Durch die immer grösser werdenden Mobilitätsanforderungen und dem Trend hin zu Heimarbeitsplätzen müssen viele Administratoren die bisherige Strategie des Remote-Zugangs zum Firmennetz überdenken und überarbeiten.
Seit Windows 2008 hat Microsoft neue VPN-Technologien mit an Bord, die sich anstrengen das veraltetete und unsichere “PPTP” (Point to Point Tunneling Protocol) bzw. komplizierte “IPSec over L2TP” (Layer 2 Tunneling Protocol) zu beerben.
Mit Windows 2008/Windows Vista erfolgte die Einführung von SSTP (Secure Socket Tunneling Protocol), die mit dem SSL-VPN anderer Anbieter vergleichbar ist.
Seit Windows 2008R2/Windows 7 steht eine weitere Technologie namens “Direct Access” zur Vefügung, die auf IPSec basiert und “VPN-Reconnect” unterstützt, d.h. die VPN-Verbindung nach einer Unterbrechung wieder herstellen kann.
Beide neuen Varianten sind auch in die Small Business Versionen 2008 (SSTP) und 2011 (SSTP+Direct Access) integriert.
Der Vorteil von Windows basierten VPN Szenarien liegt unter anderem darin, dass die Verwaltung zentral über das Active Directory in Verbindung mit den Gruppenrichtlinien erfolgen kann und der VPN Client fester Bestandteil der Windows Client Betriebssysteme (Windows Vista/Windows 7) ist.
Dadurch entstehen auch keine zusätzlichen Kosten, z.B. für VPN-Clients.
Nicht zuletzt wurde auf erhöhte Sicherheit Wert gelegt – SSTP verschlüsselt auf Basis von SSL, Direct Access nutzt die Mechanismen von IPSec.
Daraus ergeben sich auch die Einsatzszenarien der beiden Lösungen:
Wenn ein mobiler Mitarbeiter in vielen unterschiedlichen Netzwerken (Hotels, Flughäfen, Mobilfunk, …) unterwegs ist, macht es i.d.R. Sinn aufgrund der geringeren Anforderungen SSTP zu verwenden, da dies SSL für den Transport nutzt und überall dort funktionieren sollte, wo auf HTTPS-Webseiten zugegriffen werden kann.
Im Homeoffice-Umfeld findet man normalerweise fest definierte Gegebenheiten vor, dort kann dann bevorzugt “Direct-Access” zum Einsatz kommen, das weitreichendere Anforderungen an die Netzwerkstruktur stellt, den Client jedoch bedeutend stärker in die Management-Infrastruktur des Unternehmens integriert.
Grundsätzlich können auch beide Varianten gleichberechtigt zum Einsatz kommen.
Die zentrale Verwaltung kann soweit vereinfacht werden, dass durch Änderung der Gruppenmitgliedschaft von Benutzern der Zugriff via VPN gesteuert werden kann.
Hierdurch wird dann automatisiert der VPN-Client des Benutzers konfiguriert und der Benutzer selbst für den Remote-Zugriff freigeschaltet – eine Konfiguration oder Installation am Endgerät ist nicht notwendig.
Ein Nachteil dieser Lösungsszenarien soll an dieser Stelle jedoch nicht verschwiegen werden: der Zugriff funktioniert ausschliesslich mit den Windows Versionen Vista ab SP1 (SSTP) und 7 (SSTP+Direct Access).
Wenn das jedoch keine Rolle spielt bekommt man eine rundum gelungene Lösung für Remote-Zugänge auf das Firmennetz.
