Suchen

IP-Insider fragt nach – VPN-Experte Rainer Enders antwortet VPN Passthrough für Firewalls und VPN-Reconnect im Fokus

| Autor / Redakteur: Jürgen Hönig / Dipl.-Ing. (FH) Andreas Donner

Damit ein VPN auch in Unternehmensnetze aufgebaut werden kann, die von einer Firewall geschützt werden, müssen diese für ein VPN Passthrough konfiguriert werden. Was dabei zu beachten ist und welches Sicherheitsprotokoll man für VPN-Reconnect benötigt, erläutert VPN-Experte Rainer Enders.

Firmen zum Thema

Virtual Private Networking im Detail: IP-Insider fragt nach – VPN-Experte Rainer Enders antwortet
Virtual Private Networking im Detail: IP-Insider fragt nach – VPN-Experte Rainer Enders antwortet

IP-Insider: Herr Enders, was muss bei der Zusammenarbeit einer Firewall und eines VPN beachtet werde und was muss wie konfiguriert werden, damit ein VPN und eine vorhandene Firmenfirewall gemeinsam funktionieren?

Rainer Enders: Ein VPN wird typischerweise von außen aufgesetzt. Da nach einer Firmenfirewall gefragt wurde, gehe ich speziell auf dieses Thema ein.

Damit ein VPN innerhalb einer Firewall genutzt werden kann, müssen Firewalls in Kleinunternehmen für ein VPN Passthrough häufig erst entsprechend konfiguriert werden. Folglich muss die Konfiguration einer Firmenfirewall die Ports und Protokolle zulassen, die für die Herstellung einer VPN-Verbindung nötig sind.

Sie muss auch den Transport des VPN-Traffic zum entsprechenden „Concentrator“ zulassen. Dabei sollte das VPN-Gateway innerhalb der demilitarisierten Zone liegen. Dies unterscheidet sich von einer typischen Stateful Inspection Firewall, deren Verbindungen innerhalb des Netzwerkes beginnen. In diesem Fall erstellt die Firewall die benötigten Tunnel für den Return Traffic sofort. Folglich müssen die für den VPN-Betrieb benötigten Ports und Protokolle korrekt eingegeben und konfiguriert werden.

In einem SSL-VPN muss beispielsweise sichergestellt werden, dass der SSL-Port für den Zugang zum SSL-VPN-Gateway offen ist. Dies ist üblicherweise der Port 443 und es wird TCP 6 verwendet. Bei IPsec ist der Aufwand etwas größer: IKE (für Initial Key Exchange), das über UDP Port 500 läuft, und (in den meisten Fällen) auch NAT Traversal, das über UDP Port 4500 läuft, müssen eingerichtet werden. Zusätzlich muss sichergestellt werden, dass das Protokoll 50 für ESP und/oder Protokoll 51 für AH offen sind/ist und IPsec Traffic durchlassen/-lässt.

Daneben gibt es noch andere, weniger gängige VPN Technologien, wie beispielsweise PPTP, L2TP und L2F, die andere Voraussetzungen haben. Das wichtigste aber ist, dass man die Anforderungen des eingesetzten Sicherheitsprotokolls versteht.

IP-Insider: Welches Sicherheitsprotokoll benötigt man, um VPN-Reconnect zu verwenden?

Rainer Enders: Ich gehe davon aus, dass sich die Frage auf IKEv2 und dessen MOBIKE Erweiterung bezieht, die bei mobile Roaming unterbrochene Verbindungen erneut aufbaut. Hierfür ist kein zusätzliches Protokoll und kein zusätzlicher Port nötig. IKEv2 ist vollständig abwärtskompatibel zu IKEv1 und verwendet die gleichen Ports und Protokolle.

Rainer Enders, VPN-Experte bei NCP Engineering
Rainer Enders, VPN-Experte bei NCP Engineering

Über den Experten

Rainer Enders ist technischer Leiter der NCP Engineering in Nordamerika, einer Niederlassung der deutschen Firma NCP Engineering GmbH, welche Lösungen für sicheren Remote Access VPN entwickelt.

Enders arbeitet seit 20 Jahren in der Netzwerk- und Sicherheitsindustrie und hatdarüber hinaus Erfahrung in Testautomatisierung, Qualitätssicherung sowie Test und Verifikation von komplexen Netzwerk- und Systemarchitekturen.

Bevor Rainer Enders 2010 zu NCP wechselte, war er Geschäftsführer seiner eigenen Consultingfirma, Rainer Enders Consulting Enterprises, die sich auf Computer-Netzwerksicherheit und Storage Netzwerke spezialisiert hatte. Davor besetzte er verschiedenste technische Posten bei Identity Engines, NeoScale Systems, Yipes Enterprise Services und Ericsson.

(ID:35642880)