20070304e NCP Engineering VPN Planung

Virtual Private Networks (VPN) gehören heute zum guten Ton sicherer IT-Politik. Mit Einsatz der VPN-Technologie ist die Vision vom »mobilen Unternehmen« Realität geworden: Ein offenes und dennoch hochsicheres, unternehmensübergreifendes Datennetz auf Basis des Internet. Doch ein VPN will gut geplant sein. Aspekte wie Wirtschaftlichkeit, Universalität, Flexibilität, Benutzerfreundlichkeit, Management gilt es gründlich abzuwägen. Dieser Artikel soll Ihnen wichtige Entscheidungshilfen für die Planung Ihrer VPN-Investition geben.

usgangspunkt für die Implementierung eines VPN ist die Neuorganisation von Geschäfts- und Entscheidungsprozessen sowie die damit verbundene Dezentralisierung von Arbeitsplätzen. Es gilt nun, diese sensitiven Unternehmensdaten oder gar personenbezogene Daten gegenüber unberechtigten Dritten auf der Übertragungsstrecke zu schützen und den Zugriff auf entfernte Endgeräte (Festplatten beziehungsweise Speicher von PCs, Handhelds, Pocket PCs etc.) sowie das Firmennetz (Backdoor-Angriffe) zu verhindern. Doch »VPN ist nicht gleich VPN« – es gibt unterschiedliche Ansatzpunkte für dessen Realisierung. Im Fokus stehen ganzheitliche Lösungen gegenüber Insellösungen, das heißt eine durchgängige VPN-Infrastruktur für alle externen Datenübertragungen – Wireless LANs am Firmengelände inbegriffen.

Alternative VPN-Methoden und -Technologien

Wenn heute von Virtual Private Network gesprochen wird, dann meint man IP-gestützte VPNs. IP-VPNs werden heute häufig gleichgesetzt mit Internet-VPNs, da diese Methode die derzeit einfachste und preiswerteste und damit verbreitetste Lösung darstellt (im folgenden VPN genannt). Die alternativen, klassischen Technologien Frame Relay und ATM gelten zwar als zuverlässig, sind aber auf der Basis von Mietleitungen sehr teuer und unflexibel. Auf öffentliche Wählnetze und das Internet basierende VPNs hingegen sind flexibel und weltweit zu etablieren. Die Kosten sind bedarfsabhängig oder Flatrate. Faustregel: Im internationalen Datenverkehr liegen die Kosten für IP-Verbindungen etwa 70 Prozent unter denen der Frame Relay- und ATM-Verbindungen

Grundsätzlich werden die traditionellen IP-VPN-Technologien in Layer 2 und Layer 3 VPNs eingeteilt. Zu den Layer 2 VPNs gehören Protokolle wie L2F (Layer-2- Forwarding), L2TP (Layer-2-Tunneling-Protocol) und PPTP (Point-to-Point-Tunneling-Protocol). Für Layer 3 VPNs gilt IPSEC als Standard. Mit den genannten VPN-Technologien lassen sich End-to-Site und Site-to-Site VPNs einrichten. Layer 2 VPN-Standards beschreiben das Tunneling jedoch nicht die Verschlüsselung und die Authentifizierung. Als Folge davon werden zusätzliche Sicherheitsprotokolle benutzt. Beispiele sind EAP/MD5 , EAP/TLS und L2SEC. Grundsätzlich lassen Layer 2 VPNs Nutzdaten der verschiedensten Protokolle (IP;IPX,ATLK, etc.) zu.

Heutiger Standard für den Aufbau von IP-VPNs ist das IPSEC-Protokoll. Es spezifiziert Tunneling sowie Sicherheit und lässt nur Nutzdaten basierend auf IP zu. Eine IPSEC VPN-Architektur ist weitgehend unabhängig von VPN-Komponenten unterschiedlicher Hersteller. Zusätzlich zu den oben genannten Basistechnologien haben einige Hersteller Kombinationen auf den Markt gebracht. Als Beispiel hierfür seien die Microsoft Betriebssysteme genannt. Diese setzen ein Verfahren ein, das grundsätzlich L2TP geschützt von IPSEC nutzt (L2TP over IPSEC).

Alternativ zu den Layer 2- und Layer 3-Verfahren sind in den letzen Jahren VPN-Technologien entstanden, die nicht auf den traditionellen Verfahren basieren. Bekanntestes Beispiel sind SSL-VPNs. Bei dieser Technologie erfolgt die Verschlüsselung und Authentifizierung auf Anwendungsebene. Aufgrund dieser teilweisen Abhängigkeit auf Anwendungsebene besteht die SSL VPN-Technologie aus mehreren verschiedenen Verfahren, basierend auf dem SSL-Protokoll. SSL VPNs können ausschließlich nur für End-to-Site Verbindungen (RAS) eingesetzt werden und erfordern SSL-fähige Applikationen.

- Remote Access VPN (Remote Dial In) Zugriff mobiler und stationärer Mitarbeiter auf das Firmennetz

- Branch Office VPN (Zweigstellenanbindung, Filialvernetzung), entspricht dem Site-to-Site VPN, Datenübertragung zwischen Niederlassungen und der Firmenzentrale.

Nur Mitarbeiter des eigenen Unternehmens können auf das zentrale Datennetz zugreifen

Eigene Mitarbeiter und ausgewählte Geschäftspartner haben Zugriff auf das zentrale Datennetz.

Planung

Die Entscheidung für die Einführung einer VPN-Lösung darf nicht nur den momentanen Bedarf in Betracht ziehen. Durch die rasante technologische Entwicklung (GSM, GPRS, UMTS, HSDPA, WIMAX, DSL, WLAN, WLAN-Hotspot) muss die Lösung zukunftsgerichtet sein. Genauso wenig darf der Kaufpreis der Hard- und Software alleiniges Entscheidungskriterium sein. Lösungen, die vordergründig mit relativ niedrigen Investitionskosten verbunden sind, erweisen sich im täglichen Betrieb im Regelfall als sehr kostenintensiv. So machen Hard- und Softwarekosten im Laufe eines Remote-Access-Betriebs (Planungszeitraum i.d.R. mindestens 3 Jahre) erfahrungsgemäß nur etwa 10 Prozent der Gesamtkosten aus. Der Löwenanteil sind Personal- und Betriebskosten eines VPN. Bei größeren Remote Access-VPN-Projekten gestalten sich Rollout und Betrieb von Tausenden von Rechnern oft schwieriger als erwartet. Daher reicht es in der Planungsphase nicht aus, nur einige Rechner im Labor oder bei wenigen versierten Usern zu konfigurieren um Erfahrungswerte für den Wirkbetrieb zu sammeln. Ergänzend bieten sich Besuche von Unternehmen gleicher Größenordnung und Branche an, die bereits alternative VPN-Lösungen unterschiedlicher Hersteller nutzen, um deren Tauglichkeit für den Massenbetrieb einschätzen zu lernen.

Grundsätzliche Entscheidungskriterien für die Auswahl der richtigen VPN-Lösung sind: die Arbeitsweise (mobil oder stationär), die Arbeitsumgebung (Einzelplatz- oder vernetzter PC im LAN), die Kommunikationsbeziehungen (Dial In, Dial Out), die Kommunikationspartner (Mensch – Maschine, Maschine – Maschine) und die Betriebsweise (in Eigenregie oder über Dienstleister – Outsourcing).

Benutzer-Authentifizierung

In VPNs ist es nicht ausreichend, den Zugriff auf das Firmennetz per User-Namen und Passwort zu gestatten. State-of-the-Art Methoden der Authentifizierung sind Einmalpasswort-Tokens, Zertifikate als Softzertifikate, auf Smartcards oder anderen Formfaktoren wie Multi Media Cards (MMC) mit eigenem Kryptochip. Wichtig hierbei ist die transparente Integration beliebiger starker Authentifizierungsmechanismen in die VPN-Komponenten.

In Remote Access-Projekten werden sehr hohe Anforderungen an die Verfügbarkeit der zentralen Kommunikationskomponenten gestellt. Der Zugriff auf Datenbestände und Ressourcen muss »rund um die Uhr« an 365 Tagen ununterbrochen garantiert sein. Eine VPN-Lösung sollte daher über High Availability Services verfügen, um ein Höchstmaß an Verfügbarkeit und Ausfallsicherheit der zentralen Systeme zu garantieren.

Neben Performance, Skalierbarkeit und Sicherheit in ihren unterschiedlichen Facetten gehört die Administrierbarkeit zu den bedeutsamsten Auswahlkriterien eines Remote Access-VPN. Fehlende Updates der Komponenten, mangelndes Rechte-Management oder eine versäumte Schlüsselaktualisierung machen auch ein zunächst sicher konzipiertes VPN angreifbar. Alle remote Komponenten (Clients und Gateways) gilt es zu administrieren und zu überwachen. Einrichten, Betrieb und Löschen von Usern müssen von einer einzigen Konsole realisierbar sein. Die Aufgabenstellung eines zentralen VPN-Managements ist vielschichtig. Es reicht über den automatischen Roll-out der Clientsoftware über die Softwareverteilung, den Remote Helpdesk, die Zertifikatsverwaltung sowie die Endpoint Security. Jeder Zugriff auf das Firmennetz muss sich sicherheitstechnisch überprüfen und protokollieren lassen. Dazu gehört auch eine grafisch übersichtliche Aufbereitung aller erfassten Daten für die Administratoren. Weitere Anforderungen an ein VPN Managementtool sind: Verwaltung von Clients unterschiedlicher Betriebssysteme (Linux, Windows XP/2000/CE...), Remote-Management über WAN-Verbindungen (DSL, ISDN, analog), Skalierbarkeit und Mandantenfunktionalität (z.B. strikte Trennungsmöglichkeit von verschiedenen Unternehmensbereichen).

Sicherheitslösungen auf Basis der VPN-Technologie müssen sich daran messen lassen, ob sie wirklich in allen Remote Access-Umgebungen eine durchgängige Abdeckung aller dezentralen und zentralen Komponenten und Systeme bieten. Der Aufbau einer unternehmensweiten Sicherheitsarchitektur ist ein kontinuierlicher Prozess. Anpassungen an geänderte Anforderungen oder die sofortige Reaktion auf neue Bedrohungen müssen auf Basis der installierten Sicherheitslösung kurzfristig möglich sein. Vor allem aber muss eine VPN-Lösung in der Lage sein, eine vorhandene heterogene IT-Infrastruktur zu überlagern, um somit bereits getätigte Investitionen zu schützen.

Checkliste für die Planung eines VPN

Um die optimale Lösung am Markt zu finden, müssen verschiedene Fragen beantwortet werden:

Allgemeines

1. Wie viele Mitarbeiter sollen mobil oder stationär arbeiten?

Auswirkung auf Ausbau des zentralen VPN Gateways (Anzahl der gleichzeitigen Verbindungen – Tunnel)

2. Von welchen Standorten soll auf das Firmennetz zugegriffen werden?

Lokal/Regional/National/International (Auswirkung auf Übertragungsnetze)

3. Welche Endgeräte sollen eingesetzt werden?

Desktop-PCs/ Laptops / Notebooks / Thin Clients/ Pocket PCs / Handhelds / Tablet PCs…(Auswirkung auf unterstützte Betriebssysteme des VPN Clients)

4. Welche Anwendungen sollen am remote Rechner genutzt werden?

(Auswirkung auf Leistungsfähigkeit des Endgerätes und Art des Übertragungsmediums)

5. Ist das Teleworking alternierend?

Wird zeitweise im Büro und zeitweise zu Hause oder mobil gearbeitet?
(Auswirkung auf den Leistungsumfang des VPN Clients)

6. Welches Sicherheitsniveau ist erforderlich?

Abhängig von den zu übertragenden Daten beziehungsweise der Sicherheits-Policy
(Auswirkung auf die Art der User-Authentisierung)

7. Können zentrale IT-Komponenten wie beispielsweise Benutzerdatenbanken, RADIUS Verzeichnisdienst, usw. genutzt werden?

Unterstützung von Standards (Kompatibilität)

Technik

1. Wie gestaltet sich die Bedienbarkeit der Client Software?

Easy-to-Use?
Verfügt der Client über eine intuitive grafische Benutzeroberfläche?
Sind spezielle Einweisungen erforderlich (Schulungen) ?

2. Verfügt der Client über alle erforderlichen Sicherheits- und Kommunikations-Mechanismen?

Integrierte Personal Firewall, integrierte Unterstützung von Mobile Connect Cards etc.

3. Ist eine komfortable Domänenanmeldung möglich?

4. Kann die Personal Firewall zentral gemanagt werden?

5. Ist der Client kompatibel zu VPN-Gateways unterschiedlicher Hersteller?

Unterstützt er alle IPSec Protokoll-Erweiterungen (XAUTH, NAT-T)

6. Wie erfolgt die Authentifizierung gegenüber dem zentralen VPN Gateway?

Einmal-Passwort, Zertifikate (Software, Smartcards, USB-Tokens, MMC-Karte...)

7. Kann das Ende-zu-Ende-Sicherheitsprinzip auch an Hotspots aufrecht erhalten werden? (Secure Hotspot)

8. Können auch verschiedene Unternehmensbereiche auf der VPN-Lösung abgebildet werden – Stichwort »Mandantenfähigkeit« oder »VPN-Gateway Sharing«

9. Soll das VPN-Gateway modular erweiterbar und skalierbar sein?

Beliebiger Tunnelausbau

10. Wie erfolgt Einrichtung, Roll Out und Administration der remote PCs und remote VPN-Gateways? (Single Point of Adminsitration)

Sind die Rechner an einer zentralen Stelle oder verteilt vor Ort?
Wie erfolgt die Einrichtung der einzelnen User?
Ist das Management von einer einzigen Konsole aus möglich?
Lassen sich sämtliche Konfigurationsparameter für den User sperren, um Fehlbedienungen vor Ort zu verhindern?

Wie erfolgen Anforderung, Zuteilung und Verwaltung von Zertifikaten?

Wie erfolgt die Aktualisierung der Client Software?

11. Ist Endpoint-Security gewünscht/erforderlich?

12. Was für VPN-Komponenten soll eingesetzt werden: Hardware (Appliance) oder Software (Standard-PC)?

Anforderungen an den Hersteller

1. Auf welchem Gebiet liegt die Kernkompetenz?

Router (IP-Routing) oder Firewall (Security) oder Communications und Security?
Hardware oder Software-Lösungen?
Filialvernetzung über Festnetze oder Remote Access und Filialvernetzung über öffentliche Wählnetze?

2. Unterliegen die Produkte speziellen Exportbestimmungen?

3. Wo ist das Headquarter des Herstellers?

4. Wo wird die Security-Lösung programmiert?
Sind Teile der Security beim nationalen Sicherheitsdienst zu hinterlegen?

5. Wie steht es mit dem Support?

Bestehen Zeitunterschiede und Sprachbarrieren?
Ist eine möglichst kurzfristige Reaktionszeit in Problemfällen möglich?

6. Wie sieht es mit individuellen Software-Anforderungen aus?

»Works as designed« oder bedarfsgerechte Anpassungen?

7. Beruhen die Security-Angaben ausschließlich auf Aussagen des Herstellers oder gibt es Erkenntnisse aus externen Prüfungen (unabhängige Institutionen, Unternehmen mit hohen Sicherheitsanforderungen)?

8. Verfügt der Hersteller über aussagefähige Referenzen?

Großunternehmen, mittelständische Unternehmen, Behörden, MSSP (Managed Security Service Provider)

Planung und Design eines virtuellen privaten Netzes

Alternative VPN-Methoden und -Technologien

Planung

Benutzer-Authentifizierung

Copyright © 2003-2012 ap Verlag GmbH