Zugriff aufs Firmennetz - Remote Access oder VPN?
Artikel erschienen in Swiss IT Magazine 2003/02
In vielen modernen Unternehmen nimmt die Mobilität der Mitarbeiter ständig zu. Nicht nur, dass sie über keinen festen Arbeitsplatz in der Firma mehr verfügen - sie arbeiten mitunter auch zuhause, reisen von Kunde zu Kunde oder sind in einer Filiale beschäftigt. Gemeinsam ist ihnen allen, dass sie von unterschiedlichen Örtlichkeiten auf ihre Daten zugreifen können müssen, die am Hauptsitz der Firma zentral gespeichert sind.
Szenarien, die eine Anbindung von örtlich getrennten Anwendern auf das Firmennetz nötig machen, gibt es viele. Fast ebenso zahlreich sind die dafür verfügbaren Technologien: Neben einfachen Remote-Access-Lösungen über eine Dial-Up-Verbindung stehen VPN-Implementationen, neben der Anbindung per Standleitung ist auch der Aufbau eines kompletten Extranet denkbar.
Allerdings ist keine der verfügbaren Lösungen optimal für jeden Einsatzbereich. Zu unterschiedlich sind nicht nur die Kosten, sondern auch die gebotene Funktionalität oder die Komplexität der Administration.
Im folgenden stellen wir einige der Lösungen vor, erläutern die grundlegende Technologie und zeigen die Vor- und Nachteile auf. Prinzipiell handelt es sich dabei immer um eine Form eines Wide Area Network (WAN) - es werden immer mehrere Standorte, die mehr oder weniger weit voneinander entfernt sind, über ein Netzwerk miteinander verbunden. Allerdings handelt es sich bei einem "echten" WAN um eine LAN-to-LAN-Verbindung, während die anderen Formen allesamt PC-to-LAN-Verbindungen darstellen. Diese Unterscheidung ist insofern wichtig, als WANs aus diesem Grund nur für die Anbindung von Filialen geeignet, für mobile Anwender dagegen nur PC-to-LAN-Verbindungen tauglich sind.
Dabei ist nicht zu vergessen, dass es in bestimmten Fällen nicht mehr braucht, als in den allermeisten Firmen seit längerem bereits vorhanden ist: ein simpler E-Mail-Account, über den Informationen und Dateien als Attachment verschoben und verteilt werden können. Wenn beispielsweise mit Formularen gearbeitet wird, die vor der Eingabe in die Datenbank eine Bearbeitung erfordern, macht es Sinn, diese gleich über Mail an den Adressaten zu versenden. Auch wenn etwa in einer kleinen Firma ein Aussendienstler nur selten Dokumente vom zentralen Netz benötigt, ist es oft einfacher, wenn er sich die Dateien mit einem kurzen Anruf bei einem Kollegen nachsenden lassen kann und sich die aufwendige Installation einer speziellen Verbindung damit vermeiden lässt.
Grundsätzlich handelt es sich bei Remote Control Software um Uralt-Lösungen - die grundlegende Technologie existiert seit vielen Jahren, und auch einige Produkte haben ihren zehnten Geburtstag längst hinter sich. Die etablierten Lösungen sind denn auch entsprechend ausgereift, stabil und effizient in der Anwendung.
Für den Aufbau eines Netzwerks per Remote Control benötigt man mindestens zwei Rechner, auf denen die passende Software installiert wird. Beide Computer müssen über ein Modem oder eine Netzwerkanbindung verfügen, über die die Verbindung aufgebaut wird. Der eine Rechner steht dabei im Netz, das besucht werden soll; er wird "Host" genannt. Steht die Verbindung erst einmal, übernimmt der mobile Rechner ("Guest" oder "Remote Controller") die Kontrolle über den Host. Dabei werden bloss Tastatureingaben, Mausbewegungen und der Bildschirminhalt über die Telefonleitung oder das Netz übertragen, die eigentliche Rechenarbeit erledigt der Host.
Für den entfernten User geschieht dies transparent. Er kann den Host bedienen, als ob er selber daran sitzen würde. Der Zugriff ist auf sämtliche Programme und Dateien möglich, viele Produkte erlauben auch den direkten Datei-Transfer vom Host zum Guest. Selbstverständlich kann über die Netzwerkverbindungen des Host auch weiter in das entfernte Netzwerk eingedrungen werden.
Remote-Control-Produkte sind in einer grossen Bandbreite erhältlich, was Leistungsfähigkeit und Preis anbelangt. Neben altbekannten, mächtigen Lösungen wie Symantecs PC Anywhere oder NetOp Remote Control von Danware gibt es auch kostenlose Produkte wie Virtual Network Computing (VNC; zu finden im Download-Bereich von www.infoweek.ch).
Zu den grossen Vorteilen von Remote-Control-Software gehört neben dem vergleichsweise günstigen Einstandspreis insbesondere die hohe Sicherheit, die diese Lösung bietet. Da der Zugriff auf den Host im Normalfall über eine Telefonleitung geschieht, besitzt die Verbindung kaum potentielle Angriffspunkte.
Anders sieht es natürlich aus, wenn die Software via Internet eingesetzt wird. Hier arbeiten die Hersteller zwar mit ausgeklügelten Sicherheitsmechanismen, je komplexer eine Lösung aber ist, desto grösser sind auch die potentiellen Angriffspunkte und Sicherheitslöcher.
Ein Minuspunkt stellt ausserdem die relativ geringe Performance über eine analoge Verbindung dar - sie ist zwar bei bestimmten Anwendungen höher als beispielsweise bei Remote-Access-Lösungen, kommt aber nicht annähernd in Bereiche, die ein VPN oder gar ein WAN bieten. Ausserdem muss der Host-Computer permanent laufen, um den Zugriff zu ermöglichen. Sinnvollerweise hat auch nur der Besitzer des Host per Remote Control Zugriff darauf - sind häufige Zugriffe von verschiedenen Anwendern zu erwarten, taugt Remote Control als Lösung aus diesem Grund, aber auch wegen des dadurch gesteigerten Administrationsaufwands eher nicht.
Da es für viele Anwendungsszenarien mittlerweile bessere Lösungen gibt, wird Remote- Control-Software heutzutage vor allem noch im Supportbereich speziell in LANs eingesetzt, wo sie einem Administrator oder Supportmitarbeiter von seinem Arbeitsplatz aus den schnellen und unkomplizierten Zugriff auf einen anderen Rechner im Netzwerk ermöglicht. Die meisten Produkte werden denn auch mittlerweile entsprechend positioniert - nur noch selten wird in den Produktbeschreibungen auch auf die Remote-Access-Möglichkeit hingewiesen.
Eine Spezialform von Remote Control stellen die Terminal-Service-Lösungen dar, wie sie etwa Citrix mit der MetaFrame-Produktlinie anbietet oder wie sie in Windows 2000 Server implementiert sind. Allerdings wird hier eine Verbindung zwischen einem entfernten Rechner und einem Server aufgebaut, über die ebenfalls nur Bildschirminhalte, Tastatureingaben und Mausbewegungen gesandt werden. Dies kann über das Internet ebenso wie per Dial-Up-Verbindung geschehen; in der Praxis werden Terminal Services aber fast nur im LAN genutzt.
Typischerweise arbeiten Terminal Services oft schneller als etwa VPNs oder Remote-Access-Lösungen, weil eben nur wenig Daten über schnelle Leitungen übertragen werden. Ein weiterer Vorteil ist, dass als Client, der nur wenig Rechenleistung bieten muss, auch ältere Maschinen oder PDAs eingesetzt werden können. Und im Unterschied zu den Remote-Control-Lösungen eignen sich die Terminal Services auch, um zahlreiche Anwender gleichzeitig zu bedienen.
Entsprechend benötigt die Implementation von Terminal-Diensten auf der Serverseite einen hohen Aufwand und leistungsstarke Ressourcen, was den Kostenvorteil auf der Clientseite wieder zunichte machen kann.
Auch bei den Remote Access Services handelt es sich um eine Technologie, über die sich die Anwender über eine Dial-Up-Verbindung einwählen. Im Unterschied zu Remote-Control-Lösungen verbinden sie sich aber über einen Server direkt mit dem Netzwerk statt mit einem Host-Rechner - einmal eingeloggt, unterscheiden sich die externen Nutzer nicht mehr von einem Anwender, der lokal im LAN arbeitet. Ein RAS-User hat Zugriff auf sämtliche im LAN verfügbaren Ressourcen, soweit dieser Zugriff nicht vom Administrator eingeschränkt wurde.
Damit sieht die RAS-Technologie auf den ersten Blick wie eine optimale Lösung aus: Die Technologie ist ausgereift, stabil und relativ einfach einzurichten, da sie in allen Server-Betriebssystemen auf die eine oder andere Weise implementiert ist. Dazu kommt, dass RAS einen hohen Sicherheitsstandard bietet - die direkte Verbindung von Modem zu Modem kann kaum gehackt werden. Auf Wunsch lassen sich zu den üblichen Sicherheitsmechanismen wie der Authentifizierung per Passwort auch eingeschränkte Rechte im LAN vergeben oder definieren, so dass der autorisierte externe User vom System automatisch zurückgerufen wird, was ein unberechtigtes Eindringen ins Netzwerk erschwert.
Demgegenüber stehen allerdings einige gravierende Nachteile. Zum einen ist RAS über die analoge Telefonleitung vergleichsweise ziemlich langsam, was rechenintensive Anwendungen wie das Durchsuchen eines Netzes oder die Arbeit mit einer Datenbank zu einer entnervenden Angelegenheit machen kann. Gerade beim Datenbankzugriff sind Remote-Control-Lösungen deutlich besser geeignet, weil dabei nur der Bildschirminhalt und die Steuerbefehle übertragen werden.
Zum anderen wird für jeden potentiellen Anwender ein eigenes Modem mitsamt einer dedizierten Telefonleitung benötigt, um sicherzustellen, dass auch zu Spitzenzeiten genügend Kapazität zur Verfügung steht - auf die Dauer wird das ziemlich teuer, wenn der RAS-Dienst oft und ausgiebig genutzt wird.
Das Konzept der virtuellen privaten Netzwerke baut direkt auf der Idee des WAN auf. Bei letzterem sind zwei örtlich getrennte Netzwerke durch dedizierte Hochgeschwindigkeitskabel (Leased Lines) miteinander verbunden (LAN-to-LAN-Connection). Dieses Konzept bietet zum einen eine sehr hohe Performance bei gleichzeitig hervorragender Sicherheit, hat zum anderen aber auch einige Nachteile. So sind WANs prinzipiell sehr teuer und per Definition nur dafür geeignet, fixe Standorte permanent miteinander zu verbinden - für reisende Anwender ist ein WAN nicht tauglich.
VPNs hingegen verbinden zwei Standorte, indem sie das öffentliche Internet als Datenträger benutzen und darüber eine sichere, verschlüsselte Verbindung (den sogenannten "Tunnel") aufbauen. Im Prinzip entsteht dadurch eine virtuelle dedizierte Leitung, wie sie im WAN genutzt wird. Natürlich ist diese Verbindung langsamer als eine T1- oder T3-Leitung und wird durch den für Verschlüsselung und Adressierung der Daten nötigen Overhead zusätzlich gebremst, in der Praxis erreicht die Performance aber dennoch meist ein Mehrfaches von RAS- oder Remote-Control-Lösungen, insbesondere mit einer Highspeed-Internetzugangsmethode wie ADSL.
Der grösste Vorteil eines VPN im Vergleich zum WAN ist seine Flexibilität: Der Anwender kann sich von einem beliebigen Standort aus ins Internet einloggen, erst auf der bestehenden Verbindung wird das VPN aufgebaut.
VPN-Lösungen werden auf dem Markt in grosser Zahl und in unterschiedlichsten Formen und Preislagen angeboten. Ein VPN kann sowohl auf Hardware als auch auf Software basieren, in einer Firewall-Lösung integriert oder aus einer Kombination dieser Möglichkeiten zusammengesetzt sein. Üblicherweise besteht eine Komplettlösung für die Anbindung von mobilen Anwendern aus einem VPN-Server, der am zentralen Standort eingesetzt wird, einer Client-Komponente, die auf allen externen Rechnern installiert werden muss, sowie meist einem spezialisierten Router oder einer Firewall mit VPN-Funktionalität. Diese Komponente wird auch in einem Filial-LAN benötigt, falls ein solches eingebunden werden soll.
Insgesamt hängen die Kosten für den Aufbau eines VPN vor allem von der gewählten Hard- und Softwarelösung ab. Ausserdem braucht es einen Internetanschluss für jeden Client, der vorzugsweise eine möglichst hohe Performance bietet. Trotzdem sind VPNs vergleichsweise günstig: Es braucht weder eine (teure) Standleitung bezahlt werden, noch geschieht die Verbindung über Ferntelefonate auf ein Modem.
Theoretisch bietet der Zugriff auf ein Netzwerk per VPN jede Anwendungsmöglichkeit, die auch bei der Arbeit innerhalb des Netzwerks besteht. In der Praxis sind aufgrund der durch verschiedene, nicht immer beeinflussbare Faktoren eingeschränkten Performance nicht alle Anwendungsvarianten gleichermassen sinnvoll nutzbar.
Die Vorstellung der Technologien macht eines deutlich: Es gibt für die Anbindung externer Mitarbeiter oder von Filialnetzen ans zentrale Firmen-LAN zwar eine Vielzahl möglicher Lösungen, keine davon ist aber objektiv richtig oder optimal. Die beste Möglichkeit ist nicht die technisch komplizierteste oder teuerste, sondern diejenige, die den Ansprüchen eines Unternehmens hinsichtlich Leistungsfähigkeit und Kosten am besten gerecht wird.
Wer viele Mitarbeiter hat, die von sich ständig wechselnden Standorten Zugriff auf das Zentralnetz benötigen, wird mit der schnellsten WAN-Lösung ebensowenig glücklich wie derjenige, der über Remote Control das erledigt, was sich auch mit einer simplen Web-Mail-Lösung organisieren liesse.
Die Auswahl einer geeigneten Lösung für die Anbindung von Filialen oder externer Mitarbeiter kann zu einer echten Herausforderung werden. Am Anfang stehen dabei immer die Ansprüche des Unternehmens: Erst wenn geklärt ist, wer wofür auf welche Weise Zugriff benötigt und klar ist, wie viele Anwender diesen Service benötigen, kann eine erste Wahl getroffen werden. Weitere Überlegungen gelten daraufhin dem Implementationsaufwand, dem erforderlichen Know-how und nicht zuletzt den Kosten.
Dabei muss auch berücksichtigt werden, dass die Technologien unterschiedlich flexibel sind und verschiedene Stärken und Schwächen haben (vgl. Grafik). Während ein WAN beispielsweise optimal für die Anbindung von Filialnetzen ist, kann es für nichts anderes sinnvoll genutzt werden. Umgekehrt ist etwa eine Remote-Control-Lösung für die Anbindung von Filialnetzen gänzlich ungeeignet, kann dafür aber hervorragend im Supportumfeld oder für sichere Intranet-Verbindungen eingesetzt werden. Müssen verschiedene Aufgaben erfüllt werden, kann es für ein Unternehmen deshalb Sinn machen, bei der einen Anwendung gewisse Abstriche in Kauf zu nehmen, dafür aber nur eine Lösung kaufen und implementieren zu müssen.