2018-08-09 04:47:23

Virtuelle private Netzwerke (und warum VPNs für SD-WAN wichtig sind)

Internetbasierte virtuelle private Netzwerke wurden in den 1990er Jahren durch die Bereitstellung kostengünstiger Verbindungen über das unsichere Internet hinweg bekannt. Die VPNs stellen auch die Grundlagen für die heutige SD-WAN-Technologie bereit.

Das konventionelle VPN bezeichnet ein virtuelles privates (in sich geschlossenes) Kommunikationsnetz. Virtuell ist dieses Netz in dem Sinne, dass es sich nicht um eine eigene physische Verbindung handelt, sondern um ein bereits vorhandenes Kommunikationsnetz, das als Transportmedium genutzt wird. Das VPN dient dazu, Teilnehmer eines bestehenden Kommunikationsnetzes mit den Ressourcen eines anderen Netzes zu binden.

Das VPN funktioniert unabhängig von der physischen Topologie und den verwendeten Netzwerkprotokollen selbst dann, wenn das zugeordnete Netz von einer vollkommen anderen Art ist. Der sich daraus ergebende Nutzen eines VPNs kann je nach verwendetem VPN-Protokoll durch eine Verschlüsselung ergänzt werden, die eine abhör- und manipulationssichere Kommunikation zwischen den VPN-Partnern ermöglicht. Ein verschlüsseltes (virtuelles) Netzwerk über ein unverschlüsseltes Netzwerk herzustellen, kann ein wichtiges Kriterium, mitunter sogar der Hauptgrund für die Verwendung eines VPNs sein.

Remote Access VPNs

Remote Access VPNs sind die am häufigsten genutzten VPN-Typen. Diese ermöglichen den Benutzern den Zugriff auf Unternehmensressourcen, auch wenn sie nicht direkt mit dem Unternehmensnetzwerk verbunden sind. Remote Access VPNs nutzen in der Regel temporäre Verbindungen und werden abgeschaltet, wenn Benutzer ihre Aufgaben abgeschlossen haben.

Den Datenschutz gewährleisten dabei ein sicherer Tunnel zwischen dem Endpunkt des Benutzers (dem Laptop, dem mobilen Gerät oder dem Heimcomputer) und dem Unternehmenszugangspunkt. Die Sicherheit wird zusätzlich durch eine Authentifizierung (Passworte, Token, biometrische Identifikation, usw.) ergänzt. In manchen Fällen werden die Benutzernamen und Kennwörter bereits in VPN-Software am Endpunkt des Benutzers eingebettet, um den Zugang für den Nutzer zu vereinfachen.

Vorteile von Remote-Access VPNs

Die Vorteile von Remote Access VPNs bestehen darin, dass Mitarbeiter unabhängig von ihrem Standort und ohne eine dedizierte physische Verbindung eine Verbindung zu Unternehmensressourcen herstellen können. Das reduziert Kosten und sorgt für die notwendige Konnektivität, wo diese vorher nicht möglich war.

VPN-Beispiel für den Remotezugriff

Ein Mitarbeiter einer Anwaltskanzlei möchte auf Dateien zugreifen, die auf einem gemeinsam genutzten Server gespeichert sind. Natürlich könnte das Unternehmen den Heimarbeitsplatz des Mitarbeiters über eine dedizierte Privatleitung mit dem Firmennetzwerk verbinden. Diese Lösung wäre jedoch sehr teuer. Mit Hilfe eines Remote Access VPNs kann der Mitarbeiter von zu Hause aus Zugriff auf das Firmennetz erlangen, gerade so, als säße er mittendrin. Aus Sicht der VPN-Verbindung werden dafür die dazwischen liegenden Netze (sein Heimnetz sowie das Internet) auf die Funktion eines Verlängerungskabels reduziert, das den Computer (VPN-Partner) ausschließlich mit dem zugeordneten Netz verbindet (VPN-Gateway). Er wird nun zum Bestandteil dieses Netzes und hat direkten Zugriff darauf.

Herausforderungen bei der Nutzung von Remote Access VPNs

Der Nachteil des Remote-Zugriffs über VPN besteht darin, dass die Transportstrecken stark variieren können. Die Durchsatzgeschwindigkeit ist auch abhängig vom jeweiligen Internet-Zugang, der genutzten Verschlüsselungsmethode und der Endpunkt, von dem aus der Benutzer eine Verbindung herstellt.

Ein Mitarbeiter, der sich über eine Glasfaserverbindung von seinem Home Office verbindet, wird wahrscheinlich eine wesentlich bessere Performance haben als bei einer VPN-Verbindung, die über das WLAN eines Hotels realisiert wurde.

Die Nutzer haben jedoch nur wenig Einfluss auf die Performance der Lösung und auch die IT-Abteilung des Unternehmens kann wenig zur Durchsatzverbesserung beitragen.

Prinzipiell kann man jede Anwendung im Unternehmen über ein Remote Access VPN übermittelt werden. Die meisten Anwendungen funktionieren sehr gut, da diese nur klassische Daten übermitteln. Die Echtzeitanwendungen (Voice over IP und Videoconferencing) benötigen jedoch eine relativ hohe Bandbreite mit niedriger Latenz, die nicht immer vom VPN bereitgestellt werden kann. Dies kann zur Verschlechterung der Sprachqualität und der Videobilder führen. 

IPSec vs. SSL VPNs

Remote Access VPNs nutzen meist das IPSec-Protokoll oder die Secure Socket Layer (SSL) Variante, um die vom Benutzer übermittelten Daten sicher ins Unternehmensnetzwerke zu tunneln. Mit IPSec-VPNs können die Mitarbeiter auf alle Unternehmensressourcen zugreifen, als wären würden sie sich im Büro befinden. Für den Nutzer stehen alle freigegebenen Laufwerke, Anwendungen und andere Ressourcen zur Verfügung.

SSL-VPNs sorgen normalerweise nur für den Zugang zu einer einzelnen Anwendung und nicht zum gesamten Netzwerk im Unternehmen. Die SSL-VPNs werden jedoch immer beliebter, da das SSL-Protokoll weniger Rechenressourcen erfordert und die IT-Abteilung haben mehr Kontrolle darüber, auf welche Ressourcen der Benutzer zugreifen kann. Durch die Beschränkung des Zugriffs auf bestimmte Gruppen von Anwendungen lässt sich das Unternehmen besser schützen, fall das Gerät des Benutzers kompromittiert wird.

SSL-VPNs und IoT

Das Internet der Dinge (IoT) basiert auf einer breiten Palette an Geräten, viele davon sind Sensoren, die in Unternehmensnetzwerken zur Überwachung und zur Steuerung von Gebäudesystemen bzw. zur Datenerfassung von Maschinen und Fertigungsanlagen genutzt werden. Diese Geräte müssen mit dem Unternehmensnetzwerk kommunizieren, und für diesen Anwendungsfall wären die SSL-VPNs die idealen Werkzeuge. Die SSL-VPNs können so konfiguriert werden, dass diese den Zugriff nur auf Dienste, die das IoT-Gerät zur Ausführung seiner Funktionen benötigt, beschränken.

Schwindender Bedarf an Remote Access VPNs

Da Software as a Service (SaaS) immer beliebter wird, nimmt die Bereitstellungsanforderung für Remote Access VPNs ab. Die Anwendungen und die Daten werden von Unternehmensdatenzentren in die Cloud verlagert und die Benutzer können direkt auf die benötigten Dienste zugreifen. Eine VPN-Anbindung an das Unternehmen und der anschließende Zugriff vom Firmennetzwerk in die Cloud würde die Performance der Dienste nur beeinträchtigen. 

Site-to-Site-VPNs

Site-to-Site-VPNs verbinden Standorte, in der Regel Zweigstellen, mit dem zentralen Unternehmensnetzwerk. Bei Site-to-Site-VPNs werden die Verbindungen zwischen den Netzwerken über Router, Firewalls oder dedizierte VPN-Appliances hergestellt. Die Geräte des Nutzers sind bei dieser Lösung nicht am VPN beteiligt. Die Site-to-Site-VPNs werden aus einem ähnlichen Grund installiert wie die Remote Access VPNs: Die Verbindung des Standorts (der Zweigstelle) mit der Zentrale ist auf Basis einer dedizierten Standleitung zu teuer oder zu unpraktisch.

Beispiel für ein Site-to-Site-VPN

Man stelle sich eine Beratungsfirma vor, die beschließt, ein Büro in Japan mit drei Personen zu eröffnen. Die Anwender sollen auf einen gemeinsamen Dateiserver, die E-Mail und andere Unternehmensressourcen zugreifen können. In diesem Fall sind die Netzwerkanforderungen nicht übermäßig hoch, so dass eine dedizierte Verbindung keinen Sinn macht. Das Unternehmen kann über eine normale Internetverbindung ein internetbasiertes VPN aufbauen, welches die beiden Standorte verbindet. Damit lassen sich buchstäblich Tausende von Euro pro Monat einsparen. Allerdings muss berücksichtigt werden, dass Internet-basierte VPNs komplex und nicht immer flexibel genutzt werden können. Änderungen an Internet-VPNs können in mittleren bis großen Netzwerken eine große Herausforderung darstellen. Auch ist zu beachten, dass durch die genutzten Internetverbindungen die Anwendungsleistung je nach Netzwerklast variieren kann.

Site-to-Site-MPLS-VPNs

Eine andere Möglichkeit zur Verbindung von Standorten ist ein Site-to-Site-MPLS-VPN. Bei dem Standort-zu-Standort-VPN wird anstatt dem Internet eine vom Provider bereitgestellte MPLS-Cloud für den Datentransport genutzt. Der Service Provider sorgt zwischen den jeweiligen Standorten mit virtuellen Verbindungen über sein MPLS-Netzwerk für die Konnektivität. Die wesentlichen Vorteile dieser Art von VPNs bestehen in der Netzwerkagilität und der Vermaschung von Netzwerken. In einem typischen Standort-zu-Standort-Netzwerk ist jede Zweigstelle nur mit dem Datenzentrum verbunden, und der Verkehr zwischen den Zweigstellen fließt ausschließlich durch diesen zentralen Knotenpunkt. Durch die Meshing-Funktionen können die Zweigstellen direkt miteinander kommunizieren.  Diese direkte Konnektivität kann für Videokonferenzen und andere bandbreitenintensive und verzögerungsempfindliche Anwendungen erforderlich sein. Negativ wirken sich bei MPLS-VPNs die Kosten aus.

VPNs und SD-WANs

SD-WANs sind inzwischen der letzte Schrei der Netzwerkindustrie und werden aufgrund ihrer Kostenvorteile immer beliebter. Darüber hinaus werden bei dieser Lösung die Kostenvorteile von Internet-basierten VPNs mit der Leistungsfähigkeit und Agilität von MPLS-VPNs gepaart. Mit einem SD-WAN können Unternehmen zumindest einige ihrer hochpreisigen MPLS-Schaltungen durch kostengünstigere Internetverbindungen ersetzen und die Optimierungs- und Multipath-Funktionen eines SD-WAN nutzen, um sicherzustellen, dass die Leistung den individuellen Anforderungen entspricht. Da das Steuerelement eines SD-WAN von der zugrunde liegenden Infrastruktur entkoppelt ist, kann das Netzwerk über einen zentralen Zugangspunkt konfiguriert werden. Änderungen an einem SD-WAN können daher oft mit nur wenigen Mausklicks vorgenommen werden. Die VPN-Technologie gibt es zwar seit Jahrzehnten und in Verbindung mit SD-WAN ist der nächste evolutionäre Schritt der VPN-Technologie eingeleitet.

mat

Druckversion

Zum Thema

  • 2018-08-09

    Software-definiert, aber sicher

    Sicherheit in SD-WAN- und SDN-Umgebungen (Software-defined WAN/Networking) wird zunehmend wichtiger für Netzbetreiber und deren Kunden. Dies wurde zuletzt auf dem diesjährigen MPLS + SDN + NFV World Congress in Paris deutlich.  mehr

  • 2018-08-08

    Darauf kommt es bei SD-WAN wirklich an

    Was Technologieanbieter nicht erzählen: Software-Defined WAN (SD-WAN) gilt besonders bei der Standortvernetzung als Mittel der Wahl. Unternehmen und Organisationen können damit ihre Netzwerkkosten senken und die Performance steigern. Doch während auf dem bunten Papier der Marketing-Prospekte jede SD-WAN-Lösung in den schönsten Farben glänzt, gilt es für Interessenten, die wesentlichen Aspekte im Auge zu behalten.  mehr

  • 2018-07-06

    EVPN-VXLAN Fabric für Unternehmens-Rechenzentren und Campus-Netzwerke

    Juniper Campus- und SD-WAN-Erweiterungen von Juniper erleichtern Unternehmen den Weg in eine sichere und automatisierte Multi-Cloud. Juniper Networks erweitert sein Campus-Portfolio um die EVPN-VXLAN-Fabric. Damit ermöglicht das Unternehmen eine gemeinsame Architektur für Campus- und Rechenzentrum-Fabrics und vereinheitlicht heterogene Infrastrukturen.  mehr

  • © quelle cradlepoint
    2018-07-18

    Robuste Netzwerkanforderungen und SD-WAN

    Ohne Internetkonnektivität, möglichst in Breitband, geht heute kaum etwas. Auch nicht auf Baustellen oder bei Rettungseinsätzen der Feuerwehr. Baucontainer und Einsatzfahrzeuge sind IT-seitig wie kleine Unternehmenszweigstellen anzusehen. Und so müssen sie von der IT auch gehandhabt werden. Wie SD-WAN für eine stabile Internetkonnektivität im sogenannten Ruggedized Umfeld sorgt und dabei die Arbeit von IT-Verantwortlichen erleichtert, illustriert dieser Artikel; von Sascha Kremer *)  mehr

  • 2018-05-08

    Schnelle Einführung von Software-Defined Storage

    Red Hat liefert ab sofort Red Hat Storage One aus. Dabei handelt es sich um einen neuen Ansatz von hochskalierbarem Enterprise Storage, der Anwendern den Komfort Hardware-optimierter Speichersysteme, kombiniert mit der Flexibilität und Leistung von Software-Defined Storage, bereitstellt.  mehr

  • 2018-04-25

    SD-WAN-as-a-Service-Paket für den IoT-Einsatz

    Cradlepoint bietet seit kurzem seine SD-WAN-Lösung in branchenspezifischen as-a-Service-Modellen an. Der Hersteller von cloudbasierten 4G-LTE-Netzwerklösungen startete dieses neue, lizenzbasierte Produkt- und Preismodell mit einem Lösungspaket speziell für Filialen, gefolgt von einem Paket für den mobilen Einsatz. Nun kommt mit dem „NetCloud Solution Package for IoT” ein All-inclusive-Paket für IoT-Anwendungen auf den Markt.  mehr

  • 2018-04-08

    SD-WAN

    Dell EMC hat seine Virtual Edge Platform (VEP) angekündigt, die erste Lösungsfamilie für softwaredefinierte Wide Area Networks (SD-WAN) auf Grundlage des neuen Prozessors Intel Xeon D-2100. Damit können Organisationen ihr Network Edge über universelle Teilnehmer-Endgeräte (universal Customer Premise Equipment, uCPE) mit der Cloud verbinden. Die neuen, virtualisierten Lösungen verbessern oder ersetzen teure Zugangshardware, die ausschließlich fest definierte Funktionen bietet.  mehr

  • © quelle bitdefender
    2018-06-08

    Weniger ist mehr

    Die Vorteile von Hyperkonvergenz und Virtualisierung im Security-Management nutzen; von Frank Charvet *)  mehr