Sicherer Fernzugang zum Unternehmensnetz
Bedienbarkeit zählt
Externe Mitarbeiter müssen heute ortsungebunden auf das Firmennetz zugreifen können, ohne dass die Sicherheit leidet. Die Voraussetzung dafür schaffen Remote-Access-VPNs. Die Bedienung der VPN-Clients auf den mobilen Endgeräten hat dabei ebenso einfach zu erfolgen wie am Büroarbeitsplatz.
Es ist nicht zuletzt die Benutzerfreundlichkeit, die über den Erfolg oder Misserfolg einer Investition entscheidet. Dies gilt auch für Remote-Access-VPN-Lösungen. Die Produkte, die derzeit auf dem Markt am Markt verfügbar sind, entsprechen in höchst unterschiedlichem Maße den komplexen Anforderungen, die an sie gestellt werden. Dies betrifft die Kommunikations- und Sicherheitstechnik, aber auch den Bedienungskomfort für den Endanwender und das Management durch die IT-Abteilung.
Sicht der Anwender
Teleworker wünschen sich eine „One Click Solution“: Sie wollen einfach auf „Verbinden“ klicken, die Zugangsdaten eingeben und möglichst schnell Zugang zum Firmennetzwerk erhalten. Alle verbindungs- und sicherheitsrelevanten Aktionen laufen im Idealfall transparent für den Anwender im Hintergrund ab. Wie komplex die erforderlichen Automatismen sind, hängt im Wesentlichen vom Standort des Benutzers ab, zudem von den verfügbaren Netzen, etwa Mobilfunkverbindungen oder einem öffentlichen WLAN. Die wesentlichen Einflussgrößen sind die Wahl des Übertragungsnetzes, die Authentisierung des Anwenders, die Wahl der geeigneten Firewall-Regel und der Aufbau des VPN-Tunnels. Mobile Mitarbeiter nutzen unterschiedliche Techniken, um auf das Internet zuzugreifen, je nachdem, wo sie sich befinden und welche Verbindungart dort zur Verfügung steht. Dies kann ein öffentlicher WLAN-Hotspot sein, aber auch eine DSL-Leitung oder eine 3G/4G-Mobilfunkverbindung. In machen Großunternehmen sind 20 und mehr unterschiedliche 3G/4G-Karten mit verschiedenen Einwahlverfahren im Einsatz. Nahezu alle VPN-Clients setzen voraus, dass bereits eine Internetverbindung besteht, und handeln mit dem VPN-Gateway lediglich die VPN-Verschlüsselung aus. Erfahrungsgemäß treten aber gerade in der Phase des Verbindungsaufbaus die meisten Fehlbedienungen und Sicherheitslücken auf. Eine der größten Gefahren besteht darin, dass der Mitarbeiter vor Ort die Firewall-Einstellung an seinem Endgerät ändern muss. So gelten an einem Public Hotspot strengere Regeln als im Home Office oder im Unternehmens-LAN. Dem Anwender die Entscheidung zu überlassen, welche Firewall-Regel er an welchem Zugangsort nutzen möchte, birgt ein hohes Risiko. Eigentlich sollte der normale Anwender damit nichts zu tun haben. Denn nur wenige Benutzer verfügen über das Fachwissen, um Firewall-Einstellungen selbstständig anzupassen. Hinzu kommt, dass es sicherlich nicht zu den Kernaufgaben eines Vertriebsmitarbeiters oder Managers gehört, die Sicherheitseinstellungen an seinem Smartphone, Notebook oder Tablet-Rechner zu verwalten. Eine zentrale Anforderung an einen VPN-Client ist es, dem Anwender keinen unkontrollierten Zugang zum Internet einzuräumen. Zudem muss das Endgerät vor unerwünschten Zugriffen anderer Hotspot-Teilnehmer geschützt sein. Die Lösung ist eine integrierte dynamische Personal Firewall. Sie bietet das erforderliche Sicherheitsniveau und verhindert, dass ein Anwender über ungesicherte Verbindungen auf das Firmennetz zugreift. Weiterhin sollte der VPN-Client über einen eigenen 3G/4G-Dialer mit integrierter UMTS/LTE-Kartenunterstützung und ein WLAN-Verwaltungswerkzeug verfügen. Mobilfunkkarten lassen sich dann ohne großen Konfigurationsaufwand austauschen. Wichtig ist zudem, dass die IT-Abteilung alle Funktionen und Konfigurationseinstellungen zentral verwalten kann. Der Endanwender sollte diese nicht eigenmächtig ändern können, um nicht die Sicherheitsvorgaben (Policies) des Unternehmens zu unterlaufen. Eine bedienerfreundliche VPN-Client-Suite wählt automatisch nach dem Anklicken des Buttons „Verbinden“ das Übertragungsnetz aus, stellt die Verbindung zum Internet her und führt die Authentisierung des Benutzers durch. Anschließend baut der VPN-Client den VPN-Tunnel auf und wählt selbstständig die passende Firewall-Regel. Der automatische Verbindungsaufbau muss auch hinter Firewalls funktionieren, deren Einstellungen einen IPSec-basierten Datenverkehr verhindern. In solchen Fällen ist eine Port-500- beziehungsweise UDP-Encapsulation nicht möglich. Dies ist oft in Hotels der Fall, aber auch bei Internet-Gastzugängen, die Unternehmen für Kunden oder Mitarbeiter von Partnerfirmen einrichten. Hier greift eine spezielle Technik: Fallback IPSec/HTTPS. Sie ermöglicht es, auch Port 443 der Firewall zu nutzen. Neben der einfachen Bedienung hat diese Technik den Vorteil, dass sich mit ihrer Hilfe flächendeckend Sicherheitsregeln auf Basis des IPSec-Protokolls durchsetzen lassen. Eines der größten Ärgernisse beim Einsatz mobiler Geräte sind Funklöcher und der Wechsel der Übertragungsnetze, etwa von einem öffentlichen WLAN zu einer Mobilfunkverbindung oder zwischen den Mobilfunknetzen unterschiedlicher Provider. Die Folge: Eine bestehende VPN-Verbindung zum Gateway bricht ab und der Anwender muss sich erneut mit dem Firmennetz verbinden. Solche Unterbrechungen verärgern den Nutzer und wirken sich negativ auf dessen Produktivität aus. Daher ist ein unterbrechungsfreier Datenaustausch gefordert. Der VPN-Client und das VPN-Gateway müssen deshalb über Mechanismen verfügen, die jede Art von Unterbrechung erkennen und automatisch ausgleichen. So wird beispielsweise beim Wechsel des Übertragungsnetzes ein bestehender VPN-Tunnel dynamisch umgeleitet und verhindert, dass Anwendungssitzungen (Sessions) abbrechen. Dies betrifft auch das Thema APN (Access Point Name). Ein APN definiert den Zugangspunkt, um mobil via Internet auf das Firmennetz zugreifen zu können. Das Problem dabei: Jeder Mobilfunkbetreiber verwendet ein eigenes APN-Profil. Nutzen Anwender die SIM-Karte eines neuen Mobilfunkbetreibers, sollte der VPN-Client die erforderlichen APN-Einstellungen ohne Zutun des Anwenders automatisch wählen.
Sicht der Administratoren
Aus Sicht eines System- und Netzwerkverwalters ist ein „Single Point of Administration“ (zentrale Verwaltungskonsole) wichtig. Die Qualität einer Remote-Access-VPN-Lösung hängt in hohem Maße davon ab, wie leistungsfähig dieses zentrale Management ist. Im VPN-Betrieb mit mehreren Hundert oder Tausend Anwendern fallen viele zum Teil hochkomplexe Aktionen an, die es zu initiieren und zu überwachen gilt. Dazu zählen der Rollout, das zentrale Verteilen und Aktualisieren der Client-Software und die Administration der Personal Firewalls. Hinzu kommen das Management von Zertifikaten und Lizenzen sowie die Sicherheitsüberprüfung der Endgeräte, bevor diese Zugang zum Firmennetz erhalten, Stichwort „Endpoint Security“. Problematisch ist, wenn eine Remote-Access-VPN-Lösung auf mehreren Management-Systemen basiert und entsprechend schwierig zu handhaben sind. Der Administrator muss in diesem Fall über mehrere Konsolen hinweg Parameter eingeben und steuern. Das kostet Zeit und erhöht die Gefahr von Fehlbedienungen. Administratoren bevorzugen deshalb ein VPN-Management-System, das speziell auf die Belange eines Remote-Access-VPNs abgestimmt ist. Alle relevanten Aktivitäten lassen sich in diesem Fall von einer zentralen Konsole aus durchführen. Wichtig ist, dass die Lösung über standardisierte Schnittstellen verfügt, über die sie sich an Datenbanken anbinden lässt. Bei der Wahl eines VPN-Management-Systems sollten IT-Verantwortliche zudem darauf achten, dass sich möglichst viele Aufgaben automatisch abwickeln lassen. Das gilt beispielsweise für die Verwaltung und Kontrolle von VPN-Gateways und VPN-Clients mit unterschiedlichsten Betriebssystemen. Etliche Unternehmen, deren Kernkompetenz auf dem Gebiet der IT-Sicherheit liegt, lassen bei ihren Lösungen den Aspekt Benutzerfreundlichkeit außen vor. Dies ist problematisch, denn eine bequeme Bedienung erhöht die Zufriedenheit der Nutzer einer VPN-Lösung und minimiert Sicherheitsrisiken.
Lesen Sie mehr zum Thema
