Praxistest NCP SSL-Client Virtual Private Desktop
Sicherer Fernzugriff plus Sandboxing
Endanwender müssen über eine gesicherte Verbindung von außen auf ihr Unternehmensnetzwerk zugreifen. Viele Unternehmen bewältigen diese Anforderung per SSL-Client. Wir haben wir mit dem NCPs Virtual Private Desktop eine Software getestet, die verspricht, dabei die Sicherheit mittels Sandboxing noch zu erhöhen.Viele Firewall-Hersteller bieten VPN-Clients für Heimarbeitsplätze, sodass der Anwender IPSec-geschützt auf das Firmennetzwerk zugreifen kann. In einigen Fällen steckt dahinter eine OEM-Variante des NCP Secure Entry Clients, den NCP für Windows, Linux und Mac OSX anbietet. Neben dem fest zu installierenden IPSec-Client hat sich in den vergangenen Jahren der SSL-Client eine Zugriffsvariante etabliert. Diese Software wird typischerweise direkt über den Web-Browser gestartet. Je nach System stehen Varianten bereit, die zusätzlich eine kleine Softwarekomponente auf dem Client installieren, und solche, die gänzlich ohne Installation und Administrationsrechte auskommen. NCPs SSL-VPN-Client ist mit einfachen Benutzerrechten zu installieren und damit für viele Einsatzszenarien interessant: Er eignet sich für Zugriffe aus dem Internet-Café oder wenn Partner oder Kunden den Zugriff auf Ressourcen im lokalen Firmennetzwerk benötigen. Softwaremodule NCPs Softwarelösung ist modular aufgebaut, was eine flexible Bereitstellung in der eigenen IT-Umgebung erlaubt. Geht es nur darum, einen Zugriff über ein SSL-VPN-Gateway im kleineren Umfang einzurichten, so reicht die Installation der Gateway-Software aus. Der Hersteller nennt das Gateway jedoch nicht umsonst "hybrid", da diese Software gleichzeitig eine Bereitstellung für IPSec-VPNs ermöglichen kann. In größeren Umgebungen, in denen Einstellungen zentral verwaltet werden sollen und im Idealfall der Abgleich der Benutzerdaten über Verzeichnisdienste wie LDAP oder Active Directory abläuft, empfiehlt sich der Einsatz der NCP Secure Enterprise Software. Will man den Gateway-Zugang ausfallsicherer oder leistungsstärker ausbauen, nutzt man das Softwaremodul NCP High Availability Server. Bei der HA-Installation verbindet der Administrator dann einen NCP Secure Enterprise VPN Server als Backup für das Primärsystem. Er kann aber auch mehrere Server dieses Typs parallel einsetzen, sodass diese für die gleichmäßige Lastverteilung sorgen. Im Rahmen dieses Testartikels interessierte uns eine Funktionalität der Software ganz besonders: Die Lösung erlaubt einen Client-Zugriffs ohne Administrationsrechte, bei dem über das "Sandboxing"-Verfahren sichergestellt wird, dass keinerlei Spuren der Software oder des Zugriffs auf dem Rechner selbst verbleiben. Diese Funktion wurde vom Hersteller direkt in die SSL-VPN-Lösung integriert, sodass wir diese für unseren Test komplett in unserer Testumgebung installierten. Testumgebung Wir spielten die Software zunächst testweise in eine VMware-Testumgebung auf einen einzigen Windows Server 2008 R2 Rechner mit 4 GByte RAM und 40 GByte Festplatte auf. Dazu gehörte das Einspielen der Installationsdateien für den Management Server und das Gateway. Welche Funktionen anschließend in der Management Konsole sichtbar sein sollen, kann der Administrator durch das Einbinden verschiedener Plug-ins wie Radius-Server, Firewall, Policy oder Scripting entscheiden. Will er alle Plug-ins installieren, so ist er einige Minuten lang beschäftigt: Er muss für jedes Plug-in das zuvor zur Installation festgelegte Zugriffspasswort erneut eingeben. Glücklicherweise wird der Administrator diese Software nicht allzu häufig installieren müssen. Dann wäre ein zusammenfassende Installationssoftware unbedingt notwendig. Es folgte die Integration in ein Active Directory, die Anpassung der Synchronisierungsskripte für den Verzeichnisdienst, das Erstellen und Einbinden von Zertifikaten und die Konfiguration des Radius-Servers. Die Management-Software stellt dem Anwender drei Baumstrukturen auf der linken Seite, einer Menü- und Icon-Leiste, einem Bearbeitungsbereich und einer vergrößerten Statusleiste am unteren Bildschirmrand zur Verfügung (Bild 1). Die Oberfläche ist übersichtlich, jedoch alles andere als modern. Zudem haben die Entwickler eigene Vorstellungen eingearbeitet, die vom Administrator und den Anwender eine gewisse Eingewöhnung verlangen: So wird durch einen Rechtsklick auf ein ausgewähltes Eintrag nicht - wie allgemein üblich - sofort der "Bearbeiten"-Dialog geöffnet. Das funktioniert nur in der untersten Baumstruktur der Software. Wir haben dies als eine recht eigensinnige Umsetzung der Standardbedienung von Windows-Software empfunden, aber die Benutzer der Software werden sich sicher daran gewöhnen. Insgesamt bietet die Oberfläche alle Möglichkeiten, die ein Administrator für die Verwaltung vieler Geräte benötigt. Sehr nützlich ist, dass eine eigene Rechtesteuerung dazugehört, die auch Mandanten abbilden kann. Für eine komplette Basisinstallation wird ein neuer Kunde nach unseren Erfahrungen mit Unterstützung durch den Professional Service des Anbieters zirka einen Arbeitstag benötigten. Wir verkürzten diese Konfiguration und wechselten auf eine vom Hersteller bereitgestellte Demo-VM, die auch den Domänencontroller enthielt. Dann legten wir im Active Directory zwei neue Benutzer an, über die wir auf das lokale System zugreifen wollten. Da auf dem Server-System bereits der Microsoft Web-Server IIS den Port 443 (HTTPS over SSL/TLS) für den Zertifikatsdienst nutzte, konfigurierten wir das System so, dass ein Zugriff über Port 4433 möglich war. Die Ports 4433 TCP, 4500 UDP (IPSec) und 500 UDP (ISAKMP) setzen wir auf dem Router auf "Forwarding", danach war der Server von außen über das Internet erreichbar. Um einen SSL-Zugriff auf lokale Ressourcen zu ermöglichen, fasst der Administrator diese in der Konsole in den SSL-VPN-Profilen zusammen. Abhängig davon, welche Ressourcen er freigeben will, beispielsweise Zugriff auf Web-Ressourcen, Netzwerk-Freigaben oder Port-Forwarding, passt er dies in der entsprechenden Kategorie in der Vorlage des NCP Secure Servers an. Damit eine Änderung aktiv wird, ist diese - wie von Firewall-Systemen bekannt - in eine neue Konfiguration zu schreiben und dann zu aktivieren. Clients im Zugriffstest Wir testeten den Zugang per SSL-VPN-Client mit unterschiedlichen Systemen. Der Hersteller bietet sehr umfangreiche Unterstützung für verschiedene Systeme und Plattformen. Von Windows-, Mac-OSX-, IOS- und Android-Geräten aus möglich ist der Zugriff auf Ressourcen wie eine lokal verfügbare Webseite (wir nutzten im Test dazu die Konfigurationsseite der High-Availability-Dienste) oder auf definierte Dateifreigaben. Auch mit einem Endgerät mit Windows Phone 7.5 gab es keine Probleme, auf die Dateifreigaben zuzugreifen. Grundsätzlich unterstützt die Software den Microsoft Internet Explorer (IE) ab Version 7, Firefox ab 3.0, Apple Safari ab 4.0, Androids Standard Browser ab 2.2 und IOS ab 4.0. Chrome bleibt derzeit als Browser außen vor, ein Umstand, der im Jahr 2013 an sich indiskutabel ist. Da der aktuelle Browser in Android 4.x ebenfalls auf Chrome aufsetzt, erscheint auch hier eine Fehlermeldung, dass es sich um einen nicht-unterstützten Browser handelt. Ein Zugriff mittels eines aktuellen Android-Geräts blieb auf diese Weise verwehrt. Der "Virtual Private Desktop" für die Sandboxing-Funktionalität im SSL-VPN-Zugriff steht ausschließlich für Windows zur Verfügung. Wird dies über die Start-Webseite der Software aktiviert, so blendet sich das darunterliegende Windows aus und es steht nur noch die Webseite mit dem Ressourcen-Zugriff zur Verfügung. Damit dies funktioniert, sind allerdings eine aktuelle Java-Installation und die Annahme von Active-X-Komponenten erforderlich. Selbst wenn der Benutzer auf seinem PC einen Firefox-Browser nutzt, starten im Hintergrund die IE-typischen Dialogfelder zur Annahme der Plug-ins (Bild 2). Somit mag zwar die Verbindung keinerlei Spuren auf dem PC selbst hinterlassen, aber die Angriffsflächen für den PC selbst wachsen durch den Einsatz von Java und Active-X deutlich. Wer dann noch seinen Browser halbwegs sicher betreibt, indem er Script-Blocker und höhere Sicherheitseinstellungen verwendet, sieht leider nur einer weiße Hintergrundseite. Diese Verbindung endete dann nach einigen Minuten mit dem Hinweis, man habe sich korrekt abgemeldet. Auf Systemen mit Java konnten wir den Zugriff auch ohne Administrationsrechte bewerkstelligen. Positiv fiel auf, dass es insbesondere die Einbindung von RDP-Zugriffen auf VDI- oder Terminal-Server ermöglichte, weitgehend losgelöst vom lokalen Betriebssystem sicher zu arbeiten. Ist die RDP-Session so konfiguriert, dass Drive-Mapping oder der Austausch über die Zwischenablage unterbunden sind, steht damit eine sichere Verbindung zum Zentralsystem zur Verfügung. Um zu bestätigen, dass wie versprochen keine lesbaren Spuren auf dem Computer zurückbleiben, arbeiteten wir mit dem "Process Monitor v3.03" von Mark Russinovich und Bryce Cogswell und der Analysesoftware von Zsoft Uninstaller v2.5. Auch unser Versuch, das Sicherheitssystem durch gezieltes Ausschalten des Rechners und anschließender Fragment-Suche auszutricksen, scheiterte: Wir konnten keine brauchbaren Hinweise finden, da alle Daten verschlüsselt abgespeichert wurden. Noch kein Zugriff mit Windows 8 Während der IPSec-VPN-Client ab Version 9.3 bereits für Windows 8 freigegeben ist, liegt eine offizielle Produktfreigabe des SSL-Clients für Windows 8 noch nicht vor. Und so trat unter Windows 8 im Zusammenspiel mit dem IE im Modern User Interface eine Fehlfunktion auf: Auf dem neu installierten Test-PC war zunächst keine Java-Laufzeitumgebung eingerichtet, aber leider bekamen wir diesen Hinweis nicht zu Gesicht: Uns wurde wurde nur eine leere NCP-SSL-VPN-Seite angezeigt, in der es keine Auswahlmöglichkeit für einen Download gab. Wurde IE herkömmlich über den traditionellen Desktop gestartet, erschien die Aufforderung, Java zu installieren. Aber auch nach der Installation der Java-Software ließ sich der der SSL-Zugang im Browser nicht verwenden. Immer wieder hieß es, wir hätten uns sofort wieder abgemeldet. Dies ist jedoch ohne Produktfreigabe an sich nicht zu bemängeln. Fazit NCP bietet mit zentral verwalteten VPN-Clients und dem VPN-Gateway eine leistungsfähige Programmsuite für gesicherte Zugriffe auf das Firmennetz, die auch von Orten wie Internet Cafés aus möglich sind. Der "Spontan-Client" für den SSL-Einsatz überzeugt dahingehend, dass keine Administrationsrechte erforderlich sind und keine sichtbaren Spuren außer vielleicht der URL zurückbleiben. Der "Sandbox"-Anspruch wurde in unseren Tests sehr gut erfüllt. Der Java-Unterbau, der in letzter Zeit öfters für Sicherheitsbedenken sorgte, ist allerdings leider Pflicht und sorgte bei uns ebenso wie der Einsatz von Active-X für Unbehagen. Bei einer Sicherheitssoftware würden wir uns wünschen, dass nach Möglichkeit keine Software zum Einsatz kommt, von deren Einsatz Sicherheitsexperten explizit abraten - wie es ja bei Java im Browser immer wieder der Fall ist. Für eine regelmäßige Verbindung in das Unternehmen inklusive der Möglichkeit, Regelwerke abzubilden, bleibt nach unserer Überzeugung der klassische IPSec-Client immer noch das Mittel der Wahl. Der Listenpreis für einen NCP Secure Server mit 50 gleichzeitig zugreifenden SSL-VPN-Nutzern beträgt 4.599 Euro. Frank-Michael Schlede auf LANline.de: Frank-Michael Schlede Thomas Bär auf LANline.de: BÄR NCP Engineering Tel.: 0911/9968-0 Web: www.ncp-e.com
Lesen Sie mehr zum Thema
