computerwoche.de

Netzwerke

Test: VPN mit Client-Server-Struktur

Sichere Netze ohne Konfigurationsärger

27.10.2009
Von 
Jürgen Hill ist Chefreporter Future Technologies bei der COMPUTERWOCHE. Thematisch befasst sich der studierte Diplom-Journalist und Informatiker derzeit mit aktuellen IT-Trendthemen wie KI, Quantencomputing, Digital Twins, IoT, Digitalisierung etc. Zudem verfügt er über einen langjährigen Background im Bereich Communications mit all seinen Facetten (TK, Mobile, LAN, WAN). 
Alle Posts des Autors Email: Connect:

Das Testgerät

Ohne diese Vorkenntnisse hätten wir wohl das Testgerät, eine Sirrix.TrustedVPN.Box, einfach links liegen gelassen. Die Box kommt nämlich im Format eines kleinen Desktop-PC ganz unscheinbar daher und erweckt den Eindruck, nur ein weiteres VPN-Gateway zu sein. Von inneren Werten wie gehärtetem Linux oder TPM-Chip erfährt der User ja nichts. Ebenso unspektakulär verlief die Inbetriebnahme - zwei Ethernet-Kabel und Stromanschluss einstecken. Eher enttäuschend war dann die Geräuschkulisse des Gateways - der Lüfter nervte schlicht. Wer das Gateway also in kleinen Agenturen oder Filialen einsetzen will, ist gut beraten, es möglichst weit weg von den Arbeitsplätzen aufzustellen. Mehr war für uns vor Ort nicht zu tun, da der Management-Server als gehostete Variante zum Einsatz kam. Lediglich zwei Punkte sind zu beachten: Der Server muss per TCP-Port 443 zu erreichen sein und die VPN-Box über die UDP-Ports 500 sowie 4500 und ESP-Pakete (Internet Protocol Number 50).

Objekte statt Parameter verwalten

Zur Einrichtung des Clients muss der User lediglich Server und Token eingeben.
Zur Einrichtung des Clients muss der User lediglich Server und Token eingeben.

Voraussetzungen, die unser Testnetz erfüllte, so dass wir uns auf der Management-Konsole des TrustedObjects.Managers einloggen konnten. Und dieser erste Kontakt verwirrte uns dann doch: Vergeblich suchten wir nach bekannten Begriffen wie "Remote Client Setup", "Phase1 Encryption", "Perfect Forward Secrecy" und all dem anderen Teufelszeug, mit dem man sich normalerweise bei der VPN-Einrichtung herumärgern muss. Stattdessen erwartete uns eine aufgeräumte Oberfläche mit Oberbegriffen wie "Management Console", "VPNs und Internet Groups" sowie "Locations". Gerade diese andere logische Sichtweise eines VPN erfordert am Anfang etwas Hirnschmalz, denn der Administrator muss komplett umdenken. Ist aber das Konzept verinnerlicht, macht die Arbeit mit dem VPN-Manager direkt Spaß. Statt sich auf Konfigurationsparameter zu konzentrieren, kann der Admin seine Zeit in den Entwurf und die Realisierung logischer Verbindungen und Beziehungen investieren: "Darf Abteilung X am Standort Y zur Gruppe A am Standort Z eine VPN-Verbindung aufbauen? An welchem Standort erhalten Road Warrior einen VPN-Zugriff?" Bei aller Übersichtlichkeit geht dabei aber nicht die Flexibilität verloren. Klickt der Admin auf ein Objekt, in unserer Test-Umgebung etwa "Computerwoche VPNs", erhält er mehr Detailinformationen und Konfigurationsmöglichkeiten.

Teilweise verbergen sich hinter einem Objekt bis zu drei oder vier Untermenüebenen. Auf diese Weise kommt der Admin auch an die von uns so gehassten Hardcore-VPN-Parameter. Das Schöne an dem Sirrix-Ansatz ist, der Systemverantwortliche kann mit diesen Parametern arbeiten, er muss es aber nicht. Als zertifikatbasiertes System wählt es in Verbindung mit dem TPM-Chip automatisch die höchsten Sicherheitsstufen.