inforum 3/2005 - Neue VPN-Technologie an der Universität

inforum 3/2005 Inhalt - Vorheriger Artikel - Nächster Artikel - Impressum

Neue VPN-Technologie an der Universität

A. Forsmann

VPN (Virtual Private Network) ist ein Verfahren, um Dienste eines Netzwerks von außerhalb nutzen zu künnen.

Die bisherige VPN-Technologie an der Universität, basierend auf dem Point-to-Point- Tunnelprotocol (PPTP), ist durch eine IPSec-basierende VPN-Technologie ergänzt worden. IPSec (IP Security) ist eine Erweiterung des Internetprotokolls (IP), um Vertraulichkeit, Authentizität und Integrität der Datenkommunikation zu ermöglichen. IPSec ermöglicht eine sichere Kommunikation über ungesicherte Netzwerke, wie z. B. das Internet, indem u. a. die Daten mit dem 3DES-Verfahren verschlüsselt werden können. 3DES ist eine Weiterentwicklung des Data Encryption Standard (DES) und ist ein sehr sicheres Verfahren um Daten zu verschlüsseln.

Mit der neu beschafften VPN-Hardware lässt sich der VPN-Dienst virtualisieren, d. h. mehrere verschiedene VPN-Gateways können mit einer einzigen Hardware definiert werden. Damit ist es möglich, Sicherheitsanforderungen unterschiedlicher Netzwerkbereiche (z. B. verschiedener Fachbereiche) gerecht zu werden. Neben einem allgemeinen VPN-Gateway für die Universität ist das ZIV so in der Lage, in Abstimmung mit den IV-Versorgungseinheiten, Fachbereichen oder Instituten für diese eigene VPN-Gateways bereitzustellen.

Nach dem Aufbau einer VPN-Verbindung z. B. zu einem VPN-Gateway eines Fachbereichs befindet sich dann der Rechner im Netzwerk des Fachbereichs. Somit können berechtigte Nutzer auch von außerhalb Dienste eines internen Netzwerkes des Fachbereiches nutzen, die sonst aus Sicherheitsgründen (oder anderen Gründen) über das Internet nicht unmittelbar zur Verfügung stehen.

Für den Aufbau einer VPN-Verbindung muss der Nutzer den kostenlosen VPN-Client der Firma Cisco installiert haben. Die Installation und Benutzung des Cisco-VPN-Clients ist sehr nutzerfreundlich. Für alle gängigen Betriebssysteme (Windows, Linux, Mac OS) stehen den Angehörigen der Universität und des UKM die Cisco-VPN-Clients auf den Webseiten des ZIV zum Download zur Verfügung.

Neben der Installation des VPN-Clients muss noch – abhängig davon, zu welchem VPN-Gateway eine Verbindung aufgebaut werden soll – ein bestimmtes VPN-Profil in den Client importiert werden. Für das allgemeine VPN-Gateway der Universität muss z. B. das Profil »vpnstandard.uni-muenster.de« importiert werden. Im Cisco-VPN-Client können auch mehrere VPN-Profile gleichzeitig hinterlegt werden (siehe Abbildung 1).

VPN-Client

Wie bei dem bisherigen PPTP-basierenden VPN muss sich der Nutzer für das allgemeine VPN-Gateway der Universität mit seiner ZIV-Kennung und seinem Netzzugangspasswort authentifizieren. Möchte der Nutzer sich aber in ein bestimmtes VPN-Gateway eines Fachbereiches einwählen, muss er sich als user@xyz mit seinem Netzzugangspasswort einloggen, wobei xyz für den Namen des entsprechenden VPN-Gateways steht. Ob ein Nutzer die Berechtigung hat, sich in ein bestimmtes VPN-Gateway einzuwählen, hängt davon ab, ob der Nutzer in einem zum VPN-Gateway gehörigen Projekt und damit einer bestimmten Nutzergruppe zugeordnet ist. Diese Nutzergruppen können online unter:

https://user.uni-muenster.de/exec/wwuben/wwuben.php

von den zuständigen Projektleitern verwaltet werden; so können die Projektleiter Nutzer, die einen ZIV-Account haben, dem Projekt und somit auch der Nutzergruppe selbstständig online hinzufügen oder aber auch entfernen.

Der Aufbau eines VPN-Tunnels aus einem Heimnetzwerk mit einen DSL-Anschluss (oder ISDN bzw. analogen Anschluss) stellt sich mit der neuen VPN-Variante erheblich einfacher da als vorher, da die VPN-Verbindung auch über die NAT-Funktion (Network Address Translation) der Router (z. B. des DSL-Routers) problemlos funktioniert. Bei der bisherigen PPTP-basierenden VPN-Lösung war dies ein häufig auftretendes Problem, da viele Routertypen NAT für das PPTP-Protokol nicht unterstützten.

Erste Pilotprojekte mit dieser neuen VPN-Technologie wurden bereits durchgeführt (siehe z. B. den vorstehenden Artikel »Juristische Heimarbeiter«).

In Kürze wird der Regelbetrieb aufgenommen werden. Alles weitere zu diesem Thema finden Sie dann unter:

http://www.uni-muenster.de/ziv/vpn

Alle diejenigen, die nicht so lange warten möchten, können aber auch jetzt schon diese VPN-Technologie im Zusammenhang mit dem VPN-Standardzugang testen. Auf folgender Seite können Cisco-VPN-Clients, VPN-Profile und Installationsanleitungen zzt. heruntergeladen werden:

http://zivkiosk.uni-muenster.de/cisco-vpn


inforum 3/2005 Inhalt - Vorheriger Artikel - Nächster Artikel - Impressum