Über die Bedeutung von VPNs auf IPsec-Basis bei der Anbindung von Home Office, mobilen Mitarbeitern oder der Vernetzung von Unternehmensstandorten braucht man heute nicht mehr zu diskutieren: Sie gelten allgemein als State of the Art. Anders sieht es dagegen aus, wenn man darauf zu sprechen kommt, welche Sicherheit ein VPN nun wirklich bietet. Hier werden dann schnell Zweifel laut, denn die wenigsten Administratoren würden ihre Hand dafür ins Feuer legen, dass ihr VPN wirklich zu 100 Prozent sicher und fehlerfrei konfiguriert ist.
Zu mannigfaltig sind nämlich die Stolperstricke, wenn es darum geht, die Schlüssel und Zertifikate für das mehrstufige Verfahren zum Verbindungsaufbau eines VPN-Tunnels korrekt anzulegen. So lauert der Fehlerteufel bei unterschiedlichen Authentifizierungs- und Verschlüsselungsalgorithmen oder Zeitstempeln. Um das Chaos perfekt zu machen, verwenden die Hersteller teilweise unterschiedliche Parameter oder feilen an dem einen oder anderen Wert. Wer schon einmal eine heterogene VPN-Landschaft pflegen oder einrichten durfte, weiß ein Lied davon zu singen - auch die Standardisierungsversuche des VPN Consortiums (VPNC) änderten bislang wenig an dieser Praxis. Auf der anderen Seite (SSL-VPNS seien hier einmal außen vorgelassen), dem Client der Mitarbeiter, sieht es nicht viel besser aus.
Selbst wenn unter diesen Voraussetzungen ein VPN mit höchstmöglicher Sicherheit erfolgreich konfiguriert wurde, kann der Administrator nicht ruhig schlafen. Was passiert, wenn ein VPN-Gateway oder -Router einfach woanders im Netz eingesetzt wird oder Hacker gar das Gerät entwenden? Steht dann das Netz offen? Eine mögliche Antwort auf diese Frage gibt unser Test "Router mit GPS-Diebsstahlschutz".
- Sirrix.TrustedVPN-Box
Auf den ersten Blick unterscheidet sich das VPN-Gateway nicht sonderlich von anderen Devices. Doch seine Werte – wie TPM-Chip – sind im Inneren verborgen. Foto: Sirrix/Hill - Klassische VPN-Konfiguration
Glaubt man den Saarländern, dann muss sich der Anwender bei der VPN-Konfiguration nicht mehr wie bei klassischen Lösungen (im Bild ein Cisco VPN-Router für den SMB-Bereich) mit einer Vielzahl von Parametern herumärgern. - Klassische VPN-Konfiguration II
Das Herumärgern mit Parametern wie Phase Encryption, SA Lifetime etc. soll beim TrustedVPN Vergangenheit sein. - Zentrale Rolle des Management-Servers
Ein zentrale Rolle kommt beim Sirrix-Konzept dem Management-Server zu, den es auch als gehostete oder managed Lösung gibt. Auf ihm werden alle Einstellungen gespeichert. Foto: Sirrix - Sirrix.TrustedVPN-Box II
Das VPN-Gateway wird vor Ort lediglich mit zwei Ethernet-Kabeln an das Netz angeschlossen. Alle Parameter holt sich die Box vom Management-Server. - Das Management
Der Zugriff auf den Management-Server erfolgt per Browser über eine HTTPS-Verbindung. - Das Management II
Die Management-Oberfläche zeigt sich sehr übersichtlich, da alle Punkte in wenigen, eindeutigen Kategorien zusammengefasst sind. - Das Management III
Über die Objekte der Oberfläche lassen sich per Mausklick die Detaileinstellungen erreichen. - Das Management IV
In den Untermenüs hat der User auch Zugriff auf die klassischen IPsec-Parameter. Auch wenn dies eigentlich unnötig ist, denn das System nimmt von Haus aus die maximalen Security-Einstellungen. - Client-Konfiguration
Auf der Client-Seite fährt Sirrix einen zweistufigen Ansatz. Im normalen Betrieb sieht der Anwender nur den Secure Entry Client von NCP – mittlerweile eine Art defacto-Standard in Sachen VPN-Client. - Client-Konfiguration II
Bevor der Endbenutzer per Client Online gehen kann, muss er seinen PC noch mit Hilfe der Software Sirrix.TrustedVPN Client Configuration einrichten. - Client-Konfiguration III
Dabei ist die Konfiguration für den Enduser denkbar einfach: Er muss lediglich die Server-Adresse eintragen und ein Token für die Generierung des Zertifikats. - Client-Konfiguration IV
Nach erfolgreicher Konfiguration generiert die Software ein Zertifikat, das etwa der Administrator archivieren kann, um die ordnungsgemäße Einrichtung der Clients belegen zu können.