VPN-Technik und Security-Herausforderungen - NCP ePaper powered by LANline

Praxistest: VPN-Lösung Infotecs Vipnet

Sicherer Softwaretunnel

geschrieben von Thomas Bär und Frank-Michael Schlede/pf.

Geht es darum, sowohl Filialen als auch die mobilen Mitarbeiter eines Unternehmens über das Internet hinweg sicher zu anzubinden, sind VPN-Lösungen die erste Wahl. Allerdings gilt die Einrichtung eines solchen virtuellen privaten Netzwerks als aufwändig und verlangt häufig den Einsatz zusätzlicher Hardware. Wir haben mit Vipnet von Infotecs eine Lösung ins Testlabor geholt, die verspricht, diese Einschränkungen nicht zu besitzen.

Nicht erst die erschreckenden Erkenntnisse zu den Spionagetätigkeiten ausländischer Geheimdienste sollten es als selbstverständlich erscheinen lassen, dass Unternehmen ihre Daten nicht offen über das Internet versenden. Noch prekärer wird die Situation, wenn die Mitarbeiter mobil und von beliebigen Standorten aus auf die Daten und Anwendungen im Unternehmensnetzwerk zugreifen sollen: Dabei sollte im Idealfall die gesamte Übertragung verschlüsselt – also am besten mithilfe eines VPN-Tunnels – stattfinden.
 
Softwarebasierende Lösung in einem Paket

Der auf IT-Sicherheitslösungen spezialisierte Hersteller Infotecs bietet mit dem Produkt Vipnet eine VPN-Lösung an, die in der hier getesteten Version ausschließlich auf Software basiert. Zudem nimmt der Hersteller für sich in Anspruch, mit diesem Produkt eine besonders leicht zu installierende und zu betreibende Lösung zu besitzen. Wir haben für diesen Test die 60-Tage-Testversion erhalten. Interessenten können die Software auch direkt von der Website des Anbieters herunterladen. Es handelt sich dabei um eine knapp 400 MByte große ausführbare Installationsdatei für Windows-Systeme, die alle Teile der Lösung beinhaltet. Diese besteht insgesamt aus drei Bestandteilen, die zusammen das virtuelle Netzwerk bilden:
„Vipnet Coordinator“: Diese Server-Komponente stellt das Herzstück der Lösung dar. Sie fungiert als Server für die VPN-Clients, bietet unter anderem auch Proxy- und Firewall-Funktionen und organisiert die IP-Adressen des virtuellen Netzwerks. Bei der von uns getesteten Version stand diese Komponente als klassisches Windows-Programm bereit. Der Hersteller bietet sie aber auch als virtuelle oder Hardware-Appliance an.
„Vipnet Network Manager“: die Steuer- und Kontrollkomponente des Netzwerks. Mit dieser Software können Administratoren die logische Struktur des VPNs sowohl erstellen als auch kontrollieren. Ein integrierter Assistent hilft beim Anlegen dieser Struktur.
„Vipnet Client“: Die Client-Komponente steht für Systeme unter Windows, Mac OS X und Linux bereit. Neben dem reinen Netzwerkzugang und damit dem Schutz durch das VPN stehen dabei auch zusätzliche Funktionen wie ein sicherer Dateitransfer zur Verfügung.
Alle Systeme, die untereinander über die auf ihnen installierte Vipnet-Software verbunden sind, kommunizieren miteinander verschlüsselt. Dabei sorgt die Software dafür, dass sämtliche TCP/IP-Pakete zwischen diesen Systemen entsprechend verschlüsselt und auch gefiltert sind. Diese Verbindung lässt sich unabhängig davon aufbauen, wo sich die entsprechenden Systeme befinden. Somit kann der Anwender die Software sowohl zur sicheren Kommunikation innerhalb eines LANs als auch zum Datenaustausch über eine Internet-Verbindung nutzen. Eine wichtige Rolle spielt in diesem Zusammenhang die vom Hersteller als Vipnet-Kryptotreiber bezeichnete Software – sie übernimmt die Kontrolle über die Kommunikation schon vor der Anmeldung des Nutzers am System. Dabei ver- und entschlüsselt, filtert und überwacht sie alle TCP/IP-Pakete, die über das VPN laufen.
Die von uns getestete Version der Software arbeitet rein Client-orientiert: Geräte, die Teil des virtuellen Netzwerks sein sollen – ganz gleich ob es sich um PCs oder mobile Geräte wie Smartphones unter Android und IOS handelt –, müssen mit dem entsprechenden Client von Vipnet ausgestattet sein. Dieser überwacht den gesamten TCP/IP-Netzwerkverkehr des jeweiligen Systems innerhalb des virtuellen Netzwerks. Administratoren können diese Systeme auch so konfigurieren, dass die Nutzer nur innenhalb des virtuellen Netzwerks und damit über die gesicherte Tunnelverbindung kommunizieren.
Die ebenfalls vom Hersteller erhältlichen Lösungen „Vipnet Coordinator VA“ (virtuelle Appliance) und „Vipnet Coordinator HW“ (Hardware-Appliance) hingegen basieren laut Hersteller auf dem proprietären Betriebssystem „Infotecs OS“. Diese Produkte lassen sich zusätzlich zu den Funktionen, die die reine Softwarelösung zur Verfügung stellt, auch als Proxy-Server mit den Funktionen „Content Control“ und „Antivirus“ einsetzen. Weiterhin können sie als SIP-VoIP-Telefonanlage fungieren und ermöglichen in ihrer Funktion als IPSec-Gateway auch das Zusammenspiel mit anderen rein auf IPSec-basierende VPNs. Doch auch mit der softwarebasierenden Lösung ist die sichere Verbindung zwischen zwei Vipnet-Netzwerken als sogenannte Partnernetzverbindung möglich, sodass die Client-Systeme dieser beiden Netze dann ebenfalls ihre Datenpakete untereinander austauschen können.
 
Installation und Inbetriebnahme

In unserem Test kam die aktuelle Version 4.2 der Software zum Einsatz, die seit Dezember 2013 erhältlich ist. Während die vorherige Version noch die Bezeichnung „Vipnet Office 3.0“ trug, heißt das Produkt nun „Vipnet VPN 4.2“.
Als zentrales System für den Coordinator kam im Test ein Windows Server 2008 R2 zum Einsatz. Dieser Rechner besaß zudem eine direkte Verbindung zum Internet sowie eine feste öffentliche IP-Adresse. Steht nur ein Server hinter einem NAT-Router zur Verfügung, so muss mittels Port Forwarding sichergestellt sein, dass er von außen erreichbar ist. Ebenso ist beispielsweise die Nutzung von Dynamic DNS zur Adressierung möglich.
Als Client-Systeme nutzten wir im Test verschiedene Rechner sowohl unter Windows 8.1 als auch unter Windows 7. Den Coordinator installierten wir zum Überprüfen der Kompatibilität zudem auch auf einem Windows Server 2012 R2 in der aktuellsten Konfiguration, was ebenfalls problemlos funktionierte. Alle Server- und Client-Rechner waren mit den 64-Bit-Versionen der jeweiligen Betriebssysteme ausgestattet.
Da die ausführbare Installationsdatei alle drei Komponenten beinhaltet, startet sie mit einem Übersichtsbildschirm, der in drei Abschnitten durch Installation und Einrichtung des VPNs führt. Wir haben uns an die vom Hersteller vorgegebene Anleitung gehalten und zunächst den Manager-Arbeitsplatz erstellt. Dabei installierten wir den Vipnet Network Manager auf einen Arbeitsplatz unter Windows 7. Diese Steuerkomponente könnte auch zusammen mit dem Coordinator auf dem Server-System laufen, insgesamt erschien es uns aber sinnvoller, eine dedizierte Administrator-Workstation zu konfigurieren. Der Network Manager leitet den Anwender bei der Installation Schritt für Schritt durch Einstellung und Konfiguration des eigenen virtuellen Netzwerks.
Es erwies sich während des Testverlaufs als sehr praktisch, dass die Software die meisten Werte sinnvoll vorbelegt. Auf diese Weise können auch weniger erfahrene Administratoren diese Konfiguration schnell so auszuführen, dass danach ein einsatzfähiges Software-VPN zur Verfügung steht. Dabei geht die Lösung so weit, dass sie dem Anwender automatisch Kennwörter samt entsprechenden Passwortphrasen anlegt. Diese werden anschließend nicht nur in den Schlüsseldateien („*.dst“) abgespeichert, die zur Einrichtung der einzelnen Komponenten des Netzwerks notwendig sind, sondern sie stehen dem Administrator auch in einer separaten Textdatei zur Verfügung. Die automatische Konfiguration lässt sich nach den eigenen Wünschen (Passwortlänge und -art, Sprache etc.) konfigurieren oder bei Bedarf auch deaktivieren.
Die anschließende Installation des Clients sowohl auf der gleichen Workstation im Testnetzwerk als auch die des Coordinators auf dem Server war ebenfalls sehr schnell erledigt. Für die Inbetriebnahme muss der Administrator natürlich die feste IP-Adresse des Systems oder die bei einem Dienst wie DynDNS registrierte Adresse eintragen, damit der Server von außen erreichbar ist. Wichtig ist es dabei, dass der Nutzer die zuvor vom Network Manager für die jeweiligen Komponenten erstellten „*.dst“-Dateien mit den Schlüsseln im Zugriff hat, damit er die Programme installieren kann.
 
Schrittweiser Ausbau

Anschließend installierten wir auf einer Windows-7-Workstation an einem anderen Standort lediglich den Client der Lösung und konnten problemlos über das Internet die VPN-Verbindung zu unserem Coordinator-Server im Testlabor aufbauen. Nach und nach nahmen wir weitere Testsysteme als zusätzliche VPN-Clients in das Netz auf. Dazu mussten wir lediglich die Client-Software auf den verschiedenen Notebook- und Desktop-Systemen installieren und die zuvor erstellte Schlüsseldatei einlesen – danach bauten die Clients die Verbindung zum Coordinator und damit zum virtuellen Netzwerk automatisch auf. So schnell hatten wir bislang noch kaum eine VPN-Verbindung einrichten und in Betrieb nehmen können.
Grundsätzlich ist es auch möglich, Android- und IOS-Endgeräte in ein solches virtuelles Netzwerk zu integrieren. Dies setzt allerdings die Konfiguration der Rolle „Netzwerkrichtlinien und Zugriffsdienste“ sowie die Verwendung des Routing- und RAS-Diensts auf dem Windows-Server voraus und blieb im Test unberücksichtigt. Zudem arbeitete Infotecs aktuell noch an einer App für die Android-Plattform, die nach Aussagen des Herstellers inzwischen verfügbar sein sollte. Alternativ können Nutzer eine solche Anbindung durch die Verwendung der Standard-VPN-App unter Android 4 einrichten.
 
Fazit

Die Vipnet-Lösung hat sich in unserem Testszenario gut bewährt. Wir konnten problemlos und relativ schnell ein virtuelles Netzwerk zwischen unseren beiden Teststandorten aufbauen und in Betrieb aufnehmen. Wichtigste Erkenntnis aus diesem Test: Administratoren, die diese Lösung einrichten oder testen, sollten sich genau an die Schritt-für-Schritt-Anleitung halten, die der Hersteller in Form eines sehr umfangreichen PDF-Handbuchs liefert.
Zwar bezieht sich dieses Handbuch noch auf die Vorgängerversion der Software, aber auch die aktuelle Version 4.2 lässt sich nach dieser Anweisung gut installieren. Der Hersteller bietet die Software im Paket „Vipnet VPN Pro“ mit jeweils einem Vipnet Network Manager und einem Vipnet Coordinator (Windows-basierend) sowie zwei Vipnet Clients (Windows und Mac OS) für 249 Euro an. Für 499 Euro erhält der Anwender das Paket „Vipnet VPN Advanced“, das ebenfalls den Network Manager beinhaltet, aber den Coordinator in Form einer Virtual Appliance zur Verfügung stellt. Zudem bekommt der Anwender dort fünf Clients mitgeliefert.
Besonders gut gefallen hat uns, dass die 60-Tage-Testversion mit zwei Coordinatoren, dem Network Manager und zehn Clients sehr umfangreich ausgestattet ist. Auf diese Weise können Administratoren recht gut testen, ob diese Lösung ihren Anforderungen genügt und wie sie sich in die eigene Netzwerkinfrastruktur einfügt.

Arbeitsweise von Vipnet im Überblick: In diesem Beispiel kommen mehrere VPN-Netzwerke zum Einsatz, die sowohl die LAN-Verbindungen als auch den Zugang mobiler Clients sichern.