Suchen

IP-Insider fragt nach – VPN-Experte Rainer Enders antwortet Granulare VPN-Zugangssteuerung im Fokus

| Autor / Redakteur: Jürgen Hönig / Dipl.-Ing. (FH) Andreas Donner

VPN-Zugang ist nicht gleich VPN-Zugang! Je nach User, Usergruppe oder verwendetem Zugangs-Device bzw. Dial-in-Umgebung sollte ein umfassendes VPN-System, Zugriffsberechtigungen und Freigaben granular steuern. Wie dies gemanagt wird, erläutert VPN-Experte Rainer Enders.

Firmen zum Thema

Virtual Private Networking im Detail: IP-Insider fragt nach – VPN-Experte Rainer Enders antwortet
Virtual Private Networking im Detail: IP-Insider fragt nach – VPN-Experte Rainer Enders antwortet

Zugriff auf ein Remote Access Netzwerk wird üblicherweise von einer AAA-Funktion (Authentisierung, Autorisierung, Accounting) gesichert und beginnt mit der Bereitstellung für den Nutzer. Ein solides Identitätsmanagementsystem sollte in der Zugriffsinfrastruktur jeder Organisation vorhanden sein. Das Herzstück dieser Funktion ist ein zentrales User Verzeichnis wie LDAP oder Active Directory.

Am VPNGateway muss sich der Remote Access Anwender vor dem Zugriff gegenüber dem User-Verzeichnis verifizieren und authentisieren. Dies stellt sicher, dass entsprechend des Unternehmensprofils jeder User über eine entsprechende Bereitstellung verfügt und, was noch wichtiger ist, diese Bereitstellung auch entsprechend entzogen werden kann.

Remote User Authentication

Ein ausgereiftes VPN Access System authentisiert Remote User nicht nur gegenüber dem User-Verzeichnis des Unternehmens sondern synchronisiert auch die LDAP Attribute oder Sicherheitsgruppen – und vergibt entsprechende Zugriffsprivilegien. Abhängig von der Bereitstellung der Identität des Users innerhalb des Unternehmens, wird das VPN User Management System spezifische Zugriffsprofile für Usergruppen ausstellen.

Diese Zugriffsprofile definieren und erzwingen spezifische Einschränkungen im Zugriff für Dial-up User. Die Art der Authentisierung, wie zum Beispiel n-fache Authentisierung, kann eine solche Einschränkung sein, aber auch Split Tunneling und spezifische Zielnetzwerke, für die eine SA (Security Association) zugelassen wird, zählt dazu.

Weiterhin sind möglich: spezifische ClientFirewall Einstellungen auf dem Gerät des Nutzers, spezielle, erzwungene Regeln für den Schutz der Endpoints, die es einem Nutzer erlauben oder verbieten einen VPN Tunnel auf Grund der Kriterien Betriebssystem und Version aufzubauen, sowie andere Konfigurationsparameter.

Auch die VPN-Client-Bereitstellung sollte an dieser Stelle angesprochen werden. Jedes fortschrittliche VPN System kann nutzerspezifische Zugangsprofile über einen sicheren Bereitstellungsprozess erstellen. Die personalisierten Profile der Clients werden von einem VPN Access Management System verwaltet und beim ersten Starten an den VPN Nutzer ausgegeben. Hierdurch wird verhindert, dass der User oder ein Dritter Einstellungen am VPN-Client-Profil verändern kann. Zusätzlich kann bei einem spezialisierten Client wie beispielsweise einem IPsec Client eine solche Funktion leichter umgesetzt werden als bei einer Browser-basierten Lösung.

Rainer Enders, VPN-Experte bei NCP Engineering
Rainer Enders, VPN-Experte bei NCP Engineering

Über den Experten

Rainer Enders ist technischer Leiter der NCP Engineering in Nordamerika, einer Niederlassung der deutschen Firma NCP Engineering GmbH, welche Lösungen für sicheren Remote Access VPN entwickelt.

Enders arbeitet seit 20 Jahren in der Netzwerk- und Sicherheitsindustrie und hatdarüber hinaus Erfahrung in Testautomatisierung, Qualitätssicherung sowie Test und Verifikation von komplexen Netzwerk- und Systemarchitekturen.

Bevor Rainer Enders 2010 zu NCP wechselte, war er Geschäftsführer seiner eigenen Consultingfirma, Rainer Enders Consulting Enterprises, die sich auf Computer-Netzwerksicherheit und Storage Netzwerke spezialisiert hatte. Davor besetzte er verschiedenste technische Posten bei Identity Engines, NeoScale Systems, Yipes Enterprise Services und Ericsson.

(ID:34106960)