Start

Unternehmen

ERP / PPS / Prozesse

Business Intelligence

Server-Technologien

Hardware Microsoft Server Netzwerkinfrastruktur VPN DNS/DHCP Routing und RAS Druckserver/Fileserver Active Directory Security Webserver/Mailserver

Software-Technologien

Technologie-Beratung

Individual-Software

Produkte

Comelio GmbH
Rellinghauser Straße 10
D-45128 Essen
Deutschland
Fon: 0201-437517-0
Fax: 0201-437517-10
info@comelio.com

Comelio GmbH
Goethestraße 34
D-13086 Berlin
Deutschland
Fon: 030-921019-85
Fax: 030-921019-89
info@comelio.com

Comelio GmbH (Ecos)
Glockengießerwall 17
D-20095 Hamburg
Deutschland
Fon: 040-4689908-91
Fax: 040-4689908-95
info@comelio.com

Comelio GmbH (Ecos)
Mainzer Landstraße 27-31
D-60329 Frankfurt
Deutschland
Fon: 069-2475030-35
Fax: 069-2475030-39
info@comelio.com

Comelio GmbH (Ecos)
Stiglmaierplatz/Dachauer Str. 37
D-80335 München
Deutschland
Fon: 089-2000154-90
Fax: 089-2000154-94
info@comelio.com

Comelio GmbH (Ecos)
Liebknechtstr. 33
D-70565 Stuttgart
Deutschland
Fon: 0711-252534-20
Fax: 0711-252534-24
info@comelio.com

Server-Technologien > Netzwerkinfrastruktur > VPN

VPN

VPNs ermöglichen Benutzern und Unternehmen eine sichere Verbindung mit Remoteservern, Zweigstellen oder andere Unternehmen über ein öffentliches Netzwerk. VPN-Technologie kommt dem aktuellen Trend in der Geschäftswelt zu vermehrter Telekommunikation und global verteilten Geschäftsstellen entgegen, in denen die Mitarbeiter die Gelegenheit haben müssen, zentrale Ressourcen zu nutzen, um miteinander kommunizieren zu können. Die Comelio GmbH liefert Ihnen zu der entsprechenden Software auch die benötigte Hardware. Auch die Inbetriebnahme und Einrichtung des Server übernehmen wir gerne für Sie.

Kontakt Anrede* Herr Frau Vorname* Nachname* Firma E-Mail* Tel-Nr. Bereich* Server-Technologien > Netzwerkinfrastruktur > VPN Freitext

VPN unter Windows Servern

Um eine Point-To-Point-Verbindung zu emulieren, werden Daten mit einem Header eingekapselt oder verpackt, der mit Routinginformationen für den Transport über das gemeinsame oder öffentliche Netzwerk ausgestattet ist. Außerdem werden die Daten verschlüsselt, um deren Vertraulichkeit zu gewährleisten. Pakete, die im gemeinsamen oder öffentlichen Netzwerk abgefangen werden, sind ohne den Verschlüsselungsschlüssel nicht zu verarbeiten. Der Teil einer Verbindung, in den die privaten Daten gekapselt werden, wird auch als Tunnel bezeichnet. Der Teil einer Verbindung, in dem die privaten Daten verschlüsselt werden, wird auch VPN-Verbindung genannt.

Abbildung 1: VPN-Verbindung

VPN-Verbindungen ermöglichen es Benutzern, sich von zu Hause oder unterwegs aus über einen sicheren Weg mit Hilfe der Routing-Infrastruktur eines öffentlichen Netzwerks (zum Beispiel des Internets) mit einem Remoteserver der Organisation zu verbinden. Aus der Sicht des Benutzers ist die VPN-Verbindung eine Point-To-Point-Verbindung zwischen dem Computer des Benutzers und einem Server der Organisation. Das dazwischenliegende Netzwerk ist für den Benutzer irrelevant, da es für diesen so aussieht, als würden die Daten über eine dedizierte private Verbindung gesendet.

Außerdem ermöglicht es die VPN-Technologie Unternehmen, über ein öffentliches Netzwerk (zum Beispiel das Internet) eine Verbindung zu einer Zweigstelle oder einem anderen Unternehmen einzurichten und über diese Verbindung gesichert zu kommunizieren. Die VPN-Verbindung über das Internet arbeitet logisch als WAN (Wide Area Network) zwischen den Standorten.

In beiden Fällen ist die sichere Verbindung über das öffentliche Netzwerk für den Benutzer eine private Netzwerkkommunikation, trotz der Tatsache, dass diese Kommunikation über ein öffentliches Netzwerk stattfindet (daher der Name Virtual Private Network).

Die VPN-Technologie kommt einem aktuellen Trend in der Geschäftswelt entgegen: dem Trend zu vermehrter Telekommunikation und global verteilten Geschäftsstellen, in denen die Mitarbeiter die Gelegenheit haben müssen, zentrale Ressourcen zu nutzen, um miteinander kommunizieren zu können.

Damit Mitarbeiter unabhängig von ihrem Standort eine Verbindung mit den Computerressourcen des Unternehmens herstellen können, muss dieses eine skalierbare RAS-Lösung bereitstellen. In der Regel entscheiden sich Unternehmen entweder für eine MIS-Abteilungslösung (Management Information System) oder für ein VAN-Netzwerk (Value-added Network). Bei der MIS-Lösung wird eine interne Abteilung 'Informationssysteme" mit der Beschaffung, Installation und Wartung des Modempools und der Infrastruktur für ein privates Netzwerk beauftragt. Im Fall der VAN-Lösung wird ein Fremdunternehmen für die Beschaffung, Installation und Wartung des Modempools und der Telekommunikationsinfrastruktur bezahlt.

Keine der Lösungen bietet jedoch die erforderliche Skalierbarkeit in Bezug auf Kosten, Flexibilität der Verwaltung und Verbindungsnachfrage. Daher ist es sinnvoll, die Modempools und die Infrastruktur für das private Netzwerk durch eine kostengünstigere, auf Internettechnologie basierende Lösung zu ersetzen - damit sich das Unternehmen auf sein Kerngeschäft konzentrieren kann. Bei einer Internetlösung erfüllen, wie nachstehend beschrieben, schon wenige Internetverbindungen über einen Internet Service Provider (ISP) und VPN-Servercomputer die Anforderungen von Hunderten, ja Tausenden von Remoteclients und Zweigstellen an ein Remotenetzwerk.

Verwendung von VPNs

Die nächsten Abschnitte geben Ihnen eine detaillierte Beschreibung der am häufigsten genutzten VPN-Konfigurationen.

Remotezugriff über das Internet

VPNs ermöglichen den Remotezugriff auf Unternehmensressourcen über das öffentliche Internet unter Wahrung der Informationssicherheit. Abbildung 2 zeigt ein VPN, das einen Remotebenutzer mit dem Intranet eines Unternehmens verbindet. Eine solche Konfiguration wird auch Remote-Access-VPN-Verbindung genannt.

Abbildung 2: Eine VPN-Verbindung für die Anbindung eines Remote Access Clients an das Intranet der Organisation

Hierbei wählt sich der Benutzer für den Netzwerkzugriff nicht per Ferngespräch in einen Server (Network Access Server, NAS) ein, sondern per Ortsgespräch bei einem lokalen ISP. Die VPN-Software erzeugt unter Verwendung der Verbindung mit dem lokalen ISP ein virtuelles privates Netzwerk zwischen diesem Benutzer und dem VPN-Server des Unternehmens über das Internet.

Netzwerke über das Internet verbinden

Man unterscheidet zwei Verfahren, um lokale Netzwerke an Remotestandorten unter Verwendung von VPNs zu verbinden:

• Verbinden einer Zweigstelle mit dem Unternehmens-LAN über eine Standleitung: Anstatt eine teure Standleitung zwischen Zweigstelle und Firmenhub zu verwenden, können die Router der Zweigstelle und des Firmenhubs die Verbindung mit dem Internet über eine lokale Standleitung und einen lokalen ISP herstellen. Die VPN-Software verwendet die lokalen ISP-Verbindungen und das Internet, um ein virtuelles privates Netzwerk zwischen den Routern der Zweigstelle und des Firmenhubs zu erstellen.
• Verbinden einer Zweigstelle mit dem Unternehmens-LAN über eine DFÜ-Verbindung: Anstatt den Router der Zweigstelle über ein Ferngespräch in einen Unternehmens- oder ausgelagerten Server für den Netzwerkzugriff (Network Access Server, NAS) einwählen zu lassen, kann sich der Router der Zweigstelle in den lokalen ISP einwählen. Die VPN-Software verwendet die Verbindung mit dem lokalen ISP, um ein virtuelles privates Netzwerk zwischen den Routern der Zweigstelle und des Firmenhubs über das Internet zu erstellen.

Abbildung 3: Zwei Remote-Standorte über eine VPN-Verbindung verbinden

In beiden Fällen sind es lokale Einrichtungen, die die Zweigstelle und das Unternehmen mit dem Internet verbinden. Der Router des Firmenhubs, der als VPN-Server fungiert, muss mit einem lokalen ISP über eine Standleitung verbunden sein. Dieser VPN-Server muss rund um die Uhr für eingehenden VPN-Verkehr empfangsbereit sein.

Computer über ein Intranet verbinden

In einigen firmeneigenen Netzwerken verfügen bestimmte Abteilungen über derart vertrauliche Daten, dass das Abteilungs-LAN physikalisch vom übrigen firmeneigenen Netzwerk getrennt ist. Einerseits werden so die vertraulichen Abteilungsdaten geschützt, andererseits entstehen für Benutzer, die nicht physisch mit dem separaten LAN verbunden sind, Probleme beim Zugriff auf diese Daten.

Abbildung 4: Verbinden von zwei Computern im Intranet unter Verwendung eines VPNs

Über ein VPN kann das Abteilungs-LAN einerseits physikalisch mit dem firmeneigenen Netzwerk verbunden werden, wobei es aber andererseits durch einen VPN-Server getrennt ist. Der VPN-Server fungiert nicht als Router zwischen dem firmeneigenen Netzwerk und Abteilungs-LAN. Ein Router würde die beiden Netzwerke verbinden, so dass jeder auf das sensible LAN zugreifen könnte. Mit Hilfe des VPNs kann der Netzwerkadministrator sicherstellen, dass nur Benutzer mit geeigneten Anmeldeinformationen (basierend auf unternehmensinternen Richtlinien) ein VPN mit dem Server einrichten und auf die geschützten Abteilungsressourcen zugreifen können. Darüber hinaus kann die gesamte Kommunikation über das VPN verschlüsselt werden, um die Vertraulichkeit der Daten sicherzustellen. Benutzern ohne geeignete Anmeldeinformationen bleibt das Abteilungs-LAN verborgen.

Grundlegende VPN-Anforderungen

Ein Unternehmen, das mit einer Remotenetzwerklösung arbeitet, muss in der Regel den kontrollierten Zugriff auf die Unternehmensressourcen und -informationen gewährleisten. Die Lösung muss dafür sorgen, dass sich Clients an wechselnden Standorten oder Remoteclients mit LAN-Ressourcen verbinden können, und sie muss zulassen, dass sich Zweigstellen verbinden können, um Ressourcen und Informationen gemeinsam zu verwenden (LAN-zu-LAN-Verbindungen). Weiter muss die Lösung die Sicherheit und Integrität der Daten beim Transport im Internet sicherstellen. Dasselbe gilt für sensible Daten, die im firmeneigenen Netzwerk transportiert werden.

Daher sollte eine VPN-Lösung mindestens die folgenden Anforderungen erfüllen:

• Benutzerauthentifizierung: Die Lösung muss die Identität des Benutzers überprüfen und den VPN-Zugriff ausschließlich auf autorisierte Benutzer einschränken. Weiter muss sie Überwachungs- und Kontoführungseinträge führen, aus denen hervorgeht, wer wann auf welche Informationen zugegriffen hat.
• Adressenverwaltung: Die Lösung muss die Adresse eines Clients auf dem privaten Netz zuordnen und sicherstellen, dass private Adressen privat bleiben.
• Datenverschlüsselung: Die auf dem öffentlichen Netzwerk übertragenen Daten müssen für nicht autorisierte Clients auf dem Netzwerk unlesbar sein.
• Schlüsselmanagement: Die Lösung muss Verschlüsselungsschlüssel für den Client und den Server erzeugen und aktualisieren.

Eine Internet-VPN-Lösung auf der Basis des Point-To-Point-Tunneling-Protokolls (PPTP) oder des Layer-2-Tunneling-Protokolls (L2TP) erfüllt alle aufgeführten grundlegenden Anforderungen und nutzt die Vorteile der weltweiten Verfügbarkeit des Internets. Andere Lösungen, einschließlich des neuen IP- Security-Protokolls (IPSec) erfüllen nicht alle genannten Anforderungen, sind aber in Spezialfällen brauchbar.