VPN: Sicherer Netzzugang in allen Lebenslagen Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


06.03.2011 Detlev Flach*

VPN: Sicherer Netzzugang in allen Lebenslagen

VPNs sind heute die erste Wahl, wenn Standorte oder Telearbeiter eine sichere Netzanbindung erhalten sollen. Sie steigern die Unternehmensproduktivität aber nur, wenn sie zentral verwaltet und nahtlos in die IT-Welt integriert werden.

Virtual Private Networks (VPN) haben sich mittlerweile als kostengünstige Alternative zur sicheren Kommunikation über öffentliche Netze beziehungsweise das Internet durchgesetzt. Dabei haben die Zugangsvarianten aus der Ferne, die dabei verwendeten Protokolle und die Endgeräte in den letzten Jahren stark zugenommen. Das Spektrum reicht vom alten Analogmodem oder der ISDN-Karte über Breitbandanschlüsse und WLAN bis hin zu GPRS/UMTS-Verbindungen. Als Security-Protokolle haben sich im VPN-Umfeld in erster Linie IPsec und SSL über http etabliert.

Schon allein diese Vielfalt produziert eine Menge Einstellungsparameter und Display-Oberflächen, die man als VPN-Anbieter und auch als VPN-nutzendes Unternehmen nicht dem einzelnen Anwender zumuten sollte. VPN kann als Technik nur dann wirklich breitenwirksam eingesetzt und zur Unternehmensproduktivität beitragen, wenn es für den Endbenutzer so einfach wie ein Telefongespräch ist. Damit der Umgang mit einer VPN-Verbindung für den Benutzer draußen transparent zu handhaben ist, sollte die Technik in einer zentralen Management-Komponente zusammengefasst, automatisiert und dadurch quasi vor dem Endbenutzer verborgen werden.

KOMFORT FÜR NUTZER UND ADMINISTRATOREN Komfortabel für die User, aber auch für die Administratoren ist beispielsweise das zentrale Verteilen und Aktualisieren der Client-Software. Lange Zeit wurde zu Recht bemängelt, dass für den VPN-Betrieb auf Basis des IPsec-Protokolls eigene Software auf jedem Endgerät installiert, regelmäßig aktualisiert und überwacht werden musste. Die IPsec-Alternative "SSL-Verschlüsselung über http" schien einen Ausweg zu eröffnen. De facto ist ein SSL-VPN aber nicht in der Breite der Anwendungen nutzbar oder allenfalls dann, wenn aufwändige Anpassungen an den Applikationen vorgenommen werden. Für den Zugriff auf Web-Applikationen sind SSL-VPNs aber durchaus sinnvoll. Eine zentrale VPN-Management-Konsole muss in einem solchen Mischbetrieb auf jeden Fall sowohl mit IPsec- als auch mit SSL-VPNs umgehen können.

Zentrale Softwareverteilung ist nur eines der Features, die ein zentraler VPN-Management-Server automatisiert. Auf dem Bildschirm der zentralen Konsole können auch viele andere Tätigkeiten, die beim VPN-Betrieb für den Administrator anfallen, überwacht und angestoßen werden. Dazu gehören die Verwaltung des VPN-Gateways, also der Endpunkt des VPN-Tunnels im Unternehmensnetz, das Management der Ausgabe für digitale Software- oder Hardwarezertifikate (CA), die LDAP-Konsole in Richtung Identitäts- und Rechte-Management sowie die Sicherheitsüberprüfung der Endgeräte (Endpoint Security).

Ganz anders definiert sich Komfort auf der Endnutzerseite. Die Anwender schätzen integrierte Wählmechanismen (Dialer) für die verschiedenen Zugriffsszenarien (WLAN, GPRS/UMTS, Hotspot, Modem), so dass sie sich nicht mit unterschiedlichen Softwareoberflächen herumschlagen müssen. Die Wahlparameter sollten zentral verwaltet und dann auf die zugelassenen Nutzer und deren Endgeräte verteilt oder bei Bedarf gesperrt (Parametersperre) werden.

INTEGRATION IN DIE UNTERNEHMENS-IT Eine andere Aufgabe der VPN-Management-Komponente ist die Verzahnung des VPN-Betriebs mit der Gesamt-IT eines Unternehmens. So liegen viele Daten wie Nutzeridentitäten und Nutzerrechte schon in zentralen Verzeichnissen vor. Können diese durch eine entsprechende Verzahnung der Systeme genutzt werden, erspart dies doppelte Arbeit und hilft damit, Kosten zu vermeiden. Wichtige Leistungsmerkmale sind dabei die komplette Nutzerverwaltung (Anlegen und Löschen von Benutzern, Verwalten der Zugangsdaten, Administrieren der einzelnen Nutzerrechte), das Überwachen der Einhaltung der Sicherheitsrichtlinien sowie nicht zuletzt die Protokollierung aller Administrationsschritte, so dass die internen Kontrollsysteme jederzeit mit entsprechenden Nachweisen beliefert werden können. Verfügt ein Unternehmen über ein zentrales Identitäts-Management-System, kommuniziert die zentrale VPN-Management-Komponente über Schnittstellen wie LDAP mit dem zentralen Unternehmensverzeichnis. Gesonderte Datenbanken für die Verwaltung der Benutzerrechte sind damit überflüssig, da man ja die Rechte aus dem zentralen Unternehmensverzeichnis abrufen kann.

SICHERHEIT AM ENDPUNKT DES VPN-TUNNELS Zu den zentralen Elementen eines VPN zählen zudem die Sicherheitsmechanismen von der Authentifizierung über die Tunneltopologie und die Verschlüsselung bis hin zur Schlüsselverwaltung. Aufgaben, die ebenfalls in die Zuständigkeit eines VPN-Management-Servers fallen. Allerdings ist dabei zu beachten, dass bei VPN-Verbindungen nicht nur die Übertragungsstrecke zu sichern ist, sondern auch das jeweilige Endgerät. Was heute unter Begriffen wie "Network Admission Control" (NAC), "Network Access Protection" (NAP) oder "Endpoint Security" vor allem von den Marketing-Abteilungen der Netzwerk- und Sicherheitsanbieter hoch gehandelt wird, ist im VPN-Bereich eigentlich ein alter Hut. Jedenfalls insofern, als ein unsicherer Client (als der eine Endpunkt des VPN-Tunnels) nicht in Frage kommen darf und kann. Denn wenn ein Endpunkt - in diesem Fall der Client-Rechner - infiltriert werden konnte, dann »tunnelt« sich der Angreifer unerkannt in das Unternehmensnetz.

Vom zentralen Management-Server sollte deshalb auf alle Clients - ganz gleich ob Notebook, Bürorechner oder Smartphone - eine Personal Firewall aufgespielt werden, die an das jeweilige Endgerät angepasst ist. Darauf sind Regelwerke für Ports, IP-Adressen und Applikationen definierbar. Neben der richtigen Einstellung der Firewall müssen die Endpunkte auch darauf hin geprüft werden, ob beispielsweise die neueste Version eines Virenschutzprogramms installiert und alle Patches aufgespielt sind. Alle Prüfungen des zentralen Management-Servers sind dabei so zu gestalten, dass sie der Nutzer nicht umgehen kann. Sämtliche Nutzer, die diese Kriterien nicht mit Bravour erfüllen, müssen vom Unternehmensnetz ausgeschlossen bleiben beziehungsweise erst einmal in einer Quarantäne-Zone landen. Weiter sollte das Sicherheits-Management in der Lage sein, zwischen sicheren und unsicheren Netzen zu unterscheiden und die jeweiligen Zugriffsziele auf die Sicherheitsqualität der Übertragungsstrecke abzustimmen. Last, but not least muss ein zentrales VPN-Management auch alle gängigen Formen der Nutzerauthentifizierung verarbeiten. Die Palette reicht von Einmal-Passwort-Tokens über digitale Zertifikate (mit und ohne Smartcard) bis hin zu biometrischen Eingabeverfahren.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • Editel Austria GmbH

    Editel Austria GmbH Supply Chain Management, E-Procurement und Supply Chain Management, Datenkonvertierung, Überwachungssysteme, Trust Center/Zertifizierungssoftware, Digitale Signatur, Datensicherung,... mehr
  • ectacom GmbH

    ectacom GmbH Aus- und Weiterbildung, IT-Asset- und Lizenzmanagement, Übernahme von Softwareprojekten, Datenschutz, Antiviren- und Virenscanner Software, Backup und Recovery Systeme, Firewalls,... mehr
  • NAVAX Unternehmensgruppe

    NAVAX Unternehmensgruppe Wasser- und Energieversorgung, Vereine und Verbände, Öffentliche Verwaltung, Medizin und Gesundheitswesen, Maschinen- und Anlagenbau, Konsumgüterindustrie, Immobilien,... mehr
  • SNP AUSTRIA GmbH

    SNP AUSTRIA GmbH Qualitätssicherung, Kaufmännische Software (ERP), Tools, Programmiersprachen, Datenkonvertierung, Übernahme von Softwareprojekten, Systempflege- und Wartung,... mehr

Hosted by:    Security Monitoring by: