Über die Bedeutung von VPNs auf IPsec-Basis bei der Anbindung von Home Office, mobilen Mitarbeitern oder der Vernetzung von Unternehmensstandorten braucht man heute nicht mehr zu diskutieren: Sie gelten allgemein als State of the Art. Anders sieht es dagegen aus, wenn man darauf zu sprechen kommt, welche Sicherheit ein VPN nun wirklich bietet. Hier werden dann schnell Zweifel laut, denn die wenigsten Administratoren würden ihre Hand dafür ins Feuer legen, dass ihr VPN wirklich zu 100 Prozent sicher und fehlerfrei konfiguriert ist.
Zu mannigfaltig sind nämlich die Stolperstricke, wenn es darum geht, die Schlüssel und Zertifikate für das mehrstufige Verfahren zum Verbindungsaufbau eines VPN-Tunnels korrekt anzulegen. So lauert der Fehlerteufel bei unterschiedlichen Authentifizierungs- und Verschlüsselungsalgorithmen oder Zeitstempeln. Um das Chaos perfekt zu machen, verwenden die Hersteller teilweise unterschiedliche Parameter oder feilen an dem einen oder anderen Wert. Wer schon einmal eine heterogene VPN-Landschaft pflegen oder einrichten durfte, weiß ein Lied davon zu singen - auch die Standardisierungsversuche des VPN Consortiums (VPNC) änderten bislang wenig an dieser Praxis. Auf der anderen Seite (SSL-VPNS seien hier einmal außen vorgelassen), dem Client der Mitarbeiter, sieht es nicht viel besser aus.
Selbst wenn unter diesen Voraussetzungen ein VPN mit höchstmöglicher Sicherheit erfolgreich konfiguriert wurde, kann der Administrator nicht ruhig schlafen. Was passiert, wenn ein VPN-Gateway oder -Router einfach woanders im Netz eingesetzt wird oder Hacker gar das Gerät entwenden? Steht dann das Netz offen? Eine mögliche Antwort auf diese Frage gibt unser Test "Router mit GPS-Diebsstahlschutz".
VPN mit Client-Server-Struktur
Eine andere Idee, die uns ebenfalls neugierig machte, hatte die saarländische Sirrix Technologies AG mit der Lösung Sirrix.Trusted VPN. Vereinfacht ausgedrückt, setzten die Saarländer zur Realisierung eines VPN auf eine Art Client-Server-Installation. Dabei besteht die Trusted-VPN-Produktfamilie aus drei Komponenten:
dem Sirrix.TrustedObjects.Manager als zentralem Management-Server,
den Sirrix.TrustedVPN.Boxen als VPN-Gateway,
sowie den VPN-Clients, derzeit Software von NCP.
Der Clou an dem Konzept ist nun, dass die VPN-Boxen vor Ort bis auf die eigene IP-Adresse und die des Management-Servers keine weiteren sensiblen Daten konstant vorhalten. Wird also eine TrustedVPN.Box entwendet oder woanders installiert, dann ist sie schlicht wertlos, denn sie holt sich die erforderlichen Konfigurationsdaten im Live-Betrieb vom Server und generiert Schlüssel etc. mit Hilfe des integrierten TPM-Chips (Trusted Platform Module). Gut geschützt sollte dagegen der TrustedObjects.Manager sein, denn er ist bei diesem Ansatz der zentrale Punkt, auf dem alle relevanten Informationen lagern. Dabei steht es dem User frei, ob er den Management-Server physikalisch selbst betreiben will, eine Managed-Lösung vorzieht oder eine gehostete Lösung (das System ist mandatenfähig). Der Zugriff auf den Server erfolgt über eine verschlüsselte Web-Browser-Verbindung. Dabei soll das System, so die Sirrix-Broschüren, eine "narrensichere Bedienbarkeit und ultimative Sicherheit" bieten.
Technische Daten
Produkt: VPN-Gateway Sirrix.TrustedVPN.Box;
Hersteller: www.sirrix.de;
Dienste: IKE-Server, IPsec-Server, IP-Filter, DHCP-Server;
Management: Web-basiert über Sirrix.TrustedObjects.Manager;
Protokolle (unterstützt): Encapsulating Security Payload (ESP), Authentication Header (AH), Tunnel- oder Transportmodus, Dead Peer Detection (DPD), Traffic Shaping (Minima/Maxima je Netzwerk);
VPN-Modi: Site-to-Site VPN zur direkten Verbindung zwischen zwei Standorten, IPsec-Software-Client-Support für mobile Mitarbeiter, interne IP-Adresse für Road Warrior im Source-NAT-Verfahren zuweisbar;
Sicherheitsverfahren: Main und Aggressive Modus, Diffie-Hellman (2048 - 8192 Bit), Perfect Forward Secrecy (PFS), Preshared Key (PSK), TPM-gehärtete X.509 Zertifikate (RSA 2048 - 8192 Bit), externe oder integrierte Zertifizierungsstelle (CA);
Verschlüsselung: AES-128, AES-256, Blowfish, CAST, 3DES, Hash-Funktionen SHA256, SHA512, MD5, SHA1.
Das Testgerät
Ohne diese Vorkenntnisse hätten wir wohl das Testgerät, eine Sirrix.TrustedVPN.Box, einfach links liegen gelassen. Die Box kommt nämlich im Format eines kleinen Desktop-PC ganz unscheinbar daher und erweckt den Eindruck, nur ein weiteres VPN-Gateway zu sein. Von inneren Werten wie gehärtetem Linux oder TPM-Chip erfährt der User ja nichts. Ebenso unspektakulär verlief die Inbetriebnahme - zwei Ethernet-Kabel und Stromanschluss einstecken. Eher enttäuschend war dann die Geräuschkulisse des Gateways - der Lüfter nervte schlicht. Wer das Gateway also in kleinen Agenturen oder Filialen einsetzen will, ist gut beraten, es möglichst weit weg von den Arbeitsplätzen aufzustellen. Mehr war für uns vor Ort nicht zu tun, da der Management-Server als gehostete Variante zum Einsatz kam. Lediglich zwei Punkte sind zu beachten: Der Server muss per TCP-Port 443 zu erreichen sein und die VPN-Box über die UDP-Ports 500 sowie 4500 und ESP-Pakete (Internet Protocol Number 50).
Objekte statt Parameter verwalten
Voraussetzungen, die unser Testnetz erfüllte, so dass wir uns auf der Management-Konsole des TrustedObjects.Managers einloggen konnten. Und dieser erste Kontakt verwirrte uns dann doch: Vergeblich suchten wir nach bekannten Begriffen wie "Remote Client Setup", "Phase1 Encryption", "Perfect Forward Secrecy" und all dem anderen Teufelszeug, mit dem man sich normalerweise bei der VPN-Einrichtung herumärgern muss. Stattdessen erwartete uns eine aufgeräumte Oberfläche mit Oberbegriffen wie "Management Console", "VPNs und Internet Groups" sowie "Locations". Gerade diese andere logische Sichtweise eines VPN erfordert am Anfang etwas Hirnschmalz, denn der Administrator muss komplett umdenken. Ist aber das Konzept verinnerlicht, macht die Arbeit mit dem VPN-Manager direkt Spaß. Statt sich auf Konfigurationsparameter zu konzentrieren, kann der Admin seine Zeit in den Entwurf und die Realisierung logischer Verbindungen und Beziehungen investieren: "Darf Abteilung X am Standort Y zur Gruppe A am Standort Z eine VPN-Verbindung aufbauen? An welchem Standort erhalten Road Warrior einen VPN-Zugriff?" Bei aller Übersichtlichkeit geht dabei aber nicht die Flexibilität verloren. Klickt der Admin auf ein Objekt, in unserer Test-Umgebung etwa "Computerwoche VPNs", erhält er mehr Detailinformationen und Konfigurationsmöglichkeiten.
Teilweise verbergen sich hinter einem Objekt bis zu drei oder vier Untermenüebenen. Auf diese Weise kommt der Admin auch an die von uns so gehassten Hardcore-VPN-Parameter. Das Schöne an dem Sirrix-Ansatz ist, der Systemverantwortliche kann mit diesen Parametern arbeiten, er muss es aber nicht. Als zertifikatbasiertes System wählt es in Verbindung mit dem TPM-Chip automatisch die höchsten Sicherheitsstufen.
Client-Konfiguration
Dass bei aller Einfachheit die Sicherheit nicht zu kurz kommt, zeigt auch die Einrichtung eines mobilen Mitarbeiters, der einen VPN-Zugriff erhalten soll. Wird der Benutzer in der Management-Konsole angelegt, generiert der Server automatisch die Konfigurationsdateien für den Client sowie Einmal-Tokens, um das persönliche Zertifikat zu erzeugen. Im Hintergrund transferiert der Server zudem alle Zugangsberechtigungen auf die entsprechenden VPN-Appliances.
Auf dem Client selbst läuft als Basissystem die VPN-Software NCP Secure Client der Nürnberger NCP, die sich mittlerweile in der Windows-Welt als eine Art De-facto-Standard etabliert hat. Allerdings hat Sirrix den Client dahingehend verändert, dass die eigentliche Konfiguration über eine Zusatzsoftware, die Sirrix TrustedVPN Client Configuration, erfolgt. Dieses Programm enthält die unternehmensspezifischen VPN-Daten sowie ein Root-Zertifikat. Letztlich muss der Endbenutzer zur Konfiguration des Notebooks nur noch sein Einmal-Token eingeben, um sein persönliches Zertifikat zu generieren. Zudem erstellt das Konfigurationsprogramm ein ausdruckbares Formblatt, auf dem der User durch seine Unterschrift die erfolgreiche VPN-Konfiguration bestätigt. Je nach Konfiguration (Wahl des Tokens) kann eine endgültige Freischaltung beispielsweise erst dann erfolgen, wenn der Administrator das Bestätigungsformblatt erhalten hat.
Kosten
VPN-Gateway: 1295 Euro;
VPN-Manager Appliance: 2950 Euro, bei fünf unterstützten VPN-Gateways;
VPN-Manager Appliance. 6950 Euro, unbegrenzte Anzahl an Gateways;
VPN-Manager hosted: 650 Euro pro Jahr;
VPN-Manager managed: 300 Euro Zuschlag im ersten Jahr.
Alle Preise zuzüglich Mehrwertsteuer
Für den Endbenutzer ist damit die Konfiguration abgeschlossen, er kommt mit den weiteren Feinheiten, die der NCP-Client sonst bietet, gar nicht in Berührung. Der Benutzer muss lediglich dafür sorgen, dass sein mobiler Rechner eine Verbindung zum Internet (DSL im Home Office, WLAN-Hotspot oder UMTS) hat, und den NCP-Client starten.
Fazit
An der Sirrix-Lösung gefallen vor allem zwei Dinge: Die Zeiten, in denen sich Anwender mit VPN-Parametern herumärgern mussten - damit die Sicherheit nicht zu kurz kommt - können vorbei sein, wie die Saarländer zeigen. Positiv ist zudem, dass das Unternehmen den Anwendern die Wahl lässt, wie sie ihr VPN betreiben wollen: Als Managed Service, gehostet oder in eigener Regie mit einer VPN-Management-Appliance. Das Potenzial des Konzepts kommt jedoch erst dann voll zur Geltung, wenn ein VPN-Verbund über mehrere Standorte zu betreiben ist.