Die Zukunft des VPN

Außendienstler und Home-Office modern und sicher ans eigene Netzwerk anbinden!

In der Mitte des Jahres 2020 stand bei der Treuhand Saar Steuerberatungsgesellschaft mbH in Saarbrücken eine vollständige Neuausrichtung der EDV auf der Agenda. Neben der Umstellung der Kerninfrastruktur auf die neueste Server Hard- und Software war eine Verbesserung der bisher eingesetzten VPN Lösung angestrebt. Das Hauptaugenmerk hierbei lag auf der Erhöhung des Schutzniveaus (Einführung 2-Faktor Authentifizierung) bei gleichzeitiger Reduzierung der Komplexität für die Anwender.

Bisher wurden die externen Arbeitsplätze mit klassischer Einwahl VPN über einen installierten VPN-Client ans Kanzleinetz angebunden. Die Mitarbeiter konnten sich von dort aus auf die Terminalserverfarm aufschalten. Dieses Verfahren hatte mehrere entscheidende Nachteile für den Kunden: Zum einen erfordert diese Art der VPN Verbindung einen nativen IP-V4 Internetzugang auf der Seite des Mitarbeiters. Dies stellt in Zeiten, in denen die zur Verfügung stehenden IP-V4 Adressen täglich knapper werden, bereits heute an einzelnen Internetzugängen ein unüberwindliches Hindernis dar. Zum anderen muss für jeden Arbeitsplatz ein VPN Client erworben, installiert und lizensiert werden, was für die Kanzlei einen nicht zu unterschätzenden Kostenfaktor darstellt. Die Mitarbeiter wiederum sind auf die jeweils entsprechend vorbereiteten PC angewiesen. Gleichzeitig erfordert der VPN Router eine separate Administration der VPN Zugänge. Und zu guter Letzt müssen spezielle VPN Ports und Protokolle an dem Internetzugang des Client PCs geöffnet sein. Ein Gäste-WLAN, welches zum Beispiel nur http und https erlaubt, kann nicht für die Einwahl ins Kanzleinetz genutzt werden.

Die com4data GmbH aus St. Wendel wurde als betreuender EDV-Partner mit der Auswahl und Einrichtung einer moderneren Lösung beauftragt. Als zeitgemäße Hard- und Softwarekombination fiel die Entscheidung auf den Citrix NetScaler als VPN Gateway und Reverse RDP Proxy, sowie die REINER SCT Authentikatoren zur Generierung eines Einmalkennworts (OTP) für die jeweiligen Benutzer. Das Zusammenspiel dieser Komponenten bietet den größtmöglichen Schutz, bei gleichzeitig deutlich verringertem Verwaltungsaufwand.

Im direkten Vergleich mit der bisherigen Lösung bietet die neue Konfiguration eine Reihe von Vorteilen: Dadurch, dass der NetScaler sowohl als VPN Gateway, als auch als RDP Proxy eingesetzt wird, entfällt die Installation eines VPN Clients. Die Anwender nutzen einen konventionellen Webbrowser um sich auf dem User Portal des NetScaler anzumelden. Der Zugriff erfolgt über das https Protokoll unter Verwendung des TLS 1.2 oder TLS 1.3 Protokolls.  Die Verwendung dieses Standardprotokolls ermöglicht auch eine Anmeldung über öffentliche Hotspots oder Gäste-WLANs am System. Dank Active-Directory Anbindung können sich die Mitarbeiter im User Portal mit den gleichen Anmeldedaten verifizieren, wie sie es an Ihren Inhouse Arbeitsplätzen tun. Nach der ersten Anmeldung wird das OTP abgefragt, dass auf dem REINER SCT Authenticator generiert wird. Das handliche Gerät ersetzt den vorher genutzten VPN Client. Anstelle einer umständlichen Softwareinstallation und der damit verbundenen Abhängigkeit von einem einzelnen Rechner, können die Mitarbeiter jedes beliebige Computersystem für die Anschaltung ans Kanzleinetz verwenden. So kann im Bedarfsfall auch ein PC des Mandanten vor Ort oder der private PC zu Hause für den Zugang verwendet werden. Hat sich der Anwender authentifiziert kann er anschließend über einen Link im User Portal sich auf die Serverfarm einloggen. Hierbei fungiert der NetScaler als Reverse Proxy. Der User verbindet sich zum Netscaler; dieser verbindet sich zur Serverfarm. Eine direkte Verbindung zwischen Remote Client und Serverfarm findet nicht statt. Hat der Mitarbeiter seine Arbeit beendet schließt er lediglich das geöffnete Browserfenster und die Verbindung ist dauerhaft getrennt.

Zusammengefasst ...Die Vorteile der neuen Lösung liegen auf der Hand - umständliche VPN Installation vs. einfache Authentifizierung über REINER SCT. Kein vorbereiteter PC notwendig; Lizenzkosten für VPN Clients entfallen vollständig. Statt separater Administration von VPN Zugängen Freischaltung im Active Directory. Statt direkter Verbindung des Clients zum Server, zusätzliche Absicherung durch Einsatz eines Reverse Proxys. Anstelle von teils eingeschränkten VPN Protokollen lediglich Zugriff auf HTTP / SSL erforderlich.

REINER SCT Authenticator