All About Security

27.08.2009 VPN - Virtual Private Networks, Fachartikel

Grenzenloses Virtual Private Network / VPN

Im Test: Mobility XE 8.5 von Netmotion Wireless - Mit Mobility XE bietet Netmotion Wireless eine VPN-Lösung für Unternehmen an, die dazu in der Lage ist, bestehende Applikationssitzungen auch beim Wechsel der Netzwerkanbindung sowie bei Verbindungsabbrüchen jeder Art und Dauer aufrecht zu erhalten.

Die VPN-Benutzer haben damit die Möglichkeit, ihre Clients frei zu bewegen und ihren Netzwerkzugang je nach Situation beliebig über kabelgebundene LANs, WLANs oder HSDPA/UMTS- beziehungsweise GPRS-Verbindungen herzustellen, ohne dass dabei ihre einmal begonnenen SSH-, Multimedia-, VoIP-, SAP-, ERP- oder sonstigen Verbindungen (zum Beispiel Web-Anwendungen) abbrechen. Die Lösung ist sogar dazu in der Lage, beim Vorhandensein mehrerer Netzwerkverbindungen automatisch immer die schnellste zu nehmen. IAIT hat sich angesehen, wie sich das Produkt in der Praxis verhält.
Mobility XE - im Test kam bei uns die Version 8.5.8649 zum Einsatz - verwendet das so genannte Internet Mobility Protocol (IMP), um Anwendungssitzungen auch dann am Leben zu erhalten, wenn der dazugehörige Client vorübergehend nicht erreichbar ist, etwa weil er zu einer schnelleren Netzwerkverbindung wechselt oder sich in einem Funkloch befindet. Der Einsatz dieser Technologie ergibt unter anderem für Anwender Sinn, die oft mit dem Zug auf einer Streck wie der zwischen Köln und Frankfurt unterwegs sind. Hier durchfährt der Zug etwa alle drei Minuten einen Tunnel, was immer wieder zu kurzfristigen Verbindungsabbrüchen führt. Da diese sehr häufig auftreten, bringen traditionelle Remote-Access-Lösungen an dieser Stelle keinen Nutzen, da die Anwender mit ihnen die meiste Zeit damit beschäftigt wären, sich immer wieder neu einzuloggen. Da IMP die Verbindungen aufrecht erhält, sind Nutzer der Netmotion-Wireless-Lösung sofort nach dem Verlassen des Tunnels dazu in der Lage, an der gleichen Stelle weiterzuarbeiten, an der sie kurz zuvor aufhören mussten. Mobility XE bringt hier also einen echten Mehrwert und macht in manchen Umgebungen ein produktives Arbeiten erst möglich.

IMP setzt auf RPC-Calls auf und das VPN-Gateway arbeitet als Proxy für die Applikationen. Sind der Client und der Anwendungsserver gleichermaßen erreichbar, so leitet das VPN-Gateway die Datenpakete weiter. Fällt der Client aus, so fährt das VPN-Gateway damit fort, dem Applikationsserver Pakete zu schicken. Diese Pakete teilen der Anwendung mit, dass die Netzwerkverbindung zur Zeit extrem schlecht sei, und dass der Server zunächst keine weiteren Daten senden solle. Damit verhindert Mobility XE, dass die Anwendung ihre Verbindung wegen eines Timeouts abbricht und ermöglicht es dem Client - wenn er wieder online ist - nahtlos mit der Applikation weiterzuarbeiten. Da IMP auf TCP-Ebene arbeitet (die Kommunikation erfolgt über Port 5008 UDP, darin wird IMP auf TCP-Ebene in sich verschlüsselt getunnelt), funktioniert es mit praktisch allen Anwendungen, egal ob es sich um VoIP-Gespräche, Datenbank- und Multimedia-Sitzungen, Telnet- beziehungsweise SSH-Sessions oder Vergleichbares handelt. Interessant ist auch noch die spezifische Eigenschaft von IMP, dass das Protokoll Server- und Client-seitig nur dann mit einem Lebenszeichen auf Anfragen reagiert, wenn als anfragendes Protokoll ebenfalls IMP zum Einsatz kommt. Portscanner laufen damit ins Leere und ein "telnet {Zieladresse} 5008" bringt ebenfalls keine Erkenntnisse.

Umfassende Reports informieren den Administrator nicht nur über die Zahl der Applikationsaufrufe auf den Clients Bildupload

Zu den weiteren Funktionen von Mobility XE gehören eine FIPS-konforme Verschlüsselung, Zwei-Faktor-Authentifizierung, diverse Beschleunigungsfunktionen für die Datenübertragung (Komprimierung, Web-Acceleration, etc.), die Unterstützung von Zertifikaten und ein umfassendes Regelwerk, dass Zugriffsrechte auf die Netzwerke, den Datendurchsatz, die Behandlung bestimmter Applikationen und ähnliches festlegt. Konkret sieht es so aus, dass die Richtlinien, die sich mit Hilfe von Mobility XE erstellen lassen, die Zugriffrechte auf das Remote-Netz auf Protokoll- und Anwendungsebene steuern. Die optional erhältliche Network-Access-Control-Funktion (NAC) schreibt bei Bedarf zusätzlich detailliert die Konditionen vor, die auf dem zugreifenden Client herrschen müssen, damit dieser überhaupt auf das Netz zugreifen darf (beispielsweise aktivierte und aktualisierte Antivirus-Lösung, aktive Firewall und ähnliches). Dazu später mehr. Umfangreiche Reporting-Funktionen runden den Leistungsumfang der VPN-Lösung ab.

Über die Netzwerk-Interface-Groups lassen sich unterschiedliche Netzwerkschnittstellen zusammenfassen  Bildupload

Voraussetzungen

Mobility XE besteht aus insgesamt vier Komponenten, nämlich dem Mobility Server, dem Mobility Warehouse, dem Mobility Reporting Server und der Datenbank, die auf Basis der Express Edition des Microsoft SQL-Servers 2005 realisiert wurde. In den meisten Umgebungen wird es sinnvoll sein, diese vier Bestandteile auf mehrere unterschiedliche Hardware-Systeme zu verteilen, in kleinen Umgebungen mit bis zu 100 Clients sind die zuständigen Mitarbeiter aber dazu in der Lage, alle Komponenten auf einem Server einzuspielen. Die Systemanforderungen lauten in diesem Fall folgendermaßen: Als Betriebssystem Windows Server 2003 oder Windows Server 2003 R2 jeweils mit Service Pack 2 und als Prozessor mindestens ein Pentium 4 mit 2 GHz Taktfrequenz. Dazu kommen noch zwei GByte RAM und 4 GByte Speicherplatz auf der Festplatte. Abgesehen davon müssen auf dem betroffenen Rechner mindestens der Internet Explorer 6 oder 7 beziehungsweise der Firefox 2 oder 3 laufen. Client-seitig unterstützt Mobility XE Windows XP in der Tablet-PC-Edition, Windows XP mit Service Pack 2 sowie Windows Vista (Business, Enterprise und Ultimate). Der Client auf diesen Systemen nimmt etwa zehn MByte RAM in Anspruch. Darüber hinaus existieren auch noch Clients für Handheld-Devices auf Basis von Windows Mobile. Diese benötigen mindestens eine Strong-ARM-1100- oder SH4-CPU und Windows Mobile 5.0 sowie drei MByte Speicherplatz (bei Smartphones sieben MByte).

Der Mobility-Client zeigt auf Wunsch auch Verbindungsdetails an

<< Erste < Vorherige 1 2 3 Nächste > Letzte >>

Diesen Artikel empfehlen

Autor: Dr. Götz Güttich