Sicherer Fernzugriff mit Bordmitteln
Netgear ProSafe SSL VPN Concentrator 25 (SSL312) – Bis zu 25 Außendienstmitarbeiter greifen parallel via Web-Browser auf Ressourcen im Firmen-LAN zu.
Außendienstmitarbeitern einen sicheren Zugriff auf Ressourcen im Unternehmens-LAN zu gewähren lässt sich mit der VPN-Appliance von Netgear zuverlässig erreichen. Der Zugang funktioniert per Web-Browser und wird über das SSL-Protokoll (Secure-Socket-Layer) verschlüsselt. Somit kann der Mitarbeiter theoretisch von jedem Standort aus Daten via Internet ins Firmennetzwerk übertragen oder von dort abrufen. Eine Konfiguration auf der Client-Seite ist nicht nötig; der Anwender muss lediglich das SSL-Zertifikat akzeptieren, das der VPN-Concentrator beim der ersten Anmeldung präsentiert.
Bei der initialen Konfiguration haderte der Tester mit den Anforderungen des Geräts an den Web-Browser. Die Appliance verlangt einen »MS-Internet-Explorer« ab Version 6.5.1 oder einen »Safari«-Client ab Version 1.2. In diesen muss Javascript aktiv sein, und sie müssen ActiveX-Controls zulassen und Cookies akzeptieren. Wer seinen Browser mit einem Tool wie »XP-Antispy« vor Attacken aus dem Web schützt, kommt bei der Konfiguration ziemlich ins Schlingern. Die IP-Adresse ließ sich zwar problemlos über einen »Mozilla«-Browser zuweisen. Die weitere Konfiguration mit dem IE erwies sich hingegen als schwierig. Das Gerät wollte Einstellungen nicht übernehmen, blendete Buttons aus oder reagierte überhaupt nicht mehr. Erst als der Internet-Explorer über XP-Antispy wieder in den ursprünglichen Zustand versetzt und die Sicherheitseinstellung für Intranet-Sites auf »niedrig« gesetzt wurden, klappte der Zugriff auf die Webformulare einwandfrei.
Flexibel, aber nicht universell einsetzbar
Der SSL312 lässt sich an verschiedenen Stellen im lokalen Netzwerk platzieren. Direkt an einer Firewall, hinter der Firewall oder in der Entmilitarisierten Zone (DMZ). Mit dem zweiten integrierten LAN-Interface (10/100-MBit/s) kann das Gerät auch als Bridge fungieren. Wir entschieden uns für den Einsatz hinter der Firewall und ließen den Port 443 (HTTP über SSL, HTTPS) zur Appliance durchreichen. Die weitere Konfiguration setzt einen erfahrenen Administrator voraus, da die englische Dokumentation keine schrittweise Anleitung gibt, wie sich die Appliance in Betrieb nehmen lässt.
Nachdem die Uhrzeit manuell oder per NTP gesetzt ist, lässt sich das Gerät mit einem Zertifikat ausstatten. Sofern das Unternehmen mit einer externen Certification-Authority (CA) zusammenarbeitet oder eine eigene CA verwaltet, erzeugt der Administrator einen Certificate-Signing-Request (CSR). Das Zertifikat muss die CA unterschreiben und kann anschließend auf die Appliance geladen werden. Die einfache Alternative dazu ist, ein selbst signiertes Zertifikat (CRT) zu erzeugen. Die Gültigkeitsdauer des CRT ist fest auf 360 Tage eingestellt und lässt sich nicht ändern. Die Schlüsselpaare können in jedem Fall 512, 768 oder 1024 Bit lang sein. Nach dem Import der Zertifikatsdateien, welche die Appliance ausschließlich als Zip-Archiv erlaubt, aktiviert der Verwalter das Zertifikat. Zur Initialisierung muss das Gerät neu starten. Beim Versuch, das neue Zertifikat in den permanenten Speicher des Browsers zu importieren, verfing sich der Internet-Explorer in einer Endlosschleife. Erst nach einem unsanften Abschuss via Task-Manager und Neustart des IE ließ sich das CRT speichern.
Bei der nachfolgenden Konfiguration, den Zugriff für die Benutzer einzustellen, traten keine weiteren Probleme auf. Zuerst muss der Verwalter entscheiden, ob die Anwender gegenüber der lokalen Benutzerdatenbank authentifiziert werden. Daneben kann der SSL312 die Credentials auch an Active-Directory, NT-Domänen sowie LDAP- oder Radius-Server umleiten. Dazu definiert der Administrator zuerst eine neue Domäne und integriert darin die entsprechend anzulegenden Gruppen. Nun kommen die Policies ins Spiel, die in globale Policies, Gruppen- oder User-Policies eingeteilt sind. Über diese steuert der Verwalter den Zugriff auf IP-Adressen, Subnetze oder Netzwerk-Ressourcen wie RDP5, SSH oder FTP.
Wer verschiedene Subnetze betreibt oder die Clients in ein bestimmtes Netz zwingen will, stellt dazu weitere Parameter des VPN-Tunnels ein. Es lässt sich ein Pool von IP-Adressen festlegen, aus dem die VPN-Clients eine Adresse beziehen. Auch die statische Route ins Zielnetzwerk gibt der Verwalter explizit an. Sofern das Unternehmen lediglich Streams über TCP verschlüsseln will, kommt die Funktion Port-Forwarding gelegen. Damit lassen sich recht einfach Verbindungen zu TCP-Applikationen sichern und den Außendienstmitarbeitern gezielt Anwendungen und Ressourcen zur Verfügen stellen, ohne den Verwaltungsaufwand der VPN-Tunnel mitzuschleppen.
jr@networkcomputing.de
