VPN-Lösungen im Test

VPN, IP-Sec und SSL - wenn es um die Verknüpfung von Netzwerken über andere Netzwerkstrukturen hinweg geht, so kommt gleich ein ganzer Schwung von Abkürzungen zum Einsatz. Was steckt hinter den Begriffen und welche Technologien benötigt der Systembetreuer, um Außendienstkollegen mit dem Firmennetzwerk oder auch Standorte untereinander zu verknüpfen?

Um einen gesicherten Austausch von Daten über fremde Netzwerke abwickeln zu können, bedarf es einer zuverlässigen und etablierten Lösung. Das gilt ganz besonders dann, wenn das Internet als "fremdes Netzwerk" fungiert. "Virtuelle Private Netze" (kurz VPN) sind der Quasi-Standard für diese sichere Datenübertragung. IP-gestützte VPNs sind zudem eine kostengünstige Alternative zu den im Vergleich eher teuren Standleitungen auf ISDN-, Frame Relay- und ATM-Basis. Solche Standleitungen werden gewöhnlich für dauerhafte Verbindungen zwischen Standorten benötigt.

Es ist die Soft- und nicht die Hardware…

Auch wenn häufig der Eindruck entsteht, dass es sich bei VPN-Umgebungen um Hardware handeln müsse, so ist es doch in erster Linie die Software, die diese Systeme ausmacht: Spezielle Hardware kommt in der Regel nur dann zum Einsatz, wenn eine deutlich höhere Betriebssicherheit und eine möglichst optimierte Verarbeitung der verschlüsselten Pakete gefordert ist. Jede Standard-PC-Hardware ist grundsätzlich dazu in der Lage, eine entsprechende Technik zu unterstützen!

Auf dem Markt gibt es eine große Anzahl verschiedener Systeme, die einen gesicherten Zugriff auf das Firmennetzwerk ermöglichen. Wir stellen hier eine Auswahl von unterschiedlichen Ansätzen vor. Sie reichen von Open-Source- über Standard-Windows-Möglichkeiten bis hin zu kommerziellen Lösungen, die alle nur einem Zweck dienen: Mitarbeiter mit dem Firmennetzwerk zu verbinden.

Wir haben für Sie in einer Übersicht eine Checkliste für die Auswahl einer VPN-Lösung zusammengestellt. Am Ende des Artikels stellen wir Ihnen zudem noch einige Grundlagen und Faktoren vor, die beim VPN-Einsatz eine wichtige Rolle spielen.

Checkliste für die Auswahl einer VPN-Lösung

Allgemeines

1. Anzahl der mobilen und stationären Benutzer, die gleichzeitige Tunnelverbindungen eingehen?

2. Von welchen Standorten soll auf das Firmennetz zugegriffen werden?

3. Kommen neben Standard-Windows-PCs weitere Gerätetypen (beispielweise ThinClients, Handhelds, MacOS-Rechner) zum Einsatz?

4. Wird dauerhaft mobiles Teleworking genutzt? – Falls ja, ist eine höhere Leistung beim Kabel oder Gerät sinnvoll)

5. Welche Anwendungen sollen genutzt werden? (Terminalserveranwendung oder lokale Anwendung)

6. Anforderung an das Sicherheitsniveau?

7. Können zentrale Komponenten wie RADIUS, Verzeichnisdienst oder Benutzerdatenbanken von der Lösung genutzt werden?

Technik und Integration

1. Ist die Lösung einfach zu bedienen?

2. Sind Benutzerschulungen erforderlich?

3. Verfügt die Lösung über alle erforderlichen Sicherheits- und Kommunikations-Mechanismen (Personal Firewall, Mobile Connect Cards)?

4. Ist eine komfortable Domänenanmeldung möglich?

5. Sofern die Lösung über eine Personal Firewall verfügt, lässt sich diese zentrale durch den Administrator verwalten?

6. Standortabhängige (vertrauenswürdig, unbekannt) Firewall-Regeln?

7. Client kompatibel zu VPN-Gateways anderer Hersteller?

8. Unterstützt die Lösung alle IPSec Protokoll-Erweiterungen wie beispielsweise XAUTH, NAT-T oder IKE Config Mode?

9. Art der Authentifizierung (beispielsweise Einmal-Passwort, Software-Zertifikate, Smartcards, USB-Token) gegenüber dem Gateway?

10. Muss das VPN-Gateway skalierbar sein?

11. Soll die Lösung als Hardware (Appliance) oder Software (Standard-PC) bereitgestellt werden?

Anforderungen an den Anbieter

1. Ist der Hersteller auf Security-Produkte spezialisiert?

2. Unterliegen die Produkte speziellen Exportbestimmungen?

3. Befindet sich der Unternehmenssitz in Deutschland oder Europa? Wo wird Sicherheitslösung programmiert?

4. Gibt es einen Support? Deutschsprachig? Zeitzone?

5. Wurden die Sicherheits-Angaben durch unabhängige Institutionen oder Unternehmen mit hohen Sicherheitsanforderungen bestätigt?

6. Verfügt der Anbieter für das Produkt über aussagefähige Referenzen (beispielsweise Behörden oder MSSP (Managed Security Service Provider))?

Variante 1: Kostenloses VPN mit OpenVPN

Mit OpenVPN steht eine kostenfreie Lösung der Open-Source-Community unter der GPL-Lizenz zur Verfügung. OpenVPN ist eine Software zum Aufbau eines Virtual Private Network (VPN) über eine verschlüsselte TLS-Verbindung. Zur Verschlüsselung nutzt OpenVPN die Bibliotheken des Programms OpenSSL und verwendet wahlweise UDP oder TCP zum Transport.

Welche Vorteile bietet diese Open Source Lösung dem Anwender?

• Die komplette Lösung steht kostenlos zur Verfügung, so dass sich auch Anwender und Firmen mit kleinem Budget einen sicheren VPN-Zugang einrichten können.

• Die Lösung ist sehr flexibel und steht sowohl für Windows als auch für Unix, Linux und Mac OS-X in entsprechenden Versionen zum Download bereit.

Wer allerdings mit OpenVPN eine geschützte Verbindung über das Internet einrichten möchte, muss sicherstellen, dass alle seine Client-Systeme den entsprechenden Server im Internet erreichen können. Damit wären wir auch schon bei den Einschränkungen, die für diese Lösung gelten:

• Eine solche Verbindung verwendet entweder eine feste IP-Adresse oder aber einen dynamischen DNS-Dienst wie DynDNS. Während eine feste IP-Adresse nicht zuletzt eine Kosten- und Verfügbarkeitsfrage ist, erfordert der Einsatz von DynDNS doch etwas größeres technisches Know-how auf der Seite des Administrators, damit die Verbindung immer reibungslos klappt.

• Wie bei Open-Source-Lösungen üblich, benötigt der Systemverantwortliche oder Administrator entsprechendes Fachwissen bei Einrichtung und Betrieb der Software. Tiefgreifendes Wissen über Netzwerktechnologien ist dabei in jedem Fall erforderlich.

• Kommt keine 1:1-VPN-Verbindung zum Einsatz, so ist es in der Regel erforderlich, dass eine PKI-Infrastruktur verwendet wird, deren Einrichtung, Aufbau und Betrieb ebenfalls umfangreiche Kenntnisse erfordert.

Zum Zeitpunkt der Recherche zu diesem Artikel waren bereits drei Bücher in deutscher Sprache zum Thema OpenVPN erschienen, die sowohl die Konfiguration als auch den Aufbau einer VPN-Umgebung detailliert beschreiben. Eine Kurzbeschreibung in Englisch findet der interessierte Leser in der Dokumentation.

Variante 2: Direct Access - Microsofts eigener Weg zum sicheren Zugriff

Mit Erscheinen der Betriebssysteme Windows 7 und Windows Server 2008 R2 hat Microsoft auch verschiedene neue Techniken auf den Markt gebracht. Eine davon ist die sogenannte Direct Access Technologie. Mit ihrer Hilfe soll es für Anwender sehr viel einfacher werden, unter Einsatz von IPv6 und IPSec beispielsweise eine sichere Verbindung in das Firmennetzwerk aufzubauen. Dadurch sollen Anwender im Idealfall direkt auf die Dateifreigaben, Webseiten und Anwendungen im Unternehmensnetz zugreifen können, ohne dass sie dazu eine spezielle Verbindung mittels eines virtuellen privaten Netzwerks herstellen müssen. So bietet der Einsatz der Direct Access-Technik eine ganze Reihe von Vorteilen:

• Direct Access ist integraler Bestandteil der Betriebssysteme Windows 7 und Windows Server 2008 R2, dadurch ist grundsätzlich keine weitere Hard- und Software nötig.

• Das Client-System baut die Verbindung automatisch im Hintergrund schon vor der Anmeldung des Anwenders am System auf.

• Im Zusammenhang mit der bidirektionalen Arbeitsweise von Direct Access können Systemverwalter die Technik ideal dazu einsetzen, mobile Systeme zu administrieren.

• Der Anwender muss selbst keinerlei Aktionen unternehmen oder gar spezielle Programme starten, um sich mit dem Firmennetzwerk zu verbinden.

Allerdings werden diese Vorteile werden durch einige Einschränkungen und Vorbedingungen erkauft, wodurch Direct Access nicht zu idealen Lösung für alle Anwendungsfälle wird:

• Nur Client-Systeme unter Windows 7 können diese Technik nutzen und im Netzwerk muss ein Windows Server 2008 R2 vorhanden sein. Nur auf diesem Release läuft der Direct-Access-Server.

• Im Firmennetzwerk müssen mindestens ein Domänen-Controller und ein DNS-Server unter Windows Server 2008 SP2 oder Windows Server 2008 R2 betrieben werden.

• Direct Access baut auf den Einsatz von IPv6 auf. Zwar stellt es auch den Zugang mittels Übergangstechniken wie 6to4 oder Teredo zur Verfügung, aber auch die müssen dann auf dem Windows Server 2008 R2 implementiert werden.

• Zusätzlich ist der Aufbau einer Public Key-Infrastruktur (PKI), notwendig, damit das System sowohl Computer- und Smartcard-Zertifikate als auch Integritätszertifikate für den Netzwerkzugriffsschutz ausstellen und einsetzen kann.

Stellt die Direct-Access-Technik damit eine Alternative zum üblichen VPN-Einsatz dar? Jeder Systemprofi, der einmal Direct Access im Einsatz testen und verwenden durfte, ist begeistert davon, wie elegant und grundsätzlich einfach sich diese Technik in das Windows-System besonders auf der Client-Seite einfügt. Allerdings ist der technische Aufwand auf der Server-Seite für Einführung und Betrieb dieser Technik so hoch, dass sie deren Einsatz im Moment nur für reine Windows-Netzwerke lohnt, die schon komplett auf neue Systeme (Windows Server 2008 R2, Windows 7) und auf die aktuellsten Netzwerkprotokolle wie IPv6 umgestellt wurden. Weiterhin sollte Knowhow über Pflege und Betrieb einer PKI vorhanden sein, bevor die IT-Mannschaft an die Implementierung dieser Technik herangeht.

Variante 3: Anbindungen mit NCP

Eine ganze Reihe von Unternehmen bietet kommerzielle Lösungen an, die eine gesicherte Verbindung in ein Firmennetzwerk aufbauen können. Wir stellen hier als ein Beispiel für derartige Anwendungen die Lösung des in Nürnberg beheimatete Unternehmens NCP Secure Communication vor. Die Firma entwickelt und vertreibt seit vielen Jahren "Secure Remote Access"-Lösungen für die unterschiedlichsten Anbindungsszenarien. Darüber hinaus bietet sie einen sogenannten universellen IPsec VPN Client an.

Die Vorteile einer solchen kommerziellen Lösung:

• Sie steht für alle gängigen Windows-Versionen, Mac OS X, sowie Windows Mobile 5 (und höher) und Symbian OS zur Verfügung. So lassen sich auch mobile Client-Systeme leichter an das Firmennetzwerk anbinden.

• Kompatibilität zu den Produkten von Cisco, Check Point, Juniper, Netgear, SonicWALL oder Linksys ist ebenfalls gegeben.

• Wenn also ein Systembetreuer eine VPN-Verbindung für eine heterogene IT-Landschaft bereitstellen muss, kann eine derartige Software zumindest auf der Seite der Clients für Homogenität sorgen.

• Höhere Sicherheitsstandards: So kann die hier in die Client-Software integrierte Firewall-Lösung die Sicherheit der mobilen Systeme deutlich erhöhen.

Direkte Nachteile sind uns bei kurzen Testeinsätzen dieser Software nicht aufgefallen - sie funktioniert, wie es der Hersteller verspricht.

• Allerdings bedeutet die Einführung einer solchen Lösung in ein größeres Netzwerk einen nicht unerheblichen finanziellen Aufwand.

• Wir haben es zudem als umständlich empfunden, dass die Client-Software nicht nur bei einer Neuinstallation sondern auch bei größeren Hardware-Änderungen auf dem jeweiligen System erneut via Internet aktiviert werden muss. Diese Unbequemlichkeit ist dem Lizenzmodell des Herstellers geschuldet.

• Schließlich sollte ein IT-Verantwortlicher nicht vergessen, dass auch eine kommerzielle Lösung bei Einrichtung und Betrieb Spezialwissen erfordert.

Variante 4: Anders als die Anderen - G/On

Wie bereits erwähnt ist der Aufwand beim Aufbau einer VPN-Umgebung mit DMZ, Firewall, Authentication Server, Certificate Server, IPSec-VPN Terminator, SSL VPN Application und möglicherweise einem IDS (Intrusion Detection System) hoch. Zudem verlangt eine solche Lösung vom Systembetreuer in der Regel eine Menge Spezialwissen. Ein weiterer Aufwand für den Administrator besteht dann darin, dass er die IPSec VPN-Software auf den Clients installieren muss.

Einen anderen Weg geht die dänische Firma Giritech, die auf Basis ihrer EMCADS-Technik (Encrypted Multipurpose Content and Application Deployment System) das Produkt G/On auf den Markt gebracht hat. Dabei handelt es sich um eine Server-Software, die Anfragen von Clients über eine gesicherte Verbindung an einem einzigen, freigeschalteten Port entgegen nimmt und diese dann wie eine Art Proxy-Server weiterreicht. Die Client-Software wird dabei typischerweise direkt von einem speziellen USB-Stick gestartet, auf dem alle benötigten Programme abgelegt sind.

Dadurch ergibt sich eine ganze Reihe von Vorteilen:

• Das ISO-Image der Client-Software ist auf dem USB-Stick in der üblicherweise unsichtbaren "Read Only"-Partition abgelegt. Änderungen an dieser Partition sind durch den Anwender nicht möglich und etwaige Manipulationsversuche würden die Hash-Werte der Dateien ändern.

• Bevor Client und Server miteinander in Verbindung treten muss der Client auf dem Server einmalig freigeschaltet sein. Unveränderliche Merkmale der Client-Software und die weltweit eindeutige Seriennummer des USB-Sticks dienen als sichere Erkennungszeichen. Der Benutzer muss sich zudem bei Anmeldung noch mit einem Passwort und einem Benutzernamen identifizieren - so kommt es zu einer integrierten 2-Faktor Authentifizierung.

• Die Besonderheit der Lösung stellt die Art der Verbindung dar: Es handelt es sich um eine Verbindung auf Applikationsebene anstelle einer klassischen VPN-TCP-Verbindung.

• Neben dem USB-Stick wird der Client auch zur lokalen Installation auf Standard-PCs und mobilen Endgeräten wie dem Apple iPhone oder Apple iPad angeboten.

Auch diese Lösung hat bei unseren Test einwandfrei funktioniert und war vor allen Dingen sehr einfach in der Installation und Anwendung. Mögliche Einschränkung beim Einsatz dieser Software:

• Es handelt sich um eine kommerzielle Software, so dass auch hier ein entsprechend hoher finanzieller Aufwand entsteht, falls ein größeres Netz mit vielen Geräten eingebunden werden soll.

• Die Besonderheit der Software kann auch als Nachteil angesehen werden: Die IT-Abteilung bindet sich beim Einsatz dieser Lösung an die Technik eines Herstellers, die grundsätzlich nicht einfach mit anderen VPN-Lösungen kombiniert oder durch diese ergänzt werden kann.

Variante 5: Kostenlose Fernwartung für schnelles Aufschalten

Wenn es nur darum geht, sich eher selten und für kurze Zeit auf einen Arbeitsrechner aufzuschalten, dann können die vielen, teilweise auch kostenlos erhältlichen Fernwartungslösungen aus dem Internet möglicherweise eine interessante Alternative darstellen.

So kann beispielsweise NTR Connect auf bis zu zwei Maschinen kostenlos genutzt werden und erlaubt nach der Installation einer kleinen Software auf dem jeweiligen Client die Fernwartung und den Dateiaustausch über das Internet. Die Software meldet einem zentralen Server regelmäßig die aktuelle IP-Adresse, über die der Client erreichbar sein soll. Neben dem klassischen Windows-Login auf dem PC als Zugriffsschutz kann der Benutzer zusätzliche Passwörter in der NTR-Software hinterlegen.

In der jüngsten Version der Software ist auch die Verwendung der Microsoft-Standard-Terminalserver-Technik "RDP" möglich, was sehr positive Auswirkung auf die Geschwindigkeit der Darstellung hat. Dadurch wird diese Lösung noch interessanter für den Einsatz in der täglichen Praxis.

VPN Grundlagen, Techniken und wichtige Faktoren

Zu den grundlegenden Techniken, die bei VPNs zum Einsatz kommen können, gehört das Protokoll IPSec (Internet Protokoll Security). Es wird bei traditionellen VPNs verwendet, um einen Tunnel zwischen zwei Endpunkten aufzubauen. Bei IPSec handelt es sich um ein Protokoll der Netzebene im OSI-Referenzmodell. Es schützt losgelöst von einer definierten Anwendung alle Daten zwischen den Endpunkten. Ein Client, der sich mit IPSec in ein Netzwerk einwählt, verhält sich gegenüber dem Netzwerk als wäre er lokal eingebunden. Typischerweise erfordert der Einsatz von IPSec die Installation einer lokalen Client-Software.

Das Konkurrenzprodukt SSL (Secure Sockets Layer), genauer als Transport Layer Security (TLS) bezeichnet, ist weit verbreitet, da es faktisch in jeden Webbrowser integriert ist. Die lokale Installation einer Client-Software ist somit nicht erforderlich. Im Gegensatz zu IPSec ist es dem Administrator bei dieser Technik auch möglich, den Zugriff auf einzelne Applikationen zu beschränken.

1. Form der Anbindung

Sobald Zweigstellen angebunden werden, gilt es zwei mögliche Arten der Anbindung zu unterscheiden: Maschennetzwerk und sternförmige Netzwerke. Maschennetzwerke sind so aufgebaut, dass die Filialen nicht nur mit der Zentrale, sondern auch mit den anderen Filialen vernetzt sind. Die sternförmige Vernetzung verbindet die Filialen hingegen ausschließlich über ein zentrales VPN-Gateway. Maschennetzwerke erlauben einen schnelleren Austausch und eine geringere Latenz, Sternnetzwerke bieten den Vorteil des zentralen Monitoring durch die IT. Es versteht sich beinahe von selbst: Je schneller die Leitung, desto besser das Ergebnis. Kommen Standard-DSL-Leitungen zum Einsatz, so muss weiterhin bedacht werden, dass die jeweiligen Upstream-Geschwindigkeiten die tatsächliche Nutzgeschwindigkeit darstellen.

2. Frage der Verfügbarkeit

Nicht jede Zweigstelle muss mit zusätzlichen Backup-Mechanismen an die Zentrale angebunden werden. Es gibt Applikationen und Geschäftsbereiche, die einen teilweisen Ausfall der Zweigstellen-Zentral-Anbindung durchaus tolerieren. Kassensysteme von Einzelhandelsketten, Dependancen von Kliniken oder Geldautomaten von Banken gehören jedoch definitiv nicht dazu - hier bedarf es einer Backup-Anbindung.

Um eine Backup-Anbindung überhaupt nutzen zu können, muss die primäre VPN-Verbindung zunächst einmal überwacht werden. Hierfür gibt es die etablierte Methode der "Dead Peer Detection" (DPD). Das VPN-Gateway in der Filiale muss, sofern Backupleitungen genutzt werden, diese natürlich beherrschen. Ein Umschalten geschieht im Optimalfall von allein.

3. Zentralisiertes Management

Die entscheidende Voraussetzung für eine sichere und effektive Anbindung von Filialen an eine zentrale IT ist ein ebenfalls zentralisiertes VPN-Management-System. Der zuständige Administrator muss aus der Zentrale auf die komplette Einrichtung auch bei einem Ausfall der Primärleitung zugreifen können. Neben der Überwachung, Konfiguration und den Software-Updates vereinfacht eine zentrale Management-Lösung die Verteilung digitaler Software- oder Hardwarezertifikate (CA), die LDAP-Konsole für das Identitäts- und Rechte-Management sowie die Sicherheitsüberprüfung der Endgeräte (Network Access Control/Endpoint Security).

4. Outsourcing

Verfügt die eigene IT eines Unternehmens nicht über das notwendige Knowhow, um Sicherheitssysteme ordentlich und verlässlich zu betreiben, so ist der Einsatz eines externen Dienstleisters möglicherweise die beste Lösung. Es gibt in Deutschland eine große Anzahl von Firmen die sich auf ein solches Geschäftsmodell spezialisiert haben. Die beste Lösung nützt wenig, wenn sie aus Unwissenheit falsch konfiguriert wird. (wh)