Über einen VPN-Tunnel können Mitarbeiter nicht nur sicher aus der Ferne auf die internen Ressourcen eines Unternehmens zugreifen. Mehrere Niederlassungen lassen sich ebenfalls damit sicher miteinander verbinden. Wir erklären, welche Vorteile die Nutzung einer modernen VPN-Lösung hat, beschreiben welche Hard- und Software Sie dafür benötigen und gehen auch auf Fallstricke ein.
Die weltweite Pandemie hat in diesem Jahr zu einem Boom bei der Nutzung von VPN-Diensten (Virtual Private Networking) geführt. Zahllose Mitarbeiter, die ihre Tätigkeiten bislang vom Schreibtisch im Büro aus erledigt haben, fanden sich plötzlich daheim am privaten Computer wieder, mit dem sie nun auf interne Ressourcen wie Mail- und Anwendungs-Server zugreifen müssen. Das stellt ihre IT-Abteilungen vor einige Herausforderungen. Zwar haben die meisten bereits zumindest rudimentäre Erfahrungen im Umgang mit professionellen VPN-Lösungen gesammelt. Die deutlich gestiegene Nutzung führt jedoch dazu, dass die angebotenen Dienste meist überdacht und ausgeweitet werden müssen.
Arten von Enterprise-VPNs
Prinzipiell spricht man von mehreren Möglichkeiten, wie Unternehmen virtuelle private Netze einsetzen können. Einerseits gibt es klassische Remote-Access-VPNs, über die sich die Mitarbeiter direkt mit dem Firmennetz verbinden können. Darüber hinaus werden aber auch sogenannte Site-to-Site-VPNs verwendet, die zwei oder mehr Niederlassungen eines Unternehmens selbst über öffentliche Netzwerke sicher miteinander verbinden können.
Ein klassisches Remote-Access-VPN besteht in der Regel aus zwei Komponenten: Da ist einmal der VPN-Endpunkt, mit dem sich die Mitarbeiter verbinden. Dazu verwenden sie eine Client-Software, die auf ihren Endgeräten eingerichtet wird. Dieser Client baut dann einen verschlüsselten Tunnel zum VPN-Endpunkt auf, über den alle Daten laufen. Als VPN-Knoten werden heute oft Firewalls eingesetzt, die nicht mehr nur Daten filtern, sondern auch VPN-Leistungen bieten. In anderen Fällen wird ein spezieller VPN Concentrator genutzt.
Für ein Site-to-Site-VPN lassen sich diese Geräte ebenfalls als VPN-Endpunkte einsetzen. Sie sorgen dafür, dass alle Daten, die zwischen den verbundenen Niederlassungen gesendet werden, automatisch verschlüsselt übertragen werden. Solche Verbindungen sind meist deutlich billiger, als dedizierte Leitungen zwischen zwei Standorten anzumieten. MPLS-Leitungen sind per se nicht sicherer als Verbindungen über das öffentliche Internet. Es ist für einen Angreifer nur schwieriger, darauf zuzugreifen.
Split Tunneling
Bei einem typischen Remote-Access-VPN wird der gesamte Traffic zwischen Client und Endpunkt durch den verschlüsselten Tunnel geleitet. Das kann jedoch zu Problemen führen, wenn darüber zum Beispiel auch private Daten des Anwenders fließen. Deswegen wurde eine Technik namens Split Tunneling entwickelt, die dafür sorgt, dass der private Datenverkehr des Mitarbeiters wieder direkt über seinen eigenen Router ins Internet gelangt und nicht über den Umweg des Firmennetzes.
Aufbau eines Enterprise-VPNs
Den generellen Aufbau und die zwei Arten von Enterprise-fähigen VPNs haben wir bereits beschrieben. Netzwerkhersteller wie Juniper Networks und Cisco Systems bieten ein breites Spektrum an VPN-fähigen Lösungen, die in der Regel aus mindestens einem VPN-fähigen Gateway und passender Client-Software oder auch aus Appliances bestehen, die VPN-Leistungen bieten und die miteinander verbunden werden können.
Geeignete Hardware sind etwa die Firewall-Gateways der SRX300-Reihe von Juniper. Die verschiedenen Modelle, sie reichen derzeit von der SRX300 bis zur SRX380, bieten eine VPN-Performance von 300 bis maximal 3.500 MBit/s und richten sich damit an kleine bis mittlere Unternehmen. Der Hersteller hat darüber hinaus noch weitere Gateways im Programm, die für größere Kunden gedacht sind und die erheblich mehr Leistung mitbringen. So bietet die SRX1500 eine VPN-Performance von 2 GBit/s, die SRX4600 dann schon bis zu 55 GBit/s, die SRX5600 rund 120 GBit/s und die SRX5800 sogar bis zu 230 GBit/s. Es gibt also auch Gateways, die selbst in Firmen mit Tausenden im Home Office tätigen Mitarbeitern für eine durchgehend hohe VPN-Leistung sorgen.
Auch Cisco Meraki hat vergleichbare VPN-produkte im Programm. Beispiele sind etwa die MX100, die einen VPN-Durchsatz von 500 MBit/s erreicht, oder die MX450, die bis zu 2 GBit/s an VPN-Leistung bietet. Mit Auto VPN hat Cisco Meraki zudem ein Feature im Portfolio, das die Einrichtung neuer VPN-Verbindungen deutlich vereinfacht.
Hilfe bei der Einrichtung eines VPNs
Wenn ein Dienstleister wie HCD Consulting einem Kunden dabei behilflich ist, ein VPN einzurichten, folgt dies meist einem bewährten Ablauf. In der Regel werden mehrere Vorschläge ausgearbeitet, in denen die Sicherheits- und Verschlüsselungsmechanismen festgelegt werden. Außerdem werden der Private Shared Key sowie die IKE-Version definiert. Ferner wird besprochen, welche Netzwerkziele erreicht werden sollen, wer sich mit welchen Diensten verbinden darf und welche Protokolle dafür nötig sind. Im letzten Schritt werden noch die Firewall-Regeln angepasst, dann können die VPN-Verbindungen bereits von den Mitarbeitern genutzt werden. Wer sich mit der Materie tiefer auseinandersetzen will, kann dazu den VPN Configuration Generator von Juniper verwenden, mit dem leicht ein Konfigurations-Template auf Basis der gewünschten Parameter erstellt werden kann.
Schwierigkeiten bei der Einrichtung eines Unternehmens-tauglichen VPNs können dagegen entstehen, wenn die theoretischen und technischen Grundlagen nicht ausreichend bekannt sind. Das gilt insbesondere dann, wenn Sie mehrere Netzwerke miteinander verbinden wollen. Aber auch hier ist Ihnen HCD Consulting gerne behilflich.
Fragen? Fragen!
Ich bin Alexander Zagler aus dem HCD Vertriebsteam. Ich berate Sie gerne oder helfe Ihnen bei Fragen weiter. Sie erreichen mich telefonisch unter+41 58 590 110-0 oder per Kontaktformular.
Jetzt beraten lassen