Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

23.10.1998 - 

Alternative zum herkömmlichen Remote Access

Virtual Private Networks machen Fernzugriffe auf Firmennetze billiger

Teleworker, Außendienstmitarbeiter, Zweigstellen, Geschäftspartner und Lieferanten eines Unternehmens brauchen den Zugriff auf dessen zentrale Netzressourcen. Mit VPNs geschieht dies über einen lokalen Internet-Service-Provider (ISP), der die Verbindung zum Internet herstellt. Die zu übertragenden Daten werden durch das unsichere öffentliche Datennetz bis zum Ziel-Server "getunnelt", also für den Transfer verpackt. Durch eine Kombination von Tunneling- und Verschlüsselungsverfahren läßt sich der Datenverkehr zusätzlich absichern.

Analysten erwarten eine steigende Nachfrage nach VPNs. Nach Meinung der Gartner Group etwa werden bis zum Jahr 2002 schon 90 Prozent aller Unternehmen ihre bestehenden Remote-Access-Applikationen mit VPNs ergänzen. Einer der Gründe hierfür ist der, daß die Technologie Anwendern hilft, die Kosten für die Anbindung von externen Anwendern, Zweigstellen und Geschäftspartnern zu reduzieren. Da Zugriffe auf Ressourcen im Unternehmens-LAN via Internet und nicht über Wählleitungen erfolgen, entfallen die Kosten für Ferngespräche. Die Firmen zahlen lediglich den Ortstarif für die Einwahl beim Point of Presence (PoP) des ISPs sowie dessen Internet-Gebühren.

Das Einsparungspotential hierbei ist enorm: So schätzen die Marktforscher von Forrester Research, daß VPNs die Kosten für den Fernzugriff um bis zu 60 Prozent reduzieren können. Kommen anstelle von herstellerspezifischen Lösungen zudem offene Remote-Access-Server zum Einsatz, die auf standardisierter PC-Hardware und dem Betriebssystem Windows NT basieren, lassen sich die Ausgaben weiter senken. Doch auch Internet-Service-Provider können profitieren, indem sie Unternehmen, die den Remote-Access-Service outsourcen wollen, die benötigten VPN-Dienste anbieten.

VPNs werden über das Point-to-Point Tunneling Protocol (PPTP) realisiert, das Server-seitig bereits fester Bestandteil von Windows NT ist (siehe Kasten "PPTP auf einen Blick"). Für Clients stellt das Betriebssystem Windows 98 die entsprechende Funktionalität standardmäßig zur Verfügung, Windows 95 ist in Verbindung mit der Version 1.2 des Datenfernübertragungs- (DFÜ-) Adapters von Microsoft dazu ebenfalls in der Lage. Ein Mitarbeiter an einem entfernt stehenden Rechner kann sich damit über das Internet in ein Firmennetz einwählen und dann so arbeiten, als ob eine direkte Verbindung bestünde.

Microsoft investiert in den "Routing and Remote Access Service" (RRAS) des Windows NT Server und integriert zunehmend Connectivity-Funktionen, die die Administration von Remote- Access-Systemen vereinfachen.

Das bedeutet für Anwender, daß sie die Unterhaltskosten für solche Systeme reduzieren und weitere Einsparungen erzielen können. Hersteller von offenen Remote-Access-Servern bieten neben Sicherheit und Performance auch Kontroll- und Management-Funktionen, die Unternehmen zur Errichtung eines VPNs benötigen.

Technisch gesehen erfolgt der Zugriff auf das Firmen-LAN für einen Außendienstmitarbeiter, für Teleworker und auch von einer Zweigstelle via VPN immer nach einem bestimmten Muster. In einem ersten Schritt stellt der Fernanwender oder ein Server in einer Zweigstelle eine Verbindung zum Einwahlknoten eines lokalen ISPs her. Die Datenübertragung erfolgt danach verschlüsselt, für die sichere Weiterleitung via Internet bis zum Remote-Access-Server werden die Informationen getunnelt. Dabei öffnet der Remote-Client ohne aktives Eingreifen des ISPs einen privaten Tunnel, der bis ins Firmen-LAN reicht. Der dortige Remote-Access-Server authentifiziert die Remote-Clients oder -Server und sichert so die zentrale Unternehmens-DV gegen unbefugte Zugriffe von außen ab (siehe Kasten "Sicherheitsaspekte").

In diesem Szenario sind die Unternehmensnetze in der Regel über einen Euro-ISDN-Anschluß in Standleitungsbetrieb mit dem jeweiligen ISP verbunden. Zugleich können durch einen Primärmultiplex-Anschluß, der 30 B-Kanäle mit jeweils 64 Kbit/s nutzt, direkte Wählverbindungen unterstützt werden. Das erhöht die Flexibilität der Firmen, da sie somit in der Lage sind, von den Vorteilen der niedrigeren Verbindungskosten über das Internet Gebrauch zu machen und unnötige Ausgaben für teure Ferngesprächsverbindungen zu vermeiden. Lokale Einwahlknoten der ISPs stehen nahezu flächendeckend zur Verfügung; die eingesparten Telefongebühren können in die Steigerung der Zuverlässigkeit von Remote-Access-Lösungen investiert werden. Ein Vorteil, der für VPNs spricht, insbesondere wenn man sie mit Wide Area Networks (WANs) und privaten Netzen vergleicht, die ausschließlich auf dem öffentlichen Telefonnetz basieren.

Die meisten Unternehmen wollen jedoch nicht völlig auf die Einwahl über das Telefonnetz verzichten. Sie brauchen daher keine reinen VPN-Systeme, sondern Remote-Access-Server, die den gemischten Betrieb (Dialup- und VPN-Zugang) von einer einzigen Plattform aus unterstützen. Auch die möglichst problemlose Integration zukünftiger Technologien spielt für Anwender eine große Rolle: Zugangsverfahren wie Digital Subscriber Line (xDSL) oder Kabelmodems gewinnen zunehmend an Bedeutung. Remote-Access-Systeme sollten daher in der Lage sein, solche Varianten bestmöglich zu unterstützen.

Das heißt auch, daß mehrere Anwendungen auf einem einzigen Server laufen müssen, der sowohl den Zugang über das Internet als auch via das öffentliche Telefonnetz unterstützt. Dabei können gerade Unternehmen mit lokalen Netzen auf Basis von Windows NT den PC-basierten Fernzugriff einfach aufbauen. Die vier Hauptfunktionen hierbei sind:

-Inbound VPN-Access: Remote-Clients oder -Server wählen sich beim PoP des lokalen ISPs ein. Die Signale werden über das Internet zur IP-Adresse des mit dem Unternehmens-LAN verbundenen Servers "getunnelt". Über eine digitale Hochgeschwindigkeits-Leitung gelangen die Daten vom lokalen PoP des Unternehmens dann zum Firmen-LAN.

-Outbound VPN-Access: Der Server öffnet einen Tunnel zum ISP, um eine Verbindung zu einem Remote-Server oder -Client herzustellen.

-Outbound LAN Dial-out Serial Port Application Pooling: Ausgehende Signale werden vom Server gebündelt und über das öffentliche Telefonnetz geroutet. Dabei nutzt der Server bis zur Vermittlungsstelle eine schnelle digitale Leitung.

-Inbound Dial-up Remote-Access: Remote-Clients wählen sich über das öffentliche Telefonnetz direkt in den Server ein, um auf Unternehmens-Ressourcen zugreifen zu können.

Unternehmen haben somit die Möglichkeit, preiswert VPNs einzurichten, die auf PC-basierten Servern aufbauen und die Sicherheitsvorteile des Internet-Tunnelings nutzen. Dabei bietet der VPN-Zugang auch wesentlich bessere Skalierbarkeit, da sich offene Remote-Access-Geräte leichter integrieren lassen als proprietäre Lösungen.

Bei einem Dial-VPN wählt sich ein Remote-User entweder über ein Analogmodem oder eine ISDN-Karte beim PoP des ISPs ein. Bei Server-to-Server-VPNs können Unternehmen hochverfügbare, aber teure Standleitungen zwischen ihren Geschäftsstellen durch schnelle Tunneling-Verbindungen über das Internet ersetzen und damit die Kosten für den Fernzugriff erheblich reduzieren. Remote-Access-Server, die bei Bedarf eine analoge oder digitale Verbindung herstellen können, gewährleisten hierbei den Datenverkehr über eine rasche Internet-Verbindung zum zentralen Firmen-LAN und zu anderen externen Firmensitzen.

In den meisten Unternehmen, die ihre Netzwerke um VPN-Features erweitern, besteht bereits eine herkömmliche Remote-Access-Lösung. Es ist daher wichtig, eine Strategie zu entwickeln, die diese Infrastruktur nutzt und darüber hinaus Remote-Clients und -Servern einen Zugang zum Unternehmensnetz auch mittels VPN ermöglicht. Offene Remote-Access-Server sind hier eine interessante Alternative zu proprietären Systemen: Sie schaffen aufgrund ihrer Flexibilität, Skalierbarkeit und Sicherheit gute Voraussetzungen für Fernzugriffe sowohl über das öffentliche Telefonnetz als auch via Internet. Hinzu kommt, daß viele Hersteller solcher Systeme umfangreiche Softwarepakete offerieren, die Microsofts RRAS ergänzen.

Sicherheitsaspekte

Benutzer-Authentifizierung, Verfahren zur Verschlüsselung von Daten sowie Methoden der Zugangskontrolle stellen zentrale Komponenten der Sicherheit in einem Virtual Private Network dar. Die Authentifizierung erfolgt dabei entweder durch die Eingabe von Name und Paßwort oder über eine Chipkarte in Verbindung mit einer Geheimzahl. Die Identifikation eines Benutzers wird damit deutlich sicherer. Verschlüsselungsmechanismen auf PPP- oder IP-Ebene garantieren zusätzlich die Sicherheit der Informationen. Beispielsweise lassen sich mit dem Verfahren Pretty Good Privacy (PGP) digitale Signaturen erzeugen und damit Daten sichern.

PPTP auf einen Blick

Das Point-to-Point Tunneling Protocol (PPTP) ist die Weiterentwicklung des Point-to-Point Protocol (PPP). PPP kommt zum Einsatz, wenn sich ein Anwender bei einem Internet-Service-Provider (ISP) anmeldet, der über eine Standleitung eine Verbindung zum Internet bereithält. Als Standardprotokoll für die Datenkommunikation bietet PPP Paßwortschutz und überprüft die Benutzerberechtigung eines Anrufers, etwa durch das Password Authentication Protocol (PAP) oder das erweiterte Challenge Handshake Authentication Protocol (CHAP).

Laufen PPP-Anrufe bei einem Zugangs-Server eines ISPs auf, überprüft dieser die Benutzer und läßt sie gegebenenfalls zu. Der Server entfernt die nicht mehr benötigte PPP-Information und leitet die Pakete an die gewünschte Zieladresse (IP-Adresse) im Netz weiter.

Beim Tunneling werden PPTP-Pakete in IP-Pakete verpackt. Nach der ersten Einwahl beim Internet-Provider erfolgt ein zweiter logischer Verbindungsaufbau vom Sender zum Empfänger, um Daten in einem Tunnel zu übertragen. Auf der Empfängerseite wird noch einmal die Benutzerberechtigung des Anrufers überprüft, bevor er Zutritt ins Firmen-LAN erhält. PPTP sorgt also für einen sicheren Zugang zu Firmen-LANs über das Internet, der Remote-Zugriff vom Benutzer zum privaten LAN erfolgt vollkommen geschützt.

Stefan Gieseler ist General Manager Europe der Rascom GmbH in Dortmund.