Security

Virtual Private Networks im Test

Die richtige VPN-Lösung für das Netzwerk

15.09.2011
Von  und
Thomas Bär, der seit Ende der neunziger Jahre in der IT tätig ist, bringt weit reichende Erfahrungen bei der Einführung und Umsetzung von IT-Prozessen im Gesundheitswesen mit. Dieses in der Praxis gewonnene Wissen hat er seit Anfang 2000 in zahlreichen Publikationen als Fachjournalist in einer großen Zahl von Artikeln umgesetzt. Er lebt und arbeitet in Günzburg.
Alle Artikel des Autors
Email:
Frank-Michael Schlede arbeitet seit den achtziger Jahren in der IT und ist seit 1990 als Trainer und Fachjournalist tätig. Nach unterschiedlichen Tätigkeiten als Redakteur und Chefredakteur in verschiedenen Verlagen arbeitet er seit Ende 2009 als freier IT-Journalist für verschiedene Online- und Print-Publikationen. Er lebt und arbeitet in Pfaffenhofen an der Ilm.
Alle Artikel des Autors
Email:

G/On - Anders als die Anderen

Wie bereits erwähnt ist der Aufwand beim Aufbau einer VPN-Umgebung mit DMZ, Firewall, Authentication Server, Certificate Server, IPSec-VPN Terminator, SSL VPN Application und möglicherweise einem IDS (Intrusion Detection System) hoch. Zudem verlangt eine solche Lösung vom Systembetreuer in der Regel eine Menge Spezialwissen. Ein weiterer Aufwand für den Administrator besteht dann darin, dass er die IPSec VPN-Software auf den Clients installieren muss.

G/On von Giritech: Die Lösung ist dank dem vorkonfiguriertem USB-Stick mit der Client-Software für den Anwender leicht zu bedienen. Dem Administrator stehen dennoch sehr viele Einstellungen zur Verfügung.
G/On von Giritech: Die Lösung ist dank dem vorkonfiguriertem USB-Stick mit der Client-Software für den Anwender leicht zu bedienen. Dem Administrator stehen dennoch sehr viele Einstellungen zur Verfügung.
Foto: Bär/Schlede

Einen anderen Weg geht die dänische Firma Giritech, die auf Basis ihrer EMCADS-Technik (Encrypted Multipurpose Content and Application Deployment System) das Produkt G/On auf den Markt gebracht hat. Dabei handelt es sich um eine Server-Software, die Anfragen von Clients über eine gesicherte Verbindung an einem einzigen, freigeschalteten Port entgegen nimmt und diese dann wie eine Art Proxy-Server weiterreicht. Die Client-Software wird dabei typischerweise direkt von einem speziellen USB-Stick gestartet, auf dem alle benötigten Programme abgelegt sind.

Dadurch ergibt sich eine ganze Reihe von Vorteilen:

  • Das ISO-Image der Client-Software ist auf dem USB-Stick in der üblicherweise unsichtbaren "Read Only"-Partition abgelegt. Änderungen an dieser Partition sind durch den Anwender nicht möglich und etwaige Manipulationsversuche würden die Hash-Werte der Dateien ändern.

  • Bevor Client und Server miteinander in Verbindung treten muss der Client auf dem Server einmalig freigeschaltet sein. Unveränderliche Merkmale der Client-Software und die weltweit eindeutige Seriennummer des USB-Sticks dienen als sichere Erkennungszeichen. Der Benutzer muss sich zudem bei Anmeldung noch mit einem Passwort und einem Benutzernamen identifizieren - so kommt es zu einer integrierten 2-Faktor Authentifizierung.

  • Die Besonderheit der Lösung stellt die Art der Verbindung dar: Es handelt es sich um eine Verbindung auf Applikationsebene anstelle einer klassischen VPN-TCP-Verbindung.

  • Neben dem USB-Stick wird der Client auch zur lokalen Installation auf Standard-PCs und mobilen Endgeräten wie dem Apple iPhone oder Apple iPad angeboten.

Auch diese Lösung hat bei unseren Test einwandfrei funktioniert und war vor allen Dingen sehr einfach in der Installation und Anwendung. Mögliche Einschränkung beim Einsatz dieser Software:

  • Es handelt sich um eine kommerzielle Software, so dass auch hier ein entsprechend hoher finanzieller Aufwand entsteht, falls ein größeres Netz mit vielen Geräten eingebunden werden soll.

  • Die Besonderheit der Software kann auch als Nachteil angesehen werden: Die IT-Abteilung bindet sich beim Einsatz dieser Lösung an die Technik eines Herstellers, die grundsätzlich nicht einfach mit anderen VPN-Lösungen kombiniert oder durch diese ergänzt werden kann.

Zur Startseite