Immer mehr Firmen bieten ihren Mitarbeiterinnen und Mitarbeitern Heimarbeitspl\u00e4tze an, immer h\u00e4ufiger m\u00f6chte man auch von Unterwegs mit dem Laptop auf die Daten des Firmenservers zugreifen. Die einzige sichere L\u00f6sung f\u00fcr diese F\u00e4lle ist der Aufbau eines VPNs, eines „virtuellen privaten Netzwerkes“ oder neudeutsch „virtual private network“. Sichere Authentifizierung, Kombinationen von Besitz (z. B. einer Keycard oder eines USB-Sticks) gemeinsam mit Wissen (z. B. dem klassischen Passwort), starke Verschl\u00fcsselung garantieren, dass nur Befugte auf die vertraulichen Firmendaten zugreifen k\u00f6nnen.<\/p>\n
Nun sind VPNs keine Hexerei und schon seit vielen Jahren erprobt. Einige Ans\u00e4tze und Implementierungen kamen und verschwanden als zu unsicher wieder vom Markt, andere Technologien halten standhaft Angriffen und theoretischen Versuchen die Algorithmen zu brechen stand. Dies zeigt jedoch, dass eine genaue Kenntnis der Technologien f\u00fcr eine sichere Konfiguration und einen sicheren Einsatz notwendig ist. Mit dem VPN-Einsatz alleine ist es nicht getan. Ein Gesamtsystem ist bekannterweise nur so sicher, wie sein schw\u00e4chstes Glied. Und leicht \u00f6ffnet man mit einem VPN mehr Tore, als eigentlich beabsichtgt sind. Sie sollten sich also, z. B. von uns<\/a>, zum Einsatz beraten lassen.<\/p>\n Ich m\u00f6chte jedoch nachfolgend auf zwei aktuelle und als sicher geltende VPN-Vertreter eingehen: Das standardisierte IPSec-Protokoll und das inzwischen sehr popul\u00e4re OpenVPN-System<\/a>. Beide Systeme haben ihre Vor- und auch ihre Nachteile. Die Wahl des falschen Systems f\u00fchrt nahzu zwangsweise zu „grauen Haaren“.<\/p>\n Zu einem VPN geh\u00f6ren immer zwei Teile, die Endpunkte eines VPN-Tunnels oder allgemeiner einer VPN-Verbindung. Wenn Ihnen ein Ende vorgegeben ist, z. B. weil der eingesetzte Router nur ein Protokoll unterst\u00fctzt, so bleibt Ihnen die Qual der Wahl nat\u00fcrlich erspart uns Sie haben ggf. lediglich das zweifelhafte Vergn\u00fcgen der Konfiguration.<\/p>\n Clientseitig, also auf der Seite des mobilen Benutzers oder des Heimarbeiters, ist OpenVPN nahezu trivial eintzsetzen: Software laden, installieren, Zertifikat einspielen: l\u00e4uft. Wir setzen OpenVPN inzwischen seit 2004 in grossem Umfang ein und k\u00f6nnen guten Gewissens sagen: Auch EDV-Laien kommen mit der Installation zurecht. Angemerkt werden muss aber, dass der Einsatz unter Vista am Anfang etwas problematisch war, inzwischen jedoch als sinnvoll angesehen werden kann.<\/p>\n IPSec ist clientseitig ein sehr zweischneidiges Schwert. Handelt es sich um einen Linux-Client, so ist es zwar etwas Aufwand, vom Profi jedoch trotzdem schnell erledigt. Unter Windows und auch unter Mac-OS sieht die Situation leider nicht ganz so erfreulich aus. Beide Systeme beherrschen von Hause aus IPSec als VPN-L\u00f6sung. Und beide Systeme f\u00fchren selbst bei Profis bei der Umsetzung h\u00e4ufig zu Frustrationen. Eine einfache IPSec-Client-Implementierung ist leider bei beiden Systemen nur mit Drittsoftware m\u00f6glich. Solche Drittsoftware wird entweder vom Herrsteller der Serversoftware angeboten, es gibt aber auch unabh\u00e4ngige Anbieter (beim Mac z. B. IPSecuritas<\/a> (kostenfrei), bei Windows z. B. von The green Bow<\/a> (30-Tage Testversion) sowie Shrew-Soft<\/a> (kostenfrei)). Mit solchen Clients ist der Einsatz normalerweise zu meistern.<\/p>\n Auf der Serverseite des VPN stellt sich die Situation \u00e4hnlich, aber eine Stufe komplizierter dar. Beide Systeme bieten die M\u00f6glichkeit sowohl mit Zertifikaten (geeignet f\u00fcr gr\u00f6\u00dfere Infrastrukturen und vor allem bei sich manchmal \u00e4ndernden Teilnehmern) als auch mit sogenannten PSKs – Pre-Shared-Keys oder vereinbarten Geheimnissen zu arbeiten. Zertifikate sind generell vorzuziehen, da die Verwaltung vor allem bei sich manchmal \u00e4ndernden Teilnehmern erheblich einfacher ist. Der Nachteil von Zertifikaten ist, darauf sei hingewiesen, die Notwendigkeit eine Private-Public-Key-Infrastruktur (z.B. mittels OpenSSL) zu nutzen (wir bieten Ihnen gerne die Nutzung unserer PKI an) oder aufzubauen.<\/p>\n Die Konfiguration selbst ist bei OpenVPN auf dem Server jedoch erheblich einfacher als bei IPSec. Und auf Grund des technischen Entwurfes hat OpenVPN auch erheblich weniger Probleme mit NAT-Routern, also Clients, die hinter einem Router stehen und keine eigene offizielle IP-Adresse besitzen. So ist z.B. der Einsatz von IPSec-VPNs im UMTS-Netz von Base (betrieben von E-Plus) nicht m\u00f6glich.<\/p>\n IPSec hingegen kann auch sinnvoll innerhalb eines lokalen Netzwerkes eingesetzt werden. Vor allem \u00fcber den sogenannten „Transport-Modus“ ist es einfach m\u00f6glich, den normalen IP-Verkehr zwischen den Rechner zu verschl\u00fcsseln und somit vor dem Abh\u00f6ren im LAN zu sch\u00fctzen.<\/p>\n „Klassisch“ gibt es noch weitere VPN-Systeme, wie z. B. das MS-PPTP (Point-To-Point-Tunneling-Protokoll von Microsoft). Muss man „mal eben“ ein Windows-VPN aufbauen, so kann das System durchaus geeignet sein. Als sicher ist es jedoch nicht anzusehen.<\/p>\n Generell gilt also, sich zuerst zu \u00fcberlegen, welcher Verkehr wovor gesch\u00fctzt werden soll und in welchen Szenarien das VPN eingesetzt werden soll. Hiervon abh\u00e4ngig kann dann die geeignete VPN-Technologie gew\u00e4hlt werden. Wenn Sie kein Profi in VPNs sind, sollten Sie evtl. externe Beratung nutzen, es sei denn, Sie haben eine sehr hohe Frustrationstoleranz und die Sicherheit der Daten ist doch nicht ganz so wichtig.<\/p>\n Wenn Sie Fragen zum VPN-Einsatz haben, sprechen Sie uns unter 0234 \/ 51 69 90 – 0, Herrn Dr. Ludwig, an!
\n