Zweigstellen, Außendienst- und Home-Office-Mitarbeiter gehören zum modernen Arbeitsalltag. Da werden zwangsläufig Daten über das Internet ausgetauscht. Ein VPN, das Virtuelle Private Netzwerk, bietet die nötige Sicherheit.
Mit dem Virtual Private Network ist zuerst einmal die Verbindung über das Internet über einen Tunnel, also ein Netzwerkprotokoll, das mit einem anderen Netzwerkprotokoll übertragen wird, gemeint. Dazu kommt eine Authentifizierung der Nutzer, sowie die Verschlüsselung der Daten. Somit bietet sich VPN an für die “vertrauliche Vernetzung”.
Niederlassungen, Außendienst- und Telearbeiter haben so Zugang zum Firmennetzwerk, ohne Offenlegung der “sensiblen” Daten des Unternehmens. Denn das Internet ist ohne VPN ein unsicheres Pflaster. Zahlreiche Gauner lauern am Datenhighway, wo ohne Schutz die Firmendaten auf dem Silbertablett präsentiert werden.
Mögliches VPN-Szenario
VPN-Angebote en masse
Unter der Flagge VPN findet man zahlreiche Lösungen, die per Software, Hardware oder auch mit Hilfe eines Dienstleisters angeboten werden. Die Software-Lösung macht vor allem beim Einzelarbeitsplatz im Home-Office Sinn, was kostengünstig per DSL-Zugang auch ohne speziellen Router umsetzbar ist. Allerdings ist der Anwender gezwungen, die Nutzung einer VPN-Software zu erlernen oder der Administrator darf vor Ort einrichten, was je nach Entfernung zum Firmensitz ein Problem darstellen kann.
Kleinen und mittelständischen Unternehmen, die Mitarbeitern von außerhalb Zugang zum LAN geben müssen, sei eine spezialisierte VPN-Hardware ans Herz gelegt, wobei keine Software auf die Rechner im Netzwerk installiert werden muss. Sämtliche VPN-Einstellungen erfolgen auf dem Router. Beim Kauf sollte auf die Zahl der VPN-Tunnel geachtet werden. Als Beispiel sei hier das Lancom 1711 VPN genannt. Das Gerät bietet für 410,00 Euro ein kombiniertes DSL- und ISDN-Modem mit einem 4-Port-Ethernet-Switch. Fünf VPN-Kanäle (optional 25), eine integrierte Firewall, Fernwartung, Backup- und Fax-Funktionen sowie ein VPN-Hardware-Beschleuniger machen das Gerät selbst für die Vernetzung von Filialen interessant.
Da die Verbindung zwischen den Niederlassungen stetig genutzt wird und somit zuverlässig funktionieren muss, könnte auch ein VPN-Dienstleister in Frage kommen. Stellt man sich ein großes Unternehmen mit seinen Nebenstellen und unzähligen Außendienstmitarbeitern vor, muss man nicht lange nach einem Grund für das Outsourcen suchen. Die Arbeit übernimmt ein Provider, der schlüsselfertige VPN-Pakete im Angebot hat.
Zahlreiche Internetseiten informieren
Die Arbeitsweise
Um VPN zu verstehen und um zu wissen, was eine VPN-Software, der VPN-Dienstleister oder die VPN-Hardware leisten kann, bedarf es einer Portion Hintergrundwissen. Ein VPN verbindet Netzwerk mit Netzwerk, Rechner mit Rechner oder auch Rechner mit Netzwerk über eine sichere Verbindung. Auf jeder Seite werden die Daten verschlüsselt verschickt und am Ziel entschlüsselt, so dass sie ohne Gefahren durch das unsichere Internet transportiert werden können. Diesen Transport übernimmt eines der drei folgenden Protokolle.
PPTP
PPTP teilt die Nutzer in den PPTP Access Concentrator (kurz PAC) und den PPTP Network Server (PNS) auf. Der Router übernimmt hier die Rolle des PNS. Jeder Client wird also zum PAC. Über eine PPP-Verbindung wird der PNS angesprochen, die Authentifizierung erfolgt und der Client erhält eine Adresse aus dem lokalen Netzwerk. Leider bietet PPTP allein keine Verschlüsselung an. Das müssen andere Protokolle übernehmen.
L2TP
Wie bei PPTP werden auch hier die Aufgaben verteilt. Der Client wird zum L2TP Access Concentrator (LAC), der Router zum L2TP Network Server (LNS). Über eine PPP-Verbindung wird dem Anwender eine IP-Adresse aus dem LAN zugeteilt. Als Schutzmechanismus bietet L2TP ein Shared Secret an, das nur dem LAC und dem LNS bekannt ist. So wird eine Verschlüsselung der Kontrolldaten wie Usernamen möglich. Sicherer als PPTP, doch muss bei L2TP die Firewall so eingestellt werden, dass ausgehende L2TP-Pakete erkannt und jeder Absender-Port vermerkt werden. So wird das Blocken der Pakete verhindert. Eine Konfiguration der Firewall kommt also hinzu. Wie beim PPTP müssen auch hier andere Protokolle für die Sicherheit der Daten sorgen.
IPSec
Mit IPSec bekommt man den Spezialisten für den Schutz der Daten. Anders als PPTP oder L2TP wurde dieses Protokoll nicht für den Fernzugriff entwickelt, sondern es werden zusätzliche Sicherheitsdienste für die Protokolle Ipv4 und Ipv6 angeboten. Die klassischen Internet-Protokolle mit dem Plus an Sicherheit, sozusagen. Dieses “Plus” ergibt sich aus dem kryptografischen Schutz, der Zugriffskontrolle, der Datenintegrität und der Authentifizierung. Wobei das IPSec auch noch sehr flexibel ist.
Wird eine verbesserte Verschlüsselung verfügbar, kann der Anwender diese gleich einsetzen. Für das „Tunneling“ ist es ausreichend, wenn beide Firewalls eine Security Association haben, die verschiedenste Authentifizierungs- und Verschlüsselungsalgorithmen anbietet. Security Associations sind Sicherheitsvereinbarungen, die zwei mittels IPSec vernetzte Rechner vor dem Senden von Daten untereinander austauschen. Für höchstmögliche Sicherheit nutzt man also das IPSec.
Serverarbeiten
Die Kostenfrage muss auch bei VPN gestellt werden. Während PPTP bereits Bestandteil jeder Windows-Version ist, muss ein IPSec-Client oft dazu gekauft werden. Wer bei der Anschaffung von Routern auf eine VPN-Funktionalität achtet, kann spätere Neuanschaffungen einsparen. Kostenlose Software ist als erster Schritt im VPN-Bereich empfehlenswert.
Erstveröffentlichung 06.05.2005
