Anforderungen an Remote-Access-Lösungen
Mobilität erfordert sicheren Netzzugang
Mit den Begriffen Remote Access - oder dem häufig synonym verwendeten VPN - sind bis heute unterschiedliche Vorstellungen verbunden. Selbst renommierte Marktforscher und Analysten aktualisieren regelmäßig ihren Standpunkt im Hinblick auf die raschen Veränderungen des Markts. Ausgehend von grundlegenden Betrachtungen zeigt der Beitrag, dass Remote-Access-Lösungen für Unternehmen heute mehr bieten müssen als schlichten Fernzugriff. Zentrales Management ist ebenso gefordert wie problemlose Nutzung auf Endgeräteseite.
Als wichtige Treiber für Fernzugangslösungen gelten Tele- und Heimarbeit. Mit der Einführung von Cloud-Services kommt ein weiteres treibendes Element hinzu. Die Verbreitung von Smartphones und Tablet-PCs, die eine nahezu unbegrenzte Mobilität ermöglichen, stellt eine weitere Herausforderung für den kontrollierten Fernzugang zum Unternehmensnetz dar. Die ständige Verbindung mit zentralen Ressourcen im eigenen Unternehmen, sporadische Recherchen im Internet und Standardanwendungen wie E-Mail, ERP und Wikis erfordern gesicherte Netzwerkverbindungen. Der Zugang zum mobilen Internet beinhaltet zudem viele Facetten und erfordert entsprechende Lösungen für öffentliche Hotspots, WLAN, UMTS und demnächst LTE.
Wie alles begann
Zunächst eine kurze Begriffsbestimmung: Remote Access meint schlicht Fernzugriff – die englische Bezeichnung definiert den Zugriff auf zentrale Ressourcen über größere Entfernungen hinweg. Ursprünglich kam diese Methode zur Fernsteuerung eines Rechners oder Servers über private oder öffentliche Netzwerke mittels DFÜ (Datenfernübertragung – heute spricht man allgemein von Datenkommunikation) zum Einsatz. Eine weit verbreitete Methode für den Fernzugriff heißt VPN (Virtual Private Network). Ein VPN stellt genau betrachtet eine Infrastrukturlösung dar und keine explizite Sicherheitslösung, als die sie oft gesehen wird.
Schon seit den 60er-Jahren des letzten Jahrtausends sind Telefonwählverbindungen als technische Lösung für den Remote Access bekannt. Damals kamen so genannte Akustikkoppler und Modems zum Einsatz, um sich mit einem Terminal in ein Firmennetz einzuwählen. Mit der Verbreitung von PCs ab Mitte der 80er-Jahre entstanden spezielle öffentliche Netzwerke mit unterschiedlichen Techniken für die Datenkommunikation: zunächst leitungsvermittelt (Datex-L), danach paketvermittelt (Datex-P) mit X.25, Frame Relay sowie ATM und letztlich noch das aktuelle „“Auslaufmodell““ ISDN. All diese Netzwerke erlaubten die sichere Kommunikation mithilfe des gemeinsamen Leistungsmerkmals „“geschlossene Benutzergruppe““, das man als Vorläufer von VPN betrachten kann. Heute findet die Datenkommunikation hauptsächlich über das öffentliche Internet und die Mobilfunknetze statt.
Sichere Kommunikation im Tunnel
Eine VPN-Lösung ermöglicht die gesicherte Kommunikation über solche unsicheren Netzwerke durch einen nicht angreifbaren „“Tunnel““ vom einen zum anderen Ende der Verbindung. Der Aufbau solcher Tunnel lässt sich auf unterschiedlichen Ebenen des OSI-Schichtenmodells realisieren:
- Layer 1: beispielsweise mit WDM-Technik (Wavelength Division Multiplexing),
- Layer 2: mit L2TP (Layer 2 Tunneling Protocol), PPTP (Point to Point Tunneling Protocol) oder nach den EVC-Standards des Metro Ethernet Forums (Ethernet Virtual Circuits mittels E-Line, E-LAN und E-Tree) und VPLS (Virtual Private LAN Services) sowie
- Layer 3: mit MPLS, IPSec oder SSL.
Vorzugsweise finden heute Layer-3-VPNs Verwendung. Während MPLS noch eine reine Carrier-Lösung darstellt, können die Endbenutzer zwischen IPSec und SSL wählen. Welches der beiden Verfahren zum Einsatz kommen soll, ist in der Praxis von der jeweiligen Anwendung abhängig. Dazu existieren von den einschlägigen Herstellern und Analysten zahlreiche unterschiedliche Meinungen, die hier aber nicht kommentiert werden sollen. Typisch für SSL-Lösungen sind Web-basierende Anwendungen, bei denen das Endgerät über keinen speziellen (IPSec-)Client verfügt. IPSec wiederum findet vorwiegend bei der unternehmensinternen Kommunikation („“Intranet““) Verwendung. Dabei lassen sich drei Varianten unterscheiden:
- Site to Site: In diesem Fall sind zwei Netzwerke miteinander gekoppelt, zum Beispiel die Filiale mit der Zentrale.
- End to End: Dies ist eine Verbindung zwischen zwei dedizierten Endgeräten – zumeist Server – daher auch als Host-to-Host-Verbindung bezeichnet.
- End to Site: Ein Endgerät kommuniziert mit einem entfernten Netz. Ein Beispiel dafür ist der mobile Mitarbeiter, der von unterwegs mit seinem Notebook oder Smartphone auf das Unternehmensnetz zugreift.
Die Tabelle 1 bietet einen Überblick über die jeweiligen Eigenschaften verschiedener VPN-Techniken mit unterschiedlichen Clients.
Aus der Sicht des Anwenders solle eine Remote-Access-Lösung das einfache Arbeiten wie im Büro auch von unterwegs ermöglichen. Sie soll eine einfache Bedienung des Endgeräts unterstützen und den Fernzugriff auf das Unternehmensnetz möglichst mit nur einem „“Verbinden““ oder besser gar keinem Klick herstellen. Der Fernzugang muss zudem an jedem Standort problemlos auch an öffentlichen Hotspots oder im Hotel möglich sein.
Wesentlich höher gestalten sich die Anforderungen aus Sicht des verantwortlichen Administrators. Er will sämtliche Remote-Anwender und -Systeme so einfach managen wie im eigenen LAN. Der Benutzer selbst soll keinen Zugang zur Konfiguration erhalten. Eine leistungsfähige Lösung sollte neben den grundlegenden Eigenschaften aus Sicht der Administration noch über eine ganze Reihe weiterer Leistungsmerkmale verfügen: Dazu zählt beispielsweise ein einfaches und schnelles Rollout für große Installationen durch eine automatisierte Benutzerinitialisierung. Auch das Change-Management für ausscheidende und neue Mitarbeiter sollte sich über eine zentrale Administrationsdatenbank automatisieren lassen. Ähnliches gilt für Software-Updates: Bei einem Fernzugriff lässt sich beispielsweise die aktuelle Datenrate automatisch prüfen und in Abhängigkeit davon ein anstehendes Update bedarfsgerecht durchführen.
Weitere Anforderungen an eine leistungsfähige Remote-Access-Lösung sind etwa die Umsetzung einer unternehmensweiten Sicherheitsrichtlinie: Bei jeder Einwahl könnte die Lösung den Client beispielsweise auf aktuelle Software-Updates des Antivirenprogramms oder Betriebssystems überprüfen und diesen gegebenenfalls in eine Quarantäne geleiten. Auch eine hohe Systemverfügbarkeit der Lösung etwa durch redundante zentrale Komponenten und ein Ende-zu-Ende-Management kann den Anforderungskatalog ergänzen. Ähnliches gilt für die Kompatibilität mit VPN-Gateways etablierter Fremdhersteller. Ebenfalls nicht selbstverständlich aber für die Praxis relevant ist ein nahtloses Roaming des VPN-Clients durch eine „“Always on““-Funktion, die zum Beispiel den unterbrechungsfreien Übergang zwischen WLAN, UMTS und LAN ermöglicht.
Wie sich zeigt, sollte eine Remote-Access-Lösung nicht nur ihre Kernfunktionen erfüllen, sondern einen ganzheitlichen Ansatz bieten, der den realen Einsatzbedingungen im Unternehmen gewachsen ist. So verfolgt beispielsweise die Remote-Access-Lösung von NCP Engineering ein entsprechendes Konzept, das aus zentralem Remote-Access-Management, VPN-Gateway mit Unterstützung von SSL und IPSec sowie VPN-Clients besteht. Neben dem zentral managbaren systemspezifischen „“Secure Enterprise Client““ steht dort beispielsweise auch ein universell einsetzbarer VPN-Client (Secure Entry Client) zur Verfügung, der sich in Verbindung mit VPN-Gateways von Fremdherstellern nutzen lässt. Auf der Administrationsseite wiederum spielt das zentrale Management der Clients und Gateways mit einem hohen Automatisierungsgrad etwa durch eine integrierte Scripting Engine eine wesentliche Rolle.
Lesen Sie mehr zum Thema
