07.07.2020

VPN: Welche Lösung ist die beste?

Des einen Freud, des anderen Leid - so mancher muss aus bestimmten Gründen auch ausserhalb der Kernarbeitszeiten Zugriff aufs interne Netzwerk des Unternehmens haben, andere empfinden gerade diese Flexibilität als angenehm. Und für Mitarbeiter in leitenden Positionen scheint es inzwischen ohnehin zum guten Ton zu gehören, auch abends oder am Wochenende Mails zu checken oder schnell mal Dokumente vorzubereiten.

Von: Lars Behrens  DruckenTeilen 

Lars Behrens, Dipl.-Paed

Lars Behrens ist Geschäftsführer der Firma MaLiWi IT. Staatlich geprüfter Netzwerkadministrator, Microsoft MCP/Linux LCP. Er hat langjährige Erfahrung in der Beratung bei Planung und Einrichtung von IT-Systemen und Netzwerken und dem Support heterogener Systeme (Apple Macintosh, Microsoft Windows, Linux). Universitätsstudium der Pädagogik, mehrere Jahre Tätigkeit im Ausland. Seminar- und Kursleiter, Referent und Fachbuchautor. Weiterhin ist er Herausgeber von dem Online-Fachportal «InformatikPraxis» bei der WEKA Business Media AG.

MaLiWi IT

VPN

Virtuelles privates Netzwerk

"Von Aussen" arbeiten heisst aber zwangsläufig, dass die dafür genutzten IT-Systeme sich im bösen, ungeschützten Internet befinden - eine dedizierte Standleitung ins Büro dürfte kaum jemand am Start haben. Wie stellen Sie dann aber sicher, dass weder Unbefugte Zugriff auf ihr sensibles Unternehmensnetz haben noch dass Mitarbeiter "on the road" oder im Homeoffice Schadsoftware einschleppen? Wir haben dieses Thema bereits im Beitrag «Datensicherheit im Homeoffice: Hacker verbreiten sich ebenso rasant wie Covid-19» behandelt, wollen uns hier aber etwas Näher mit dem Thema "VPN" befassen. Denn ohne ein solches "virtuelles privates Netzwerk" wird es schwierig, externen Mitarbeitern Zugriff auf die Unternehmensressourcen zu geben, ohne, dass Sie als Administrator oder IT-Verantwortlicher schlaflose Nächte durchstehen müssen.

Im Schnelldurchgang sei noch einmal das technische Prinzip eines VPN beschrieben. Wir haben ein "geschlossenes" Netzwerk mit so genannten privaten IP-Adressen. VPN geht zwar auch mit so genannten "öffentlichen" Adressen in den lokalen Netzwerken, aber der Normalfall in Unternehmen dürfte sein, dass hinter dem Router mit Firewallfunktion an der Schnittstelle zum Internet PCs, Server, Drucker mit IP-Adressen wie 192.168.1.x, 172.16.x.x versorgt sind. Durch die Verwendung solcher (im Internet nicht nutzbaren) IP-Adressen und die Adressübersetzung am Router (NAT, Network Address Translation) ist das lokale Netz vom Internet wie durch ein Ventil abgeschottet - die Verbindungen aus dem lokalen Netzwerk ins Internet kommen hinaus und auch wieder herein, aber prinzipiell kommt niemand aus dem Internet ins lokale Netzwerk (von Hackern einmal abgesehen).

Unternehmensnetzwerk

Wir könnten eine Verbindung aus dem Internet natürlich am Router "durchschleusen", und tatsächlich wird dies für bestimmte Situationen auch so gemacht (Server hinter der Firewall o.ä.). Den Zugriff eines externen Mitarbeiters von seinem heimischen Laptop an der Firewall vorbei "mal eben" ins Unternehmensnetzwerk durchzuschleusen, ist aber wenig praktikabel und aus Sicherheitsgründen auch unbedingt zu vermeiden (von wenigen begründeten Ausnahmen wieder einmal abgesehen). Also installiert man auf dem Router oder auf einem System dahinter eine Software, die innerhalb der öffentlich einsehbaren IP-Verbindung eine weitere Verbindung aufbaut - den so genannten VPN-Tunnel. Dieser sorgt dafür

  • dass nur authentifizierte Nutzer Zugriff darauf haben,
  • dass die Verbindung verschlüsselt ist,
  • dass die übertragenen Daten nicht verändert werden, und schliesslich
  • dass auch ein hierin mitgeschnittener Datenverkehr auch später nicht entschlüsselt werden kann - oder wenn, dass dann nur Bruchstücke der Informationen ausgewertet werden können.

Wieso ist letzter Punkt wichtig? Weil nicht nur die Ver-, sondern auch die Entschlüsselungstechniken mit der Zeit gehen müssen. Sicherheitsstandards, die vor wenigen Jahren noch als unknackbar galten, sind inzwischen nicht mehr sicher - man denke nur an den WEP-Standard der frühen WLANs. Hätten Sie seinerzeit aber einen verschlüsselten Datenverkehr mitgeschnitten, könnten Sie diesen heute auslesen. Und wer weiss, vielleicht findet sich ja auch in Jahre alten Daten noch brisantes Material, oder ein Kennwort, das die Administratoren aus Gründen der Bequemlichkeit seit 15 Jahren nicht geändert haben.

VPN-Tunnel

Einen solchen VPN-Tunnel können Sie auf zwei Arten betreiben:

  • Zwischen zwei Netzwerken - mit einem solchen "Site-to-Site"-Tunnel verhalten sich zwei lokale Netzwerke so, als seien sie eines, auch über das unsichere Internet hinweg.
  • Zwischen einem PC (Laptop, Tablet, Smartphone) und dem Unternehmensnetz - gemein hin als "Roadwarrior"-Szenario bezeichnet und genau das, was Sie benötigen, wenn Sie die PC-Systeme externer Personen komplett in Ihr Netzwerk einbinden wollen.

Der Terminus "private" in "Virtual Private Network" ist dabei etwas irritierend, er soll lediglich zum Ausdruck bringen, dass die beteiligten Systeme vertraulich miteinander kommunizieren können. Ein solches VPN hat selbstverständlich auch Tücken - so geben Sie die Ressourcen Ihres Unternehmens-Netzwerks quasi vollständig einem externen Gerät frei. Selbstverständlich lassen sich Zugriffe innerhalb eines VPN-Tunnels steuern, und wenn Sie über einen Server verfügen, kommt mit einiger Wahrscheinlichkeit auch ein Rollen- und Rechtekonzept zum Tragen. Auch innerhalb eines VPN-Tunnels darf nicht jeder alles! Aber im Büro in Luzern zu sitzen und Dokumente versehentlich auf einem Drucker im Büro in Zürich auszudrucken, kann bei solchen Konstruktionen durchaus passieren - und das zählt eher noch zu den weniger sicherheitsrelevanten Anekdoten, höchstens zu Peinlichkeiten, wenn am entfernten Standort jemand Unbefugtes das Papier aus dem Drucker zieht und liest.

Die heutzutage bekannten VPN-Techniken sind (mit einer kurzen, ganz subjektiven Wertung versehen)

PPTP - das Point to Point Tunneling Protocol ist ein sehr altes Protokoll, welches früher einmal in Windows-Systemen eine Rolle gespielt hat. PPTP gilt heute als veraltet und tendenziell unsicher. Diverse Schwachstellen wurden aufgedeckt, das Protokoll wurde seit seiner Einführung unter Windows 95 (!) nicht wesentlich verändert, es wird als recht wahrscheinlich angesehen, dass US-Behörden "mitlesen" können - kurz gesagt, sollte niemand mehr VPNs mit PPTP einrichten, zumal selbst Microsoft eher zum Einsatz von SSTP oder L2TP/IPSec rät.

SSTP - ebenso wie PPTP ist das Secure Socket Tunneling Protocol seit Windows Vista SP1 integraler Bestandteil von Windows. Obwohl es mehr Sicherheit bietet als PPTP, bleiben doch diverse Kritikpunkte. So setzt es auf SSL 3.0, welches aber als veraltet eingestuft wird. Zudem ist es ein proprietärer Verschlüsselungsstandard von Microsoft - das US-Unternehmen lässt sich diesbezüglich aber nicht in die Karten blicken, abgesehen vielleicht von der NSA. Positiv wiederum ist, dass SSTP in reinen Windows-Umgebungen einfach umzusetzen ist und etwa mit Portsperren in Firewalls gut umgehen kann.

IPSec - ist eher eine Protokollsammlung verschiedener Techniken, um IP-Pakete verschlüsselt und authentifiziert zu übertragen. Für den praktischen Nutzen in Ihrem Unternehmen wird am ehesten die Kombination aus L2TP (Layer 2 Tunneling Protocol) und IPSec interessant sein. L2TP/IPSec ist in Windows integriert und relativ schnell zu implementieren.

IKEv2 - der "Internet Key Exchange Version 2", ist aus einer Zusammenarbeit zwischen Microsoft und Cisco entstanden und beruht auf IPSec, anstelle der Bezeichnung IKEv2/IPSec ist "IKEv2" üblich. Ab Windows 7 ist die Unterstützung für IKEv2 im System integriert, auch Macs iOS unterstützt es. IKEv2 in Kombination mit der AES-Verschlüsselung darf als sehr sicher gelten. IKEv2 bietet zudem mit MOBIKE (Mobility and Multihoming) eine Technik, um den VPN-Tunnel auch bei wechselnden Internetverbindungen (etwa zwischen WLAN und mobilen Daten) schnell wieder aufzubauen.

OpenVPN gilt heutzutage als State-of-the-Art für ein VPN. Es ist ein so genanntes SSL-VPN, beruht also auf dem Schlüsseltausch mittels SSL/TLS, wird als sehr sicher angesehen und ist zudem ungemein flexibel. OpenVPN an sich steht als Open Source zur kostenfreien Nutzung zur Verfügung, eine ganze Reihe von Anbietern bietet aber auch kostenpflichtige Umsetzungen. Unterstützt wird OpenVPN von keinem Betriebssystem nativ, es ist also immer die entsprechende Software zu installieren.

Wenn Sie diese kurze Auflistung überstanden haben, können Sie sich als nächstes der Frage zuwenden, welche Router und Server Sie verfügbar haben. Ist Ihre Firewall von Cisco, Watchguard, Clavister und so weiter, gibt es darauf ohnehin fast immer eine VPN-Umsetzung. Der Hersteller bringt dann einen eigenen VPN-Client mit oder empfiehlt Drittlösungen oder gibt Hinweise, wie Sie die VPN-Anbindung mit Bordmitteln des Betriebssystems einrichten können. Wer eine Firewall auf Basis von Linux betreibt, kann sich ohnehin fast alles an VPN-Implementierungen aussuchen, abgesehen von SSTP. Schliesslich bleibt nur noch die Frage der Lizenzierung zu klären, je nach Lösung müssen sowohl die VPN-Zugriffe als auch die Clientsoftware kostenpflichtig lizenziert werden.

Wer sich ein wenig auskennt und fleissig mitgelesen hat, dem wird vielleicht aufgefallen sein, dass wir zwei Methoden bisher noch gar nicht erwähnt haben, die externe Zugriffe auf die Unternehmensressourcen erlauben und dabei das Thema "Sicherheit" in den Mittelpunkt stellen, ohne aufwendige VPN-Konstruktionen auf Userseite zu erfordern. Die Rede ist von Virtual Desktop Infrastructures (VDI) und Hosted Shared Desktops - zwei spannenden IT-Lösungen, die wir Ihnen in den kommenden Newslettern vorstellen werden.

Produkt-Empfehlungen

  • IT-Verträge

    IT-Verträge

    Die wichtigsten IT-Verträge nach Schweizer Recht – von Experten geprüft und laufend aktualisiert.

    ab CHF 198.00

  • IT-Sicherheit

    IT-Sicherheit

    Schützen Sie Ihr Unternehmen konsequent vor Systemstörungen und Risiken.

    Mehr Infos

  • Datenschutz kompakt

    Datenschutz kompakt

    Alles rund um den Datenschutz – Vorlagen, Checklisten und aktuelles Know-how.

    Mehr Infos

Seminar-Empfehlungen

  • Praxis-Seminar, 2 Tage, ZWB, Zürich

    Erfolgreich als IT-Leiter/in

    Professionelle Führung und Sicherstellung der IT und deren Aufgaben

    Nächster Termin: 30. September 2020 und 01. Oktober 2020

    mehr Infos

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    IT-Verträge entwerfen und verhandeln

    Rechtssicherheit bei IT-Projekten, Outsourcing und Cloud Computing

    Nächster Termin: 12. November 2020

    mehr Infos

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    IT-Security – Sicherheitslücken analysieren, entschärfen und vermeiden

    Systeme absichern und der zunehmenden Cyber-Bedrohung entgegenwirken

    Nächster Termin: 03. Dezember 2020

    mehr Infos

Um unsere Website laufend zu verbessern, verwenden wir Cookies. Durch die Nutzung dieser Website stimmen Sie der Verwendung von Cookies zu. Mehr Infos