VPN-Lösungen für Unternehmen stehen in verschiedenen Ausprägungen zur Verfügung. Nachfolgend stellt ZDNet einige der wichtigsten Hersteller und deren bekannteste Modelle vor. Natürlich bieten auch Linux- und Windows-Server die Möglichkeit, ein VPN aufzubauen, ohne auf eine zusätzliche Lösung zu setzen. Auch auf diese Möglichkeiten wird nachfolgend eingegangen.
Herkömmliche, einfache VPN-Appliances oder VPN-Geräte gibt es immer weniger. In den meisten Fällen verfügen die VPN-Lösungen über weit mehr Funktionen, als einfaches VPN. Vor allem die Bereiche Application Delivery Controllers (ADC), Next Generation Firewalls (NGFW) und Unified Threat Management (UTM)-Appliances, bieten mittlerweile auch VPN-Funktionen und parallel dazu Firewall-Technologien, Virenschutz, UTM-Gateways und mehr. Fast alle der in diesem Beitrag vorgestellten Lösungen bieten diese Möglichkeiten.
Zyxel ZyWall, USG und Co für KMUs
Das Unternehmen Zyxel ist vor allem auf kleinere und mittlere Unternehmen (KMU) spezialisiert. Der Vorteil der Zyxel-Lösungen besteht vor allem darin, dass kleinere Unternehmen sichere, einfach zu bedienende Hardware-Firewalls erhalten, die auch als VPN-Server nutzbar sind. Zyxel bietet Firewalls für bis zu 500 Benutzer an, die auch VPN-Fähig sind.
Wer den Kauf einer Zyxel-Firewall für den Einsatz als VPN-Server in Betracht zieht, kann auch die USG-Geräte von Zyxel setzen. Diese bieten zusätzlich noch Schutz gegen Viren, UTM-Funktionen, Deep Packet-Inspection und WLAN-Anbindung. Vor allem kleinere Unternehmen profitieren von dieser Lösung. Als VPN-Durchsatz gibt der Hersteller 400-650 Mbps an, abhängig vom eingesetzten Produkt (USG110, USG210, USG310). Die Geräte zeichnen sich durch kompakte Bauweise aus, und sich auch für sehr kleine Büros erschwinglich, ohne auf die Sicherheit zu verzichten.
Cisco VPN Router RV-VPN-Geräte
Natürlich bietet auch Cisco, neben Hardware für Netzwerke und Internet, auch Lösungen an, um Clients per VPN anzubinden. Cisco stellt dazu verschiedene, unterschiedliche Produkte zur Verfügung, auch Lösungen für kleinere Unternehmen. Die Modellreihe von Cisco hierzu trägt die Bezeichnung RV. In diesem Bereich bietet Cisco nicht nur VPN-Lösungen für größere Netzwerke an, sondern auch VPN-Router, die sich vor allem an kleinere und mittlere Unternehmen richten. Ähnlich wie Zyxel, bieten auch die VPN-Router von Cisco zusätzlich Webfilterung, eine SPI-Firewall und eine einfach zu bedienende Weboberfläche zur Verwaltung.
Cisco ermöglicht den Aufbau von IPSec-VPNs. Aber auch SSL-VPNs lassen sich mit den Geräten zur Verfügung stellen, genauso wie PPTP-VPNs. Jedes Unternehmen kann also auf das VPN-Szenario setzen, das es gerne nutzen möchte. Zur Verschlüsselung bietet Cisco Data Encryption Standard (DES), Triple Data Encryption Standard (3DES) und Advanced Encryption Standard (AES) encryption mit AES-128, AES-192, AES-256. Dadurch lassen sich nicht nur Clients mit PCs anbinden, sondern auch Smartphones und Tablets. Natürlich lassen sich mit den RV-VPN-Routern, zum Beispiel dem RV325 auch Tunnel zwischen zwei Niederlassungen aufbauen. Dazu bauen die beiden Endgeräte am jeweiligen Standort den VPN-Tunnel auf. Cisco bietet die Router jeweils ohne und mit WLAN an. Außerdem lassen sich auch mehrere Geräte tunneln, zum Beispiel bei der Verbindung mehrerer Niederlassungen über das Internet per VPN.
Verbindungsaufnahmen mit Cisco-VPN
Der Verbindungsaufbau zu einem Cisco-VPN erfolgt meistens über den AnyConnect Secure Mobility Client, der für alle maßgeblichen Client-Plattformen im jeweiligen App-Store zur Verfügung steht. AnyConnect unterstützt for TLS, DTLS und IPsec IKEv2.
Bekannte VPN-Lösungen für größere Unternehmen sind die ASA 5500-X-Serie. Mit Geräten dieser Serie lassen sich von 3.000 bis 10.000-Tunnel aufbauen, abhängig von der eingesetzten Option. Die größte Option ist Cisco ASA 5585-X w/SSP-60 mit einer maximalen Anzahl von 10.000 Tunneln. Das kleines Gerät Cisco ASA 5512-X bietet bis zu 3.000 Tunnel. Die Geschwindigkeit variiert von 200 Mbps (Cisco ASA 5512-X) und 5 Gbps (Cisco ASA 5585-X w/SSP-60).
Für kleinere Unternehmen bieten sich auch die Serien 1900 , 2900 und 3900. Alle Serien bieten DES, 3DES und AES für IPSec- und SSL-VPNs. Wird bei diesen Geräten das ISM-VPN-Modul verwendet, bieten die Geräte eine Geschwindigkeit von 550Mbps (Serie 1900), 900 Mbps (Serie 2900) und 1.200 Mpbs (Serie 3900).
CheckPoint
CheckPoint gehört sicherlich zu den bekanntesten Unternehmen, wenn es um Firewalls für Unternehmen geht. Check Point Endpoint Security Remote Access VPN ermöglicht Anwendern den Verbindungsaufbau per VPN. Auf Basis dieser Lösung können Anwender von zu Hause oder unterwegs, mit unterschiedlichen Geräten eine Verbindung zum Netzwerk aufbauen. Auch Apps für Tablets und Smartphones stehen zur Verfügung. CheckPoint-Lösungen werden allerdings meistens in Verbindung mit den Firewall-Technologien eingesetzt, selten als reine VPN-Lösungen. Unternehmen, die auf eine CheckPoint-Firewall setzen, sollten sich Remote Access VPN von CheckPoint ansehen.
F5 Networks VPN Solutions – Big-IP, VIPRION und virtuelle Appliances
Auch F5 Networks bietet Lösungen zum Aufbau von VPNs an. Installieren lassen sich die Lösungen auf der F5 Big IP-Plattform, oder auf den VIPRION-Blades des Unternehmens. Zusammen mit diesen Lösungen lässt sich eine VPN-Umgebung aufbauen. Grundlage für das VPN ist der Access Policy Manager (APM). Dieses Produkt verfügt über zahlreiche Funktionen zur Absicherungen von Netzwerken. Die BIG IP-Plattform sowie die VIPRION-Blades lassen sich nach Anforderungen des Unternehmens skalieren. Die VIPIRON-Plattform baut auf Blades auf und lässt sich auch für sehr große Netzwerke implementieren, da die Skalierung über zusätzliche Blades erfolgen kann. F5 bietet auch virtuelle Appliances an, welche die gleichen Funktionen von Access Policy Manager (APM) bieten, wie die physischen Installationen auf BIG-IP oder VIPRION.
Der Verbindungsaufbau erfolgt über einen eigenen Client, der für alle maßgeblichen Plattformen in den App-Stores zur Verfügung steht. Die Anwendungssoftware dazu nennt sich BIG-IP Edge VPN Client. Die Installation erfolgt über den jeweiligen App-Store der Umgebung, also dem Windows Store, Apple App-Store oder Google Play. Die Verbindung wird über TLS oder DTLS (Datagram TLS) hergestellt.
Dell SonicWALL
Dell bietet mit der SonicWALL-Produktlinie, ebenfalls Lösungen zum Aufbau von VPNs an. Sie stammt aus der Übernahme des gleichnamigen Unternehmens. Die SonicWALL Mobile Connect App (SMA) und Secure Remote Access Appliances (SRA) erlauben den Zugriff auf Basis von SSL-VPNs. Die SRA-Appliances sind vor allem für kleine und mittlere Unternehmen optimiert. Die größeren E-Klasse SRA-Appliances sind für VPN-Verbindungen in größeren Unternehmen ideal. Zusätzlich können die größeren Appliances auch Netzwerke vor Viren schützen, bieten die Erkennung von nicht genehmigten Geräten und unterstützen auch die Einrichtung von Richtlinien.
Für kleinere Unternehmen sind die Geräte SonicWALL SRA 1600 und SonicWALL SRA 4600 gedacht. Diese erlauben die Verbindung von maximal 50 (SRA 1600) bis 500 (SRA 4600) Verbindungen. In einem solchen Umfeld ist auch die SonicWALL SRA Virtual Appliance ideal. Auch diese erlaubt die Anbindung von maximal 500 Benutzern.
Citrix VPN Access und NetScaler Gateway
Citrix VPN Access ist Bestandteil des NetScaler Gateway. NetScaler ist der Nachfolger des Access Gateways, mit dem Administratoren XenDesktop und XenApp im Internet veröffentlichen können.
Citrix NetScaler kann webbasierte Dienste wie Exchange, Lync und SharePoint über das Internet zur Verfügung stellen. Zusätzlich bietet NetScaler auch Loadbalancing sowie Layer 4-Verbindungsverwaltung, Inhaltsfilterung, URL-Filterung und -Rewriting. Auch Netzwerkzugriffschutz, SSL-VPN und andere Netzwerkfunktionen lassen sich mit NetScaler einrichten. Auf Wunsch lässt sich auch ein Virenscanner integrieren. Der Verbindungsaufbau ist auch über TLS und DTLS möglich, nicht nur mit einem SSL-VPN. Interessant ist das Produkt vor allem dann, wenn Unternehmen Citrix-Produkte sicher den externen Anwendern und mobilen Benutzern zur Verfügung stellen wollen.
Das Citrix Gateway ist in fast allen NetScaler ADC-Appliances enthalten und voll in Citrix-Anwendungen integriert. Es lässt sich als virtuelle Appliance oder im Rahmen einer Citrix-Appliance-Lösung im Netzwerk integrieren. Im Unterschied zu anderen Anwendungen ist die Lizenzierung etwas komplizierter. Um den richtigen Preis zu erhalten, bietet es sich an, direkt mit einem Citrix-Spezialisten den Einsatz zu planen. Für den Einsatz von Citrix VPN Access mit SSL-VPN-Funktionalität ist meistens eine universelle Lizenz (Universal License) notwendig.
Citrix NetScaler MPX 5550 und Citrix NetScaler MPX 22120 kommen in diesen Szenarien häufig zum Einsatz. Alle Modelle und deren verschiedene Funktionen zeigt Citrix im dazugehörigen Datenblatt.
Pulse Secure (Juniper) VPN Solutions
Die Sicherheitslösungen von Pulse (ehemals Juniper) bestehen aus verschiedenen Anwendungen: Pulse Secure MAG Gateway, Pulse Connect Secure und Pulse Policy Secure. Pulse Connect Secure bietet VPN-Verbindungen von verschiedenen Geräten aus. Der Zugriff erfolgt über SSL VPN. Hier lassen sich auch Browserverbindungen zu internen Webdiensten und Cloudanwendungen aufbauen, ohne dass ein Client auf den Endgeräten installiert sein muss. Natürlich lassen sich auch herkömmliche VPN-Verbindungen aufbauen. Dazu ist der Pulse Secure Client notwendig. Pulse bietet eine erweiterte Network Access Control-Lösung mit der engen Integration mit Pulse Secure Connect. Die Pulse Secure MAG -Gateway-Plattform besteht vor allem aus verschiedenen Appliances: MAG 2600, MAG 4610, MAG 6610 und MAG 6611.
OpenSource-VPN mit OpenVPN
Nicht alle Unternehmen wollen dedizierte Appliances für den Aufbau von VPNs zur Verfügung stellen. Häufig kommen Linux-Server zum Einsatz, wenn ein VPN-Server aufgebaut werden soll. Die bekannteste VPN-Lösung für Linux ist die OpenSource-Anwendung OpenVPN.
OpenVPN bietet, neben der kostenlosen Bereitstellung, weitere Vorteile, die den Einsatz als VPN-Server lohnen. Die meisten VPN-Appliances sind teuer und bieten vor allem zahlreiche Funktionen, die Unternehmen nicht brauchen. OpenVPN ist vor allem für den Aufbau von VPNs konzipiert. Die Lösung setzt keine teure Hardware voraus, und benötigt nur Linux zur Installation. In kleinen und mittleren Umgebungen kann die Lösung sogar auf einem Rasperry PI installiert werden. Über die meisten Distributionen ist das Produkt schnell und einfach installiert. Installationsanleitungen sind auf der OpenVPN-Seite ebenfalls zu finden. OpenVPN verschlüsselt auf Basis von TLS.
Auch SoftEther VPN Project bietet auf Basis von OpenSource die Möglichkeit VPNs aufzubauen. Die VPN-Lösung lässt sich mit Windows betreiben, aber auch auf Linux-Servern, Mac OS X, Solaris und FreeBSD.
VPN-Server mit Windows Server 2012/2012 R2 und Windows Server 2016
In Windows-Netzwerken lassen sich VPN-Server natürlich auch mit Windows-Servern aufbauen. Hierfür müssen Unternehmen auf die Lizenzierung der Server und der Zugriffe achten. Windows Server 2012 R2 und Windows 8/8.1 und Windows 10 unterstützen neben PPTP und L2TP auch das Secure Socket Tunneling-Protokoll (SSTP) für die VPN-Einwahl. Dadurch wird wird ein VPN auf Basis von HTTPS aufgebaut, welches viel leichter durch Firewalls und NAT-Geräten geschleust werden kann.
SSTP verwendet eine HTTP-über-SSL-Sitzung zwischen VPN-Clients und -Servern, um gekapselte IPv4- oder IPv6-Pakete auszutauschen. Ein IPv4- oder IPv6-Paket wird zunächst zusammen mit einem PPP-Header und einem SSTP-Header gekapselt. Die Kombination aus dem IPv4- oder IPv6-Paket, dem PPP-Header und dem SSTP-Header wird durch die SSL-Sitzung verschlüsselt. Ein TCP-Header und ein IPv4-Header werden hinzugefügt, um das Paket zu vervollständigen. Alles was dazu notwendig ist hat Microsoft in Windows Server 2012 R2 und Windows Server 2016 integriert. Windows 8.1 und Windows 10 lassen sich mit solchen Netzwerken ohne zusätzliche Clients integrieren, genauso wie beim Einsatz von DirectAccess.
Mit Windows Server 2012/2012 R2 und Windows 8.1/10, und auch bereits mit Windows 7, können Unternehmen außerdem auch auf DirectAccess setzen. Damit verbindet sich das Betriebssystem im Hintergrund über das Internet automatisch mit dem Unternehmensnetzwerk ohne, dass ein VPN-Client zum Einsatz kommt. Der Verbindungsaufbau funktioniert auch über Firewalls hinweg. Die meisten Unternehmen setzen aber eher auf externe Lösungen, um mobile Anwender anzubinden. Denn diese bieten auch die Möglichkeit Smartphones und Tablets anzubinden.
Fazit – VPN-Lösungen für Unternehmen
Es gibt enorm viele Lösungen, um im Netzwerk ein VPN zur Verfügung zu stellen. Unternehmen haben die Auswahl zwischen Software-VPN-Lösungen wie OpenVPN oder VPNs mit Windows-Servern und Appliances. Die einzelnen Appliances stehen wiederum oft als Hardware oder als virtuelle Appliance zur Verfügung. Dazu kommt, dass in vielen Lösungen weitere Funktionen integriert sind. Es sollte beim Einsatz eines VPN-Servers also darauf geachtet werden, welche Funktionen ein Unternehmen überhaupt benötigt, wieviele Benutzer mit dem System arbeiten sollen, und ob die zusätzlichen Optionen ideal in das eigene Netzwerk integriert werden können. Auch die Art des VPNs spielt eine Rolle, genauso wie die Clients und Client-Systeme, die angebunden werden sollen.
Neueste Kommentare
2 Kommentare zu VPN-Lösungen für Unternehmen im Überblick
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Das ausgerechnet du My!Fritz empfiehlst ist schon merkwürdig. Der Dienst wurde schon mehrfach gehackt und gibt auch Benutzernamen und Passwort der Fritzbox preis, also eine Einladung für jeden halbwegs guten Hacker, außer man schaltet den internetseitigen Zugriff auf die Fritzbox komplett ab. Also besser wäre im Moment definitiv ein Drittanbieter einer Dynamischen-DNS wie z.B: dyndns.org oder selfhost.de !
Schöne Übersicht, danke.
Wer sich als Privatanwender die Frage stellt, ob VPN für ihne interessant sein kann – hier ein paar Infos:
Nützlich? Ja, mitunter sehr nützlich. Wenn man per VPN eine Verbindung zum Rechner nach Hause aufbauen kann, stehen einem einerseits die Ressourcen zur Verfügung. Brispielsweise kann man den Rechner fernsteuern (eher selten), aber auch auf ein zentrales NAS zugreifen (sinnvoller).
Am besten ist aber die Nutzung der Internet Infrastruktur, d.h. dass man die Sicherheit des Netzes zu Hause zum surfen und abrufen der Emails nutzen kann.
Das bedeutet, das mna unterwegs öffentliche Netze weitgehend gefahrlos nutzen kann: man baut als erstes das VPN auf, und dann ruft man Mails ab, kann den Kontostand überprüfen, oder eben auf den heimatlichen Server zugreifen, ohne Angst haben zu müssen, dass jemand Anderes im öffentlichen LAN die Passworte und Adressen nebst Inhalten abgreift – falls diese unverschlüsselt (oftmals bei Mail) übertragen werden.
Ebenfalls sehr praktisch: man kann mittels App mitunter auf die Telefonanlage des DSL Routers zugreifen und sogar telefonieren – was insbesondere, wenn man sich im Ausland (nicht-EU Ausland = nach Hause telefonieren extrem teuer) befindet, sehr günstig ist.ä
Bedeutet: VPN über Hotel LAN/Public LAN aufbauen, App starten, telefonieren zu Heimattarifen (innerhalb Deutshlands Festnetz kostenlos).
Einrichtung kompliziert? Nein, nicht mehr. Beispielsweise bereits bei den mittelpreisigen Fritz!Box DSL Routern mit TK Anlage ist das VPN bereits integriert und kann recht leicht eingerichtet werden. Wichtig ist dabeil dass man die DSL Router über das Internet erreichen kann. Da die IP Adressen sich ständig ändern, brauch man entweder einen Dynamischen DNS Dienst (dyndns, noip), oder der Router Hersteller bietet einen solchen Service vielleicht selber an. Bei der Fritz!Box ist z.B. eine eigener dynamischer DNS Dienst enthalten. Man erhält von AVM (Hersteller der Fritzbox) einen unique DNS Namen für seinen Router , und wenn man diesen bei der Konfiguration des VPN Clients nutzt, findet die VPN Software stets den eigenen Router, egal, wie oft sich die IP Adresse ändert. Warum? Weil der Router die IP Adresse immer aktualisiert an AVM schickt.
Ist das ’sicher‘? Ja. Weil der Zugang zur Fritz!Box/zum DSL Router durch Passworte abgesichert ist, und die Kommunikation verschlüsselt abläuft. AVM kennt bestenfalls die Router IP Adresse – die VPN Kommunikation läuft direkt zwischen Smartphon/Tablet und dem DSL Router ab.
Verglichen mit einer direkten Kommunikation im Public WLAN oder Hotel WLAN ist das allemal sicherer, weil ein Angreifer nur das verschlüsselte VPN sieht – und erst hacken müsste. Angesichts der Verschlüsselung nahezu unmöglich.
Was braucht man dafür? Den DSL Router zu Hause, eine einmalige Konfiguration des dynamisches DNS Dienstes nebst Eintragung im Router, die Konfiguration des VPN Clients am Smartphone (bei Android, iOS und Win Phone enthalten) – und wenn man aus der Ferne zum heimatlichen Lokaltarif telefonieren möchte, eine entsprechende App (bei Fritz!Box wäre das die kostenkose Fritz Fon).
Welche Kosten bringt VPN mit sich? Einfach beim nächsten Router Kauf auf VPN und dyn DNS Service achten. Wer häufig im Ausland unterwegs ist, und viel ’nach Hause‘ telefoniert, oder gar im Ausland telefonisch erreichbar sein will, für den amortisiert sich der einmalig gezahlte Preis sehr schnell. Ab etwa 100€ geht es bei der FritzBox los – Wichtig: eine Telefonanlage muss für das Telefonieren aus der Ferne enthalten sein. Viele DSL Kund haben bereits die Möglichkeit für VPN bereits eingebaut – einfach auf den Router schauen.
Und warum tut man das? Weil es sicherer ist, weil es mitunter Geld spart, und weil man auch im Ausland erreichbar ist.
Man könnte im Prinzip im Süden mit seinem Notebook und Smartphone am Hotel Pool sitzen, als ob man in der Heimat wäre, und wäre dennoch erreichbar (SMS/Mail bei Anruf zu Hause), und wenn man dann jemanden vom Ausland aus anruft, dann sieht der die Telefonnummer vom Festnetz zu Hause. :-)