ZIDline
Get Connected - erneuertes VPN-Service für das TUNET
Johann Kainrath
Oft liegt der Schlüssel zum erfolgreichen Zugriff auf Dienste der TU Wien in einer verschlüsselten Verbindung zur TU Wien. Durch VPN werden Sie ein Teil vom TUNET und verfügen über einen gesicherten Datentransfer. Aus welcher (mit Internet versorgten) Ecke unserer Mutte Erde auch immer – von einem anderen Kontinent oder bloß vom WLAN durchdrungenen Campus der TU Wien – VPN kann hilfreich und sinnvoll sein. Eine neue VPN-Server-Hardware am ZID bietet (in Kürze) neue Möglichkeiten.

Wie es begann

An der TU wurde die erste VPN-(Virtual Private Network)-Lösung mit einem eigenen, so genannten VPN-Konzentrator im Jahr 2001 installiert. Die Entscheidung fiel bereits damals auf die IPSec-Variante. Diese erste Lösung war eine Client-Lösung. Das bedeutete, es musste zuerst eine Software (ein Client-Programm) auf dem PC installiert werden, um eine verschlüsselte Verbindung aufbauen zu können. Erst wenn dieses Programm gestartet wurde und sich der Benutzer mittels eines VPN-Accounts korrekt validiert hatte, wurde über das Internet (oder wo auch immer sich der Benutzer befand) ein Tunnel zu TU Wien aufgebaut und ihm somit ein gesicherter Datenverkehr ermöglicht.

Warum eine neue neue Lösung?

Der bisherige VPN-Konzentrator hat laut Hersteller Cisco das Ende seines Lebenszyklus erreicht und fällt aus der Produktunterstützung. Seine Erneuerung war auch erforderlich, da neue Funktionen (L2TP/IPSec und Web SSL VPN) und neue Betriebssystem-Plattformen (Windows Vista, PDAs) beim VPN-Zugang unterstützt werden müssen.

Neben dem bisher bewährten IPSec-Zugang wird nun auch SSL VPN für die Benutzer möglich sein. Auch die Implementierung eines VPN-Webportals, über das mittels Webbrowser auf interne Services der TU zugegriffen werden kann, steht auf der Wunschliste. Auf der Client-Seite sollen neben Pocket-Phones und PDAs mit ihren eingebauten GPRS/UMTS/HSDPA bzw. WLAN/VPN Funktionen auch neue Betriebssysteme wie Windows Vista inkl. ihrer 64-Bit Versionen bestmöglich unterstützt werden.

Die neue Cisco ASA 5520 Hardware (Adaptive Security Appliance) bietet moderne Gigabit-Technologie mit VLANs und somit entspechende Performance, Kapazität und Flexibilität. Weiters war die Redundanz für das öffentliche VPN-Service bisher nicht gegeben, da dafür nur ein einziges Gerät installiert war. Bei der neuen Lösung werden zwei Geräte in einer Redundanzkonfiguration eingesetzt, um die Stabilität zu erhöhen und die Betreuung zu erleichtern.

Der mächtigste Treiber neben all diesen technischen Gründen findet sich in den aktuellen Entwicklungen im Bereich der Breitbandanschlüsse (siehe auch Artikel  "Externer Breitbandzugang" dieser Ausgabe der ZIDline). Da künftig keine direkten Breitbandanbindungen zum TUNET mehr angeboten werden, ist mit einem entsprechenden Zuwachs bei den VPN-Verbindungen zu rechnen. Um dieser Entwicklung Rechnung zu tragen, wurde der erwähnte neue VPN-Server angeschafft und installiert. Dieser kann deutlich mehr gleichzeitige VPN-Verbindungen abwickeln und unterstützt eine wesentlich breitere Client-Landschaft.

VPN ist damit die Möglichkeit, beim Zugriff auf das TUNET aus dem Internet von fremden Providern aus die Rechte der TU Wien zu erlangen. Wenn man einen VPN-Tunnel zur TU Wien erfolgreich aufgebaut hat, dann wird man quasi ein Teil vom TUNET und kann alle Services der TU Wien nutzen.

Wozu VPN? Wer nutzt heute VPN an der TU?

VPN ist ein Enabler für Zugriffe auf interne, besonders geschützte bzw. universitätsspezifische Informationen und Services, Biblioheken und Datenbanken in einem internen Netzwerk wie dem Intranet der TU Wien. Manche Services, wie z. B. Teile der Literaturservices der Universitätsbibliothek der TU Wien, lassen sich aus Lizenzgründen nur mit einer IP-Adresse der TU Wien nutzen. Wenn Sie über einen TU-internen Mailserver (SMTP) Ihre Mails verschicken wollen, muss dies ebenfalls über einen aktiv aufgebauten VPN-Tunnel erfolgen.

VPN-Technologie als Remote Access Zugangsservice wird vom Zentralen Informatikdienst sowohl von externen Anschlüssen aus dem Internet (Provider, Firmennetze, Internetcafes, ...) als auch aus dem WLAN Service an der TU Wien angeboten. Neben dem Vorteil sicherer Kommunikation zur Übertragung vertraulicher Informationen erlangt man so auch bei externen Anschlüssen die Rechte der TU Wien und kann daran gebundene Dienste nutzen. Das Service ist für alle Angehörigen der TU Wien (Mitarbeiter wie Studenten) nutzbar.

Was die Zukunft bringt

Derzeit ist das VPN-Service über verschiedene Accounts mittels unterschiedlicher Realms (userid@domain.tuwien. ac.at) und verschiedenen VPN-Profilen von verschiedenen Orten nutzbar. Darüber hinaus existieren am Campus der TU Wien im WLAN verschiedene Netzwerkkennungen (SSIDs für unterschiedliche Service/Benutzer-Gruppen). Je nach Art bekommt man entweder dynamisch eine IP-Adresse aus einem TU-Pool oder eine fixe Adresse zugewiesen. Ziel ist eine Reduktion der Profile sowie der Realms und damit eine Vereinfachung der Bedienung.

Im Moment ist die Nutzung des VPN-Service nur mit einem eigenen Client möglich. Das wird sich ändern. In der ersten Phase der Server-Umstellung bleiben die bisherigen Funktionen und Benutzerkonfigurationen (Profile) erhalten. Dann soll die Implementierung neuer Funktionen Schritt für Schritt durchgeführt werden. Zunächst sollen weitere Zugangsvarianten unterstützt werden (L2TP/IPSec, AnyConnect, ...).

Weiters ist der Aufbau eines Web-Portals über SSL VPN geplant. Hier bietet der neue Server ebenfalls zahlreiche neue Optionen. Dabei können vorkonfigurierte Links zu wichtigen Servern und Services direkt über eine SSL-Verbindung am Konzentrator verfügbar gemacht werden. Für eine erste Umsetzung bieten sich Bibliotheks-services oder Downloads an.

Das Ziel dieser Lösungen ist, nicht mehr sämtlichen Verkehr durch einen VPN-Tunnel über die TU Wien ins Internet zu führen. Nicht für die TU Wien bestimmter Verkehr soll über den lokalen Internet-Provider vor Ort erfolgen. Damit ist eine geringere Belastung der Internetbandbreite der TU Wien und eine Verbesserung der Antwortzeiten zu erwarten.

VPN-Methoden

Es gibt zwei Methoden: einerseits mit einem auf Ihrem System installierten Software-Client oder mit einem Web-Browser.

  • VPN via Client (Cisco, vpnc) oder integriert
    Nach Installation und Verbindung erhalten Sie eine IP-Adresse der TU Wien zugewiesen und können somit alle Services über diese Adresse nutzen. Den VPN-Client benötigen Sie, wenn Sie den Bedarf an verschie-denen Profilen haben bzw. die VPN-Webmaske für Ihre Bedürfnisse nicht ausreicht (z.B. Mount von Laufwerken). Durch den VPN-Tunnel wird der Benutzer-PC netztechnisch betrachtet ein Teil des TUNET.
  • VPN via Browser
    Mit Hilfe der Webmaske am VPN-Konzentrator ist dieser Dienst mit jedem modernen Webbrowser weltweit verfügbar. Alle Daten (auch UserID und Passwort) werden dabei verschlüsselt zum Konzentrator übertragen. In der Folge werden alle Webseiten in der aktuellen Brow-ser-Session über den Konzentrator der TU Wien und damit über eine IP-Adresse der TU Wien angesprochen.

Technologie, die dahinter steckt

  • IPSec steht für IP Security Protocol und ist der am weitesten verbreitete Sicherheitsstandard für VPNs. Es gewährleistet Vertraulichkeit, Integrität und Authentizität. Als Erweiterung von IP ist es ein Layer-3-Tunneling-Protokoll. IPSec war ursprünglich nur für IP Version 6 geplant, ist heute jedoch vollständig für IPv4 standardisiert. Die zentralen Funktionen in der IPsec-Architektur sind das AH-Protokoll (Authentification Header), das ESP-Protokoll (Encapsulating Security Payload) und die Schlüsselverwaltung (Key Management).
    Technische Details
    Die Verschlüsselung erfolgt über die sog. ESP (Encapsulation Security Payload) und unterstützt prinzipiell alle verfügbaren Verschlüsselungsalgorithmen. Als Betriebsmodi kennt IPSec den Transportmodus (ausschließlich der Datenteil (Nutzdaten/ „Payload“) des IP-Paketes verschlüsselt) und den Tunnelmodus (das komplette IP-Paket wird vor der Übertragung verschlüsselt und mit einem neuen IP-Header versehen).
  • IPSec/L2TP
    L2TP (Layer 2 Tunnel Protokol) vereint die Vorteile von PPTP und L2F. NAT (Network Address Translation) wird unterstützt. L2TP erlaubt eine Authentisierung auf der Basis von CHAP/ PAP. Es ist keine Verschlüsselung definiert. Deswegen wird L2TP über IPSec betrieben.
  • SSL als Tunneling-Protokoll
    In neuester Zeit wird SSL auch zum Aufbau von VPN-Tunneln verwendet. Einsatzgebiete sind Applikationen, die sich über eine Web-Oberfläche bedienen lassen bzw. solche, die sich nicht über eine Browser-Oberfläche bedienen lassen. Der Benutzer greift im ersten Fall mit seinem Browser auf einen Webserver zu, der gleichzeitig das Tunnelende im Netz darstellt. Im anderen Fall müssen die Daten per Active-X-Applet in ein „browser-konformes“ Format gebracht werden, das Applet emuliert dabei den eigentlichen Client. Vorteile solcher Lösungen bestehen darin, dass der Zugriff über das VPN ins Intranet ohne eigenen VPN-Client vorgenommen werden kann (z. B. Internet-Café). Für den zweiten Fall müssen jedoch die benötigten Applets installiert werden.

Clients

VPN kann am Endsystem auf verschiedene Arten zur Verfügung stehen. Oftmals ist es bereits integriert und muss nur entsprechend konfiguriert werden. Oder man verwendet einfach nur den Browser, wenn das ausreicht. Andernfalls installiert man einen betriebssystem-kompatiblen Client (eigenes Programm) und arbeitet damit. Nachfolgend ein Überblick unterstützter Varianten.

  • Wie bisher: Der Cisco IPSec VPN-Client
    Hier wird sich nichts ändern, in den jeweils neuesten Versionen wird unterstützt: Vista, Windows XP, Windows 2000, TabletPC 2004/2005 (es werden nur 32-bit Platformen unterstützt, bei 64-bit Systemen muss auf den AnyConnect Client ausgewichen werden). RedHat Linux (der VPN-Client unterstützt jedoch nicht SMP (multiprocessor) oder 64-bit Prozessor Kernel). Sun UltraSPARC Computer unter der 32-bit oder 64-bit Solaris Kernel OS Version 2.6 oder später. Mac OS X ab Version 10.2.0
  • Neu von Cisco: Der SSL-VPN-Client (AnyConnect)
    Der Cisco AnyConnect VPN-Client in der derzeit verfügbaren Version erlaubt Benutzern verschlüsselte Verbindung zum TU Wien VPN-Server mittels Secure Socket Layer (SSL) Protokoll. Unterstützt werden MS Windows Vista (x64 oder x86 Prozessoren), Windows XP SP2 (x64 oder x86 Prozessoren) oder Windows 2000 SP4, Linux (RedHat, Fedora Core 4, Slackware 11, SuSE 10.1, alles auf Intel i386, 32 Bit Prozessoren; Biarch 64-bit nur im Standalone (d. h. Installation als Applikation, nicht via Web-Browser), und Macintosh OS X (ab 10.4). Dieser Client muss nicht manuell am PC installiert werden, sondern kann bei Bedarf über den VPN-Server automatisch geladen und installiert werden. Nachdem die VPN-Verbindung beendet wird, kann man sich entscheiden, ob der SSL-VPN-Client installiert bleibt oder deinstalliert werden soll.
  • Neu: Mit eingebauten Bordmitteln (L2TP/IPSec)
    Damit ist VPN in der Regel für Windows XP und Vista sowie MAC OS X (ab 10.4)  leicht zu realisieren. Diese Technik sollte auch für PDAs mit Windows Mobile Betriebssystem anwendbar sein.
  • Bewährt: das vpnc-Paket für Unix und andere
    Unterstützte Plattformen: Linux, NetBSD, FreeBSD, OpenBSD, DragonFly BSD, Darwin / Mac OS X, Solaris, Windows / Cygwin. Nähere Informationen findet man auf den Seiten von Maurice Massar unter www.unix-ag.uni-kl.de/~massar/vpnc/
  • In Zukunft möglich: Webbrowser für bestimmte Services
    Zugriff mit jedem modernen Webbrowser (Netscape ab v7.1, Mozilla ab v1.4, Internet Explorer ab v6.0, Opera ab v7.23, Safari ab v1.2) mit SSL VPN auf Services, die via Webportal am VPN-Server der TU zur Verfügung stehen, so z. B. für Bibliotheks-Services.

Das neue VPN-Service ist derzeit im Aufbau begriffen, die volle Funktionalität soll bis Ende des Jahres erreicht werden. Dann soll es auch flächendeckende Unterstützung der neuesten Betriebssystem-Plattformen sowie ein entsprechendes Webportal geben. Bitte schrecken Sie nicht vor der Verwendung des VPN-Services zurück. Lassen Sie uns Ihre Zufriedenheit oder aber auch Ihre Probleme wissen. Bei Fragen zum Download von VPN-Software, Installation und Konfiguration der Clients wenden Sie sich bitte an unser bewährtes Service Center.  


Technische Details

Authentisierung (AH): Das AH-Protokoll sorgt für die Authentisierung der zu übertragenden Daten und Protokollinformationen, eingesetzte Hashing- Verfahren sind MD5 und SHA. AH nutzt die IP-Protokoll-Nummer 51, es kann sowohl im Transport-, als auch im TunnelModus eingesetzt werden.

Verschlüsselung (ESP): Das ESP-Protokoll dient der Verschlüsselung eines Datenpaketes und über Hashing-Verfahren auch zur Integritätssicherung. Zur Verschlüsselung können beliebige Encryption-Verfahren (DES bzw. 3DES erforderlich) eingesetzt werden. ESP nutzt die IP-Protokoll-Nummer 50.

Schlüsselverwaltung (Key Management): Die manuelle Schlüsselverwaltung wird heute fast nicht mehr eingesetzt, fast immer wird die Verwaltung und Verteilung der Schlüssel mit dem Internet Key Exchange Protocol (IKE) durchgeführt. Um eine gesicherte Verbindung zwischen zwei Stationen aufbauen zu können, müssen auf beiden Seiten viele Parameter ausgetauscht werden: Art der gesicherten Übertragung (Authentisierung oder Verschlüsselung), Verschlüsselungsalgorithmus, „Schlüssel“, Dauer der Gültigkeit der Schlüssel etc. Alle diese Parameter werden in der Security Association (SA) beschrieben. Jede gesicherte Verbindung bedarf einer solchen SA für jedes genutzte IPsec-Protokoll an jedem Ende einer logischen Verbindung. IKE nutzt den UDP-Port 500.