Einen VPN-Server einrichten: Das sollten Sie wissen

Die Übertragung von unverschlüsselten Daten über das Internet ist ein Sicherheitsrisiko: Sie wissen dabei nie, ob vielleicht jemand mithört und Ihr Unternehmen ausspioniert. Ein Virtual Private Network (VPN) garantiert Ihnen größtmögliche Sicherheit, wenn Ihre Mitarbeiter:innen von extern auf Firmendaten zugreifen. Doch bei der Einrichtung eines VPN-Servers sollten Sie einige wichtige Aspekte berücksichtigen.

Falls Sie nicht auf eine Managed-Lösung wie Vodafone Corporate Data Access vertrauen, bietet das Internet jede Menge Informationen zur Einrichtung von VPN-Servern für quasi jedes Server-Betriebssystem. Auf diese gehen wir an dieser Stelle nicht näher ein. Vielmehr geht es um die Vorbereitung und mögliche Fallstricke: Egal ob ein VPN-Server unter Windows oder Linux läuft – vor der Umsetzung einer VPN-Server-Lösung durch Sie selbst oder Ihre IT-Administrator:innen sollten Sie sich mit einigen Prinzipien und Begriffen rund um das Thema VPN-Bereitstellung vertraut machen.

Was ein VPN-Server ist, welche Protokolle und Verschlüsselungsarten dabei zum Einsatz kommen und was Sie vor der Einrichtung eines für VPN für Ihr Unternehmen bedenken sollten, erfahren Sie hier.

 

VPN-Server – das sollten Sie wissen

Der VPN-Unternehmensserver ist gewöhnlich ein normaler Server, etwa auf Basis des Windows-Server-Betriebssystems, nur eben mit zusätzlicher spezieller VPN-Software. Im Unterschied zu einem Standardserver für Dateizugriffe stellen Unternehmen damit sicher, dass lediglich Personen mit einer speziellen VPN-Client-Software eine Verbindung herstellen können. Ohne Authentifizierung durch den Client ist also kein Zugang möglich.

Die Verbindung zwischen VPN-Server und -Client beinhaltet darüber hinaus eine Verschlüsselung der übertragenen Daten, so dass der Zugriff auf das Unternehmensnetzwerk damit besonders sicher ist. Dies gilt unabhängig davon, von wo Sie oder Ihre Mitarbeiter:innen sich einwählen. Es eignet sich demzufolge vor allem für die Einbindung externer Rechner und Mobilgeräte, zum Beispiel aus dem Homeoffice oder unterwegs aus öffentlichen Netzwerken.

Die meisten Unternehmen arbeiten mit VPN-Servern, die genau auf ihre Bedürfnisse abgestimmt sind. Manche betreiben die zur Einwahl erforderliche Infrastruktur selbst, andere nutzen schlüsselfertige Lösungen, wie sie Vodafone mit dem mobilen IP-VPN-Angebot im Portfolio hat.

Den sogenannten Corporate Data Access (CDA, also den firmeneigenen, geschützten Datenzugang) können Sie sowohl via Internet Protocol Security (IPSec) als auch via MPLS-Technik (Technologien zur Standortvernetzung) anbinden. Da Vodafone auf Wunsch für Unternehmen sowohl die VPN-Server selbst als auch die passenden Zugangsnetze betreibt, profitieren Sie als Kunde von attraktiven Leistungspaketen mit weiteren Funktionen und Sicherheitsebenen.

 

CorporateDataAccess 5.0: Eigener APN, automatische Authentifizierung und Auslands-Support

Bei der Nutzung von Vodafone Corporate Data Access über das Mobilfunknetz ist es möglich, die Teilnehmer:innen bei jeder Einwahl zusätzlich zu Log-in-Daten über die Rufnummer zu authentifizieren. Dadurch können sich unberechtigte Dritte selbst dann nicht an Ihrem Firmenserver anmelden, wenn ihnen die Zugangsdaten bekannt sein sollten.

Das VPN baut Vodafone zudem netzseitig auf, sodass es nicht notwendig ist, eine zusätzliche App auf Ihrem Smartphone oder Tablet zu installieren und regelmäßig zu aktualisieren.

Ein weiterer Vorteil von netzanbietergestützten VPN-Verbindungen ist die weitgehende Unabhängigkeit von der tatsächlichen Transporttechnik. Die Einwahl kann also grundsätzlich über die verschiedenen Festnetztypen wie DSL/VDSL, Breitbandkabel oder Glasfaser wie über beliebige Mobilfunkstandards wie 3G/UMTS, 4G/LTE oder 5G erfolgen.

Verbindungen aus dem Ausland zum heimischen VPN-Server sind damit ebenso sicher wie im Inland. Sie können die Verbindung außerdem aus Sicherheitsgründen auf bestimmte Zugangswege beschränken, beispielsweise ausschließlich mobile Datenverbindungen.

VPN-Server unter Windows einrichten: Darauf kommt es an

Fortgeschrittene Anwender:innen mit Kenntnissen in den wichtigsten Systemumgebungen und im Bereich RAS-Einrichtung (Remote Access Service) können mit überschaubarem Aufwand selbst eine VPN-Einwahl auf Windows-Servern bereitstellen. Die RAS-Einrichtung war früher vor allem für notwendige Modem- und ISDN-Einwahlen bei Providern erforderlich und kommt heute bei der VPN-Konfiguration zum Einsatz: Ihre Nutzer:innen „wählen“ sich also letztlich in Ihr VPN ein.

Die IT-Verantwortlichen in Ihrem Unternehmen verwalten und beaufsichtigen die Infrastruktur und Zugriffsberechtigungen aller angebundenen Personen und Geräte – idealerweise eingebunden in Ihr betriebliches Unified Endpoint Management (UEM).

Achtung: Windows stellt auch seitens des Betriebssystems eine vorgefertigte Möglichkeit zur Verfügung, um anderen Rechnern über das Internet oder Ihr Firmennetzwerk einen gesicherten Zugriff auf Ihr Gerät zu gestatten. Dieses sogenannte Point-to-Point Tunneling Protocol (PPTP) eignet sich zwar zum punktuellen Aufbau eines VPNs, idealerweise allerdings nur zwischen wenigen Rechnern. Vor allem gilt es aufgrund des GRE-Protokolls (Generic Routing Excapsulation) bereits seit längerem nicht mehr als sicher, weshalb Sie von der Einrichtung von VPN-Verbindungen via PPTP absehen sollten.

 

VPN-Server unter Linux: Die Open-Source-Alternative

Alternativ können Sie einen VPN-Server auch auf Linux-Basis einrichten. Aus Sicherheitsgründen sollten Sie sich jedoch bei der Einrichtung eines VPN-Zugangs für verschiedene Umgebungen wie Exchange, Unix, Linux und Co. besonders gut mit den Spezifikationen des Betriebssystems auskennen. Im Zweifelsfall ziehen Sie Netzwerkspezialist:innen im Bereich Internetsicherheit hinzu. Immerhin hat auch die VPN-Einwahl unter Umständen Schwachstellen – beispielsweise, wenn Kriminelle den verwendeten Schlüssel ausspähen oder die VPN-Einwahldaten in falsche Hände geraten.

Bei der Einrichtung einer VPN-Einwahlmöglichkeit können Sie mit Hilfe der Zwei-Faktor-Authentifizierung (2FA) für zusätzliche Sicherheit sorgen. Sie stellt sicher, dass die einwählende Person auch die ist, die sie zu sein vorgibt. In diesem Fall ist neben der Einwahl die zusätzliche Bestätigung über ein anderes Medium, beispielsweise via SMS auf das Smartphone der Nutzer:innen, erforderlich.

IPSec und SSL/TLS: Das sind die Unterschiede

 

IPsec: Sicherheit auf IP-Ebene

Unternehmen setzen bei den Client-Verbindungen zwischen einzelnen Netzwerkteilnehmern oft auf klassische VPN-Implementierungen mit der sogenannten IPsec-Protokollsuite. Wie der Name bereits andeutet, bietet sie Sicherheit auf der Ebene von IP-Adressen. Der externe Client fungiert quasi als Teil des Unternehmensnetzwerks. Client-Computer und Unternehmensnetzwerk tauschen mithilfe dieses Protokolls auf sichere Weise Daten aus.

Ein wesentlicher Vorteil eines IPsec-VPNs besteht darin, dass es unerheblich ist, welche Art von Anwendung Sie nutzen: Der gesamte Netzverkehr ist abgesichert. In der Praxis können allerdings Probleme auftreten: Beispielsweise, wenn Sie Dienste nutzen wollen, die in Ihrem Unternehmen per Firewall blockiert sind.

 

SSL-basiertes VPN: Unternehmenszugriff auf Dienstebene

In der Praxis ist es selten notwendig, Mitarbeiter:innen im Homeoffice den Vollzugriff auf sämtliche Unternehmensdienste zu gestatten. Unter anderem zu diesem Zweck wurden sogenannte SSL-VPNs entwickelt (auch als webbasierte VPNs bekannt). Diese realisieren den Zugriff auf bestimmte Services auf Anwendungs- und nicht auf Internetprotokoll-Ebene. SSL steht dabei für Secure Socket Layer und bezeichnet genau wie TLS (Transport Layer Security) ein Verschlüsselungsprotokoll zur sicheren Datenübertragung via Internet.

Eine solche Verschlüsselung auf Dienstebene hat zum einen den Vorteil, dass Ihr Unternehmen „fremde” (häufig private) und potenziell unsichere Rechner nicht auf sämtliche Daten und Anwendungen zugreifen lässt. Zum anderen bietet ein solches VPN die Möglichkeit, dass Mitarbeiter:innen gängige Dienste wie Skype und Google Meet weiterhin über die private Internetleitung nutzen. Hausinterne Services wie etwa Microsoft Teams und andere Webanwendungen laufen dagegen über das SSL-VPN.

Bei den SSL-VPNs unterscheidet man zwischen drei verschiedenen Dienstarten:

  • Fat-Client-SSL-VPN: Hier erhält der entfernte Rechner wie beim klassischen IPsec-VPN Vollzugriff auf das Firmennetzwerk. Auf diesem Client-Computer befindet sich eine entsprechende Software.
  • Thin-Client-SSL-VPN: Eine derartige VPN-Lösung funktioniert üblicherweise auf Browserebene. Sie wird meist als Plug-in installiert und ermöglicht den Zugriff auf bestimmte Netzwerkdienste im entfernten (Unternehmens-)Netz. Das Plug-in läuft häufig auch unter der Bezeichnung „Proxy“, da es die entsprechenden Internet-Datenpakete entgegennimmt, analysiert und weiterleitet.
  • Clientless-SSL-VPN: Diese Dienstart verzichtet auf den lokalen Proxy und gewährt lediglich Zugriff auf bestimmte, hausinterne Webanwendungen.

In der Praxis setzen dienstbasierte VPNs inzwischen vermehrt auf TLS-Verschlüsselung; das Funktionsprinzip ist aber (beinahe) dasselbe wie auf SSL-Basis.

Welches VPN ist das richtige für Ihr Unternehmen?

Wie Sie ein sicheres, internes Firmennetzwerk einrichten, haben wir bereits an anderer Stelle erörtert. Dazu gehört selbstverständlich auch der Einsatz eines Virtual Private Network zum Schutz wichtiger Daten.

Die Auswahl des richtigen VPNs für Ihr Unternehmen hängt dabei vor allem von Ihren Arbeitsanforderungen ab. Wenn Sie beispielsweise nicht auf die Daten zugreifen müssen, die auf Ihren Servern gespeichert sind, dann reicht ein standardmäßiger VPN-Service auf Verbraucherebene meistens aus. Mit einem solchen einfachen VPN-Angebot können Sie zum Beispiel das ungesicherte WLAN eines Cafés nutzen, um Ihre E-Mails zu lesen, da Sie bei Ihren Online-Aktivitäten ausreichenden Abhörschutz genießen.

Wenn Sie jedoch auf Services innerhalb Ihres Unternehmensnetzwerks zugreifen müssen, brauchen Sie vermutlich mehr Schutz. Sobald Sie Voice-over-IP (VOIP) für Online-Telefonie einsetzen, mit vertraulichen Daten arbeiten oder Tools wie Microsoft SharePoint nutzen, ist ein Unternehmens-VPN stets die bessere Wahl.

Hier bietet Vodafone gleich mehrere Lösungen, je nach vorhandenem Bedarf, an:

  • Vodafone CorporateDataAccess 5.0: Binden Sie mobile Geräte wie Smartphones oder Tablets auf sichere Art in Ihr Unternehmensnetz ein. Gleiches gilt für IoT-Geräte, die mit der bestehenden Infrastruktur kommunizieren sollen.
  • Vodafone Managed MPLS-VPN: Vernetzen Sie mehrere Unternehmensstandorte auf sichere Weise. Damit bilden Sie nicht nur spezielle QoS-Anforderungen ab – stattdessen können Sie ganze Filial-Landschaften auf diese Art bundesweit oder sogar international auf sichere Art miteinander und mit zentralen Stellen vernetzen.
  • Vodafone CorporateVPN für flexible Rufnummern-Anzeige: Dieses Angebot bezieht das Thema VPN auf Ihre übliche Festnetznummer. So kann Ihr Außendienst bei Kund:innen mit seiner üblichen Festnetznummer anrufen – obwohl er in Wirklichkeit mobil telefoniert. Gleiches gilt für den umgekehrten Fall: Eingehende Anrufe an bestimmte Festnetznummern stellt die Telefonanlage automatisch an mobile Mitarbeiter:innen durch und gewährleistet so die jederzeitige Erreichbarkeit.

 

MPLS-basierte VPN-Netzwerke: Zusätzliche Sicherheit auf Paketebene

„Normale” IPsec- und SSL-VPNs nutzen zum Datentransport das öffentliche Internet, während MPLS-VPNs (Multiprotocol Label Switching) ein entsprechendes, in sich geschlossenes MPLS-Netz voraussetzen. Dieses ist jedoch meist nur in (größeren) Unternehmen vorhanden.

Bei MPLS unterscheidet der Anbieter seinerseits verschiedene „logische“ Daten-Verkehrsarten. Die VPN-Datenpakete laufen dann zwar über manche Netzabschnitte gemeinsam mit denen anderer Internetanwendungen wie Webzugriffe oder IP-Telefonie. Auf anderen Abschnitten laufen sie dagegen separat und immer durch unterschiedliche Kennzeichnungen (Labels) bei der Verarbeitung getrennt.

MPLS ermöglicht also eine zusätzliche Abtrennung des VPN-Datenverkehrs von der normalen Internetkommunikation. Überdies sind die verwendeten Verschlüsselungsverfahren so robust, dass sie bislang als unknackbar gelten.

 

VPN-Server einrichten: Das Wichtigste in Kürze

  • Ein VPN-Server garantiert durch verschlüsselte Datenübertragung größtmögliche Sicherheit beim Zugriff externer Rechner auf das Firmennetzwerk.
  • Ein VPN-Server ist im Grunde ähnlich zu realisieren wie früher eine ISDN- oder Modem-Einwahl (RAS).
  • Sie können dafür die Corporate-Data-Access-Dienste von Vodafone verwenden oder Ihren VPN-Server selbst konfigurieren.
  • Je nach verwendeter Schlüsselstärke bei der Einwahl sind VPN-Server als unterschiedlich sicher anzusehen.
  • Die Auswahl des richtigen VPNs für Ihr Unternehmen hängt vor allem von Ihren Arbeitsanforderungen ab. Vodafone bietet Ihnen verschiedene Angebotsmodelle für unterschiedliche Bedürfnisse.

Quelle:

https://www.vodafone.de/business/featured/technologie/einen-vpn-server-einrichten-das-sollten-sie-wissen/