Internetbasierte virtuelle private Netzwerke wurden in den 1990er Jahren durch die Bereitstellung kostengünstiger Verbindungen über das unsichere Internet hinweg bekannt. Die VPNs stellen auch die Grundlagen für die heutige SD-WAN-Technologie bereit.
Das konventionelle VPN bezeichnet ein virtuelles privates (in sich geschlossenes) Kommunikationsnetz. Virtuell ist dieses Netz in dem Sinne, dass es sich nicht um eine eigene physische Verbindung handelt, sondern um ein bereits vorhandenes Kommunikationsnetz, das als Transportmedium genutzt wird. Das VPN dient dazu, Teilnehmer eines bestehenden Kommunikationsnetzes mit den Ressourcen eines anderen Netzes zu binden.
Das VPN funktioniert unabhängig von der physischen Topologie und den verwendeten Netzwerkprotokollen, selbst dann, wenn das zugeordnete Netz von einer vollkommen anderen Art ist. Der sich daraus ergebende Nutzen eines VPNs kann je nach verwendetem VPN-Protokoll durch eine Verschlüsselung ergänzt werden, die eine abhör- und manipulationssichere Kommunikation zwischen den VPN-Partnern ermöglicht. Ein verschlüsseltes (virtuelles) Netzwerk über ein unverschlüsseltes Netzwerk herzustellen, kann ein wichtiges Kriterium, mitunter sogar der Hauptgrund für die Verwendung eines VPNs sein.
Remote-Access-VPNs
Remote-Access-VPNs sind die am häufigsten genutzten VPN-Typen. Diese ermöglichen den Benutzern den Zugriff auf Unternehmensressourcen, auch wenn sie nicht direkt mit dem Unternehmensnetzwerk verbunden sind. Remote-Access-VPNs nutzen in der Regel temporäre Verbindungen und werden abgeschaltet, wenn Benutzer ihre Aufgaben abgeschlossen haben.
Den Datenschutz gewährleisten dabei ein sicherer Tunnel zwischen dem Endpunkt des Benutzers (dem Laptop, dem mobilen Gerät oder dem Heimcomputer) und dem Unternehmenszugangspunkt. Die Sicherheit wird zusätzlich durch eine Authentifizierung (Passworte, Token, biometrische Identifikation, usw.) ergänzt. In manchen Fällen werden die Benutzernamen und Kennwörter bereits in VPN-Software am Endpunkt des Benutzers eingebettet, um den Zugang für den Nutzer zu vereinfachen.
Vorteile von Remote-Access-VPNs
Die Vorteile von Remote-Access-VPNs bestehen darin, dass Mitarbeiter unabhängig von ihrem Standort und ohne eine dedizierte physische Verbindung eine Verbindung zu Unternehmensressourcen herstellen können. Das reduziert Kosten und sorgt für die notwendige Konnektivität, wo diese vorher nicht möglich war.
VPN-Beispiel für den Remotezugriff
Ein Mitarbeiter einer Anwaltskanzlei möchte auf Dateien zugreifen, die auf einem gemeinsam genutzten Server gespeichert sind. Natürlich könnte das Unternehmen den Heimarbeitsplatz des Mitarbeiters über eine dedizierte Privatleitung mit dem Firmennetzwerk verbinden. Diese Lösung wäre jedoch sehr teuer. Mit Hilfe eines Remote-Access-VPNs kann der Mitarbeiter von zu Hause aus Zugriff auf das Firmennetz erlangen, gerade so, als säße er mittendrin. Aus Sicht der VPN-Verbindung werden dafür die dazwischen liegenden Netze (sein Heimnetz sowie das Internet) auf die Funktion eines Verlängerungskabels reduziert, das den Computer (VPN-Partner) ausschließlich mit dem zugeordneten Netz verbindet (VPN-Gateway). Er wird nun zum Bestandteil dieses Netzes und hat direkten Zugriff darauf.
Herausforderungen bei der Nutzung von Remote-Access-VPNs
Der Nachteil des Remote-Zugriffs über VPN besteht darin, dass die Transportstrecken stark variieren können. Die Durchsatzgeschwindigkeit ist auch abhängig vom jeweiligen Internet-Zugang, der genutzten Verschlüsselungsmethode und der Endpunkt, von dem aus der Benutzer eine Verbindung herstellt.
Ein Mitarbeiter, der sich über eine Glasfaserverbindung von seinem Home-Office verbindet, wird wahrscheinlich eine wesentlich bessere Performance haben als bei einer VPN-Verbindung, die über das WLAN eines Hotels realisiert wurde.
Die Nutzer haben jedoch nur wenig Einfluss auf die Performance der Lösung und auch die IT-Abteilung des Unternehmens kann wenig zur Durchsatzverbesserung beitragen.
Prinzipiell kann man jede Anwendung im Unternehmen über ein Remote-Access-VPN übermittelt werden. Die meisten Anwendungen funktionieren sehr gut, da diese nur klassische Daten übermitteln. Die Echtzeitanwendungen (Voice over IP und Videoconferencing) benötigen jedoch eine relativ hohe Bandbreite mit niedriger Latenz, die nicht immer vom VPN bereitgestellt werden kann. Dies kann zur Verschlechterung der Sprachqualität und der Videobilder führen.
IPSec versus SSL-VPNs
Remote-Access-VPNs nutzen meist das IPSec-Protokoll oder Secure-Socket-Layer (SSL) , um die vom Benutzer übermittelten Daten sicher ins Unternehmensnetzwerke zu tunneln. Mit IPSec-VPNs können die Mitarbeiter auf alle Unternehmensressourcen zugreifen, als würden sie sich im Büro befinden. Für den Nutzer stehen alle freigegebenen Laufwerke, Anwendungen und andere Ressourcen zur Verfügung.
SSL-VPNs sorgen normalerweise nur für den Zugang zu einer einzelnen Anwendung und nicht zum gesamten Netzwerk im Unternehmen. Die SSL-VPNs werden jedoch immer beliebter, da das SSL-Protokoll weniger Rechenressourcen erfordert und die IT-Abteilung haben mehr Kontrolle darüber, auf welche Ressourcen der Benutzer zugreifen kann. Durch die Beschränkung des Zugriffs auf bestimmte Gruppen von Anwendungen lässt sich das Unternehmen besser schützen, falls das Gerät des Benutzers kompromittiert wird.
SSL-VPNs und IoT
Das Internet der Dinge (IoT) basiert auf einer breiten Palette an Geräten, viele davon sind Sensoren, die in Unternehmensnetzwerken zur Überwachung und zur Steuerung von Gebäudesystemen bzw. zur Datenerfassung von Maschinen und Fertigungsanlagen genutzt werden. Diese Geräte müssen mit dem Unternehmensnetzwerk kommunizieren, und für diesen Anwendungsfall wären die SSL-VPNs die idealen Werkzeuge. Die SSL-VPNs können so konfiguriert werden, dass diese den Zugriff nur auf Dienste, die das IoT-Gerät zur Ausführung seiner Funktionen benötigt, beschränken.
Schwindender Bedarf an Remote-Access-VPNs
Da Software as a Service (SaaS) immer beliebter wird, nimmt die Bereitstellungsanforderung für Remote-Access-VPNs ab. Die Anwendungen und die Daten werden von Unternehmensdatenzentren in die Cloud verlagert und die Benutzer können direkt auf die benötigten Dienste zugreifen. Eine VPN-Anbindung an das Unternehmen und der anschließende Zugriff vom Firmennetzwerk in die Cloud würde die Performance der Dienste nur beeinträchtigen.
Site-to-Site-VPNs
Site-to-Site-VPNs verbinden Standorte, in der Regel Zweigstellen, mit dem zentralen Unternehmensnetzwerk. Bei Site-to-Site-VPNs werden die Verbindungen zwischen den Netzwerken über Router, Firewalls oder dedizierte VPN-Appliances hergestellt. Die Geräte des Nutzers sind bei dieser Lösung nicht am VPN beteiligt. Die Site-to-Site-VPNs werden aus einem ähnlichen Grund installiert wie die Remote-Access-VPNs: Die Verbindung des Standorts (der Zweigstelle) mit der Zentrale ist auf Basis einer dedizierten Standleitung zu teuer oder zu unpraktisch.
Beispiel für ein Site-to-Site-VPN
Man stelle sich eine Beratungsfirma vor, die beschließt, ein Büro in Japan mit drei Personen zu eröffnen. Die Anwender sollen auf einen gemeinsamen Dateiserver, die E-Mail und andere Unternehmensressourcen zugreifen können. In diesem Fall sind die Netzwerkanforderungen nicht übermäßig hoch, so dass eine dedizierte Verbindung keinen Sinn macht. Das Unternehmen kann über eine normale Internetverbindung ein internetbasiertes VPN aufbauen, welches die beiden Standorte verbindet. Damit lassen sich buchstäblich Tausende von Euro pro Monat einsparen. Allerdings muss berücksichtigt werden, dass Internet-basierte VPNs komplex und nicht immer flexibel genutzt werden können. Änderungen an Internet-VPNs können in mittleren bis großen Netzwerken eine große Herausforderung darstellen. Auch ist zu beachten, dass durch die genutzten Internetverbindungen die Anwendungsleistung je nach Netzwerklast variieren kann.
Site-to-Site-MPLS-VPNs
Eine andere Möglichkeit zur Verbindung von Standorten ist ein Site-to-Site-MPLS-VPN. Bei dem Standort-zu-Standort-VPN wird anstatt dem Internet eine vom Provider bereitgestellte MPLS-Cloud für den Datentransport genutzt. Der Service-Provider sorgt zwischen den jeweiligen Standorten mit virtuellen Verbindungen über sein MPLS-Netzwerk für die Konnektivität. Die wesentlichen Vorteile dieser Art von VPNs bestehen in der Netzwerkagilität und der Vermaschung von Netzwerken. In einem typischen Standort-zu-Standort-Netzwerk ist jede Zweigstelle nur mit dem Datenzentrum verbunden, und der Verkehr zwischen den Zweigstellen fließt ausschließlich durch diesen zentralen Knotenpunkt. Durch die Meshing-Funktionen können die Zweigstellen direkt miteinander kommunizieren. Diese direkte Konnektivität kann für Videokonferenzen und andere bandbreitenintensive und verzögerungsempfindliche Anwendungen erforderlich sein. Negativ wirken sich bei MPLS-VPNs die Kosten aus.
VPNs und SD-WANs
SD-WANs sind inzwischen der letzte Schrei der Netzwerkindustrie und werden aufgrund ihrer Kostenvorteile immer beliebter. Darüber hinaus werden bei dieser Lösung die Kostenvorteile von Internet-basierten VPNs mit der Leistungsfähigkeit und Agilität von MPLS-VPNs gepaart. Mit einem SD-WAN können Unternehmen zumindest einige ihrer hochpreisigen MPLS-Schaltungen durch kostengünstigere Internetverbindungen ersetzen und die Optimierungs- und Multipath-Funktionen eines SD-WAN nutzen, um sicherzustellen, dass die Leistung den individuellen Anforderungen entspricht. Da das Steuerelement eines SD-WAN von der zugrunde liegenden Infrastruktur entkoppelt ist, kann das Netzwerk über einen zentralen Zugangspunkt konfiguriert werden. Änderungen an einem SD-WAN können daher oft mit nur wenigen Mausklicks vorgenommen werden. Die VPN-Technologie gibt es zwar seit Jahrzehnten und in Verbindung mit SD-WAN ist der nächste evolutionäre Schritt der VPN-Technologie eingeleitet.
#Netzpalaver