Alternativen zum klassischen VPN
Remote Access für alle
Die Anforderung, von ausgelagerten Standorten auf zentrale IT-Prozesse zuzugreifen, begleitet die Geschichte der elektronischen Datenverarbeitung. Mit dem Wandel zur mobilen Informationsgesellschaft und der nahezu uneingeschränkten Verfügbarkeit des Internets erfolgt jedoch die Verlagerung standortbezogener Anbindungen hin zu einer flexibleren, teilnehmerbezogenen Connectivity. Der traditionelle Remote Access ist damit nicht mehr unbedingt die einzige oder beste Lösung für den sicheren Zugang zur Unternehmens-IT.
Remote Access ist heute über das Internet technisch einfach zu bewerkstelligen, und VPN-Clients
sind oft die Gratiszugabe zu Firewall-Produkten. Das komplette Intranet gewährt so externen
Stationen und Teilnehmern mit unklaren Berechtigungen Zugriff über ein latent unsicheres Medium.
Die eigentliche Aufgabe beginnt damit ab dem Moment der Nutzung: Absicherungsverfahren, zusätzliche
Authentifizierungsmethoden und oft nicht überschaubare administrative Aufgaben stehen einer
schnellen, unternehmensweiten Einführung von Remote Access oft entgegen. Dadurch befinden sich
Unternehmen schnell in der internen Interessenskollision: Die Geschäftseinheiten fordern mobile
Nutzungsmöglichkeiten – die IT soll dies als Dienstleister erfüllen, ohne das Unternehmen
irgendwelchen Sicherheitsrisiken auszusetzen und ohne die Nebeneffekte kostenintensiver
Infrastrukturerweiterungen und Ressourcenbindungen.
Wenn klassische Ansätze dieses Dilemma nicht vermeiden, dann helfen nur neue Wege. Warum muss
der PC – lokal oder remote – ein Teilnehmer im Intranet sein, wenn der Anwender doch nur
Verbindungen zu bestimmten Servern, Diensten, virtuellen Umgebungen, Hosted Services oder der Cloud
benötigt? Anders ausgedrückt: den Zugang zu einem vergleichsweise kleinen, präzise pro Benutzer
definierbaren Bereich des Netzwerks. Zudem würde die Vermeidung jedes direkten Zugriffs auf Server,
Computer oder Services die Sicherheit dieser Systeme gegenüber Malware, Missbrauch und
Datenverlusten erheblich erhöhen.
Ein neuer Weg besteht darin, die vorhandenen Strukturen zu entkoppeln. Den Kern der
Unternehmens-IT bildet dann ein Server- und Services-Netz, das vollständig von den Benutzernetzen
getrennt ist. Das einzige verbindende Element stellt ein zentrales Gateway dar, eine virtuelle
Appliance mit Firewall-Funktionalität. Jedes autorisierte Gerät wird damit zum Access Device,
gleichgültig, ob der Zugriff über LAN, per Internet oder beispielsweise über WLAN erfolgt. Auch
Konzepte wie „Bring Your Own PC“ (BYOPC), sind so ohne Risiken umsetzbar und der Aufwand für das
kontinuierliche Konfigurations-Management lässt sich spürbar reduzieren.
Wege aus der „VPN-Falle“
So nutzt beispielsweise die Access-Lösung G/On von Giritech einen Server im zentralen Netzwerk,
um den Anwender zu identifizieren, ohne dass komplexe Public-Key-Infrastrukturen (PKI) notwendig
sind. Dabei erfolgt die Zwei-Faktor-Authentifizierung online gegenüber den Server-Komponenten auf
der Basis eines kryptografisch geschützten Hardware-Tokens (zum Beispiel USB-Stick) sowie mit
Benutzernamen und Passwort. Das Token lässt sich über ein Challenge-Response-Verfahren mit
Zufallsfaktoren eindeutig identifizieren, wodurch so genannte Replay-Attacken keine Chance haben.
Die Benutzer werden stets in Echtzeit gegen einen Directory-Service wie LDAP oder Active Directory
authentifiziert.
Der Vorteil eines solchen Verfahrens: Im Gegensatz zu Offline-Methoden wie PIN gelten alle
zentralen Regeln des Directory-Services wie Arbeitszeiten, Sperren und Passwortwechsel. Dabei
lassen sich beide Seiten der Verbindung authentifizieren. Für das Unternehmen ist sichergestellt,
dass es sich um einen berechtigten Benutzer handelt, und für den Benutzer ist gewährleistet, dass
die Gegenstelle eindeutig sein Unternehmen ist.
Unter Nutzung eines „Single Point of Administration“ können die IT-Verantwortlichen Policies
erstellen, die sowohl die technischen, als auch rechtlichen Sicherheitsrichtlinien der Organisation
abdecken. Dies erfolgt zunächst durch Definition der Anwendungen, die eine Benutzergruppe verwenden
darf. Festzulegen sind beispielsweise Programmaufruf, Parameter, Grundeinstellungen, Ports und
Zielsysteme. Diese Angaben lassen sich dann an Benutzer- oder Token-Gruppen zuweisen. Für den
Nutzer ist durch seine Gruppenzugehörigkeit eindeutig definiert, unter welchen Bedingungen er ein
Programm starten darf und mit welchem Dienst oder Server er virtuell verbunden wird. Bei den
Policies steht der Aspekt Mensch im Vordergrund und nicht das System, das er gerade nutzt. Eine
herkömmliche Firewall ist dafür nicht ausreichend.
Follow-me
Der Nutzer kann seine Applikationen direkt per Application Provisioning von den Servern
beziehen. Den Client erhält er über ein Token-Gerät, das außerdem Anwendungsspeicher zur Verfügung
stellt und somit für jede Art von portabler Anwendung geeignet ist. Auch zu installierende
Anwendungen sind nutzbar oder lassen sich durch Virtualisierung portabel gestalten. Lizenzen sind
also zentral installiert, während die Applikationen dort verfügbar sind, wo sie der Benutzer
benötigt – vollständig ohne Administration des Client-PCs oder aufwändige Softwareverteilung mit
Lizenz-Management.
Die Portabilität eines solchen Systems führt dazu, dass aus Server-Perspektive jeder Client ein
Remote-Teilnehmer ist. Es wird nicht mehr unterschieden, welcher PC mit welchem Betriebssystem zum
Einsatz kommt und wo dieser lokalisiert ist. Die Grenzen zwischen LAN, WAN, lokalem und entferntem
Rechner verschwinden völlig. Das Ergebnis ist ein virtueller Zugriff, der geräteunabhängig unter
Windows, Linux oder Mac OS X, auf dem Ipad, Iphone oder anderen mobilen Systemen verfügbar ist,
unabhängig von Ort und Zugangsweg.
Für den Nutzer gestaltet sich die Anwendungsauswahl dabei bequem: Er wählt aus der Menüliste der
live und zentral bereitgestellten Softwareanwendungen und kann sie sofort konfigurations- und
installationsfrei nutzen. Dabei spielt es keine Rolle, ob die Anwendung selbst bereits lokal
vorhanden ist und nur Daten aus der Ferne bezogen werden, oder ob sie vom Token aus der Cloud oder
einer virtualisierten Umgebung im Unternehmen gestartet wird.
Goodbye Netzwerk
Im Gegensatz zu herkömmlichen VPN-Verfahren lassen sich bei einer virtuellen Verbindung alle
Standard-Netzwerkadressen deaktivieren oder sperren, da die Endgeräte weder eine IP-Adresse aus dem
Netzwerk beziehen, noch verwenden. Der Client arbeitet damit „nodeless“ und benötigt nur einen Port
zur virtuellen Appliance, die beispielsweise über ein hochsicheres, 256-Bit-AES-verschlüsseltes
Protokoll kommuniziert. Der auf dem lokalen Loopback des Clients arbeitende „Listener“ sorgt für
eine effektive Prozesskontrolle, denn er leitet die Kommunikation der Anwendung nur dann weiter,
wenn die Authentifizierung das erforderliche Niveau erreicht hat und der Prozess, der kommunizieren
will, die definierte, erlaubte Anwendung ist.
Technisch betrachtet ist eine solche Lösung vergleichbar mit der Kombination aus einer Whitelist
Firewall, einem Proxy mit zwei Protokollwechseln sowie einer Application Firewall mit
Prozesskontrolle, die zusätzlich Authentifizierung und Autorisierung bietet. Da die
Prozesskontrolle bereits auf dem Client-PC greift, werden ausschließlich Nutzdaten übertragen, was
in Verbindung mit einem effizienten Kommunikationsprotokoll zur bestmöglichen Nutzung der
Bandbreite führt. Die zentrale Verwaltung aller Access-Verbindungen und Tokens stellt zudem ein
wesentliches Element der Netzwerkkonsolidierung dar. Während sich einerseits der administrative
Aufwand deutlich reduziert, kann der Administrator andererseits im Problemfall präzise feststellen,
welche Komponente für die Funktionsstörungen verantwortlich ist, ohne sich um etwaige Einflüsse von
Drittsystemen kümmern zu müssen. Fehlertolerante, lastverteilte Umgebungen sind dabei genauso
umsetzbar wie Cold-Standby-Methoden, die eine komplette Systemwiederherstellung in Minuten
erlauben.
Sicherheit durch virtuellen Access
Ein optimales Access-System zeichnet sich durch maximale Skalierbarkeit aus. Deshalb ist es
ideal, wenn dieselbe Architektur die Anforderungen von Kleinstunternehmen ebenso erfüllt, wie
solche weltweit agierender Enterprise-Anwender ohne Abstriche an Sicherheit und Komfort.
Selbstverständlich haben klein- und mittelständische Unternehmen die gleichen
Sicherheitsbedürfnisse, können diese aber häufig aufgrund der Investitions- und Folgekosten nicht
optimal umsetzen. Hier bietet die virtuelle Access-Technik – bei höchster Sicherheit – deutliches
Einsparpotenzial gegenüber VPNs.
Zukunftsorientierte Access-Lösungen versuchen nicht, die Angriffsfläche des Mediums Internets
durch Patches und Updates zu beherrschen, zumal jede bekannte Bedrohung bedeutet, dass mindestens
ein Anwender dem Exploit bereits ausgesetzt war. Stattdessen sorgt intelligentes Softwaredesign
dafür, dass die Sicherheitsrisiken des Internets vollständig vermieden werden und dennoch alle
erforderlichen Geschäftsprozesse im Zugriff sind – unabhängig vom Standort, dem Zugangsgerät und
unter Einhaltung aller Policies.
Lesen Sie mehr zum Thema
