Immer häufiger nutzen Mitarbeiter mobile Geräte für die geschäftliche Kommunikation. Das Senden sensibler Firmendaten ist aber nicht ganz ungefährlich. Unternehmen sollten deshalb den sicheren Remote-Zugang ins Firmennetzwerk per Smartphone und Tablet gut planen.
von Eric Tierling
Foto: michelangelus - Fotolia.com
Smartphones und Tablets spielen eine immer wichtigere Rolle im Arbeitsalltag, nicht zuletzt aufgrund des Consumerization-Trends in Form von "Bring your own Device" (ByoD). Dabei sind Anwendungsszenarien vielfältig; sie reichen vom E-Mail-Austausch über das Dokumenten-Sharing bis hin zu mobilen Voice- und Videokonferenzen. Dementsprechend sollten die Kommunikationswege abgesichert werden.
Ein bewährtes Konzept zur Absicherung des Remote-Zugangs zum Firmennetz besteht in virtuellen privaten Netzen (VPN). Hier kommuniziert der User verschlüsselt durch einen temporären VPN-Tunnel. Zu den verbreiteten VPN-Tunneling-Protokollen zählen PPTP (Point-to-Point Tunneling Protocol) sowie L2TP (Layer Two Tunneling Protocol) in Verbindung mit IPsec (IP Security).
PPTP, L2TP, IPsec und Co.
PPTP ist relativ einfach in der Handhabung und lässt sich leicht bereitstellen. Allerdings haftet diesem Verfahren der Ruf an, unsicher zu sein, sofern die Benutzer keine komplexen Kennwörter verwenden. Viele Unternehmen nehmen daher von PPTP Abstand. Die alternative VPN-Methode L2TP/IPsec bietet deutlich mehr Sicherheit, da sie eine gegenseitige Echtheitsprüfung einschließt. Allerdings gelangen hierbei Zertifikate zum Einsatz, sodass mit einer L2TP/IPsec-Implementierung eine höhere Komplexität einhergeht.
- Die Open-Source-Lösung
OpenVPN steht in unterschiedlichen Versionen zur Verfügung und stellt auch für Windows-Systeme eine entsprechende GUI bereit. - Ein normaler Vorgang bei der Installation einer VPN-Software
Ein zusätzlicher Netzwerkadapter gelangt auf das System, mit dessen Hilfe der Netzwerkverkehr überwacht wird. - In nur wenigen Minuten eingerichtet
Eine kostenlose VPN-Umgebung für eine 1:1 Server-Client-Verbindung mit OpenVPN. - Kann in der Zusammenarbeit von Windows 7 und Windows Server 2008 R2 zum Einsatz kommen
DirectAccess verbindet die Client-Systeme sicher mit den Windows-Servern im Firmennetz, ohne dass dazu weitere Hard- oder Software nötig ist (Bild-Quelle: Microsoft TechNet). - Funktioniert nur und ausschließlich mit einer Windows-Server 2008 im R2-Release
Die Einrichtung und Überwachung von DirectAccess auf der Server-Seite. - VPN-Clients für IPSec-Verbindungen werden typischerweise auf einem Computer fest installiert
Einer der Gründe dafür ist die Tatsache, dass sie einen zusätzlichen, virtuellen Netzwerkadapter anlegen. (Bild-Quelle: NCP) - Eine funktionelle und einfache Überwachung der VPN-Umgebung
Für den Administrator eine wichtigere Voraussetzung für einen robusten Betrieb seiner Sicherheitslösung. (Bild-Quelle: NCP) - Eine Vielzahl von Optionen
Eine solche Lösung erfordert entweder eine gute Beratung bei der Einrichtung oder das Spezialwissen muss Administrator bereits vorhanden sein. (Bild-Quelle: NCP) - G/On von Giritech
Die Lösung ist dank dem vorkonfiguriertem USB-Stick mit der Client-Software für den Anwender leicht zu bedienen. Dem Administrator stehen dennoch sehr viele Einstellungen zur Verfügung. - Dass eine RDP-Verbindung über G/On aufgebaut ist, lässt sich im Task-Manager nicht feststellen
Die Lösung arbeitet mit einer komplett eigenen Memory-Verwaltung. - G/On-Client
Der G/On-Client im Zusammenspiel mit Microsofts RDP-Verbindung auf einem Apple iPhone. (Bild-Quelle: Giritech) - Telearbeit und Support ist aber auch mit Fernwartungslösungen möglich
Ein Beispiel dafür ist NTR-Connect. Bei diesem Produkt wird die Infrastruktur entweder kostenlos genutzt (bis zu zwei Arbeitsplätze) oder angemietet.
Außerdem gerät L2TP/IPsec gerne in Konflikt mit Firewalls. Denn dieses VPN-Tunneling-Protokoll setzt voraus, dass eine einwandfreie Kommunikation über bestimmte Ports (standardmäßig der TCP-Port 1701 sowie der UDP-Port 500) möglich ist. In der Regel blockieren die Firewalls beispielsweise von Hotspot-Betreibern oder von Hotels solche Ports jedoch. In solchen Situationen können Benutzer dann mit ihrem Mobilgerät keine VPN-Verbindung zum Unternehmensnetz aufbauen.
Hinzu kommt, dass IPsec bei herkömmlichen IPv4-Internet-Verbindungen, wo NAT (Network Address Translation) den privaten vom öffentlichen IP-Adressraum trennt, ins Straucheln gerät, da hierfür Pakete verändert werden müssen, was IPsec als Manipulation einstuft. Unternehmen, die solchen Problemen aus dem Weg gehen möchten, müssen alternative Mechanismen wie NAT-T (NAT-Traversal) nutzen oder auf eine zügige Verbreitung von IPv6 hoffen, bei dem NAT nicht mehr erforderlich ist.
Reine IPSec-VPNs gibt es ebenfalls. Eine probate Alternative zu L2TP/IPsec-basierten VPNs stellen sie jedoch kaum dar: Diese VPN-Variante dient vor allem der sicheren Kopplung mehrerer statischer Standorte, wenn es beispielsweise um die sichere Anbindung von Außenstellen an die Firmenzentrale geht. Beim Remote-Zugang mehrerer oder eventuell gar Tausender Mobilgeräte stößt ein klassisches IPsec-VPN jedoch an die Grenze des sinnvoll Machbaren.