebnis. Kommen Standard-DSL-Leitungen zum Einsatz, so muss weiterhin bedacht werden, dass die jeweiligen Upstream-Geschwindigkeiten die tatsächliche Nutzgeschwindigkeit darstellen.

2. Frage der Verfügbarkeit

Nicht jede Zweigstelle muss mit zusätzlichen Backup-Mechanismen an die Zentrale angebunden werden. Es gibt Applikationen und Geschäftsbereiche, die einen teilweisen Ausfall der Zweigstellen-Zentral-Anbindung durchaus tolerieren. Kassensysteme von Einzelhandelsketten, Dependancen von Kliniken oder Geldautomaten von Banken gehören jedoch definitiv nicht dazu - hier bedarf es einer Backup-Anbindung.

Um eine Backup-Anbindung überhaupt nutzen zu können, muss die primäre VPN-Verbindung zunächst einmal überwacht werden. Hierfür gibt es die etablierte Methode der "Dead Peer Detection" (DPD). Das VPN-Gateway in der Filiale muss, sofern Backupleitungen genutzt werden, diese natürlich beherrschen. Ein Umschalten geschieht im Optimalfall von allein.

3. Zentralisiertes Management

Die entscheidende Voraussetzung für eine sichere und effektive Anbindung von Filialen an eine zentrale IT ist ein ebenfalls zentralisiertes VPN-Management-System. Der zuständige Administrator muss aus der Zentrale auf die komplette Einrichtung auch bei einem Ausfall der Primärleitung zugreifen können. Neben der Überwachung, Konfiguration und den Software-Updates vereinfacht eine zentrale Management-Lösung die Verteilung digitaler Software- oder Hardwarezertifikate (CA), die LDAP-Konsole für das Identitäts- und Rechte-Management sowie die Sicherheitsüberprüfung der Endgeräte (Network Access Control/Endpoint Security).

4. Outsourcing

Verfügt die eigene IT eines Unternehmens nicht über das notwendige Knowhow, um Sicherheitssysteme ordentlich und verlässlich zu betreiben, so ist der Einsatz eines externen Dienstleisters möglicherweise die beste Lösung. Es gibt in Deutschland eine große Anzahl von Firmen die sich auf ein solches Geschäftsmodell spezialisiert haben. Die beste Lösung nützt wenig, wenn sie aus Unwissenheit falsch konfiguriert wird. (wh)

Newsletter 'Netzwerke' bestellen!