VPN Grundlagen, Techniken und wichtige Faktoren
Zu den grundlegenden Techniken, die bei VPNs zum Einsatz kommen können, gehört das Protokoll IPSec (Internet Protokoll Security). Es wird bei traditionellen VPNs verwendet, um einen Tunnel zwischen zwei Endpunkten aufzubauen. Bei IPSec handelt es sich um ein Protokoll der Netzebene im OSI-Referenzmodell. Es schützt losgelöst von einer definierten Anwendung alle Daten zwischen den Endpunkten. Ein Client, der sich mit IPSec in ein Netzwerk einwählt, verhält sich gegenüber dem Netzwerk als wäre er lokal eingebunden. Typischerweise erfordert der Einsatz von IPSec die Installation einer lokalen Client-Software.
Das Konkurrenzprodukt SSL (Secure Sockets Layer), genauer als Transport Layer Security (TLS) bezeichnet, ist weit verbreitet, da es faktisch in jeden Webbrowser integriert ist. Die lokale Installation einer Client-Software ist somit nicht erforderlich. Im Gegensatz zu IPSec ist es dem Administrator bei dieser Technik auch möglich, den Zugriff auf einzelne Applikationen zu beschränken.
1. Form der Anbindung
Sobald Zweigstellen angebunden werden, gilt es zwei mögliche Arten der Anbindung zu unterscheiden: Maschennetzwerk und sternförmige Netzwerke. Maschennetzwerke sind so aufgebaut, dass die Filialen nicht nur mit der Zentrale, sondern auch mit den anderen Filialen vernetzt sind. Die sternförmige Vernetzung verbindet die Filialen hingegen ausschließlich über ein zentrales VPN-Gateway. Maschennetzwerke erlauben einen schnelleren Austausch und eine geringere Latenz, Sternnetzwerke bieten den Vorteil des zentralen Monitoring durch die IT. Es versteht sich beinahe von selbst: Je schneller die Leitung, desto besser das Ergebnis. Kommen Standard-DSL-Leitungen zum Einsatz, so muss weiterhin bedacht werden, dass die jeweiligen Upstream-Geschwindigkeiten die tatsächliche Nutzgeschwindigkeit darstellen.
2. Frage der Verfügbarkeit
Nicht jede Zweigstelle muss mit zusätzlichen Backup-Mechanismen an die Zentrale angebunden werden. Es gibt Applikationen und Geschäftsbereiche, die einen teilweisen Ausfall der Zweigstellen-Zentral-Anbindung durchaus tolerieren. Kassensysteme von Einzelhandelsketten, Dependancen von Kliniken oder Geldautomaten von Banken gehören jedoch definitiv nicht dazu - hier bedarf es einer Backup-Anbindung.
Um eine Backup-Anbindung überhaupt nutzen zu können, muss die primäre VPN-Verbindung zunächst einmal überwacht werden. Hierfür gibt es die etablierte Methode der "Dead Peer Detection" (DPD). Das VPN-Gateway in der Filiale muss, sofern Backupleitungen genutzt werden, diese natürlich beherrschen. Ein Umschalten geschieht im Optimalfall von allein.
3. Zentralisiertes Management
Die entscheidende Voraussetzung für eine sichere und effektive Anbindung von Filialen an eine zentrale IT ist ein ebenfalls zentralisiertes VPN-Management-System. Der zuständige Administrator muss aus der Zentrale auf die komplette Einrichtung auch bei einem Ausfall der Primärleitung zugreifen können. Neben der Überwachung, Konfiguration und den Software-Updates vereinfacht eine zentrale Management-Lösung die Verteilung digitaler Software- oder Hardwarezertifikate (CA), die LDAP-Konsole für das Identitäts- und Rechte-Management sowie die Sicherheitsüberprüfung der Endgeräte (Network Access Control/Endpoint Security).
4. Outsourcing
Verfügt die eigene IT eines Unternehmens nicht über das notwendige Knowhow, um Sicherheitssysteme ordentlich und verlässlich zu betreiben, so ist der Einsatz eines externen Dienstleisters möglicherweise die beste Lösung. Es gibt in Deutschland eine große Anzahl von Firmen die sich auf ein solches Geschäftsmodell spezialisiert haben. Die beste Lösung nützt wenig, wenn sie aus Unwissenheit falsch konfiguriert wird. (wh)