Test NCP-VPN-Clients für Windows und Android
VPN-Schutz aus deutschen Landen
Sicher über verschlüsselte Verbindungen zu kommunizieren ist vor allem für mobile Anwender wichtig, die unterwegs über offene WLAN-Hotspots im Netz surfen. Wir haben uns die VPN-Clients von NCP angesehen, die Netzwerkübertragungen von Windows-PCs und Android-Mobilgeräten schützen sollen.
Die steigende Popularität von WLANs in Flughäfen, Hotels oder Cafés erlaubt es, unterwegs häufig online zu gehen, um zum Beispiel mal eben schnell E-Mails zu bearbeiten. Vielfach handelt es sich bei diesen öffentlich zugänglichen, offenen WLAN-Hotspots jedoch um Funknetzwerke, in denen Informationen unverschlüsselt übertragen werden. Somit kann jeder Interessierte selbst mit wenig technischem Sachverstand alles mitlesen. Als probate Schutzmaßnahme bietet es sich an, über ein virtuelles privates Netzwerk (VPN) zu kommunizieren.
Nun sind VPNs wahrlich keine neue Erfindung, sondern schon seit den 1990er-Jahren im Einsatz. Seitdem wurden mehrere VPN-Protokolle in unterschiedlichen Varianten entwickelt, doch nicht jeder VPN-Client oder -Server unterstützt jede Spielart. Anwender, die mit ihrem Windows-7- oder Windows-8-PC schon einmal versucht haben, unterwegs per VPN eine Verbindung mit der heimischen, in Deutschland weit verbreiteten AVM-Fritzbox (etwa dem Modell 7490) aufzunehmen, können davon ein trauriges Lied singen: Der in neueren Microsoft Windows-Versionen enthaltene VPN-Client unterstützt bei der Nutzung von IPSec (IP Security) als Tunnel-Mode-Protokolls nur noch die Version 2 des Internet-Key-Exchange-Protokolls (IKEv2). AVM hingegen hat seinen Fritzboxen bislang nur IKEv1 beigebracht. Aus diesem Grund ist es nicht möglich, mit den Bordmitteln von Windows 7/8 eine VPN-Verbindung zu einer Fritzbox herzustellen. Vielmehr ist dafür eine zusätzliche VPN-Client-Software wie der Shrew Soft VPN Client for Windows erforderlich.
Hersteller wie die in Nürnberg beheimatete und auf VPN-Lösungen spezialisierte NCP Engineering haben VPN-Clients im Programm, die mehr bieten als das, was zur Serienausstattung verbreiteter Betriebssysteme gehört. Wir haben die VPN-Client-Software von NCP für Windows-PCs und Android-Mobilgeräte unter die Lupe genommen.
VPN-Client für Windows
Für PCs, auf denen Windows Vista, Windows 7 oder Windows 8 den Ton angeben, ist der NCP Secure Entry VPN Client 10.0 gedacht. Unterstützt werden dabei sowohl 32-Bit-x86- als auch 64-Bit-x64-Installationen des Betriebssystems auf PCs mit Intel- oder AMD-Prozessor. Außen vor bleiben jedoch Tablets wie das Microsoft Surface 2, in denen eine ARM-CPU werkelt und auf denen daher die inzwischen eingestellte Spezialversion Windows RT läuft.
Die Installation des VPN-Clients, von dem der Hersteller eine 30-Tage-Demoversion zum Ausprobieren in der eigenen Umgebung anbietet und dessen Lizenzpreise bei rund 90 Euro pro Benutzer beginnen, geht in unserem Test leicht von der Hand. Beim Aufruf eröffnen sich dem Betrachter, der bislang nur die Windows-eigene VPN-Welt mit seinen Assistenten kennt, umfangreiche Konfigurationsmöglichkeiten. Rasch wird deutlich, dass die NCP-Software weitaus mehr Funktionen zum Fernzugriff bietet als Windows. Das A und O bilden die sogenannten Profile, in denen die Einstellungen für einen bestimmten VPN-Tunnel zusammengefasst sind. Beispielsweise lassen sich Profile speziell für bestimmte Übertragungsmedien wie LAN, WLAN oder GPRS/UMTS erstellen. Im letzteren Falle kann der Anwender direkt Angaben zum APN (Access Point Name) vornehmen oder die PIN zur Entsperrung der SIM-Karte eintragen. Die Liste der unterstützten VPN-Protokolle ließ im Test keine Wünsche offen - sogar das vom VPN-Server einer AVM Fritzbox erwartete IPSec mit IKEv1 befindet sich darauf.
Standardmäßig eingebaut in den VPN-Client ist eine nach der Stateful-Packet-Inspection-Methode arbeitende Personal Firewall, die IPv4 wie auch IPv6 unterstützt. Auf den Fernzugriff zugeschnitten, gestattet diese Schutzmauer die Definition differenzierter Filterregeln anhand von Protokollen, IP-Adressen, Ports und Anwendungen. Ebenso ist es möglich, eine Regel nur auf VPN-Verbindungen oder bekannte respektive unbekannte Netzwerke anzuwenden. Ein interessantes Merkmal stellt die Friendly Net Detection (FND) dar, die dem VPN-Client die automatische Erkennung bekannter Netzwerke ermöglicht. Welche Netzwerke der Windows-PC als "freundliches Netz" betrachten darf, wird mittels eines vorab festgelegten IP-Adressbereichs oder anhand eines im jeweiligen Netzwerk laufenden FND-Servers bestimmt. Die dazu erforderliche Server-Software für Windows und Linux in x86- sowie x64-Ausführung stellt NCP auf seiner Website kostenlos zum Download bereit. Ziel ist die automatisierte Umschaltung von Firewall-Regeln auf dem VPN-Client passend für das betreffende Netzwerk.
Als Bonbon bietet der NCP Secure Entry VPN Client 10.0 ein Merkmal, das insbesondere leidgeplagte Anwender zu schätzen wissen, die zum Beispiel in Hotels mit brüchigen oder völlig überlasteten Verbindungen zu offenen WLAN-Hotspots zu kämpfen haben. Denn herkömmliche VPN-Clients wie der im Windows-Betriebssystem enthaltene reagieren darauf gerne sang- und klanglos mit der Beendigung der VPN-Verbindung. Falls der Benutzer das nicht mitbekommt, kommuniziert er ab diesem Moment nicht mehr verschlüsselt, sondern ungeschützt über den offenen WLAN-Hotspot - und muss schnell selbst dafür sorgen, dass die VPN-Verbindung wieder aufgebaut wird. Dies ist nicht nur umständlich und fehleranfällig, sondern beeinträchtigt auch die Sicherheit.
Für solche Szenarien schafft der Always-on-Modus des NCP-Clients Abhilfe. In der Konfiguration eines Profils lässt sich einstellen, wie der Verbindungsaufbau erfolgen soll: Neben der manuellen Initiierung kann dieser automatisch erfolgen, sobald Übertragungen anstehen, sodass Datenverkehr die VPN-Verbindung initiiert. Ebenso kann man die NCP-Software anweisen, die betreffende VPN-Verbindung immer aufzubauen, sodass der VPN-Tunnel permanent existiert. Zur Verfügung stehen zudem zwei Varianten, die es gestatten, den automatischen oder den Immer-Verbindungsmodus zwar manuell zu starten, diesen Zustand ab dann jedoch beständig beizubehalten. Im Test auf einem Windows 8.1-PC funktionierten diese Automatismen zum VPN-Verbindungsaufbau sehr gut.
VPN-Client für Android
Der automatische Aufbau einer VPN-Verbindung ist auch für Benutzer von Android-Mobilgeräten eine Herausforderung. Zwar gehört VPN-Unterstützung bereits seit der Version 1.6 zum Lieferumfang von Android. Doch es gibt es kleines, aber entscheidendes Problem: Wer möchte, dass eine bestimmte VPN-Verbindung automatisch hergestellt wird, um bei Verwendung offener WLAN-Hotspots Übertragungen im geschützten Tunnel vorzunehmen, muss den gewünschten VPN-Server mittels fester IP-Adresse benennen. Denn die Angabe eines vollqualifizierenden Domänennamens (FQDN) wie vpns.firma.de gestattet selbst die neue Android-Version 5.1 nicht. Den Versuch, nach Auswahl der Option "Durchgehend aktives VPN" in den VPN-Einstellungen ein Profil zu selektieren, das anstatt einer IP-Adresse einen FQDN im Feld "Serveradresse" beherbergt, wird schlicht mit einer Fehlermeldung quittiert. Die Referenzierung eines nur über DDNS (Dynamic Domain Name Service) und somit lediglich per dynamischer IP-Adresse erreichbaren VPN-Servers sieht Google nicht vor.
Der für Smartphones und Tablets konzipierte IPSec-VPN-Client der Nürnberger Softwareschmiede bietet eine Lösung für dieses Problem - und zwar ohne das Betriebssystem des Mobilgeräts zu rooten. Denn der NCP Secure VPN Client Premium für Android, lauffähig unter Android 4.x und 5.x, ermöglicht die Konfiguration eines automatischen Verbindungsmodus. Alternativ zu dem vom Benutzer initiierten manuellen Aufbau der VPN-Verbindung lässt sich im jeweiligen Profil einstellen, dass die Software den betreffenden Tunnel immer herstellen soll. Im Test klappte das auf verschiedenen Android-Smartphones und -Tablets sehr gut: Nur nach dem Booten von Android auf dem Mobilgerät war es erforderlich, den VPN-Client für den ersten VPN-Verbindungsaufbau manuell zu starten.
Des Weiteren ist die Premiumausführung des NCP-VPN-Clients mit einer Auto-Reconnect-Funktion ausgestattet. Die Auswahl dieses - standardmäßig automatisch eingestellten - Verbindungsmodus im VPN-Profil ermöglicht es, einen manuell aufgebauten Tunnel automatisch wiederherstellen zu lassen, falls die zugrunde liegende Internetverbindung unterbrochen oder gewechselt wurde. Im Test stellte der NCP-Client den VPN-Tunnel nach dem Wechsel der Internetverbindung von WLAN zu UMTS binnen weniger Sekunden automatisch wieder her. Genauso reibungslos lief der Wechsel zwischen verschiedenen WLAN-Hotspots ab, denn auch hier wurde der VPN-Tunnel ohne Intervention durch den Benutzer automatisch wieder etabliert.
Als verwirrend erwies sich lediglich die Auswahl des richtigen VPN-Clients, denn im Google Play Store finden sich gleich zwei VPN-Clients aus dem Hause NCP: Neben dem NCP Secure VPN Client Premium für Android zum Preis von 29,90 Euro existiert im Google Appstore eine als NCP VPN Client angebotene Basisvariante für nur 2,99 Euro. Die Permanent- und Auto-Reconnect-Verbindungskonfiguration des Verbindungsmodus gestattet jedoch nur die teurere Premiumausführung. Weitere Unterschiede zur Basisvariante erläutert das Datenblatt des Herstellers.
Fazit
Der enorme Funktionsumfang sowohl des Windows- als auch des Android-Clients spiegelt die langjährige Erfahrung des Herstellers im Remote-Zugriffsmarkt wider. Beide sind Teil einer umfangreichen Familie an VPN-Lösungen, die NCP offeriert. Dazu gehört unter anderem das Verwaltungs-Tool Secure Enterprise Management (SEM). Zudem bietet NCP Varianten seiner VPN-Clients für Windows- und Android an, die über den Fachhandel erhältlich sind und ein zentrales Lizenz-Management ermöglichen.
Doch bereits die Unmanaged-Varianten der VPN-Clients für Windows und Android überzeugen mit Merkmalen wie der automatischen (Wieder-)Herstellung von VPN-Verbindungen, wie sie Microsoft und Google in ihren Betriebssystemen serienmäßig leider schmerzlich vermissen lassen.
Info: NCP EngineeringTel.: 0911/9968-0Web: www.ncp-e.com
Der Autor auf LANline.de: Eric Tierling
Lesen Sie mehr zum Thema
