|
VPN - Virtual Private Network
|
|
|
Öffentliche Infrastrukturen, wie das Internet, als Basis für sichere, private Kommunikation Unter einem Virtuellen Privatnetz (VPN) versteht man eine geschlossene Kommunikationsstruktur, die mittels verschlüsselter und elektronisch signierter Datenkanäle auf einem offenen IP-basierten Netz wie dem Internet realisiert wird. Das Sicherheitsniveau einer solchen Lösung ist besser als dasjenige unverschlüsselter Kommunikation über geschlossene Leitungssysteme (Standleitungen, ISDN-Verbindungen, Frame-Relay), die Kosten aber - dank der Verwendung des allgegenwärtigen Internet - erheblich geringer. Der Ersatz privater Leitungssysteme durch VPNs - verschlüsselte, sichere Datenkanäle über IP-basierte Netze wie das Internet - erspart dem Anwender bis zu 60% der Leitungskosten und ist eine zukunftsweisende Technologie für die Realisierung dynamischer Partnerverbände und EDI-Gemeinschaften. Für hohe Verbindungsqualität ist allerdings die Wahl des richtigen Providers und der richtigen Endgeräte ebenso ausschlaggebend wie fachkundige Planung und Installation vor Ort. Die hohe und schnelle Verfügbarkeit des Internets haben VPNs zu rasch realisierbaren Alternativen zu herkömmlichen Standleitungen gemacht. Neue Technologien wie XDSL bieten die nötige Stabilität und Geschwindigkeit. Im Wesentlichen wird zwischen zwei Typen von VPNs unterschieden: Einwahl- und Standort-VPNs. Während bei einem Einwahl-VPN einzelne Geräte, wie z. B. Notebooks oder Heimarbeitsplätze an die Zentrale angebunden werden, werden bei Standort-VPNs ganze Netze (LAN) gekoppelt. Typische Szenarien für Einwahl-VPNs sind Mitarbeiter mit Notebooks, Heimarbeitsplätze oder die Anbindung eines Partners, um diesem die Nutzung z. B. einer Warenwirtschafts-applikation zu ermöglichen. Standort-VPNs werden zur Anbindung von Außenstellen an die Zentrale genutzt. VPN und Security gehen Hand in Hand. Um die notwendige Security zu gewährleisten - obwohl bei einem VPN theoretisch mehrere Internet-Zugänge zur Verfügung stehen - sehen VPN-Lösungen von CPS-IT lediglich einen zentralen Internet-Zugang vor, nämlichen jenen der Zentrale. Über diesen wird sämtliche Kommunikation (E-Mail, Surfen, Downloaden von Dateien) auf sichere Art und Weise (Virenschutz, Content-Filtering usw.) abgewickelt. Nützen Sie unsere langjährige Erfahrung mit VPNs. VPN-Lösungen von CPS-IT basieren auf Standards wie z. B. IPSec, 3DES und SHA, welche bereits jahrelang im Einsatz sind und somit zu den erprobten und bewährten Technologien zählen. Hardwareseitig kommen Produkte namhafter Hersteller wie Cisco oder Fortinet zum Einsatz. In einem solchen Szenario kommt als Lösung von CPS-IT als VPN-Server und gleichzeitige Firewall das Produkt Cisco Adaptive Security Appliance (ASA), Nachfolger der bewährten Cisco PIX zum Einsatz. Ein Solches wäre z.B. ein automatisch generiertes Passwort, welches sich selbstständig alle 60 Sekunden ändert, oder die Verwendung von Zertifikaten. Lösungen dieser Art realisieren wir u.a. mit Aladdin eToken. Szenario: Einwahl-VPN Die günstigste Variante Mitarbeiter mit Notebooks oder Heimarbeitsplätze an die Zentrale anzubinden, ist ein Einwahl-VPN. Bei einem Einwahl-VPN baut jeder Client (z. B. ein Notebook) direkt mit dem VPN-Server der Zentrale einen VPN-Tunnel, basierend auf dem Internet, auf. Über diesen Tunnel wird sämtlicher Datenverkehr zwischen dem Client und der Zentrale sicher übertragen (siehe Skizze).
In einem solchen Szenario kommt als Lösung von CPS-IT als VPN-Server und gleichzeitige Firewall das Produkt Cisco PIX (Model >= Cisco Pix 515) zum Einsatz. Somit können sowohl Einwahlen mittels Cisco VPN Client (basiert auf IPSec) als auch Einwahlen basierd auf PPTP realisiert werden. Durch die eingebaute „Stateful Firewall“ in dem Cisco VPN Client genießen sämtliche Clients, welche sich über Einwahl-VPN mit der Zentrale verbinden, den nötigen Schutz vor dem Internet, um nicht als Sprungbrett für Hacker in die Zentrale zu dienen. Da die Authentifizierung bei Einwahl-VPNs meist auf Username und Password basiert, bedarf dies besonderer Aufmerksamkeit in der Planungs- und Realisierungsphase. Eine strenge Password-Policy ist das Um- und Auf, um die Technologie Einwahl-VPN effizient zu nutzen ohne gleichzeitig für die Zentrale ein Sicherheitsrisiko darzustellen. Die Problematik der komplizierten Passwörter lässt sich sehr einfach durch Einsatz entsprechender Hilfsmittel in den Griff bekommen. Ein Solches wäre z.B. ein automatisch generiertes Passwort, welches sich selbstständig alle 60 Sekunden ändert. Lösungen dieser Art werden von RSA-Security angeboten. Szenario: Kombination Einwahl- und Standort-VPN Die Anbindung von Außenstellen an die Zentrale ist das zweite große Einsatzgebiet, neben den Einwahl-VPNs. Hierbei werden lokale Netze gekoppelt (siehe Skizze).
Mittels der Anbindung einer Außenstelle via VPN lassen sich bis zu 60% Leitungskosten im Vergleich zu einer herkömmlichen Standleitung einsparen. Die Außenstellen können mittels unterschiedlichsten Technologien an das Internet angebunden werden (z. B. XDSL oder Kabel). Zu beachten ist, dass aus Gründen der Qualität der Leitungen, an allen Standorten der gleiche Provider gewählt wird. VPN-Lösungen dieser Art bedürfen einer genauen technischen Analyse, um einen zukünftigen reibungslosen Ablauf und einfaches Management der Infrastruktur zu gewährleisten. In solchen VPN-Szenarien spielt das Thema Bandbreitenmanagement ebenfalls eine ausschlaggebende Rolle. VPN-Lösungen von CPS-IT sehen nur einen zentralen Internetzugang vor, nämlich jenen der Zentrale. Um ein „Verstopfen“ der Standleitung der Zentrale zu verhindern (z. B. durch intensives Downloaden aus dem Internet oder dem Empfang oder Versand von Mails mit großen Attachments), und somit die Qualität der Leitung zwischen Zentrale und Außenstelle zu beeinträchtigen, wird mittels eines Bandbreitenmanagement-Systems immer die benötigte Bandbreite für wichtige Verbindungen und Applikationen bewerkstelligt
|
|
