Immer mehr Firmen bieten ihren Mitarbeiterinnen und Mitarbeitern Heimarbeitsplätze an, immer häufiger möchte man auch von Unterwegs mit dem Laptop auf die Daten des Firmenservers zugreifen. Die einzige sichere Lösung für diese Fälle ist der Aufbau eines VPNs, eines “virtuellen privaten Netzwerkes” oder neudeutsch “virtual private network”. Sichere Authentifizierung, Kombinationen von Besitz (z. B. einer Keycard oder eines USB-Sticks) gemeinsam mit Wissen (z. B. dem klassischen Passwort), starke Verschlüsselung garantieren, dass nur Befugte auf die vertraulichen Firmendaten zugreifen können.

Nun sind VPNs keine Hexerei und schon seit vielen Jahren erprobt. Einige Ansätze und Implementierungen kamen und verschwanden als zu unsicher wieder vom Markt, andere Technologien halten standhaft Angriffen und theoretischen Versuchen die Algorithmen zu brechen stand. Dies zeigt jedoch, dass eine genaue Kenntnis der Technologien für eine sichere Konfiguration und einen sicheren Einsatz notwendig ist. Mit dem VPN-Einsatz alleine ist es nicht getan. Ein Gesamtsystem ist bekannterweise nur so sicher, wie sein schwächstes Glied. Und leicht öffnet man mit einem VPN mehr Tore, als eigentlich beabsichtgt sind. Sie sollten sich also, z. B. von uns, zum Einsatz beraten lassen.

Ich möchte jedoch nachfolgend auf zwei aktuelle und als sicher geltende VPN-Vertreter eingehen: Das standardisierte IPSec-Protokoll und das inzwischen sehr populäre OpenVPN-System. Beide Systeme haben ihre Vor- und auch ihre Nachteile. Die Wahl des falschen Systems führt nahzu zwangsweise zu “grauen Haaren”.

Zu einem VPN gehören immer zwei Teile, die Endpunkte eines VPN-Tunnels oder allgemeiner einer VPN-Verbindung. Wenn Ihnen ein Ende vorgegeben ist, z. B. weil der eingesetzte Router nur ein Protokoll unterstützt, so bleibt Ihnen die Qual der Wahl natürlich erspart uns Sie haben ggf. lediglich das zweifelhafte Vergnügen der Konfiguration.

Clientseitig, also auf der Seite des mobilen Benutzers oder des Heimarbeiters, ist OpenVPN nahezu trivial eintzsetzen: Software laden, installieren, Zertifikat einspielen: läuft. Wir setzen OpenVPN inzwischen seit 2004 in grossem Umfang ein und können guten Gewissens sagen: Auch EDV-Laien kommen mit der Installation zurecht. Angemerkt werden muss aber, dass der Einsatz unter Vista am Anfang etwas problematisch war, inzwischen jedoch als sinnvoll angesehen werden kann.

IPSec ist clientseitig ein sehr zweischneidiges Schwert. Handelt es sich um einen Linux-Client, so ist es zwar etwas Aufwand, vom Profi jedoch trotzdem schnell erledigt. Unter Windows und auch unter Mac-OS sieht die Situation leider nicht ganz so erfreulich aus. Beide Systeme beherrschen von Hause aus IPSec als VPN-Lösung. Und beide Systeme führen selbst bei Profis bei der Umsetzung häufig zu Frustrationen. Eine einfache IPSec-Client-Implementierung ist leider bei beiden Systemen nur mit Drittsoftware möglich. Solche Drittsoftware wird entweder vom Herrsteller der Serversoftware angeboten, es gibt aber auch unabhängige Anbieter (beim Mac z. B. IPSecuritas (kostenfrei), bei Windows z. B. von The green Bow (30-Tage Testversion) sowie Shrew-Soft (kostenfrei)). Mit solchen Clients ist der Einsatz normalerweise zu meistern.

Auf der Serverseite des VPN stellt sich die Situation ähnlich, aber eine Stufe komplizierter dar. Beide Systeme bieten die Möglichkeit sowohl mit Zertifikaten (geeignet für größere Infrastrukturen und vor allem bei  sich manchmal ändernden Teilnehmern) als auch mit sogenannten PSKs – Pre-Shared-Keys oder vereinbarten Geheimnissen zu arbeiten. Zertifikate sind generell vorzuziehen, da die Verwaltung vor allem bei sich manchmal ändernden Teilnehmern erheblich einfacher ist. Der Nachteil von Zertifikaten ist, darauf sei hingewiesen, die Notwendigkeit eine Private-Public-Key-Infrastruktur (z.B. mittels OpenSSL) zu nutzen (wir bieten Ihnen gerne die Nutzung unserer PKI an) oder aufzubauen.

Die Konfiguration selbst ist bei OpenVPN auf dem Server jedoch erheblich einfacher als bei IPSec. Und auf Grund des technischen Entwurfes hat OpenVPN auch erheblich weniger Probleme mit NAT-Routern, also Clients, die hinter einem Router stehen und keine eigene offizielle IP-Adresse besitzen. So ist z.B. der Einsatz von IPSec-VPNs im UMTS-Netz von Base (betrieben von E-Plus) nicht möglich.

IPSec hingegen kann auch sinnvoll innerhalb eines lokalen Netzwerkes eingesetzt werden. Vor allem über den sogenannten “Transport-Modus” ist es einfach möglich, den normalen IP-Verkehr zwischen den Rechner zu verschlüsseln und somit vor dem Abhören im LAN zu schützen.

“Klassisch” gibt es noch weitere VPN-Systeme, wie z. B. das MS-PPTP (Point-To-Point-Tunneling-Protokoll von Microsoft). Muss man “mal eben” ein Windows-VPN aufbauen, so kann das System durchaus geeignet sein. Als sicher ist es jedoch nicht anzusehen.

Generell gilt also, sich zuerst zu überlegen, welcher Verkehr wovor geschützt werden soll und in welchen Szenarien das VPN eingesetzt werden soll. Hiervon abhängig kann dann die geeignete VPN-Technologie gewählt werden. Wenn Sie kein Profi in VPNs sind, sollten Sie evtl. externe Beratung nutzen, es sei denn, Sie haben eine sehr hohe Frustrationstoleranz und die Sicherheit der Daten ist doch nicht ganz so wichtig.

Wenn Sie Fragen zum VPN-Einsatz haben, sprechen Sie uns unter 0234 / 51 69 90 – 0, Herrn Dr. Ludwig, an!