Die richtige VPN-Technik für jeden Zweck
Durchblick in jeder Art von Tunnel
VPNs sind in der IT längst allgegenwärtiger Standard. Dass der Glaubenskrieg SSL (Secure Sockets Layer) versus IPSec (Internet Protocol Security) versus MPLS (Multi-Protocol Label Switching) dennoch andauert, ist ein Kuriosum: Alle drei Techniken decken bestimmte Einsatzgebiete optimal ab. IPSec allerdings bietet eine Reihe von Vorteilen, die heute oft übersehen werden.
Eine sichere Anbindung von Filialen, Heimarbeitsplätzen oder mobilen Mitarbeitern gehört für
eine Vielzahl von Unternehmen zum aktuellen Tagesgeschehen. Reger Wettbewerb der Provider lässt die
Preise für Internetzugänge in den Keller sinken. IT-Entscheider nutzen verstärkt diese Chance, sich
von teuren Standleitungen oder Wählverbindungen zu trennen und auf firmeninternen Kommunikation
über öffentliche Netze uinzusteigen. Die neue Kommunikationsmöglichkeit muss den Ansprüchen der
Unternehmen aber aus Performance-Sicht und im Hinblick auf die Sicherheit zugleich genügen.
Immerhin warten zahlreiche Firmen nur auf die erste beste Gelegenheit, um an die neuesten
Entwicklungsinformationen und Projekt- oder Kundendaten ihrer Wettbewerber zu kommen.
Für den Schutz der Kommunikation hat sich in dieser Situation die VPN-Technik etabliert. Sie
soll gewährleisten, dass eine Kommunikation über unsichere Verbindungen wie das Internet oder ein
Wireless LAN vertrauenswürdig und abhörsicher vonstatten geht. Am Markt sind zurzeit drei
technische Varianten verfügbar, deren Nutzbarkeit und Sicherheit für das eigene Unternehmen vorher
gewissenhaft evaluiert werden sollte.
SSL bietet eine sehr einfache Variante, um Nutzern einen Zugriff auf unternehmensinterne
Applikationen zu gewähren. Um die Technik nutzen zu können, ist auf zent-raler Seite lediglich ein
SSL-fähiges Gateway zu integrieren. Nutzerdaten und Passwörter werden zumeist ausschließlich von
diesem System verwaltet.
Mittels SSL unkompliziert Nutzer anbinden
Die Gegenstelle benötigt keinerlei separate Client-Software. Es genügt ein Standard-Browser, was
jedoch auch Nachteile mit sich bringt, da ein gewohnt freies Bewegen im Netzwerk bei dieser Art des
Zugriffs nicht möglich ist. Die Anwendung auf der Seite der Zentrale muss somit einen webgestützten
Zugang bieten.
Da für die Authentifizierung lediglich Nutzername und Passwort genügen, ist es unmöglich, ohne
Implementierung spezieller Authentifizierungslösungen die Vertrauenswürdigkeit der Gegenstelle zu
garantieren. Der Einsatz von Zertifikaten auf der Client-Seite zur Erhöhung des Sicherheitslevels
ist nicht vorgesehen. Weiterhin können ohne zusätzliche Maßnahmen keinerlei Informationen über den
aktuellen Zustand des Clients eingeholt werden. Ist beispielsweise die lokale Firewall deaktiviert
oder der Virenscanner nicht auf dem neuesten Stand, kann es schnell vorkommen, dass sich ungebetene
Gäste auf der internen Applikation einfinden und Unternehmensdaten in falsche Hände gelangen.
Auch wenn SSL einfach zu integrieren ist, sollte für unternehmenskritische Bereiche diese
Variante wegen des Risikofaktors seitens der Gegenstelle nicht gewählt werden.
Daten mittels MPLS priorisieren
Für den Bereich sichere standortübergreifende Kommunikation bieten viele Provider ihren Kunden
MPLS an. Das relativ junge Routing-Protokoll bietet integrierte Sicherheit wie bei einer
Standleitung oder einem Frame Relay. Aus Performance-Gründen wird häufig keine Verschlüsselung
eingesetzt. Der größte Vorteil von MPLS ist die Priorisierung. Sie ermöglicht es,
Quality-of-Service-Level (QoS) zu garantieren. Dies gewährleistet unter anderem, dass IP-Telefonate
über eine entsprechende Verbindung nicht durch weitere Bandbreitennutzung gestört werden.
Für den Administrator ist MPLS eine unkomplizierte VPN-Variante, da eventuell eingesetzte
Verschlüsselungsmechanismen auf der Seite des Providers integriert werden. Selbst eine Anbindung
von Heimarbeitsplätzen kann realisiert werden. Voraussetzung für die Nutzung von MPLS ist ein
fester Anschluss. Somit ist es momentan nicht möglich, mobile Mitarbeiter, die mit dem Unternehmen
kommunizieren wollen, über MPLS zu anzubinden.
Nutzt ein Unternehmen MPLS, muss ihm bewusst sein, dass es die Absicherung der Kommunikation
komplett in die Hände des Anbieters gibt. Der Anwender kann nicht selbst sicherstellen, dass
Verschlüsselung und Authentizität seinen Ansprüchen genügen. Zudem erfolgt die Datenübertragung
zwischen Unternehmen und Provider nicht verschlüsselt, was einen weiteren Unsicherheitsfaktor
darstellt.
Netzwerke sicher miteinander verbinden
Als eine der sichersten Methoden, Netzwerke miteinander zu koppeln, hat sich die Nutzung von
IPSec etabliert. Anders als bei SSL können x.509-Zertifikate in diesem Fall die Authentizität aller
Kommunikationspartner stets gewährleisten. Eine Vielzahl von starken Verschlüsselungsalgorithmen
wie beispielsweise AES (Advanced Encryption Standard) und 3DES (Data Encryption Standard)
garantiert die Vertraulichkeit des Datenstroms. Des Weiteren ermöglicht eine VPN-Kopplung via
IPSec, dass externe Mitarbeiter auf alle Ressourcen des Unternehmensnetzwerkes Zugriff erlangen
können. Eine Abhängigkeit von webbasierten Anwendungen besteht nicht.
Bei der Integration von IPSec ist es empfehlenswert, für die Anbindung von einzelnen Clients auf
einen speziellen VPN-Client zurückzugreifen. Die meisten Betriebssysteme verfügen inzwischen zwar
über Mechanismen, mit eigenen Bordmitteln eine IPSec-Verbindung zu etablieren, doch gestaltet sich
die Konfiguration meist recht kompliziert. Gegenüber SSL ist zwar der Client-seitige
Konfigurationsaufwand höher, dafür steigt durch die Nutzung des separaten VPN-Clients aber auch der
Sicherheitslevel. Je nach genutzter Anwendersoftware ist es möglich zu prüfen, ob der Virenscanner
des Clients auf dem neuesten Stand ist. Zusätzlich kann kontrolliert werden, ob die Einstellungen
der lokalen Firewall mit den Firmenrichtlinien übereinstimmen. Ist dies nicht der Fall, lässt sich
der Zugriff auf unternehmensinterne Ressourcen verwehren.
Ein weiterer Vorteil besteht darin, dass der Anwender mit IPSec komplett Provider- und
netzunabhängig ist. Selbst die Kommunikation über ein öffentlich zugängliches Wireless LAN oder
UMTS kann so abgesichert werden. IT-Entscheider, die auf maximale Sicherheit und gute Flexibilität
setzen, werden an einer intensiven Evaluierung von IPSec nicht vorbeikommen.
Den Tunnel reglementieren
Bei der Integration von VPN ist es von Bedeutung, den Kommunikationspartnern nur so viel zu
erlauben, wie tatsächlich notwendig ist. Sendet beispielsweise eine externe Röntgenpraxis Grafiken
über einen VPN-Tunnel auf den Server eines Krankenhauses, dann sollte auch nur dieser Vorgang frei
geschaltet sein. Der unberechtigte Zugriff auf weitere Netzwerkressourcen des Krankenhauses wird
den Nutzern in der Röntgenpraxis somit verwehrt. Die Reglementierung kann auf Basis von
Firewall-Regeln auf dem VPN-Gateway stattfinden.
Ressourcen optimal verwalten
Da es sich bei den meisten VPNs um Verbindungen über das Internet handelt, sind andere
Gesetzmäßigkeiten zu beachten als bei direkten Verbindungen im eigenen lokalen Netzwerk. Wird
beispielsweise ein Druckjob gestartet, nimmt dieser mit einem "Klick" sämtliche Ressourcen in
Anspruch, bis er vollständig übertragen wurde. Im lokalen Netzwerk mag das nicht weiter auffallen.
Unreglementiertes Drucken über einen VPN-Tunnel würde allerdings die Bandbreite des gesamten
Tunnels beanspruchen.
Da die Performance eines Druckjobs im Grunde keine Rolle spielt, ist es empfehlenswert, Die
Druckdatenübertragung mittels Bandbreitenmanagement herunterzuregeln. So treten keine
Flaschenhalsprobleme auf, und allen anderen Anwendungen steht eine bessere Bandbreite zur
Verfügung.
Ähnlich verhält es sich mit der IP-Telefonie. Um Telefonkosten zu senken, gehen Unternehmen mehr
und mehr dazu über, den VPN-Tunnel auch für Voice over IP (VoIP) zu nutzen. Gespräche, die zwischen
den Filialen geführt werden, laufen dann quasi zum Nulltarif. Wird für Telefongespräche keine
Bandbreite sichergestellt, können beispielsweise große Downloads ein Telefonat ungewollt
unterbrechen. Durch Zuweisen entsprechender Bandbreiten kann aber gewährleistet werden, dass stets
genügend Ressourcen für IP-Telefonate zur Verfügung stehen.
Bei Erwerb eines VPN-Gateways ist deshalb darauf zu achten, dass in dem System bereits ein
Bandbreitenmanagement integriert ist.
Mit zunehmender Vernetzung werden Unternehmen gleichzeitig immer abhängiger von der
Verfügbarkeit ihrer Infrastruktur. Viele Mitarbeiter sind bereits standortübergreifend via VPN
tätig. Fallen diese Verbindungen aus, ist leidet das gesamte Unternehmen. Produktionsausfall,
mangelnde Erreichbarkeit und ein eventueller Imageschaden sind die Folge. Für dieses Szenario gilt
es entsprechende Redundanzen zu schaffen.
Den Worst-Case im Griff haben
Administratoren neigen dazu, sich für solche Fälle ein Ersatzsystem auf Lager zu legen. Dieses
kann aber im Ernstfall auch defekt sein oder einen veralteten Konfigurationsstand aufweisen.
Weiterhin stellt sich die Frage, ob der Administrator bei einem nächtlichen Ausfall überhaupt
erreichbar ist.
Spezielle Failover-Systeme sind hier die Lösung der Wahl. Bei Ausfall des aktiven Systems
übernimmt umgehend ein Ersatzsystem dessen Arbeit. Da die Systeme permanent miteinander
kommunizieren, verfügen sie stets über den gleichen Konfigurationsstand. Ein Abgleichen durch den
Administrator ist nicht notwendig. Dieser wird nicht nur bei einem Defekt des Hauptsystems
benachrichtigt, sondern auch bei Ausfall des Ersatzsystems informiert. Ein Tausch des defekten
Systems kann einfach und ohne Störung des geregelten Betriebsablaufes erfolgen.
Bei Ausfall des Zugangs über einen Provider sollten solche Systeme einen automatischen Schwenk
auf eine Backup-Leitung durchführen. Anschließend ist der VPN-Tunnel erneut zu etablieren. Im
Regelfall wird das von dem System autark durchgeführt. Eine mögliche Ausfallzeit wird somit auf ein
Minimum reduziert.
Lesen Sie mehr zum Thema
