Die Vernetzung von Filialen, Niederlassungen und Außenstellen ist für viele Unternehmen entscheidend, damit sie effizient arbeiten können. Jeder Mitarbeiter soll unabhängig vom Standort genauso eingebunden sein wie in der Firmenzentrale. Neben dem Zugriff auf die verschiedenen IT Services (Warenwirtschaft, E-Mail, Dateien, etc.) spielt auch die zentrale Verwaltung der Clients an den abgesetzten Standorten eine wichtige Rolle, um die Sicherheitsvorgaben im Unternehmen einzuhalten. Das bringt viele Herausforderungen mit sich. Die Verbindung muss robust, performant und vor allem sicher sein.
Wir verschaffen Ihnen einen Überblick über die Technologien zur Standortvernetzung und deren Einsatzzwecke. Grundsätzlich wird dabei zwischen Provider VPN Systemen und Self-managed VPNs unterschieden.
Provider VPN:
In der Regel basieren Provider VPNs auf der MPLS Technologie.
"Multiprotocol Label Switching (MPLS) ermöglicht die verbindungsorientierte Übertragung von Datenpaketen in einem verbindungslosen Netz entlang eines zuvor aufgebauten ("signalisierten") Pfads."
Quelle: https://de.wikipedia.org/wiki/Multiprotocol_Label_Switching
Im Gegensatz zum normalen Datenverkehr im Internet wird hier am Startpunkt schon der Weg des Datenpaketes bis zum Zielpunkt festgelegt. Dadurch wird die Laufzeit der Pakete optimiert. Dies ist speziell für latenzkritische Anwendungen (etwa VoIP) wichtig. Auf dieser Basis setzen dann entweder Layer 2 oder Layer 3 VPN-Techniken auf, um den Datenverkehr zu sichern.
Da der Provider sowohl für den Datentransport als auch für die Sicherung der Verbindung zuständig ist, reduziert sich der administrative Aufwand für die firmeninterne IT enorm.
MPLS VPNs sind allerdings auch relativ teuer und verursachen laufende Kosten. Daher müssen Unternehmen in einer TCO Analyse (Total Cost of Ownership) bewerten, ob diese Lösung auch kosteneffizient ist.
Self-managed VPN:
Im Bereich der Self-managed VPNs gibt es aktuell neben proprietären Lösungen diverser Firewall- und Security-Hersteller zwei Technologien, die sich am Markt etabliert haben und normalerweise sehr gut mit Firewalls und Routern unterschiedlicher Hersteller umsetzbar sind.
Der Klassiker unter der VPN-Verbindungen: IPsec
In der Regel wird IPsec sowohl bei der Site-to-Site (Standortvernetzung) als auch bei Roadwarrior (mobile Mitarbeiter) Verbindungen im Tunnelmodus betrieben. Bei diesem werden nicht nur die Nutzdaten (Payload) sondern auch der komplette IP-Header verschlüsselt. Dieser Modus ist bei Roadwarrior-Verbindungen notwendig, wenn Systeme hinter dem VPN Router erreichbar sein sollen.
Die Absicherung der Verbindung erfolgt über eine Reihe von Maßnahmen, die einerseits die Integrität sowie die Authentizität (AH) sicherstellen und, wenn gewünscht, zusätzlich die Vertraulichkeit (ESP). In der Regel werden beide Maßnahmen kombiniert, um den Schutz zu erhöhen. Der Schlüsselaustausch wird entweder per Pre-Shared-Key (PSK) oder mittels Zertifikat abgesichert.
Die Einrichtung von IPsec ist relativ komplex und erfordert gute IT-Kenntnisse im Bereich Netzwerk und Security. Des Weiteren ist IPsec beim Einsatz hinter NAT (Network Address Translation) und/oder dynamischen IPs teilweise schwierig zu realisieren
Dies wurde in der IKEv2 Implementierung im IPSec Protokoll Suite stark verbessert. Siehe hierzu auch ( https://www.heise.de/security/artikel/Einfacher-VPN-Tunnelbau-dank-IKEv2-270056.html)
Zusammenfassen lässt sich sagen, dass IPsec, wenn es richtig implementiert ist, schnell und sehr sicher ist. Es ist applikationstransparent und somit für vor allem für die Standortverbindung immer noch erste Wahl, da man es mit beinahe jedem Router/Firewall aller Hersteller umsetzen kann.
Der Shootingstar unter den VPNs: OpenVPN (SSL VPN)
OpenVPN zeichnet sich durch eine hohe Sicherheit und einfache Einrichtung aus. Zudem hat es weder Probleme mit NAT noch mit dynamischen IPs. Im Bereich der Roadwarrior Verbindung ist SSL-VPN ein Segen für jeden IT-Admin. Es gibt deutlich weniger Probleme beim Verbindungsaufbau von öffentlichen Hotspots oder aus Gastnetzen in Unternehmen, die ein Außendienstmitarbeiter oftmals nutzen muss, um eine Verbindung zum Firmennetzwerk herzustellen. SSL VPN setzt dabei auf TLS als Verschlüsselungsprotokoll. Damit sind sogar sogenannte clientless VPNs möglich, die den gesicherten Zugriff auf Webanwendungen nur über den Browser ermöglichen. Die Absicherung erfolgt über PSK oder mittels Zertifikat.
Da OpenVPN Open Source (quelloffen) ist, werden zum einen Sicherheitslücken in der Regel rasch geschlossen und zum anderen ist die Gefahr von Hintertüren (z.B. Backdoors für Sicherheitsbehörden) gering. Diese Lösung bietet ein breite Auswahl an Verschlüsselungsalgorithmen und somit können Sie die Sicherheit an die eigenen Bedürfnisse anpassen.
Ein weiterer Vorteil von SSL VPN ist, dass nur der Server (Firewall am Hauptstandort, VPN Server o.ä.) eine feste IP benötigt, da selbst bei Site-to-Site Verbindungen immer nur der Client (Router, Software auf Notebook o.ä.) die Verbindung aufbaut.
Bei Site-to-Site Verbindungen wird allerdings im Gegensatz zu IPSec ein sogenanntes Transportnetz benötigt, über das die Daten transportiert werden. Dies erfordert in der Regel einige zusätzliche Firewall-Regeln, um diesen Datenverkehr passieren zu lassen.
Inzwischen haben auch fast alle Router/Firewall-Hersteller OpenVPN implementiert und es gibt für fast alle Betriebssysteme Clientsoftware. Dies macht den Einsatz von OpenVPN extrem flexibel.
Bei vielen VPN-Verbindungen kann OpenVPN teilweise langsamer als IPsec sein, da zahlreiche Firewalls in der Regel spezielle Chips für die Verschlüsselung mit IPsec enthalten. Dadurch werden die Verschlüsselungsaufgaben nicht mehr durch die CPU der Firewall durchgeführt und diese wird entlastet.
Was ist das richtige VPN für mich?
Je nach Einsatzzweck, vorhandener Hardware und Fachwissen ist die eine oder die andere Lösung die bessere Wahl. Auch ein Mix kann durchaus sinnvoll sein. Zum Beispiel die Vernetzung der Standorte per IPsec / MPLS durch den Provider und die Einbindung von Außendienstmitarbeitern per OpenVPN. Wenn kein direkter Zugriff auf die Standorte besteht oder keine IT vor Ort verfügbar ist, dann gibt es bisher sehr gute Erfahrungen mit proprietären Lösungen zur Vernetzung.
Pauschal lässt sich die Frage nach dem optimalen VPN nicht beantworten, denn jeder Kunde hat individuelle Anforderungen. Das Hinzuziehen eines Partners ist hier die richtige Lösung. Municall ist ein kompetenter Partner mit langjähriger Erfahrung im Bereich der Telekommunikation und zugleich ein unabhängiger Berater.
Raoul Erdem
Kundenmanager
municall
new communication GmbH
Schatzbogen 62
81829 München
Änderungen und Irrtümer vorbehalten.
Fotolia / vege