23.10.2006 | Autor / Redakteur: Brien M. Posey / Andreas Donner
Um ein Virtual Private Network (VPN) auf die jeweiligen Anforderungen optimal zuzuschneiden sind zahlreiche Überlegungen nötig. Doch nur bei richtiger Planung garantiert die entstehende Lösung hohen Komfort bei höchstmögliche Sicherheit.
Dass es sich bei VPN-Clients um Arbeitsplatzrechner handelt, die über ein Virtual Private Network (VPN) an das Firmennetz angeschlossen sind, ist eine gängige aber falsche Annahme. Zwar sind auch derartig vernetzte Arbeitsplatzrechnern VPN-Clients – aber längst nicht die einzig möglichen. Denn neben einem Computer kann auch ein Router ein VPN-Client sein. Welche Art von VPN-Client in einem bestimmten Netz zum Einsatz kommt, hängt von den Anforderungen im jeweiligen Unternehmen ab.
Für die Anbindung einer Unternehmens-Zweigstelle an die Firmenzentrale ist meist ein Router als VPN-Client die beste Wahl. Denn damit können alle Rechner innerhalb der Zweigstelle über eine einzige VPN-Verbidnung an das Firmenhauptnetz angebunden werden. Dies ist wesentlich effizienter, wie wenn jeder einzelne PC eine eigene Verbindung herstellen müsste.
Sind in der Zweigstelle jedoch nur einige wenige Mitarbeiter beschäftig, die zudem häufig auf Reisen sind und somit auch eine mobile Anbindung an das Firmennetz benötigen, ist die Konfiguration jedes einzelnen Laptops als VPN-Client die bessere Wahl.
Technisch betrachtet kann jedes Betriebssystem als VPN-Client wirken, solange es das PPTP-, L2TP- oder IPsec-Protokoll unterstützt. Für die Microsoft-Betriebssystem gesprochen bedeutet dies, dass Windows NT 4.0, 9x, ME, 2000 und XP als VPN-Client fungieren können. Allerdings unterstützen nur Windows 2000 und Windows XP gleich zwei der drei genannten Protokolle (L2TP und IPsec) und eignen sich damit am besten für einen Einsatz als VPN-Client.
Der VPN-Server ist der Verbindungspunkt des VPN-Clients. Technisch können für einen VPN-Server die Microsoft-Betriebssysteme Windows NT Server 4.0, Windows 2000 Server oder Windows Server 2003 zum Einsatz kommen – die beste Wahl in puncto Sicherheit stellt jedoch nur Windows Server 2003 dar.
Eines der größten Missverständnisse in Bezug auf VPN-Server ist die Annahme, dass diese sämtliche für VPN-Verbindungen nötigen Aufgaben übernehmen. Doch ein VPN-Server stellt nur eine der notwendigen Komponenten für eine VPN-Verbindung dar. Dabei ist der VPN-Server an sich ziemlich einfach zu realisieren. Prinzipiell ist ein VPN-Server nichts anderes als ein gehärtetes Windows-2003-System, auf dem der Routing und Remote Access Service (RRAS) ausgeführt wird. Sobald eine eingehende VPN-Verbindung erkannt und authentifiziert wurde, arbeitet der VPN-Server als simpler Router, der dem VPN-Client den Zugriff auf das private Netz ermöglicht.
Zusätzlich zum VPN-Server erfordert ein VPN-System auch den Betrieb eines RADIUS-Servers (Remote Authentication Dial In User Service) vor Ort. RADIUS wird heute von den meisten Internet Service Providern zur User-Authentifikation eingesetzt und stellt auch im Unternehmensumfeld einen geeigneten Authentifizierungs-Mechanismus für Clients dar, die eine VPN-Verbindung zum Firmennetzwerk aufbauen möchten. Denn Domain-Controller sind für diese Aufgabe meist nicht vorbereitet – und selbst wenn dies der Fall wäre, sollte ein Domain Controller aus Sicherheitsgründen auf keinen Fall mit der Außenwelt kommunizieren.
Microsoft hat eine eigene RADIUS-Version unter dem Namen Internet Authentication Service (IAS) in das Betriebssystem Windows Server 2003 integriert. Allerdings sollte der IAS aus Sicherheitsgründen auf keinen Fall auf demselben Server ausgeführt werden, wie der VPN-Server bzw. der Routing und Remote Access Service (RRAS).
Ein weiterer essenzieller VPN-Bestandteil ist eine gute Firewall. Denn einerseits soll der VPN-Server zwar Verbindungen von der Außenwelt akzeptieren, andererseits darf dies aber nicht bedeuten, dass von außen ein uneingeschränkter Vollzugriff auf den VPN-Server möglich ist. Eine Firewall verhindert dies, indem sie unbenutzte Ports sperrt oder stark kontrolliert.
Grundvoraussetzungen für jede VPN-Verbindung sind die Internet-Zugriffsmöglichkeit auf den VPN-Server über dessen IP-Adresse und die Durchleitung des VPN-Verkehrs zum VPN-Server durch die Firewall. Diese Voraussetzungen werden über den VPN-Server, den IAS-Server und eine geeignete Firewall realisiert. Doch neben diesen „Pflichtkomponenten“ können noch einige weitere Komponenten optional in das VPN eingebunden und die Sicherheit der Verbindung damit entscheidend verbessert werden.
Wenn Sicherheit ein großes Thema ist und das Budget dies zulässt, kann ein ISA-Server zwischen die Firewall und den VPN-Server geschaltet werden. Damit kann die Firewall so konfiguriert werden, dass der gesamte VPN-relevante Verkehr nicht an den VPN-Server sondern an den ISA-Server geleitet wird. Der ISA Server wirkt dann wie ein VPN-Proxy. Sämtliche Kommunikation läuft damit ausschließlich über den ISA-Server und nie direkt ab. Der ISA-Server stellt damit eine zusätzliche Sicherheitsebene dar.
Wenn VPN-Clients auf einen VPN-Server zugreifen, geschieht dies über einen virtuellen Tunnel. Ein Tunnel ist dabei nichts anderes als eine sichere Passage durch ein unsicheres Medium (normalerweise das Internet). Eine „getunnelte“ Verbindung erfordert den Einsatz eines Tunnelprotokolls. In Windows-Clients stehen hierfür das ältere PPTP (Point-to-Point Tunnelprotokoll) und das in Windows 2000/XP zusätzlich integrierte, moderne L2TP (Layer 2 Tunnel Protokoll) zur Verfügung. Allerdings kann, auch wenn der lient beide Protokolle unterstützt, immer nur eines eingesetzt werden. Da jedes der beiden Protokolle deutliche Vor- und Nachteile mit sich bringt, ist die Auswahl des individuell optimalen Tunnelprotokolls eine schwierige, aber mit die wichtigste Entscheidungen bei der Konzeption eines Virtual Private Network.
Der größte Vorteil von L2TP gegenüber PPTP, ist die Verwendung von IPsec. IPsec verschlüsselt die übertragenen Daten und führt eine Datenidentifikationsüberprüfung durch. Damit stellt IPsec sicher, dass die empfangenen Daten auch wirklich von der genannten Quelle kommen und während des Transports nicht modifiziert wurden. Zudem verhindert der Einsatz von IPsec so genannte Replay-Attacken. Ein Replay-Angriff ist der Versuch eines Hackers, abgefangene Authentifizierungs-Pakete zu einem späteren Zeitpunkt erneut zu senden, um so Zugriff auf das System zu erlangen.
Ein weiterer Vorteil von L2TP ist die im Vergleich zu PPTP wesentlich strengere Identifikationsprüfung. L2TP authentifiziert sowohl den Benutzer als auch den Computer verschlüsselt alle PPP-Pakete, die während der Benutzerauthentifizierung übertragen werden.
Auch wenn es damit so aussieht, als wäre L2TP das Tunnelprotokoll der ersten Wahl, stellt PPTP seinen „Konkurrenten“ in einigen Punkten doch in den Schatten. Einer dieser Vorteile heißt Kompatibilität: PPTP arbeitet mit wesentlich mehr Windows-Derivaten zusammen als L2TP. Kommen in einem Unternehmen also viele potentielle VPN-Clients mit älteren Windows-Versionen zum Einsatz, heißt das Tunnelprotokoll auf jeden Fall PPTP.
Der andere Vorteil von PPTP gegenüber L2TP ist bereits im Bereich der Nachteile genannt worden: L2TP basiert auf IPsec, PPTP nicht! Prinzipiell ist IPsec zwar uneingeschränkt zu empfehlen und für die wesentlich höhere Sicherheit von L2TP gegenüber PPTP verantwortlich, doch der Einsatz von IPsec setzt auch den Betrieb eines Zertifizierungsservers im Netzwerk voraus. Zwar bringt Windows Server 2003 seinen eigenen Zertifizierungsdienst mit und dieser ist auch noch relativ einfach zu konfigurieren, doch um die Integrität einer Zertifizierungsstelle in jedem Fall zu erhalten und ein Maximum an Sicherheit zu gewährleisten, ist viel Know-how und ein eigenes, maximal gehärtetes System für den Zertifizierungsdienst erforderlich. Damit fallen zusätzliche Kosten für einen weiteren Server, eine weitere Windows-Serverlizenz und die Administration dieses Systems an. Dennoch rechnet sich der Mehraufwand in den allermeisten Fällen.
Im Verlauf der Einrichtung eines VPNs muss auch das Authentifizierungsprotokoll festgelegt werden. Hierfür stehen die zwei Alternativen MS-CHAP v2 und EAP-TLS zur Verfügung. MS-CHAP v2 ist relativ sicher, einfach zu konfigurieren und funktioniert mit allen VPN-Clients, auf denen ein Windows-Betriebssystem der letzen zehn Jahre läuft.
Wenn jedoch ohnehin geplant ist, L2TP zu verwenden und das Erreichen einer hohen Sicherheitsstufe Priorität hat, sollte die Wahl des Authentifizierungsprotokolls auf EAP-TLS fallen. Zwar ist die Konfiguration von EAP-TLS etwas trickreich, doch speziell im Zusammenhang mit der Verwendung von SmartCards garantiert dieses Authentifizierungsprotokoll höchste Sicherheit.
Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2000525)
