Foto: Hide my Ass
Klassischerweise benötigen verteilte Unternehmen eine Netzwerkstruktur, die einen Zugriff aus den verschiedenen Standorten ermöglicht (so genannte Site-to-Site-Verbindungen). Befinden sich beispielsweise Domänencontroller und Mail-Server nur in den größeren Niederlassungen, so greifen die Client-Rechner aus den kleineren Standorten über zentralisierte VPN-Verbindungen auf die großen Server zu.
Faktisch alle großen Telekommunikationsanbieter bieten ihren Kunden hierfür Verbindungen in unterschiedlichen Ausbaustufen an, die bei einem kleinen ADSL-Anschluss beginnen. In dieser Variante richtet der Netzwerkverantwortliche Firewall/Router-Verbindungen ein, während die beteiligten VPN-Bereiche für den Anwender und dessen Computer komplett transparent sind.
Im Gegensatz dazu müssen mobile Anwender aus unterschiedlichsten Netzwerken heraus auf das Zentralsystem zugreifen können. Hierfür stehen in den meisten Fällen VPN-Client-Programme für die eingesetzten Firewalls zur Verfügung. Handelt es sich hierbei lediglich um eine Handvoll Mitarbeiter, die nur sporadisch zugreifen, so braucht sich der Administrator nicht sehr viele Gedanken um die Leistungsfähigkeit der Firewall machen. Regelhafte und längerfristige Verbindungen zehren an der Leistung der Firewall, da die Verschlüsselung, insbesondere bei vielen gleichzeitigen Verbindungstunneln, sehr rechenintensiv ist. Der Markt für diese VPN Gateways und Router ist bestens ausgestattet und reicht vom einfachen 100-Euro-Kästchen bis hin zum ausgewachsenen 19-Zoll-Rackserver.
Viele Systemhäuser bieten ihren Kunden für die verschiedenen Firewall-Systeme die passende Dienstleistung an und richten die Verbindungen und Geräte ein, weisen den lokalen Verantwortlichen in die Funktionalität der "Mobile Clients" ein und, je nach Vertrag, überwachen die Ereignisse auf den Firewalls hinsichtlich fragwürdigen Aktivitäten. Wer in einem sensiblen Umfeld arbeitet, sollte unbedingt einen Experten hinzuziehen, sofern nicht ausreichend spezifisches Wissen in der eigenen Firma vorhanden ist.
Welche Arten von Dienstleistern gibt es?
Es gibt eine sehr große Anzahl von Serviceanbietern die für einen recht überschaubaren Betrag von rund fünf bis fünfzehn Euro im Monat VPN-Dienstleistungen anbieten. Diese Anbieter gilt es von den bereits erwähnten Systemhäusern und Telekommunikationsanbietern zu unterscheiden. Systemhäuser bauen, im Auftrag des Kunden, dessen eigene VPN-Landschaft auf Basis der bereits vorhandenen Internetanbindung auf. Telekommunikationsanbieter, beispielsweise der Geschäftskundenbereich von M-Net oder Spacenet, bieten Vernetzungen für Unternehmen mit verschiedenen Standorten über IP-VPN mit gestellten Endgeräten an. Preislich starten diese Profivarianten ab rund 220 Euro im Monat. Aber den Administratoren und Anwendern stehen integrierte Lösungen zur Verfügung: So beinhaltet beispielsweise die bekannte Fernwartungssoftware Teamviewer eine einfach zu nutzende VPN-Technik.
VPN-Service-Anbieter
Eine kurze Suchanfrage an eine beliebte Suchmaschine und schon offenbart sich eine große Liste von Serviceanbieter, die für wenig Geld im Monat ihre VPN-Dienstleistung anbieten. Trotz zum Teil doch eher verwunderlicher Namen, wie beispielsweise "Hide my Ass" (HMA), scheint es sich um eine doch rege und halbwegs etablierte Branche zu handeln.
Die Zielrichtung, die diese Anbieter im Sinn haben, hat möglicherweise nicht sehr viel damit zu tun, was ein professioneller Leser der Computerwoche sich hierunter vorstellt. Diesen Anbietern geht es in erster Linie darum sich von den möglicherweise entstehenden Einschränkungen einer lokalen Internetanbindung loszureißen. Beispielsweise wenn es darum geht, auf Content in den USA zuzugreifen, der für europäische Kunden noch nicht greifbar ist: Musik- und Video-Streaming.
Durch eine hohe Anzahl von Servern, bei HMA sind es zur Artikelerstellung über 850 VPN-Server an mehr als 300 Standorten in insgesamt 190 Ländern der Welt, entsteht direkt mehr Sicherheit: Der Browser greift nicht über die eigene, vom Provider zugewiesenen IP-Adresse sondern über die virtuelle VPN-Karte mit einer der über 100.000 IP-Adresse aus dem HMA-Netzwerk auf die gewünschte Webseite zu: das verwischt Spuren.
Die Mehrzahl der Anbieter hat ihren Sitz in den USA, was bei der derzeitigen Debatte rund um die Enthüllungen des Ex-Geheimdienstmitarbeiters Edward Snowden wenig sinnvoll sein dürfte. Gemäß der Regularien sind Anbieter aus den USA verpflichtet den in den USA heimischen Regierungsstellen auf Anfrage alle notwendigen Verbindungsinformationen auszuhändigen, auch wenn es sich um europäische Kunden handelt. Andere Anbieter, hier sei exemplarisch auf Web Securitas hingewiesen, haben ihren Sitz in Deutschland und unterliegen daher der hiesigen Rechtsprechung.
Selbst ist der Profi
Grundsätzlich ist die Aufgabe einer VPN-Infrastruktur ja nicht so kompliziert: Sichere, verschlüsselte Punkt-zu-Punkt-Verbindungen über ein tendenziell sehr unsicheres Netzwerk, zumeist das Internet, aufbauen. Mit dem kostenfreien OpenVPN gibt es hierfür auch die passende Software der Open Source-Gemeinschaft, die sich auf vielen Computersystemen installieren lässt. Einige Hersteller, beispielsweise Endian, verwenden in ihren UTM (Unified Threat Management)-Geräten von Haus aus die OpenVPN-Software, anstelle einer eigenen proprietären Lösung.
Unerschrockene IT-Profis gehen gleich noch einen Schritt weiter und verwenden komplett eigene Hardware, um beispielsweise verschlüsselt von unterwegs auf das eigene Netzwerk zuzugreifen. Eine recht kostengünstige Variante ist die Installation eines OpenVPN VPN-Servers auf einem Raspberry Pi Miniatur-PC. Eine ganz einfache Schritt für Schritt-Anleitung hat Jan Karres bereits vor zwei Jahren ins Netz gestellt.
VPN eingebaut
Wer die Teamviewer-Software für die Fernwartung nutzt, hat gleichzeitig die Möglichkeit über dieses Programm eine einfache VPN-Verbindung aufzubauen. Da alle Teamviewer-Clients sich über eine zentrale Instanz im Internet finden, erspart diese Variante sehr viel an Konfigurationsarbeit.
Über einen Rechtsklick in der "Computer & Kontakte"-Liste gelangt der Anwender zu einem Auswahlfenster, indem die Option "VPN", symbolisiert als Netzwerk, zur Verfügung steht, sofern VPN mitinstalliert wurde. Nach einigen Sekunden erscheint das "VPN - Teamviewer"-Fenster mit den dynamisch zugewiesenen IP-Adressen aus dem "Zwischennetz" und der Auflistung des aktuellen Traffic-Verbrauchs.
Den Verbindungstest führt der IT-Profi über den Klick auf die Schaltfläche "Test ping" durch und ein separates Explorer-Fenster öffnet sich ebenfalls, nach Eingabe der erforderlichen Zugangsdaten des fernen Rechners, auf Mausklick. Der Anwender kann auf alle Services über die entfernte IP-Adresse zugreifen, jedoch ohne separate Namensauflösung. (mb)