18.10.2007 | Autor / Redakteur: Lisa Phifer und Peter Riedlberger / Stephan Augsten
Braucht man angesichts der dramatisch verbesserten WLAN-Sicherheit weiterhin Virtual Private Networks (VPN) in Firmennetzen? Die Antwort lautet eindeutig ja, denn es lässt sich praktisch nicht vermeiden, dass reisende Mitarbeiter unsichere WLANs verwenden. Das VPN hilft also dabei, Risiken zu vermeiden. Doch welche Vor- und Nachteile erwarten einen Administrator, der ein VPN in Kombination mit WLAN einsetzt? Dieser Artikel erläutert die Stärken von VPNs und wie man potentielle Probleme löst.
VPN-Tunnel dienen seit langer Zeit dazu, Daten vertraulich und ohne Integritätsverluste über unsichere Netzwerke wie das Internet zu bewegen. Heute verwenden viele Unternehmen Tunnel, um den Datenverkehr reisender oder externer Mitarbeiter sicher zu einem VPN-Gateway an der Grenze des Unternehmensnetzwerks zu transportieren. Dieses Gateway authentifiziert die Benutzer und legt dann fest, auf welche Ziele sie zugreifen können.
Neuerdings haben VPNs noch eine weitere Funktion, nämlich das Durchsetzen der Endpunkt-Sicherheit. Man prüft einfach bei den Remote-Computern, ob sie die Bestimmungen einhalten, ehe man ihnen Netzwerkzugriff erteilt.
Konkret bedeutet das: Ein Mitarbeiter an einem öffentlichen PC darf vielleicht nur seine E-Mails checken, während ein Angestellter mit Unternehmens-Laptop auch Zugriff auf vertraulichere Server erhält. Ein Laptop, bei dem Patches nicht eingespielt sind oder eine Trojanerinfektion diagnostiziert werden kann, wird direkt zu einem speziellen Quarantäne-Server umgeleitet.
Wie WEP oder WPA/WPA2 verschlüsseln VPN-Tunnel den Funkverkehr. Doch während WEP/WPA nur die Funkstrecke selbst sichern, schützt ein VPN-Tunnel auch in allen weiteren Netzwerken (also z. B. vom Access Point über das öffentliche Internet) bis zum Ziel. Das mag innerhalb des Firmengeländes nicht sehr wichtig sein, doch bei Hotspots oder Home-Office-WLANs ist dies das entscheidende Argument für ein VPN.
Ganz wie WPA Enterprise können VPN-Gateways WLAN-Benutzer mit Passwörtern, Zwei-Faktor-Tokens, Smart-Cards und Zertifikaten authentifizieren. Doch während 802.1X entweder vollständigen oder gar keinen Zugriff aufs Netzwerk gibt, können Layer-3- und Layer-4-VPNs die erreichbaren Ziele und Applikationen begrenzen. In großen WLANs mit sehr vielen unterschiedlichen Benutzergruppen können solche granularen Richtlinien sehr wichtig werden.
Abhängig von einzelnen Produkt, können sowohl WPA Enterprise als auch VPNs die Endpunkt-Sicherheit durchsetzen. Allerdings ist es mit einem VPNs einfacher, einen einheitlichen Regelsatz mittels einer einzigen Agentenplattform über alle Netzwerke hinweg – egal, ob lokal oder entfernt – zu erzwingen.
Beide Technologien erfordern Client-Konfiguration, Verwaltung der Benutzeridentitäten und (zumeist) die Installation spezieller Software. VPN-Produkte gibt es viel länger als 802.1X, und sie verfügen deswegen tendenziell über eine ausgereiftere zentrale Richtlinienverwaltung und eine breitere Unterstützung für Client-Plattformen.
Es gibt zahlreiche Standards für VPN-Tunnel. Die bekanntesten sind PPTP (Point-to-Point Tunneling Protocol), IPsec (Internet Protocol Security) und SSL (Secure Sockets Layer). Die Sicherheit von VPN-Produkten kann erheblich variieren, und das wirkt sich ganz direkt auf ihren Nutzen in der Praxis aus.
Beispielsweise ist PPTP das schwächste dieser VPN-Protokolle, aber auch am einfachsten zu benutzen. PPTP-Clients sind Bestandteile vieler Betriebssysteme, inklusive Pocket PC und Mac OS, und es ist nur wenig Konfigurationsarbeit nötig. Am anderen Ende des Spektrum bietet IPsec robuste Sicherheit, wofür aber erst die Installation der VPN-Clients und eine komplexe Konfiguration notwendig sind. SSL-VPN nimmt eine Zwischenstellung ein – sicherer als PPTP und einfacher einzurichten als IPsec.
Aufgrund dieser Unterschiede ist nicht ganz leicht, VPN generell mit WPA zu vergleichen. Aber zumindest lassen sich ein paar allgemeine Aussagen über die Probleme von VPNs treffen.
WEP und WPA schützen alle Daten der Sicherungsschicht (Data-Link-Layer), auch Broadcasts und Multicasts. Bei VPNs bleibt mehr Traffic sichtbar, und man kann kaum vermeiden, dass vor der Einrichtung des Tunnels Daten abgefangen werden. Das gilt verschärft für Geräte, die sowohl in vertrauenswürdigen (innerhalb des Unternehmensgeländes) wie in unsicheren WLANs agieren, wo dann verschiedene VPN-Richtlinien notwendig sind.
VPNs lassen sich zwar gut mit anderen Remote-Sicherheitsmaßnahmen verzahnen, aber hinsichtlich der Netzwerktopologie machen sie oft Schwierigkeiten. So kann WPA Enterprise beispielsweise den WLAN-Clients VLAN-Tags zuweisen und unterstützt damit Netzwerk-Zugriffskontrollen, die von Lokation und Subnetz unabhängig sind. VPNs nutzen dafür oft virtuelle IPs, was dann Routen- und Filter-Änderungen innerhalb des Netzwerks notwendig macht.
Zwar gibt es auch bei WPA Enterprise Verzögerungen, wenn WLAN-Clients roamen, doch VPN-Tunnels brechen komplett zusammen, wenn ein Client sein Subnetz verlässt. Das lässt sich zwar vermeiden, indem man sämtliche WLAN-Benutzer ins selbe Subnetz steckt, aber in sehr großen WLANs kann das schwierig werden.
IPsec VPNs erfordern eine besondere Client-Software. Das bedeutet, dass dies in WLANs mit Gästen oder mit Clients ohne Installationsmöglichkeit (z. B. Smartphones, Voice-over-WLAN-Telefone, WLAN-Scanner) eigentlich keine Option darstellt. Andererseits gilt dasselbe auch für WPA-Enterprise-Installationen mit speziellen 802.1X-Supplicants.
Die meisten Großunternehmen sichern ihre WLANs mit einer Kombination aus VPNs und WPA2. Die meisten werden früher oder später das WLAN auf dem Unternehmensgelände auf WPA2 Enterprise aufrüsten. VPNs wird es aber weiter geben, und zwar um reisende Mitarbeiter an Hotspots und externe Angestellte im Home-Office abzusichern. Firmen haben praktisch nie die Kontrolle über solche Remote-Netzwerke, und daher ist ihre Sicherheit fraglich. So bleibt eigentlich nur, VPNs für alle WLAN-Verbindungen außerhalb des Firmengeländes vorzuschreiben, wenn man die vom Unternehmen festgelegten Sicherheitsrichtlinien durchsetzen will.
Daher ist es notwendig, dass man den VPN-Client mit Endpunkt-Sicherheits-Software kombiniert, die prüft, ob das VPN aktiv ist, wann immer eine WLAN-Verbindung steht. Und wenn der VPN-Tunnel zusammenbricht, kappt sie sofort die WLAN-Verbindung. Die Desktop-Firewall wird so konfiguriert, dass Nicht-VPN-Traffic die WLAN-Verbindung weder verlässt noch über sie hereinkommt.
VPN-Abbrüche aufgrund von Roaming sind kein Thema für Home-Office- oder Internet-Café-WLANs. Doch Mitarbeiter, die sich bewegen und dabei online bleiben wollen, brauchen ein mobiles VPN. Mobile VPN-Produkte gibt es von NetMotion, Columbitech, Ecutel und AppGate. Sie sorgen für Tunnel- und Sitzungspersistenz, während sich die Clients zwischen verschiedenen Netzwerken bewegen. Manche cashen sogar den ankommenden Traffic, falls ein Client kurzfristig unerreichbar ist. Die verwendete Technologie ist unterschiedlich, aber mobile VPNs brauchen eigentlich immer spezielle Software auf den Clients.
Wenn man ein VPN verwendet, um das Firmengelände abzusichern, sollte man ein WLAN-Gateway einsetzen, das das Feature „Mobilität“ oder „Subnetz-Roaming“ unterstützt. Diese Features sind proprietär und sorgen dafür, dass VPN-Clients ihre virtuelle IP behalten, auch wenn sie zwischen verschiedenen Subnetzen roamen. Aber freilich kann es immer noch Verbindungsabbrüchen kommen, wenn die Clients den Empfangsbereich verlassen (z. B. in Aufzügen oder zwischen Gebäuden).
Um Geräte, auf denen keine spezielle VPN-Client-Software installiert werden kann, oder auch Gäste zu versorgen, verwendet man ein SSL-VPN oder ein Captive Portal. Natürlich verschlüsseln Captive Portals keine Daten, aber immerhin lässt sich damit das Netzwerkverhalten kontrollieren und nachvollziehen. SSL-VPNs verschlüsseln Daten mit Browsern als Client-Plattform, sodass diese Option auch auf Gast-Geräten kein Problem darstellen sollte.
Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2008480)
