Einen VPN-Server einrichten: Das sollten Sie wissen

Technologie

Technologie

Datum 03.03.2021
Lesezeit 7 Min.

Einen VPN-Server einrichten: Das sollten Sie wissen

Einen VPN-Server einzurichten muss kein Hexenwerk sein. Sofern Sie nicht auf einen CorporateDataAccess-Anbieter wie Vodafone vertrauen und dabei lediglich bestimmte Parameter anpassen, bietet das Internet jede Menge Informationen zu dessen Einrichtung für quasi jedes Server-Betriebssystem. Trotzdem oder gerade deshalb sollten Sie als IT-Administrator einige wichtige Aspekte nicht unberücksichtigt lassen. 

Was hinter dem Begriff VPN steckt, wie derart gesicherte (Sub-)Netze technisch gesehen funktionieren sowie wichtige Unterschiede zwischen Corporate- und Consumer-VPNs haben wir Ihnen bereits an anderer Stelle erläutert. Ebenso haben wir für Sie typische VPN-Probleme zusammengetragen einschließlich möglicher Lösungen. An dieser Stelle wiederum geht es um die Einrichtung eines VPN-Servers in Ihrem Unternehmen. Wenngleich dieses Vorhaben je nach Server-Betriebssystem, Client-Struktur und Ihren Compliance-Anforderungen unterschiedlich ablaufen dürfte, gibt es doch einige wichtige Aspekte, die Sie stets berücksichtigen sollten.

 

So richten Sie einen VPN-Server ein

Einige Unternehmen betreiben die zur Einwahl erforderliche Infrastruktur selbst, andere nutzen schlüsselfertige Lösungen, wie sie Vodafone mit seinem mobilen IP-VPN-Angebot im Portfolio hat. Der sogenannte Corporate Data Access (CDA, also der firmeneigene, geschützte Datenzugang) kann sowohl via IPsec als auch via MPLS-Technik angebunden werden. Da Vodafone in diesem Fall sowohl die VPN-Server als auch die Zugangsnetze betreibt, können wir als Netzbetreiber in attraktiven Leistungspaketen weitere Funktionen und Sicherheitsebenen direkt mit realisieren.

CorporateDataAccess 5.0: Eigener APN, automatische Authentifizierung und Auslands-Support

So ist es bei der Nutzung des Vodafone CorporateDataAccess übers Mobilfunknetz möglich, die Teilnehmer bei jeder Einwahl zusätzlich zu Login-Daten auch noch über ihre Rufnummer zu authentifizieren. Dadurch können sich unberechtigte Dritte selbst dann nicht am Firmenserver anmelden, wenn ihnen die Zugangsdaten bekannt sein sollten. Das VPN wird zudem netzseitig aufgebaut, sodass der Nutzer keine zusätzliche App auf seinem Smartphone oder Tablet installieren und regelmäßig aktualisieren muss.

Ein weiterer Vorteil von netzanbietergestützten VPN-Verbindungen ist, dass diese von der tatsächlichen Transport-Technik weitgehend unabhängig sind. Die Einwahl kann also grundsätzlich über die verschiedenen Festnetztypen wie DSL/VDSL, Breitbandkabel oder Glasfaser ebenso erfolgen wie über beliebige Mobilfunkstandards wie 2G/GSM, 3G/UMTS oder 4G/LTE. Verbindungen aus dem Ausland zum heimischen VPN-Server sind ebenso sicher wie im Inland. Die Verbindung kann aus Sicherheitsgründen aber auch auf bestimmte Zugangswege, beispielsweise ausschließlich mobile Datenverbindungen, beschränkt werden.

Einen VPN-Server selbst einrichten: Mit RAS unter Windows, Linux und Co.

Als fortgeschrittener Anwender mit Kenntnissen in den wichtigsten Systemumgebungen und im Bereich RAS-Einrichtung (Remote Access Service) können Sie mit überschaubarem Aufwand selbst eine VPN-Einwahl bereitstellen. Das Thema RAS-Einrichtung war früher vor allem für notwendige Modem- und ISDN-Einwahlen bei Providern notwendig und wird heute für die VPN-Konfiguration genutzt: Ihre Nutzer „wählen” sich also letztlich in Ihr VPN ein.

Wie das im Detail funktioniert, erfahren Sie für Windows Server-Umgebungen in dieser Anleitung. Alternativ können Sie einen VPN-Server auch auf Linux-Basis einrichten. Aus Sicherheitsgründen empfehlen wir Ihnen jedoch, sich bezüglich der Einrichtung eines VPN-Zugangs unter verschiedenen Umgebungen wie Exchange, Unix, Linux und Co. stets an einen Netzwerkspezialisten im Bereich Internet-Sicherheit zu wenden.

Immerhin hat auch die VPN-Einwahl unter Umständen Schwachstellen – beispielsweise, wenn der verwendete Schlüssel ausgespäht wird oder die VPN-Einwahldaten in falsche Hände geraten.

Beim Einrichten einer VPN-Einwahlmöglichkeit können Sie mit Hilfe der Zwei-Faktor-Authentifizierung für zusätzliche Sicherheit sorgen. Sie stellt sicher, dass die Person, die sich einwählt, auch die ist, die sie zu sein vorgibt. In diesem Fall ist neben der Einwahl die zusätzliche Bestätigung über ein anderes Medium, beispielsweise via SMS auf das Smartphone des Nutzers, erforderlich.

VPN-Unterstützung auf jedem mobilen Endgerät

VPN-Verbindungen stehen grundsätzlich in praktisch allen Betriebssystemen zur Verfügung – und somit auf jedem mobilen Endgeräts. Bei der Konfiguration einer Verbindung lässt sich dabei üblicherweise einstellen, ob diese per IPsec oder mit anderen Verschlüsselungsprotokollen über ein MPLS-Netz läuft.

Der Zugriff lässt sich mit den Bordmitteln aktueller Windows- und Mac-OS-Versionen ebenso einrichten wie auf den mobilen Systemen iOS und Android. Je nach verwendeter Plattform kann es aber auch erforderlich sein, statt der systemeigenen, ab Werk mitgelieferten VPN-Funktionen einen separaten Client zu installieren, der gezielt auf die Zusammenarbeit mit dem Server auf Firmenseite ausgelegt ist.

 




Video: YouTube / TecChannelTV

 

IPsec oder SSL/TLS: Das sind die Unterschiede

IPsec: Sicherheit auf IP-Ebene

Bei den Client-Verbindungen zu Ihrem Unternehmen kommt bei klassischen VPN-Implementierungen häufig die sogenannte IPsec-Protokollsuite zum Einsatz. Wie der Name bereits andeutet, bietet diese Sicherheit auf der Ebene von IP-Adressen. Der entfernte Computer wird als Teil des Unternehmensnetzwerks gesehen und die Daten werden mit Hilfe des eben genannten Protokolls auf sichere Weise zwischen Computer und Ihrem Unternehmen übertragen. Ein wesentlicher Vorteil eines IPsec-VPNs ist, dass es „egal” ist, welche Art von Dienst Sie nutzen: Der gesamte Netzverkehr ist abgesichert. In der Praxis können allerdings Probleme auftreten: Dann nämlich, wenn Sie Dienste nutzen wollen, die in Ihrem Unternehmen beispielsweise per Firewall blockiert sind.

Secure Enterprise Messaging

Secure Enterprise Messaging

Unternehmen, die DSGVO-konforme Kommunikation gewährleisten wollen, kommen um eine Secure Enterprise Messaging-Lösung nicht herum. Spätestens, wenn Mitarbeiter aus dem Homeoffice heraus oder von unterwegs aus arbeiten sollen, gehört ein mobiler VPN-Zugang quasi zum Pflichtprogramm. 

Mit Vodafone CorporateDataAccess 5.0 erhalten Sie eine schlüsselfertige Lösung, um mobile Endgeräte wie Smartphones, Laptops und Tablets via Mobilfunknetz mit Ihrem Unternehmen zu verbinden. Und das alles ohne zusätzliche Software oder Apps.

Ein SSL-basiertes VPN steuert den Unternehmens-Zugriff auf Dienstebene

In der Praxis ist es selten notwendig, Mitarbeitern von daheim aus Vollzugriff auf sämtliche Unternehmensdienste zu ermöglichen. Unter anderem zu diesem Zweck wurden sogenannte SSL-VPNs entwickelt (auch als webbasierte VPNs bekannt). Diese realisieren den Zugriff auf bestimmte Services auf Dienst- und nicht auf IP-Ebene. SSL steht dabei für „Secure Socket Layer” und bezeichnet genau wie TLS („Transport Layer Security”) ein Verschlüsselungsprotokoll zur sicheren Datenübertragung via Internet.

Eine solche Verschlüsselung auf Dienstebene hat zum einen den Vorteil, dass Ihr Unternehmen „fremde” (häufig private) und potenziell „unsichere” Rechner nicht auf sämtliche Dienste zugreifen lässt. Zum anderen bietet ein solches VPN die Möglichkeit, dass Mitarbeiter gängige Dienste wie Skype oder Google Meet weiterhin über die private Internet-Leitung und hausinterne Services wie beispielsweise Teams und andere Webanwendungen über das SSL-VPN zu nutzen.

Bei den SSL-VPNs wiederum wird zwischen drei verschiedenen Dienstarten unterschieden:

  • Fat Client SSL VPN: Hier wird wie beim klassischen IPsec-VPN dem entfernten Computer Vollzugriff auf das Firmennetzwerk gewährt. Auf dem Client-Computer wird zuvor eine entsprechende Software installiert.
  • Thin Client SSL VPN: Eine solche VPN-Lösung funktioniert üblicherweise auf Browserebene. Sie wird meist als Plugin installiert und ermöglicht den Zugriff auf bestimmte Netzwerkdienste im entfernten (Unternehmens-)Netz. Das Plugin wird auch als Proxy bezeichnet, da es die entsprechenden Internet-Datenpakete entgegennimmt, analysiert und weiterleitet.
  • Clientless SSL VPN: Hier wird auf den lokalen Proxy verzichtet und lediglich Zugriff auf bestimmte, hausinterne Webanwendungen gewährt.

In der Praxis wird bei den dienstbasierten VPNs inzwischen übrigens vermehrt auf TLS-Verschlüsselung gesetzt; das Funktionsprinzip ist aber (beinahe) dasselbe wie auf SSL-Basis.

 

VPN-Einwahl: Das Verschlüsselungsprinzip

Das Zauberwort bei VPN heißt verschlüsselte Datenübertragung. Nur der tatsächliche Sender und der beabsichtigte Empfänger „wissen”, wie die Daten zu lesen sind. 

Das funktioniert in der Praxis ähnlich wie Geheimcodes aus der Schulzeit: Zwischen zwei Teilnehmern A und B wird ein Übersetzungscode vereinbart. Je länger (und somit komplizierter) dieser ist, umso sicherer ist die Übertragung – und umso aufwändiger ist die Entschlüsselung.

Während Verschlüsselungen mit beispielsweise acht Bit „Stärke” (also 256 möglichen Zahlenkombinationen aus Nullen und Einsen) theoretisch durch simples „Ausprobieren” sämtlicher Möglichkeiten „geknackt” werden können, steigt dieser Arbeitsaufwand mit der Anzahl verwendeter Schlüssel-Bits (also dessen „Stärke” oder „Länge”) exponentiell an. 

Moderne Verschlüsselungs-Algorithmen arbeiten mit mindestens 128, meist sogar mit 256 Bit. Im letztgenannten Fall müsste ein Angreifer also bis zu 2^256 mögliche Schlüssel ausprobieren, um an Ihre Daten zu gelangen. In der Praxis dauert dies selbst mit modernen Computern bis zu mehrere Millionen Jahre.

Zu Beginn der Übertragung wird zwischen den Parteien also ein entsprechend langer digitaler Schlüssel aus Nullen und Einsen vereinbart. Dieser wird nun mit den tatsächlichen Daten kombiniert, wodurch die Daten ohne den Schlüssel keinen Sinn mehr ergeben. Auf der Gegenseite wird nach der Übertragung dasselbe Verfahren andersherum angewandt – und die Daten sind wieder sichtbar.

Dasselbe Prinzip findet übrigens abseits von VPN-Einwahlen heute schon bei fast allen Webseiten Anwendung: Statt der unverschlüsselten Übertragung via http:// (Hypertext Transfer Protocol, der Übertragungsstandard für Internet-Webseiten) steht den meisten URLs heutzutage https:// voran, was auf eine sichere Verbindung hinweist. So wird verhindert, dass beispielsweise Kreditkartendaten, die Sie auf einer solchen Webseite eingeben, von Dritten ausspioniert werden können.

 




Video: YouTube / Werde Ingenieur

 

Bietet Ihr Unternehmen bereits eine VPN-Einwahl an oder ist diese geplant? Setzen Sie auf CorporateDataAccess, IPSec oder auf SSL-VPN? Wir sind gespannt auf Ihren Kommentar.

 


Alexander Stati
Binasa Gicic
Carlo Kramer
Hans-Martin Finck
Thorsten Spinger

Ihre Digitalisierungs-Berater für den Mittelstand

Sie haben Fragen rund um die Digitalisierung? Unser Experten-Team steht ihnen gerne kostenlos
und unverbindlich im Chat (Mo.-Fr. 8-18Uhr) oder telefonisch unter 0800 1071006 zur Verfügung.

 

Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Facebook Twitter WhatsApp LinkedIn Xing E-Mail