Die Zukunft von Remote Access
Mehr Intelligenz für den Client
Galt noch vor einigen Jahren eine stabile Modemverbindung mit 56 kBit/s als das höchste der Gefühle eines mobilen Mitarbeiters, so sind die Ansprüche mit der fortschreitenden technischen Entwicklung sehr gewachsen. Heute wollen Außendienstler von unterwegs aus genauso schnell und komfortabel auf Anwendungen zugreifen wie ihre Kollegen im Backoffice. Dies bringt neue Anforderungen an die Administration und die eingesetzten Remote-Access-Lösungen mit sich.
Die Ansprüche von Unternehmen und deren Mitarbeitern an eine Remote-Access-Lösung haben sich in
den vergangenen Jahren stark gewandelt. Bis zur im Grunde flächendeckenden Verbreitung des
Internets am Anfang dieses Jahrtausends stand beim Thema Remote Access hauptsächlich der Zugang zum
Unternehmensnetz – und dort der Zugriff auf E-Mails – im Vordergrund. Dieser erfolgte in der Regel
per Einwahl mit einem Modem oder einer ISDN-Karte in einen zentralen Dial-in-Pool, der den Übergang
vom öffentlichen Telefonnetz zum lokalen Firmennetz herstellte.
Die größte Herausforderung für die mobilen Mitarbeiter war es damals, ihren Laptop überhaupt
erfolgreich mit dem Telefonnetz zu verbinden. Schraubenzieher, Krokodilklemmen und zahlreiche
Adapter gehörten seinerzeit zur Grundausstattung eines jeden Roadwarriors, der sich erfolgreich
gegen widerspenstigste Telefondosen in Hotelzimmern durchsetzen wollte (siehe Kasten).
Wachsende Bedürfnisse und geringere Kosten
Diese schwierigen Zeiten mit ihren unfreiwilligen Basteleinlagen sind für Reisende zumindest in
den wirtschaftlich gut entwickelten Regionen heute glücklicherweise vorbei, denn günstige
Mobilfunktarife mit Daten-Flatrates, fast allgegenwärtige WLAN-Zugänge oder die RJ45-Dose im
Hotelzimmer machen die Verbindung mit dem Internet heute zum Kinderspiel. Dies wiederum ermöglicht
Datenreisenden einen kostengünstigen Zugang zum Unternehmensnetz per Breitband und VPN statt über
teure schmalbandige Einwahlverbindungen.
1943 veröffentlichte der US-amerikanische Psychologe Abraham Maslow in seinem Werk "A Theory of
Human Motivation" ein Modell, um die Motivationen von Menschen zu beschreiben. Die menschlichen
Bedürfnisse bilden nach seiner Theorie dabei die Stufen einer Pyramide (Maslow’s hierarchy of
needs) und bauen aufeinander auf. Der Mensch versucht demnach, zuerst die Bedürfnisse der untersten
Stufen zu befriedigen, bevor die nächsten Stufen für ihn Bedeutung erlangen.
Dieses Modell lässt sich im Bereich Remote Access auch sehr gut auf die Bedürfnisse von
Unternehmen und deren mobilen Mitarbeitern anwenden.
Sicherheit erst an zweiter Stelle
An unterster Stelle steht dabei der Zugang zu Kommunikationsnetzen an sich (Bild 1). Dieser
stellte – wie beschrieben – früher die größte Hürde dar, wird heute aber einfach als fast
selbstverständlich angesehen. Auf der nächsten Stufe der Pyramide folgte dann das Bedürfnis der
Unternehmen nach Sicherheit. Bei der Einwahl per Modem war dabei das Maß der erwünschten Sicherheit
noch relativ gering. Es reichte, wenn sich der Benutzer mit Login und Passwort am
Remote-Access-Server identifizierte. Eine Verschlüsselung der übertragenen Daten fand im Anschluss
daran in der Regel nicht statt, da die Kommunikation über dedizierte und als sicher erachtete
Verbindungen ablief. Dies änderte sich drastisch bei dem Unternehmenszugriff über das öffentliche
Internet. Hier entstand schnell das Bedürfnis nach einer Verschlüsselung der übertragenen Daten, um
die Vertraulichkeit der Informationen sicherzustellen.
Der Weg zum gesicherten Zugangsgerät
Da durch das Internet auch die Bedrohung durch Viren, Spyware, Spam und Phishing anstieg, wuchs
bei den Anwendern parallel auch der Wunsch nach entsprechenden Abwehrlösungen für ihre Endgeräte.
Dem kam die IT-Industrie mit zahlreichen Desktop-Anwendungen wie Virenscannern, lokalen Webfiltern,
Festplattenverschlüsselungswerkzeugen und Tools zur Kontrolle von PC-Schnittstellen bereitwillig
nach. Benutzer können daher heute darauf vertrauen, dass ihre Arbeitsrechner wohl konfiguriert den
meisten Angriffen standhalten.
Sobald ein sicherer Firmenzugang auch über das Internet erst einmal zum Standardrepertoire eines
IT-Administrators gehörte, tauchte bei den Benutzern schnell das nächst höhere Bedürfnis auf –
nämlich der Wunsch nach Verfügbarkeit. Dieser kann sich dabei in zweierlei Weise äußern: einerseits
in der Dimension Zeit, also im Idealfall einer 24×7-Verfügbarkeit des Netzzugangs, sowie
andererseits in der Dimension Anwendung. Damit ist gemeint, dass den meisten Mitarbeitern im
Gegensatz zu früher der Zugriff auf E-Mails allein nicht mehr ausreicht. Heute wollen sie von
unterwegs auf alle Anwendungen zugreifen, die sie auch an ihrem stationären Arbeitsplatz im Büro
nutzen können. Technisch lässt sich auch dieser Wunsch erfüllen – mit VPNs auf Basis von IPSec oder
SSL. Doch weckt das Ergebnis in der Praxis schnell das vierte und letzte Bedürfnis: den Wunsch nach
Geschwindigkeit.
Beschleunigung als Grundbedürfnis
Ursachen für diesen Wunsch gibt es mehrere. Beispielsweise entspricht trotz Faktoren wie WLAN,
UMTS oder DSL die typische Bandbreite einer VPN-Verbindung eines mobilen Nutzers immer noch einem
Bruchteil dessen, was ein lokaler Mitarbeiter jeder Zeit an Netzkapazität zur Verfügung hat.
Über dieses Nadelöhr kommunizieren dann Protokolle wie CIFS oder MAPI, die ursprünglich für den
Einsatz im LAN entwickelt wurden und bei denen insbesondere auf schmalbandigen Strecken deren
Ineffizienz zu Tage tritt. Schließlich sind die Entfernungen, die ein Datenpaket zwischen mobilem
Nutzer und Firmenzentrale zurücklegen muss, viel länger als im lokalen Netz, was wiederum zu
höheren Latenzzeiten führt. Diesen Herausforderungen stellen sich nun Anbieter von Produkten für
WAN Application Delivery auf verschiedene Art und Weise.
Ansätze zur Beschleunigung auf verschiedenen Wegen
In Analogie zum OSI-Modell setzen die auf dem Markt verfügbaren Lösungen auf verschiedenen
Ebenen an: Auf Netzwerkebene (OSI-Layer 3) können beispielsweise Packet-QoS, Queuing, Priorisierung
oder Caching auf Paketebene den Datenfluss beschleunigen. Auch IPSec setzt hier an, um Sicherheit
zu gewährleisten.
Auf der Transportebene (OSI-Layer 4) hingegen versuchen die unterschiedlichsten Hersteller, die
Leistung und Sicherheit von TCP/IP zu verbessern. Bekannte Angriffspunkte sind hier vor allem
optimierte Algorithmen für TCP-Window-Scaling, die Erkennung und Kontrolle von Staus und Latenz
oder das Packet-Acknowledgement und die Kontrolle von Retransmissions. Auch lassen sich auf dieser
Ebene zur Beschleunigung der Datenübertragung Techniken wie Kompression und Caching einsetzen. Für
Sicherheit sorgt dabei wiederum SSL.
Ein paar Ebenen weiter wendet sich auf der Anwendungsebene (OSI-Layer 7) dann die
Protokolloptimierung den Defiziten verbreiteter Protokolle wie etwa der häufig beklagten
Geschwätzigkeit von MAPI und CIFS zu. Auf Sicherheitsseite können URL-Filter den Zugriff auf
unerwünschte Inhalte blockieren. Über die sieben Schichten des OSI-Modells hinaus kann zudem ein so
genannter Content-Layer dafür sorgen, dass die unteren Ebenen nur erwünschte Inhalte beschleunigen.
Dies ist insbesondere bei der immer größer werdenden Zahl von webbasierten Anwendungen von
Bedeutung. Das OSI-Modell macht auf Ebene 7 nämlich keinen Unterschied, ob es sich um persönliche,
geschäftlich relevante oder unerwünschte Inhalte handelt, die zu blockieren, zu übertragen oder
gegebenenfalls zu beschleunigen sind.
Neue Modelle für den praktischen Einsatz
Für den Remote Access bedeutet dies, dass bereits heute in den Firmenzentralen Appliances zu
WAN-Optimierung die klassischen Remote-Access-Gateways ablösen. Der Zugang zum Unternehmensnetz
erfolgt dabei weiterhin über das Internet. Für Sicherheit sorgen IPSec oder SSL. Die Verfügbarkeit
aller geschäftsrelevanten Anwendungen für mobile Nutzer können diese Lösungen dabei ebenso
sicherstellen wie eine angemessene Geschwindigkeit, selbst über lange Strecken bei wenig
Bandbreite. Voraussetzung dafür ist bei den mobilen Nutzern jedoch eine entsprechende
Clientsoftware, die auf den verschiedenen Ebenen die jeweiligen Aufgaben übernimmt. Aus Sicht der
Administratoren und aus Kostengründen ist es dabei wünschenswert, so wenig verschiedenartige
Clients wie möglich verteilen und administrieren zu müssen. Hier sollte man bei der Auswahl einer
Remote-Access-Lösung also auch die Architektur der Clients genau betrachten und darauf achten, dass
alle benötigten Funktionen dort abgebildet sind – also beispielsweise auch, dass extern gehostete
und SSL-gesicherte Anwendungen beschleunigt werden können.
"Fremde" Zugangsgeräte
Schließlich gehört zu einer umfassenden Remote-Access-Lösung auch die Unterstützung von
Endgeräten, die gar nicht im Einflussbereich des Firmenadministrators liegen. Hierzu können PCs
gehören, die von Mitarbeitern zuhause für ihre berufliche Tätigkeit eingesetzt werden oder sogar
mitgebracht werden müssen, aber auch öffentliche Internetterminals oder private PDAs und sogar
private Notebooks mit Internetzugang. On-Demand-Clients können bei solchen Szenarien dafür sorgen,
dass der sichere Zugriff auf Anwendungen im Unternehmen wirklich jederzeit verfügbar ist.
Lesen Sie mehr zum Thema
