Sicherer Netzzugang in allen Lebenslagen

15.12.2008
VPNs sind heute die erste Wahl, wenn Standorte oder Telearbeiter eine sichere Netzanbindung erhalten sollen. Sie steigern die Unternehmens-produktivität aber nur, wenn sie zentral verwaltet und nahtlos in die IT-Welt integriert werden.

Virtual Private Networks (VPN) haben sich mittlerweile als kostengünstige Alternative zur sicheren Kommunikation über öffentliche Netze beziehungsweise das Internet durchgesetzt. Dabei haben die Zugangsvarianten aus der Ferne, die dabei verwendeten Protokolle und die Endgeräte in den letzten Jahren stark zugenommen. Das Spektrum reicht vom alten Analogmodem oder der ISDN-Karte über Breitbandanschlüsse und WLAN bis hin zu GPRS/UMTS-Verbindungen. Als Security-Protokolle haben sich im VPN-Umfeld in erster Linie IPsec und SSL über http etabliert.

Schon allein diese Vielfalt produziert eine Menge Einstellungsparameter und Display-Oberflächen, die man als VPN-Anbieter und auch als VPN-nutzendes Unternehmen nicht dem einzelnen Anwender zumuten sollte. VPN kann als Technik nur dann wirklich breitenwirksam eingesetzt werden und zur Unternehmensproduktivität beitragen, wenn es für den Endbenutzer so einfach wie ein Telefongespräch ist. Damit der Umgang mit einer VPN-Verbindung für den Benutzer draußen transparent zu handhaben ist, sollte die Technik in einer zentralen Management-Komponente zusammengefasst, automatisiert und dadurch quasi vor dem Endbenutzer verborgen werden.

Zentrales Management

Komfortabel für die User, aber auch für die Administratoren ist beispielsweise das zentrale Verteilen und Aktualisieren der Client-Software. Lange Zeit wurde zu Recht bemängelt, dass für den VPN-Betrieb auf Basis des IPsec-Protokolls eigene Software auf jedem Endgerät installiert, regelmäßig aktualisiert und überwacht werden musste. Die IPsec-Alternative "SSL-Verschlüsselung über http" schien einen Ausweg zu eröffnen. De facto ist ein SSL-VPN aber nicht in der Breite der Anwendungen nutzbar oder allenfalls dann, wenn aufwändige Anpassungen an den Applikationen vorgenommen werden. Für den Zugriff auf Web-Applikationen sind SSL-VPNs aber durchaus sinnvoll. Eine zentrale VPN-Management-Konsole muss in einem solchen Mischbetrieb auf jeden Fall sowohl mit IPsec- als auch mit SSL-VPNs umgehen können.

Zentrale Softwareverteilung ist nur eines der Features, die ein zentraler VPN-Management-Server automatisiert. Auf dem Bildschirm der zentralen Konsole können auch viele andere Tätigkeiten, die beim VPN-Betrieb für den Administrator anfallen, überwacht und angestoßen werden. Dazu gehören die Verwaltung des VPN-Gateways, also der Endpunkt des VPN-Tunnels im Unternehmensnetz, das Management der Ausgabe für digitale Software- oder Hardwarezertifikate (CA), die LDAP-Konsole in Richtung Identitäts- und Rechte-Management sowie die Sicherheitsüberprüfung der Endgeräte (Endpoint Security).

Komfort aus User-Sicht

Ganz anders definiert sich Komfort auf der Endnutzerseite. Die Anwender schätzen integrierte Wählmechanismen (Dialer) für die verschiedenen Zugriffsszenarien (WLAN, GPRS/UMTS, Hotspot, Modem), so dass sie sich nicht mit unterschiedlichen Softwareoberflächen herumschlagen müssen. Die Wahlparameter sollten zentral verwaltet und dann auf die zugelassenen Nutzer und deren Endgeräte verteilt oder bei Bedarf gesperrt (Parametersperre) werden.

Eine andere Aufgabe der VPN-Management-Komponente ist die Verzahnung des VPN-Betriebs mit der Gesamt-IT eines Unternehmens. So liegen viele Daten wie Nutzeridentitäten und Nutzerrechte schon in zentralen Verzeichnissen vor. Können diese durch eine entsprechende Verzahnung der Systeme genutzt werden, erspart dies doppelte Arbeit und hilft damit, Kosten zu vermeiden. Wichtige Leistungsmerkmale sind dabei die komplette Nutzerverwaltung (Anlegen und Löschen von Benutzern, Verwalten der Zugangsdaten, Administrieren der einzelnen Nutzerrechte), das Überwachen der Einhaltung der Sicherheitsrichtlinien sowie nicht zuletzt die Protokollierung aller Administrationsschritte, so dass die internen Kontrollsysteme jederzeit mit entsprechenden Nachweisen beliefert werden können.

Sicherheit hat Priorität

Zu den zentralen Elementen eines VPN zählen zudem die Sicherheitsmechanismen von der Authentifizierung über die Tunneltopologie und die Verschlüsselung bis hin zur Schlüsselverwaltung. Aufgaben, die ebenfalls in die Zuständigkeit eines VPN-Management-Servers fallen. Allerdings ist dabei zu beachten, dass bei VPN-Verbindungen nicht nur die Übertragungsstrecke zu sichern ist, sondern auch das jeweilige Endgerät. Was heute unter Begriffen wie "Network Admission Control" (NAC), "Network Access Protection" (NAP) oder "Endpoint Security" vor allem von den Marketing-Abteilungen der Netzwerk- und Sicherheitsanbieter hoch gehandelt wird, ist im VPN-Bereich für Anbieter wie NCP eigentlich ein alter Hut. Jedenfalls insofern, als ein unsicherer Client (als der eine Endpunkt des VPN-Tunnels) nicht in Frage kommen darf und kann. Denn wenn ein Endpunkt - in diesem Fall der Client-Rechner - infiltriert werden konnte, dann ¬ªtunnelt¬´ sich der Angreifer unerkannt in das Unternehmensnetz.

VPN-Tipps für End-User (1)

  • Überprüfen Sie, ob Ihr lokal installierter Virenscanner oder die Personal-Firewall Probleme verursachen.

  • Schauen Sie, ob ein weiterer VPN-Client auf dem System vorhanden ist, und schalten Sie diesen gegebenenfalls ab beziehungsweise deinstallieren Sie ihn - oft bereiten zwei VPN-Clients auf einem Rechner Schwierigkeiten.

  • Testen Sie, ob das gewünschte Medium auch existiert (oft wird bei GPRS/UMTS eine spezielle Rufnummer genutzt wie *99# oder *99***# oder *99****3#, GPRS/UMTS verwenden ferner einen bestimmten APN = Access Point Name)

  • Sind die konfigurierten VPN-Ports bei eingeschalteter Firewall auch freigegeben? Sollten Sie hinter einem Router, aus einem lokalen LAN heraus arbeiten, so sind auch die Firewall-Regeln des Routers zu überprüfen.

  • Sind die IPsec-Einstellungen korrekt konfiguriert?

Vom zentralen Management-Server sollte deshalb auf alle Clients - ganz gleich ob Notebook, Bürorechner oder Smartphone - eine Personal Firewall aufgespielt werden, die an das jeweilige Endgerät angepasst ist. Darauf sind Regelwerke für Ports, IP-Adressen und Applikationen definierbar. Neben der richtigen Einstellung der Firewall müssen die Endpunkte auch daraufhin geprüft werden, ob beispielsweise die neueste Version eines Virenschutzprogramms installiert und alle Patches aufgespielt sind. Alle Prüfungen des zentralen Management-Servers sind dabei so zu gestalten, dass sie der Nutzer nicht umgehen kann. Sämtliche Nutzer, die diese Kriterien nicht mit Bravour erfüllen, müssen vom Unternehmensnetz ausgeschlossen bleiben beziehungsweise in einer Quarantäne-Zone landen.

Mehr Offenheit dank Server

Ein VPN-Management-Server, der alle diese Aufgaben erfüllt, ist zugegebenermaßen recht aufwändig. Aber er ist sein Geld wert, weil er nicht nur für weitgehende Sicherheit sorgt, sondern den Unternehmen auch eine neue weltweite Offenheit bringt. Das Netz kann nicht nur für (mobile) Mitarbeiter, sondern auch für Kunden und Lieferanten geöffnet werden. Dabei ist diese Öffnung nicht fahrlässig, sondern durch die installierten Sicherheitsmechanismen und Automatismen gut kontrolliert. Den Administratoren eines solchen VPN-Management-Servers obliegt es dabei, die internen und externen Nutzer nicht zu sehr die Einschränkungen fühlen zu lassen, sondern ihnen den Komfort aufzuzeigen, den sie durch die Voreinstellungen erhalten.

Fazit

Heute gehen viele Hersteller in die hier beschriebene Richtung und offerieren, wie es Fran Howarth, Analystin vom britischen Marktforschungsunternehmen Quocirca, nennt, eine "Remote-Access-Technologie der nächsten Generation". Die wesentlichen Unterschiede der verschiedenen Angebote liegen wohl darin, dass weltweit agierende Netzwerk- oder Firewall-Schwergewichte wie Cisco, Juniper oder Check Point, die "nebenbei auch VPN machen" (und das sicher nicht schlecht), den Anwender für ihre Gesamt-Produktlinie gewinnen wollen. Kleinere Anbieter - wie beispielsweise der deutsche Hersteller NCP -, die "ausschließlich VPN machen", scheinen dagegen offener und flexibler sein.

Anwender, die die Anschaffung einer neuen, zentral verwaltbaren VPN-Management-Lösung planen, sollten zunächst einmal die angebotenen Leistungsmerkmale prüfen. Diese ähneln sich heute aber bei den meisten Herstellern stark. Deshalb sollte der Entscheider sein Augenmerk besonders darauf richten, inwieweit die Funktionsintegration gelungen und automatisiert ist.

VPN-Tipps für End-User (2)

  • Unterstützt das verwendete Medium - etwa der Hotspot im Hotel - die benötigten Ports (es gibt ferner UMTS-Provider, die IPsec nur über eine Zusatzoption erlauben)?

  • Ist die Firewall auf der Gegenseite richtig eingerichtet?

  • Unterstützt die Gegenstelle "echtes" IPsec oder nur IPsec over L2TP (Microsoft-IPsec)?

  • Beherrscht der VPN-Client die gewünschte Verbindungsart, oder muss ein zusätzlicher Dialer installiert sein?

  • Ist die WLAN Karte aktiv? In Laptops integrierte WLAN-Karten müssen mit einem Extraschalter aktiviert werden.

  • Viele dieser Fehlerquellen lassen sich mit guten VPN-Clients vermeiden. Solche Software überprüft bei Verbindungsschwierigkeiten teilweise bereits automatisch obige Problemfälle.