20.10.2006 | Autor / Redakteur: Justin Korelc, Ed Tittel / Andreas Donner
IPsec-Lösungen für sicheren Remote-Zugriff auf Unternehmensdaten sind Komplex zu administrieren und stellen bei falscher Konfiguration ein zusätzliches Sicherheitsrisiko dar. Einfacher und kaum weniger sicher präsentiert sich hier die betriebssystemunabhängige Open-Source-Variante OpenVPN.
Virtual Private Networks (VPN) stellen heute die sicherste Möglichkeit dar, mobil auf das Firmennetz zuzugreifen. Da VPNs jedoch sehr leicht durch restriktive ACL-Regeln (Access Control Lists, Zugriffskontrolllisten) gebremst oder durch Netzwork Address Translation (NAT) gar komplett unterbrochen werden, stellen sie in Bezug auf Konfiguration, Implementierung und Gebrauch eine interessante Herausforderung für alle Netzwerkadministratoren in Unternehmen dar.
IPsec-basierte VPN-Lösungen sind aufgrund der Vielzahl an verstellbaren Parametern schwierig zu konfigurieren und gerade für unerfahrene Administratoren damit oft sehr verwirrend. Zudem arbeitet IPsec arbeitet im Kernel-Modus und bietet damit eine ausgezeichnete Angriffsfläche für potentielle Angreifer – ein Grund mehr, IPsec nur einzusetzen, wenn sämtliche relevanten Konfigurationsdetails aus dem ff beherrscht werden. Eine wesentlich einfacher zu administrierende Alternative mit ähnlich hohen Schutzfunktionen ist OpenVPN.
Die Vorteile von OpenVPN liegen in seiner vereinfachten Sicherheitsarchitektur, seinem modularen Netzwerk-Design und seiner hohen Betriebssystem-Kompatibilität. Weil OpenVPN von SSL/TLS abgeleitet ist, arbeitet es zudem mit praktisch jeder Firewall zusammen und kann weltweit über jede Internetverbindung mit einem HTTPS-fähigen Web-Browser eingesetzt werden. Virtuelle Tunnel-/Tap-Geräte (tun/tap) erledigen dabei den kritischsten Teil der Datenübertragung, wodurch die Software an sich weniger komplex und flexibler ausfällt als Kernel-basierte IPsec-Komponenten. Dabei kann OpenVPN auf zahlreichen Plattformen von BSD (FreeBSD, NetBSD, OpenBSD) über Mac OS X und Linux bis hin zu Windows eingesetzt werden und stellt auf allen Systemen identische Funktionalitäten bereit.
Der Einsatz des tun/tap Frameworks bedeutet auch, dass jeglicher Datenverkehr durch einen OpenVPN-Tunnel erkannt und über die Unternehmens-Firewall geleitet und anschließend über interne Quality of Service Policies (QoS) gesteuert werden kann. Auf der Serverseite stellt OpenVPN sowohl eine Proxy-Unterstützung für TCP- und UDP-Tunnel als auch mehrfache Eingangsverbindungen über einen einzigen Port bereit. OpenVPN arbeitet sowohl im Layer 2 Bridging Mode als auch im Layer-3-Routing-Modus, sodass auch nicht-routbare Protokolle wie NETBIOS verarbeitet werden können.
OpenVPN ist skalierbar: über skriptgesteuerte Interaktionen mit Push-/Pull-Optionen erlaubt es die Erzeugung zahlreicher Endpunkte. Dadurch können Remote-Computer schnell und für jeden User völlig transparent über zentrale Server konfiguriert werden. Zudem kommt OpenVPN durch seine NAT-Kompatibilität und seinen dynamischen IP-Support ohne größere Unterbrechungen der laufenden Kommunikation mit sich ständig ändernden Client-Adressen zurecht. Damit zählen auch kurze Reconnect-Zeiten zu den Key-Features des OpenVPN-Frameworks.
Das OpenVPN Framework ist kompatibel zu zahlreichen Betriebssystemen einschließlich Microsoft Windows. Der Frontend-Client von OpenVPN kann so konfiguriert werden, dass er sich ohne Administrationsrechte auf Workstations installieren lässt. Dabei ist die Client-Konfigurationsdatei weniger als 20 Code-Zeilen lang. Diese einfache, kompakte und und betriebssystemunabhängige SSL/TLS-Lösung ist damit ideal für „on-the-go“-Administratoren und alle Unternehmensangestellten geeignet, die einen sicheren Fernzugriff auf interne Unternehmens-Ressourcen brauchen.
Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2000507)
