Sicher Vernetzen: Standorte sicher per Remote Access verbinden Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


05.05.2011 Jürgen Hill*

Sicher Vernetzen: Standorte sicher per Remote Access verbinden

Unter dem Schlagwort Remote Access werden heute die unterschiedlichsten Vernetzungsverfahren zusammengefasst. Wir zeigen Ihnen die Unterschiede und sagen, was Sie in Sachen Sicherheit wissen sollten.

Vor rund zehn Jahren war die Welt in Sachen Remote Access noch übersichtlich. Kam das Thema zur Sprache, dann wussten alle Beteiligten, dass sie sich über die Remote Access Services (RAS) unterhielten, die in der Regel als Services auf einem Netz-Server liefen. Heute ist das Ganze deutlich komplexer, denn Remote Access steht mittlerweile für eine Vielzahl von Anwendungsszenarien (mobile Mitarbeiter, Teleworker, Standortvernetzung) und ein buntes Potpourri an Übertragungstechniken (xDSL, Mobilfunk, Satellit etc.), was die Administration und Konfiguration nicht unbedingt vereinfacht. Auf der Haben-Seite finden sich dafür eine größere Flexibilität, ein fast LAN-artiges Arbeiten sowie in der Regel geringere Übertragungskosten.

DIE ALTE RAS-WELT Diese Variationen bietet der klassische RAS-Ansatz nicht. Bei ihm handelt es sich letztlich um Punkt-zu-Punkt-Verbindungen. Hohe Übertragungsraten wie etwa mit xDSL sind damit nicht realistisch, dafür sind sie aber zu vielen Übertragungsprotokollen kompatibel - von analog über ISDN bis hin zu X.31. Deshalb wird RAS heute meist dazu genutzt, um wenige Daten sicher zu übermitteln wie etwa bei Fahrkartenautomaten oder bei Röntgengeräten, die dem Hersteller selbständig von Zeit zu Zeit ihren Wartungsbedarf melden. Als Übertragungsmedium kommen dabei auch moderne Mobilfunktechniken wie GPRS oder UMTS zum Einsatz, um beispielsweise Geldautomaten oder andere Geräte fernab von einer Backbone-Infrastruktur zu vernetzen. Ferner sollte die RAS-Technik heute bei Verbindungen in Betracht gezogen werden, die fest definierte Antwortzeiten erfordern und als Backup-Lösung in Frage kommen.

DIE ALTERNATIVEN Weil es sich bei RAS jedoch um Direktverbindungen handelt, explodieren die Kosten vor allem über größere Entfernungen schnell. Deshalb hat sich mittlerweile ein anderer Ansatz durchgesetzt: Man nehme ein Access-Medium mit interessantem Preis-Leistungs-Verhältnis und transportiere die Daten dann möglichst kostengünstig über das öffentliche Internet oder spezielle Datenfernverbindungen der Carrier. Um die Daten vor neugierigen Blicken zu schützen, wird VPN-Technik (Virtual Private Networks) verwendet.

Eine Kombination, die so erfolgreich ist, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) im IT-Grundschutzkatalog Remote Access gar nicht mehr als eigenes Thema behandelt, sondern unter dem Begriff Remote-Access-VPNs dem VPN-Segment zuordnet. Dabei lassen sich grundsätzlich drei Remote-Access-Spielarten unterscheiden:

• Site-to-Site, • End-to-End und • End-to-Site.

Die verwendete Anbindungsart hat direkten Einfluss auf die erforderliche Sicherheitsstrategie, denn es ist ein Unterschied, ob man zwei LANs per Remote Access miteinander koppelt oder nur ein mobiler Mitarbeiter per Notebook Zugriff auf das Unternehmensnetz erhalten soll. Gleichzeitig hat dies direkte Auswirkungen auf die erforderliche Bandbreite. Hinsichtlich der Gefährdungslage sollte sich jeder IT-Verantwortliche vor Augen halten, dass sich mit dem Aufbau einer Remote-Access-Infrastruktur die Perimetergrenzen drastisch verschieben. Der Limes verläuft nun nicht mehr durch die Unternehmens-Firewall, sondern direkt durch die Filiale vor Ort, das Internet-Cafe des mobilen Mitarbeiters oder das Wohnzimmer des Teleworkers.

Dementsprechend kritisch sollte die Gefährdungslage eingeschätzt werden. Neben allgemeinen organisatorischen Mängeln wie etwa unzureichender Planung oder menschlichem Fehlverhalten (beispielsweise durch Administratoren und Endbenutzer) sind noch die Besonderheiten des jeweiligen Remote-Access-Szenarios zu beachten - davon abgesehen, dass ein Datentransport über öffentliche Netze grundsätzlich eine Gefahr darstellt.

SICHERHEITS-POLICIES DURCHSETZEN Aus Sicherheitssicht am unproblematischsten ist die Site-to-Site-Koppelung. Da hier zwei Unternehmensnetze miteinander verbunden werden, lässt sich an allen Standorten die unternehmenseigene Sicherheits-Policy durchsetzen. Eine leistungsstarke Infrastruktur vorausgesetzt, können an den entfernten Standorten auch Techniken wie Network Access Control (NAC) genutzt und zentral gemanagt werden. Lediglich einem Gerät sollte besondere Aufmerksamkeit gewidmet werden: dem Gateway - in der Regel wohl ein Router -, das die Verbindung in das Firmennetz aufbaut. Kommt ein Eindringlich physisch an dieses Gerät heran, weil etwa das Gebäude schlecht gesichert ist, dann steht ihm theoretisch das gesamte Unternehmensnetz offen.

NAC TUT NOT Andere Herausforderungen warten auf den Security-Verantwortlichen im End-to-Site-Szenario. Da nicht sichergestellt werden kann, dass das Notebook eines mobilen Mitarbeiters nur in gesicherten Umgebungen eingesetzt wird, sollte das Gerät erst einmal als unsicher betrachtet werden. Bevor es per Remote-Access-Zugriff auf das Unternehmensnetz erhält, muss dann überprüft werden, ob Virenschutz, Firewall und andere Schutzmechanismen auf dem aktuellen Stand sind und nicht manipuliert wurden. Deshalb wird man in den meisten Fällen nicht umhinkommen, weitergehende Verfahren wie NAC einzusetzen. Die Alternative wäre die absolute Beschneidung der User-Freiheiten, was wiederum nicht unbedingt der Arbeitsmotivation zugutekommt und eventuell den Workflow bremst, wenn wegen jeder kleinen Änderung der IT-Support bemüht werden muss.

Das wohl schwierigste Szenario stellen die Teleworker im Home Office dar. In Zeiten von NAS, vernetzten Fernsehern und Verstärkern wird bei den Teleworkern in der Regel ein LAN anzutreffen sein. Koppeln sie dieses mit dem Firmennetz, entsteht ein klassisches Site-to-Site-Szenario - mit einem wesentlichen Unterschied: Wer glaubt, hier eine unternehmenseigene Security Policy durchsetzen zu können, ist ein hoffnungsloser Träumer, denn den potenziellen Störenfried im Kinderzimmer wird dies wenig beeindrucken.

WELCHE ANBINDUNG REICHT AUS? Vor lauter Sicherheit sollte jedoch ein anderer Aspekt nicht vergessen werden: Welche Geschwindigkeit benötigt die Remote-Access-Anbindung, und wie zuverlässig muss sie sein? Für einen Teleworker wird in der Regel ein Consumer-DSL-Anschluss ausreichen, während eine Zweigstelle meist höherwertige Anbindungen benötigt. Zudem hängt der Bedarf von den verwendeten Anwendungen ab. Gerade wenn in Zweigstellen der Einsatz von VoIP oder Conferencing-Systemen bevorsteht, stoßen asynchrone DSL-Varianten als Access-Medium schnell an ihre Grenzen.

Last, but not least ist in die Kalkulation noch die Ausfallsicherheit einzubeziehen. Selbst die günstigste Access-Technik wird schnell teuer, wenn etwa eine Filiale ihren Verkauf einstellen muss, weil die vernetzten Kassensysteme aufgrund einer Netzstörung nicht mehr funktionieren. Für solche Fälle ist zumindest eine Backup-Lösung einzuplanen - etwa in Form der alten ISDN-RAS-Verbindungen.

*Der Autor ist Redakteur der deutschen Computerwoche.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • Anexia

    Anexia Application Service Providing, Auftragsentwicklung für Software, Individual-Softwareentwicklung, RZ-Dienstleistungen, Übernahme von Softwareprojekten, User Helpdesk-Systeme und Hotlines mehr
  • SER Solutions Österreich GmbH

    SER Solutions Österreich GmbH Werbewirtschaft, Wasser- und Energieversorgung, Vereine und Verbände, Umweltschutz, Touristik, Personenverkehr, Öffentliche Verwaltung,... mehr
  • catWorkX GmbH

    catWorkX GmbH mehr
  • ETC - Enterprise Training Center

    ETC - Enterprise Training Center E-Learning, Datenschutz, B2B Dienste und Lösungen, Outsourcing, IT-Personalbereitstellung, Aus- und Weiterbildung mehr

Hosted by:    Security Monitoring by: