Remote Access von überall

Um Mitarbeitern und Partnerfirmen den externen Zugriff auf das Unternehmensnetzwerk zu ermöglichen, gibt es nun eine Alternative. SSL VPN ist jetzt leicht und sicher zu realisieren, zeichnet sich durch höchste Flexibilität aus und ergänzt die klassischen IPSec VPN Lösungen.

Eine Reihe von Technologien wie Internet und Mobiltelefone haben dazu geführt, dass die Mobilität des Einzelnen hochgradig zugenommen hat. Die Veränderung ist so stark, dass sie tief greifende gesellschaftliche Auswirkungen hat - auch im Wirtschaftsleben. Organisationen werden immer virtueller, die Arbeitsmodelle ändern sich und es ist immer weniger entscheidend, wo und wann gearbeitet wird. Wichtig ist vor allem, dass möglichst von überall gearbeitet werden kann. Dieser Trend beschränkt sich keineswegs auf Führungsfunktionen. Mitarbeiter aller Ebenen sind heute nicht mehr nur am Firmensitz tätig, sondern im Grunde überall - beim Kunden, bei Partnerunternehmen, zu Hause oder irgendwo sonst unterwegs In diesem neuen von Mobilität geprägten Umfeld ist es entscheidend, dass Mitarbeiter den Zugang zu den IT-Ressourcen des eigenen Unternehmens auch von unterwegs behalten. Mit anderen Worten, es ist ein wesentlicher Produktivitätsfaktor, den Zugang zu Applikationen und Diensten auch auswärts zu gewährleisten. Bisher gab es im Grunde nur eine wirklich sichere Möglichkeit, diese Anforderung abzudecken, und zwar durch den Aufbau einer IPSec VPN Lösung. Dabei wird auf dem Notebook des Mitarbeiters eine Client-Software installiert, die über das Internet eine abgesicherte Verbindung mit dem Firmennetzwerk ermöglicht. Diese Variante hat den Vorteil, eine sehr sichere Lösung darzustellen. Der Nachteil liegt aber ebenfalls auf der Hand: Auf das Firmennetzwerk kann nur mit speziell vorbereiteten Systemen zugegriffen werden.

SSL VPN - die Alternative

Als Ergänzung zu den klassischen IPSec VPN Lösungen stellt Bacher Systems nun einen Lösungsansatz auf Basis von SSL VPN zur Verfügung, der frei von dessen anfänglichen Limitationen ist. Mit diesen erweiterten Lösungen ist es möglich, von jedem beliebigen Computer auf das Firmennetzwerk zuzugreifen. Die solchermaßen hergestellten Verbindungen sind trotzdem sicher, da sie unter anderem durch eine Verschlüsselung geschützt sind. Über ein SSL VPN können Unternehmen ihren Benutzern Intranet-Dienste anbieten, auf die mit jedem Web-Browser zugegriffen werden kann. Dieser neue Lösungsansatz bietet ein Höchstmaß an Flexibilität - der sichere Zugang zum Firmennetzwerk ist jetzt nicht mehr nur speziell vorbereiteten Clients vorbehalten. Auch Partnerfirmen kann der Zugang leicht geöffnet werden, Mitarbeiter können vom Home-PC oder sogar aus einem Internet-Cafe zugreifen. Das Roll-out von spezieller Client-Software (wie es bei IPSec VPN notwendig ist) entfällt völlig.
Für die technische Realisierung eines SSL VPN wird in der Regel eine Appliance als Gateway an die Firewall angeschlossen (siehe Abbildung). Die Kommunikation zwischen Benutzer und Gateway ist durch das SSL (Secure Socket Protocol) geschützt. Die Lösung ermöglicht auch die Verwendung von nicht Web-basierten Client/Server-Applikationen. Dazu bietet das Gateway die Möglichkeit, über eine Java- oder Active-X-Komponente (die dynamisch installiert wird) die entsprechende Applikation durch die SSL-Verbindung zu "tunneln".

Eine Frage der Sicherheit

Die IT-Security Experten von Bacher Systems betonen, dass beim Aufbau von SSL VPN Lösungen eine Reihe von Sicherheitsaspekten zu berücksichtigen sind. Nur dann ist gewährleistet, dass der Zugang zum Unternehmensnetzwerk gefahrlos stattfinden kann. Hier eine kurze Beschreibung, wie die SSL VPN Lösungen von Bacher Systems eine sichere Verbindung aufbauen (die Nummern beziehen sich auf die Abbildung):

  1. Der Web-Browser des Benutzers stellt über das Internet eine Verbindung zum SSL VPN Gateway her.
  2. Das Gateway führt eine Integritätsprüfung des Clients durch. Überprüft werden Datum und Uhrzeit, Client-IP, Betriebssystem, usw.
  3. Noch bevor überhaupt eine Authentifizierung stattfindet, wird der Client vom Gateway gründlich gescannt. Ermittelt wird zum Beispiel, ob er frei von Sypware oder Keylogger ist und ob Schutzmaßnahmen wie Firewall und Anti-Viren-Software aktiviert sind. Abhängig vom Ergebnis des Scans wird in weiterer Folge der Zugriff auf mehr oder weniger Applikationen und Dienste gestattet.
  4. Erst nachdem der Client als unbedenklich eingestuft wurde, wird die Authentifizierung des Benutzers ermöglicht.
  5. Je nach Authentifizierungsmethode (statisches Passwort, One-Time Passwort oder Zertifikat) erhält der Benutzer unterschiedliche Zugriffsberechtigungen auf Applikationen. Die anschließende Datenübertragung über das Internet erfolgt verschlüsselt.

Wie aus diesem Ablauf ersichtlich, ist es mit SSL VPN Lösungen möglich, praktisch jeden Computer mit Internet-Zugang für die Arbeit mit dem Firmennetzwerk zu verwenden. Es liegt auf der Hand, dass dieser Lösungsansatz völlig neue Anwendungen ermöglicht. Die SSL VPN Technologie bedeutet aber nicht, dass IPSec VPN Lösungen nicht mehr sinnvoll wären.