IP-Insider fragt nach – VPN-Experte Rainer Enders antwortet

Virtual Private Networking im Detail – ein Experte gibt Auskunft

05.01.12 | Autor / Redakteur: Jürgen Hönig / Andreas Donner

Virtual Private Networking im Detail: IP-Insider fragt nach – VPN-Experte Rainer Enders antwortet
Virtual Private Networking im Detail: IP-Insider fragt nach – VPN-Experte Rainer Enders antwortet

Was ist ein Cloud VPN und welchen Schutz bietet es?, was bedeutet IPv6 für IPsec VPNs und welche Business-VPNaaS gibt es? – Der ausgemachte VPN-Experte Rainer Enders, Technischer Leiter bei NCP Engineering in Nordamerika, gibt Antworten.

IP-Insider: Was ist ein Cloud VPN?

Enders: Remote Access out of the Cloud, Virtual Private Network as a Service (VPNaaS) oder Managed Security Service Provider (MSSP) sind unterschiedliche Begriffe für die gleiche Marktanforderung: Unternehmen wünschen, dass mobile Mitarbeiter via Internet auf sichere Art und Weise auf ihr Firmennetz zugreifen können. Aus wirtschaftlichen Gründen vergeben Unternehmen häufig den Betrieb ihres Remote Access VPNs an Cloud, Hosting oder Managed Service Provider.

Die Unternehmen profitieren davon in vielerlei Hinsicht: Keine Investition in Hardware, Software und Inhouse-Experten, schnelle Umsetzung des Remote Access VPN Projekts und niedrige monatliche Kosten. Softwarebasierte Cloud VPN Lösungen lassen sich virtualisieren und leicht skalieren. Im Idealfall sollte ein Cloud VPN auch mandantenfähig sein, alle gängigen Betriebssysteme und Endgeräte unterstützen und ein zentrales Management bereitstellen.

Strategisch gesehen ist ein Cloud VPN eine sichere Verbindung von jedem beliebigen Ort zu den Netzwerkressourcen (Daten und Anwendungen) des Unternehmens. Diese werden zentral bereitgestellt, damit sie für die Mitarbeiter hochverfügbar und vertrauenswürdig bereitstehen. Cloud VPNs müssen auch entsprechende Merkmale besitzen, die den Anforderungen für sicheren Remote Access von jedem Gerät und über jede Netzwerkart und von jedem beliebigen Standpunkt aus entsprechen.

IP-Insider: Kann ein Cloud VPN den gesamten Netzwerkverkehr schützen? Welche Cloud Security Probleme bleiben trotz der Einrichtung eines Cloud VPN bestehen?

Enders: Es gibt keine vollständige Sicherheit, egal ob mit oder ohne Cloud. Jedoch gibt es spezielle sicherheitsbezogene Strukturen und Serviceabwägungen die in Cloud-Umgebungen berücksichtigt werden müssen. Eine interessante Frage in Cloud-Umgebungen ist die Frage nach der Notwendigkeit demilitarisierter Zonen (DMZ). Physikalische wie auch virtuelle Systeme können durch traditionelle DMZ gut geschützt werden. Eine DMZ-Firewall kann zusätzlich zur Geräte- oder Serverfirewall nötig werden, welche entweder vom Betriebssystem selbst oder zusätzlicher Sicherheitssoftware bereitgestellt werden. Zusätzlich kann eine DMZ in der Form einer UTM-Firewall für Unternehmen sehr wichtig sein, um verschiedene Geräte mit Netzwerkzugriff zu schützen. Genauso wie in anderen Umgebungen sind das Management der Geräte, Zugriffsberechtigung der Anwender und zentrales Management wichtig, um Cloud VPN Sicherheit zu gewährleisten.

IP-Insider: Was bedeutet IPv6 für IPsec VPNs?

Enders: Der technische Hauptvorteil von IPv6 liegt in der geringeren Systemverwaltung. Dabei wurde primär die Funktion Network Address Translation (NAT) entfernt – NAT ist die Übersetzung von privaten und öffentlichen IP Adressen. Mit IPv6 nähern sich Firmen auch stärker an End-to-End Security an, da der IPsec Tunnel an entsprechenden Kommunikationspunkten beginnen oder enden kann. Das Gateway muss zwischenzeitlich nicht abgeschaltet werden. Der Authentication Header (AH) ist ein zentraler Bestandteil des IPsec Protokolls und ist jetzt ein zusätzlicher, essentieller Bestandteil der Verbindung. Er kann nicht in NAT Umgebungen verwendet werden und sichert die Quellauthentisierung und den Schutz der Integrität.

Anwender sollten unbedingt darauf achten, dass ihr VPN Provider wirklich Dual-Stack IPsec Implementierung anbietet, d.h. IPv4 und IPv6 gleichzeitig unterstützt. Transport Relay Translator (TRT) Knoten wie sie von RFC 3142 beschrieben werden, unterstützen IPsec nicht über diese Protokollübertragungen – und dies kann den VPN-Netzwerkverkehr einschränken.

IP-Insider: Welche VPNaaS Möglichkeiten gibt es für Unternehmen?

Enders: Viele MSSPs und Cloud Provider bieten VPNaaS an. Nur das Management von VPN Umgebungen ermöglicht effektive Sicherheit. Dabei kann das VPN Management an Provider vergeben werden die entweder eine komplett gemanagte VPN Lösung anbieten oder nur das Management des beim Kunden auf eigenen Systemen laufenden VPN-Lösung. Die VPN Tunnel enden entweder an der DMZ des Unternehmens oder an der des Cloud Providers. Für Unternehmen ist der Vorteil des Cloud Hosting die höhere Wirtschaftlichkeit eines skalierbaren Datenmanagements. Die vorhandene Dateninfrastruktur des Unternehmens kann so in eine VPN Service Infrastruktur über ein Point-to-Point VPN eingebunden werden.

Solchen Szenarien bergen einige große Sicherheitslücken die beachtet und in Angriff genommen werden müssen. Wenn Sie Traffic aus der Cloud in Ihr Netzwerk lenken, benötigen Sie ein angemessenes Sicherheitskonzept. In einem solchen Fall ist es noch wichtiger, dass Sie die Endpunkte kennen und managen. Unternehmen könnten sich dafür entscheiden das VPNaaS Management selbst zu übernehmen und den Vorteil des gehosteten VPN und der gehosteten Management Softwarekomponenten zu nutzen.

Über den Experten

Rainer Enders, VPN-Experte bei NCP Engineering
Rainer Enders, VPN-Experte bei NCP Engineering

Rainer Enders ist technischer Leiter der NCP Engineering in Nordamerika, einer Niederlassung der deutschen Firma NCP Engineering GmbH, welche Lösungen für sicheren Remote Access VPN entwickelt.

Enders arbeitet seit 20 Jahren in der Netzwerk- und Sicherheitsindustrie und hat darüber hinaus Erfahrung in Testautomatisierung, Qualitätssicherung sowie Test und Verifikation von komplexen Netzwerk- und Systemarchitekturen.

Bevor Rainer Enders 2010 zu NCP wechselte, war er Geschäftsführer seiner eigenen Consultingfirma, Rainer Enders Consulting Enterprises, die sich auf Computer-Netzwerksicherheit und Storage Netzwerke spezialisiert hatte. Davor besetzte er verschiedenste technische Posten bei Identity Engines, NeoScale Systems, Yipes Enterprise Services und Ericsson.


Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Spamschutz 

Bitte geben Sie das Ergebnis der Rechenaufgabe (Addition) ein:
Kommentar abschicken

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 31074880) | Archiv: Vogel Business Media

Themen-Newsletter IT-BUSINESS Themen-Update Cloud Computing & Virtualisierung abonnieren.

Hat Ihnen dieser Artikel gefallen?
Wenn Sie wichtige Nachrichten in Zukunft nicht verpassen möchten, dann versorgen wir Sie über unseren Themenkanal-Newsletter gerne direkt mit den aktuellsten News und Fachbeiträgen aus diesem Themenumfeld. Jetzt abonnieren!

* Ich bin mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung und AGB einverstanden.
Spamschutz:
Bitte geben Sie das Ergebnis der Rechenaufgabe (Addition) ein.
Live Demo

Wachstumsmotor IT-Security – sind Sie schon dabei?
In unserem IT-BUSINESS Live-Cast erfahren Sie, welche klaren Wettbewerbsvorteile Ihnen Sophos als Reseller bietet:

Abonnieren Sie unseren Newsletter

Zum Beispiel-Newsletter

Abonnieren Sie den täglichen Newsletter IT-BUSINESS Today!

Sie erhalten kostenlos und pünktlich jeden Morgen und Mittag die aktuellsten News, Hintergründe und Personalien aus dem IT-Markt.

>> Hier geht es weiter zur Registrierung