Sikov - stock.adobe.com

Wie unterscheiden sich Remote-Access- und Site-to-Site-VPNs?

Remote-Access- und Site-to-Site-VPNs unterscheiden sich in mehreren Punkten. Unser Vergleich zeigt die Vorteile, genutzten Protokolle und Sicherheitsmethoden dieser zwei VPN-Typen.

Remote-Arbeit ist in Geschäftsprozessen allgegenwärtig geworden. Zwar gibt es Remote Work, auch Telearbeit oder Fernarbeit genannt, schon seit geraumer Zeit – und die Technologie ist inzwischen weitgehend standardisiert –, doch ihre Bedeutung für Unternehmen hat 2020 erheblich zugenommen. Der Remote-Zugriff auf Firmennetzwerke und interne Ressourcen ist heute für öffentliche und private Unternehmen jeder Art und Größe eher die Norm als die Ausnahme

Daher ist die primäre Remote-Access-Technologie das virtuelle private Netzwerk (Virtual Private Network, VPN). In diesem Artikel vergleichen wir zwei verschiedene Arten von VPNs, die Remote-Arbeit ermöglichen: Remote-Access- und Site-to-Site-VPNs.

Erstens handelt es sich bei einem VPN nicht um ein physisches, sondern um ein virtuelles Netzwerk. Verbindungen werden mithilfe von Informationen aus Internetprotokollen, etwa einer IP-Adresse, hergestellt, um einen verschlüsselten Tunnel zwischen zwei Endpunkten aufzubauen. Datenpakete werden im Internet über verschiedene Routen, die auf verfügbaren Netzwerkpfaden basieren, an einen Empfänger übertragen. Dieser setzt die Pakete wieder in ihrem ursprünglichen Format zusammen.

Im Gegensatz dazu erfordert ein physisches Netzwerk eine feste Verbindung zwischen den Endpunkten. Dazu wird eine einzige Kommunikationsverbindung genutzt, zum Beispiel ein privater Datenkanal. Der VPN-Traffic wird in der Regel durch Verschlüsselung gesichert, häufig mit einer Sicherheits-Appliance an jedem Ende der Verbindung.

Wenn es um die Wahl zwischen einem Remote-Access- und einem Site-to-Site-VPN geht, müssen die Data-Center-Netzwerkmanager überlegen, welche Rolle die VPN-Technologie spielen soll.

Was ist ein Remote-Access-VPN?

Remote-Access-VPNs werden heutzutage am häufigsten für Fernarbeiter verwendet, insbesondere für solche, die von zu Hause aus tätig sind. Diese VPNs verbinden einzelne Benutzer oder Clients mit privaten Host-Netzwerken des Unternehmens. Zu den Remote-Access-Nutzern gehören typischerweise Reisende, Telearbeiter und mobile Nutzer, die über das Internet sicher auf das interne Netzwerk ihres Unternehmens zugreifen müssen.

Bei einem Remote-Access-VPN muss jeder Host, auf den Remote-Nutzer zugreifen, über eine VPN-Client-Software verfügen. Immer wenn der Remote-Anwender Daten überträgt, kapselt und verschlüsselt die VPN-Client-Software oder der Router diesen Traffic. Anschließend wird er über das Internet an ein VPN-Gateway am Edge des Firmen-Zielnetzwerks gesendet.

Beim Empfang verhält sich dieses VPN-Gateway genauso wie in einem Site-to-Site-VPN. Wenn der Ziel-Host im Unternehmensnetzwerk eine Antwort zurücksendet, führt das VPN-Gateway den umgekehrten Vorgang durch, um eine verschlüsselte Antwort über das Internet an den VPN-Client zurückzusenden. Zum weiteren Schutz des Netzwerk-Traffics vor Hackerangriffen können auch Firewalls vorhanden sein.

Abbildung 1: Remote-Access- und Site-to-Site-VPN im Vergleich.
Abbildung 1: Remote-Access- und Site-to-Site-VPN im Vergleich.

Was ist ein Site-to-Site-VPN?

Im Gegensatz dazu verbinden Site-to-Site-VPNs mehrere Netzwerke miteinander, typischerweise ein Filialbüronetzwerk mit einem Netzwerk der Firmenzentrale. Bei einer Konfiguration mit Site-to-Site-VPNs verfügen die Hosts nicht über eine VPN-Client-Software. Vielmehr senden und empfangen sie normalen TCP/IP-Traffic über ein VPN-Gateway.

Das VPN-Gateway kapselt und verschlüsselt den ausgehenden Datenverkehr und sendet ihn durch einen VPN-Tunnel über das Internet an ein VPN-Gateway der Gegenstelle am Zielstandort. Das empfangende VPN-Gateway entfernt die Header, entschlüsselt den Inhalt und leitet die Datenpakete an den Ziel-Host in dessen privaten Netzwerk weiter.

Remote-Access-VPN: Sicherheitsprotokolle

Beim Vergleich von Remote-Access- und Site-to-Site-VPNs ist die Sicherheit ein wichtiger Faktor. Für Remote-Access-VPNs können mehrere Konfigurationsprotokolle verwendet werden. Jeder Ansatz erfordert eine VPN-Client-Software auf allen Remote-Systemen sowie ein VPN-Gateway im Netzwerk der Firmenzentrale. Der Unternehmens-Host unterstützt die gleichen Protokolle und Optionen oder Erweiterungen, um den Zugriff von Remote-User-Netzwerken aus zu erleichtern.

Das gebräuchlichste sichere Tunneling-Protokoll, das in VPNs jeder Art zum Einsatz kommt, ist das IPsec-Protokoll zur Payload-Kapselung. IPsec ist eine Erweiterung des heute im Internet und in den meisten Unternehmensnetzwerken verwendeten IP-Sicherheitsstandards. Die meisten Router und Firewalls unterstützen mittlerweile IPsec.

Alternativen zu IPsec-VPNs sind SSL-VPNs (Secure Sockets Layer). Diese werden oft als clientlos bezeichnet, da sie keine spezielle Software auf dem Computer des Remote-Benutzers erfordern. Bei einem SSL-VPN verbindet sich der Remote-Nutzer über einen Webbrowser mit dem Netzwerk. Die Informationen werden entweder per SSL oder TLS (Transport Layer Security) verschlüsselt.

Site-to-Site-VPNs verwenden in der Regel das IPsec-Protokoll. Ein weiteres Protokoll für Site-to-Site-VPNs ist MPLS. Allerdings bietet MPLS keine Verschlüsselung.

Abbildung 2: IPsec-VPN und SSL-VPN im Vergleich.
Abbildung 2: IPsec-VPN und SSL-VPN im Vergleich.

IPsec-VPN vs. SSL-VPN

IPsec-Gateways (1) sind in der Regel in der Perimeter-Firewall implementiert und erlauben oder verweigern den Host-Zugriff auf (2) ganze private Subnetze. SSL-VPN-Gateways (3) werden in der Regel hinter der Perimeter-Firewall eingesetzt, mit Regeln, die den Zugriff auf Anwendungsdienste oder Daten erlauben oder verweigern. In diesem Beispiel haben SSL-Benutzer Zugriff auf ihre eigenen Postfächer auf (4) einem Exchange Server und auf eine Teilmenge von URLs, die auf (5) einem Intranet-Webserver gehostet werden.

Vorteile von Remote-Access-VPNs

Remote-Access-VPNs ermöglichen es Fernarbeitern, sich von jedem beliebigen Standort aus mit einem Firmen-Host-Netzwerk zu verbinden. Das ist von Vorteil für Unternehmen mit Mitarbeitern und Kunden, die sehr mobil sind. Daten, die über Remote-Access-VPNs übertragen werden, sind verschlüsselt. Das bedeutet, dass Remote-Anwender öffentliche Wi-Fi-Verbindungen oder andere Orte nutzen können, an denen der Traffic im Allgemeinen nicht abgesichert ist.

Vorteile von Site-to-Site-VPNs

Site-to-Site-VPNs verbinden einzelne Netzwerke miteinander, sodass sie sich für Organisationen mit mehreren Standorten gut eignen. Informationen lassen sich über Site-to-Site-VPNs sicher übertragen. Zudem kann dieser VPN-Typ geschäftskritischen Traffic, wie VoIP-Kommunikation, bewältigen, der eine geringe Latenz und gute QoS (Quality of Service) erfordert.

Site-to-Site-VPNs entlasten zudem Host-PCs oder Geräte, indem sie den Verschlüsselungs- und Verarbeitungs-Overhead auf eine separate Sicherheits- oder Router-Komponente auslagern. Darüber hinaus müssen Benutzer sich nicht ständig bei einer VPN-Verbindung an- oder abmelden.

Planungsüberlegungen für VPNs

Bei der Planung von Remote-Access-VPNs sollten Netzwerkadministratoren darauf achten, dass sie über eine ausreichende Anzahl von VPN-Softwarelizenzen verfügen. Unerlässlich ist zudem genügend Netzwerkbandbreite, um einen optimalen Durchsatz und minimale Latenz für Remote-Benutzer zu gewährleisten. Aus operativer Sicht sollte regelmäßig Equipment zum Netzwerk-Sniffing und -Monitoring eingesetzt werden, um die Integrität des Netzwerk-Traffics sicherzustellen.

Fortsetzung des Inhalts unten

Erfahren Sie mehr über Netzwerksoftware

ComputerWeekly.de
Close