IP-Insider fragt nach – VPN-Experte Rainer Enders antwortet

VPN Passthrough, Remote Access VPN und VPN-Verschlüsselung im Fokus

| Autor / Redakteur: Jürgen Hönig / Andreas Donner

Virtual Private Networking im Detail: IP-Insider fragt nach – VPN-Experte Rainer Enders antwortet
Virtual Private Networking im Detail: IP-Insider fragt nach – VPN-Experte Rainer Enders antwortet

Was ist "VPN Passthrough" ab und welche Vor- oder Nachteile bringt es? Wie lässt sich sicherstellen, dass eine VPN Verbindung verschlüsselt ist? Und, was ist ein Remote Access VPN? – Der VPN-Experte Rainer Enders, Technischer Leiter bei NCP Engineering in Nordamerika, gibt Antworten.

IP-Insider: Was ist "VPN Passthrough" ab, welche Vor- oder Nachteile bringt es und wie schaltet man die Funktion ein bzw. aus?

Enders: Die Funktion VPN Passthrough wird üblicherweise in Netzwerk Gateways von Kleinunternehmen eingesetzt. Hier ist das Gateway selbst kein Endpunkt des VPNs, sondern nur eine passive Komponente, durch die VPN-Pakete die Firewall passieren.

Je nach Art des VPN werden verschiedene Protokolle und Ports benötigt um VPN-Datenverkehr zuzulassen. Wird beispielsweise IPsec eingesetzt, verwendet man meist UDP Port 500 für IKE und Port 4500 für NAT Traversal. In den meisten Systemen kann dieses Feature im Konfigurationsmenü des Gerätes aktiviert bzw. deaktiviert werden.

Vorteilhaft an der Deaktivierung von VPN Passthrough ist die erhöhte Sicherheit: Ports, die bei aktiviertem VPN Passthrough offen und zugänglich wären, werden durch die Firewall geschlossen. Nachteilig ist, dass der User hinter dem Gateway keine VPN-Verbindung aufbauen kann, da die benötigten VPN-Ports von der Firewall blockiert werden. Diese Ports sollten insbesondere dann offen sein, wenn Anwender auf eine VPN Verbindung von zu Hause aus angewiesen sind.

NCPs "Path Finder" löst mit seinen VPN Clients die Herausforderung offene und gleichzeitig sichere Ports zu finden. Durch die VPN-Path-Finder-Technologie findet der Client einen geeigneten offenen Port für die IPsec Verbindung – zum Beispiel einen HTTPS-Port. Selbst wenn IPsec-VPN-Ports blockiert sind, kann der Client über den meistens geöffneten HTTPS-Port eine funktionierende IPsec-Verbindung aufbauen.

IP-Insider: Wie kann man sichergehen, dass eine VPN Verbindung verschlüsselt ist und diese Verschlüsselung auch fehlerfrei arbeitet?

Enders: Am besten verhält man sich hierzu wie ein Hacker und durchsucht den Netzwerkverkehr – entweder am Gerät selbst oder an einem Port des Netzwerks. Bei IPsec zum Beispiel sieht man hier ESP Frames (Protokoll 50). Öffnet man die Datenpakete, sieht man nur zusammenhanglose Zeichen – jedoch keinen Text. Netzwerkspionagetools sind im Internet leicht erhältlich und einfach zu handhaben; dabei ist Wireshark das wahrscheinlich beliebteste dieser Tools und sollte auch beim Prüfen der VPN-Sicherheit eingesetzt werden.

IP-Insider: Verglichen mit anderen virtuellen privaten Netzwerken: was ist ein Remote Access VPN?

Enders: Ein Remote Access VPN oder genauer gesagt ein Secure Remote Access VPN ist eine entfernte VPN-Verbindung zu einem lokalen Netzwerk. Mitarbeiter, die von außerhalb arbeiten (wie beispielsweise Teleworker oder Außendienstmitarbeiter), können darüber eine sichere Verbindung ins Firmennetzwerk herstellen. Diese Art VPN wird manchmal auch "Dial-up VPN" genannt und ermöglicht einzelne Verbindungen von verschiedenen Endgeräten in ein zentrales VPN Gateway.

Eine andere Art virtueller privater Netzwerke, so genannte Site-to-Site VPNs, werden dagegen für die sichere Verbindung von Niederlassungen eingesetzt. Bei diesen VPNs stellt ein VPN-Tunnel eine sichere Verbindung zwischen zwei oder mehreren Gateways her. Für solche Netzwerke gibt es zwei gängige Netzwerkstrukturen: die Hub-and-Spoke- und die Mesh-Topologie. Bei der Hub-and-Spoke-Topologie bildet ein Gateway den Hub die anderen Gateways die Spokes (Speichen) – dieser Aufbau erinnert an die Sterntopologie. Bei der Mesh-Topologie sind die einzelnen Gateways wie in einem Netz direkt miteinander verbunden.

Rainer Enders, VPN-Experte bei NCP Engineering
Rainer Enders, VPN-Experte bei NCP Engineering

Über den Experten

Rainer Enders ist technischer Leiter der NCP Engineering in Nordamerika, einer Niederlassung der deutschen Firma NCP Engineering GmbH, welche Lösungen für sicheren Remote Access VPN entwickelt.

Enders arbeitet seit 20 Jahren in der Netzwerk- und Sicherheitsindustrie und hat darüber hinaus Erfahrung in Testautomatisierung, Qualitätssicherung sowie Test und Verifikation von komplexen Netzwerk- und Systemarchitekturen.

Bevor Rainer Enders 2010 zu NCP wechselte, war er Geschäftsführer seiner eigenen Consultingfirma, Rainer Enders Consulting Enterprises, die sich auf Computer-Netzwerksicherheit und Storage Netzwerke spezialisiert hatte. Davor besetzte er verschiedenste technische Posten bei Identity Engines, NeoScale Systems, Yipes Enterprise Services und Ericsson.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 33703230 / VPN-Architektur)