Was bei VPN zu beachten ist
Form der Anbindung
Sobald Zweigstellen angebunden werden, gilt es zwei mögliche Arten der Anbindung zu unterscheiden: Maschennetzwerk und sternförmige Netzwerke. Maschennetzwerke sind so aufgebaut, dass die Filialen nicht nur mit der Zentrale, sondern auch mit den anderen Filialen vernetzt sind. Die sternförmige Vernetzung verbindet die Filialen hingegen ausschließlich über ein zentrales VPN-Gateway. Maschennetzwerke erlauben einen schnelleren Austausch und eine geringere Latenz, Sternnetzwerke bieten den Vorteil des zentralen Monitoring durch die IT. Es versteht sich beinahe von selbst: Je schneller die Leitung, desto besser das Ergebnis. Kommen Standard-DSL-Leitungen zum Einsatz, so muss weiterhin bedacht werden, dass die jeweiligen Upstream-Geschwindigkeiten die tatsächliche Nutzgeschwindigkeit darstellen.
Frage der Verfügbarkeit
Nicht jede Zweigstelle muss mit zusätzlichen Backup-Mechanismen an die Zentrale angebunden werden. Es gibt Applikationen und Geschäftsbereiche, die einen teilweisen Ausfall der Zweigstellen-Zentral-Anbindung durchaus tolerieren. Kassensysteme von Einzelhandelsketten, Dependancen von Kliniken oder Geldautomaten von Banken gehören jedoch definitiv nicht dazu - hier bedarf es einer Backup-Anbindung.
Um eine Backup-Anbindung überhaupt nutzen zu können, muss die primäre VPN-Verbindung zunächst einmal überwacht werden. Hierfür gibt es die etablierte Methode der "Dead Peer Detection" (DPD). Das VPN-Gateway in der Filiale muss, sofern Backupleitungen genutzt werden, diese natürlich beherrschen. Ein Umschalten geschieht im Optimalfall von allein.
Zentralisiertes Management
Die entscheidende Voraussetzung für eine sichere und effektive Anbindung von Filialen an eine zentrale IT ist ein ebenfalls zentralisiertes VPN-Management-System. Der zuständige Administrator muss aus der Zentrale auf die komplette Einrichtung auch bei einem Ausfall der Primärleitung zugreifen können. Neben der Überwachung, Konfiguration und den Software-Updates vereinfacht eine zentrale Management-Lösung die Verteilung digitaler Software- oder Hardwarezertifikate (CA), die LDAP-Konsole für das Identitäts- und Rechte-Management sowie die Sicherheitsüberprüfung der Endgeräte (Network Access Control/Endpoint Security).
Outsourcing
Verfügt die eigene IT eines Unternehmens nicht über das notwendige Knowhow, um Sicherheitssysteme ordentlich und verlässlich zu betreiben, so ist der Einsatz eines externen Dienstleisters möglicherweise die beste Lösung. Es gibt in Deutschland eine große Anzahl von Firmen die sich auf ein solches Geschäftsmodell spezialisiert haben. Die beste Lösung nützt wenig, wenn sie aus Unwissenheit falsch konfiguriert wird. (hal)
Dieser Artikel basiert auf einem Beitrag der ChannelPartner-Schwesterpublikation Computerwoche.