VPN-Vernetzung von Unternehmensstandorten
Nutzung des Multichannel VPN Router als Basis der Vernetzung von Unternehmensstandorten und mobilen Clients (Road Warriors)
Einleitung
Auf verschiedene Standorte verteilte Unternehmensstrukturen stellen in der heutigen Zeit fast schon die Regel dar. Expansionen, Standortverlagerungen und die Bildung von ausgegliederten Fachabteilungen spiegeln sich hier wider. Gesellschaftliche Veränderungen beeinflussen ebenso die Kommunikationsflüsse im Unternehmen - Fachkräfte, die von Heimarbeitsplätzen aus zugeschaltet sind, gehören zum Alltag in vielen Branchen. Die Zusammenarbeit mit externen Kunden, Partnern und Lieferanten wird zunehmend enger, und oft entsteht Bedarf, diese enger an das eigene Unternehmen zu binden – das Schlagwort dazu lautet „Extranet“.
Eine stetig wachsende Anzahl von Geschäftsprozessen ist somit mit elektronischem Austausch zwischen verschiedenen Standorten verknüpft. Oft ist es auf den ersten Blick gar nicht so deutlich, wie sehr der Unternehmenserfolg dabei an der zuverlässigen Funktion der zugrundeliegenden Kommunikationswege abhängt – bis diese Mal das erste Mal ausfallen und den Betrieb zum Erliegen bringen.
Die Antwort auf die Herausforderungen eines vernetzten gewerblichen Umfelds sind Virtual Private Networks – VPNs. Diese ermöglichen die Zusammenführung aller verteilten Aktivitäten in ein sicheres, nach außen verschlossenes Netzwerk. Transportiert werden die Daten hierbei letztendlich über öffentliche Wide-Area-Netzwerke (WANs) – z.B. dem Internet.
Die Viprinet-Technologie, implementiert erstmals im Multichannel VPN Router, stellt eine einzigartige neue Möglichkeit dar, ein solches Internet-basiertes VPN mit höchster Zuverlässigkeit zu äußert wirtschaftlichen Kosten aufzubauen. Sichere und zuverlässige Standortvernetzung wird damit erstmals für Unternehmen aller Größen erschwinglich.
VPN-Techniken – ein Überblick
Als Ersatz für klassische Standleitungen, welche eine tatsächlich physikalische Leitungsverbindungen zwischen zwei Orten darstellen, kommt heute oft MPLS zum Einsatz. Hierbei wird der Datenverkehr zwischen zwei Punkten durch festgelegte Routen innerhalb des Leitungsnetzwerkes eines MPLS-Anbieters übertragen. Gegenüber Standleitungen stellt dies vor allem eine Kostenersparnis da – viele von Standleitungen bekannte Nachteile bleiben aber bestehen. In erster Linie ist dies die Abhängigkeit von Netz und Angebot eines einzelnen Anbieters – dem Betreiber des MPLS-Netzes. Dazu kommt die geringe Auswahl an verwendbaren Zugangstechnologien, die für sich genommen zudem meist eine nicht befriedigende Ausfallsicherheit aufweisen – hier müssen dann wieder entsprechende Backup-Leitungen vorgesehen werden. Und: Der über ein MPLS übertragene Datentransfer ist ohne zusätzliche Maßnahmen nicht verschlüsselt – das „P“ für Private in VPN wird damit zur Makulatur.
Bei IPSec hingegen handelt es sich um einen VPN-Standard, der unabhängig vom verwendeten Leitungsmedium funktioniert. Es handelt sich um eine spezielle Variante des üblichen Internet Protokolls (IP). IPSec hat mittlerweile eine recht weite Verbreitung gefunden. Das Protokoll ist allerdings komplex und fehleranfällig. IPSec stellt für sich auch keine VPN-Lösung dar, da es keine Übertragungswege definiert. Mit der Entscheidung für IPSec bleibt die Frage nach der physikalischen Leitungsanbindung der Standorte also offen. Hier sind dann wieder teure Standleitungsanbieter gefragt, um eine angemessene Ausfallsicherheit gewährleisten zu können. Bei einer zuverlässigen IPSec-Lösung kommen die hohen Kosten und Vertragslaufzeiten also quasi „durch die Hintertür“. Weiterer Pferdefuß: IPSec-Datenpakete sind im Internet sofort als solche erkennbar, Quelle und Ziel der verschlüsselten Verbindung offensichtlich. In einigen Netzen (z.B. UMTS) werden IPSec-Pakete durch den Provider zudem blockiert.
| MPLS | IPSec | Viprinet | |
|---|---|---|---|
| Site-to-Site VPNs | X | X | X |
| Site-to-End VPNs | X | X | |
| Sichere Verschlüsselung | X | X | |
| Freie Leitungsanbieterwahl | X | X | |
| Bündelung mehrerer Leitungen | X | ||
| Ausfallsicherheit | X | ||
| Standortunabhängigkeit | X |
Viprinet – die neue Unabhängigkeit
Speziell für Unternehmen durch Netzbetreiber angebotene VPN-Lösungen sind an deren Infrastruktur gebunden, und damit unflexibel und nicht an jedem Standort verfügbar. Der Betrieb solcher dedizierter Netze durch den Provider ist zudem kostspielig.
Ganz anders sieht die Situation beim Massenmarkt der Internet-Zugangstechniken aus: Schnelle Internet-Zugänge sind heute überall zu erhalten – jeweils mit der vor Ort verfügbaren Zugangstechnologie (DSL, UMTS/EDGE, ISDN, WLAN, Richtfunk…), preisgünstig angeboten von zueinander im Wettbewerb stehenden lokalen, regionalen oder nationalen Anbietern. Die Angebote sind allerdings nicht auf die Bedürfnisse einer zuverlässigen VPN-Vernetzung ausgelegt – die Ausfallsicherheit jeder einzelnen Zugangstechnologie für sich ist ungenügend.
Genau hier setzt Viprinet an: Die Ausfallsicherheit Ihrer VPN-Vernetzung wird mit Viprinet nicht mehr vom Anbieter der physikalischen Leitung abhängig gemacht. Stattdessen wird das Risiko eines Ausfalls auf mehrere für sich einzeln genommen unzuverlässige Leitungen verteilt und damit radikal minimiert – durch Nutzung unterschiedlicher Zugangsangebote reduzieren sich die Ausfallzeiten mit der Anzahl der Leitungen exponentiell, und es werden Gesamtverfügbarkeitszeiten erreicht, die mit keiner herkömmlichen Technik zu realisieren wären.
Sie benötigen also keine speziellen zur VPN-Technologie passenden Leitungen, Anbieter oder Zugangstechniken. Sie nutzen für jeden Standort die vor Ort sinnvollsten Zugangsangebote, passend zu den jeweiligen Anforderungen des Standortes. Über diese beliebigen Mischungen und Kombinationen von Internet-Zugängen spannen Sie mithilfe unseres Multichannel VPN Routers dann ein sicheres, privates Unternehmensnetz. Ihr VPN passt sich künftig flexibel an veränderte Anforderungen an, und bleibt dabei stets kosteneffektiv.
Das besondere an Viprinet ist dabei: An einem einzelnen Standort können mehrere, auch völlig verschiedene Internet-Zugangstechniken kombiniert werden. Für bis zu 6 Leitungen können Hot-Plug-Modems direkt in den Multichannel VPN Router installiert werden. Auch wenn die Leitungen unterschiedliche Eigenschaften in Bezug auf Bandbreite und Laufzeiten aufweisen (z.B. bei der Bündelung von DSL-Anschlüssen mit UMTS-Zugängen). Brachliegende Backup-Leitungen gibt es nicht: Alle aktuell verfügbaren Zugänge werden vom Router gebündelt zur VPN-Anbindung dieser Niederlassung genutzt. Der Ausfall einzelner Leitungen im Betrieb bewirkt keinerlei Verbindungsabbrüche, es verringert sich nur die verfügbare Gesamtbandbreite. Das funktioniert deshalb, da der Multichannel VPN Router als Herz Ihres VPNs in der Lage ist, über jede Leitung mit dem Industriestandard SSL (mit 256 Bit AES-Verschlüsselung) einen VPN-Tunnel aufzubauen, und diese Tunnel zu einem einzigen Gesamttunnel zu bündeln, durch den dann Ihre Daten fließen.
Verglichen mit MPLS-basierten VPN-Vernetzungen zeigen sich hier die klaren Vorteile der Viprinet-Lösung: Es gibt keine Bindung an einzelne Leitungsanbieter für alle Standorte, stattdessen können die vor Ort sinnvollsten und günstigsten Anbieter genutzt werden. Zudem sind die Daten zwischen den VPN-Endpunkten abhörsicher verschlüsselt – was bei MPLS nicht der Fall ist.
„Security by Obscurity“ ist ein zu recht verpöntes Konzept – aber es kann nicht schaden, seinen bereits mit offenen und geprüften Standards abhörsicher verschlüsselten Datenverkehr zusätzlich in den Internet-Backbones für potentielle Angreifer auch noch unsichtbar zu machen. Dies ist mit der Viprinet-Technologie weitestgehenst der Fall: Die Daten werden auf mehrere Leitungen und damit Provider-Backbones separat verschlüsselt verteilt. Durch Verwendung von SSL ist der Datenverkehr von außen anders als z.B. bei IPSec nur schwer von anderen TCP/IP-Paketen zu unterscheiden. Verschlüsselte unvollständige Daten, die nur schwer als solche zu erkennen sind – ein Albtraum für jeden Angreifer.
Niederlassung 1 soll mit 1MBit/s Daten an Niederlassung 2 schicken, und mit 1MBit/s von dieser Daten ziehen. Niederlassung 1 soll darüber hinaus mit 2MBit/s in das Internet Daten schicken können, und mit 6MBit/s aus dem Internet herunterladen. Niederlassung 2 soll mit 3MBit/s in das Internet Daten schicken, und ebenfalls mit 6MBit/s daraus ziehen.
Daraus folgt, dass Niederlassung 1 insgesamt 3MBit/s Upstream sowie 7MBit/s Downstream auf seinen Leitungen braucht. Niederlassung 2 benötigt 4MBit/s Upstream sowie 8MBit/s Downstream.
Vernetzungsstrukturen
Bei der Planung von Weitverkehrsvernetzungen ist es von entscheidender Bedeutung, sich die primären Kommunikationsstränge im künftigen VPN zu verdeutlichen – kommunizieren die Filialen direkt miteinander oder alle mit einem zentralen Serversystem? Welcher Anteil des Traffics wird das VPN in Richtung Internet verlassen? Für jeden anzubindenden Standort sollte sich dann festlegen lassen, wieviel Bandbreite jeweils in Up- und Downstreamrichtung benötigt wird. Dank dem Viprinet-Bündelungsverfahren lässt sich dann je nach lokaler Verfügbarkeit eine passende Kombination von Zugangstechniken zusammenstellen – z.B. mehrere ADSL-Leitungen mit großem Downstream, kombiniert mit einem SDSL-Anschluss für zusätzliche Upstream-Kapazitäten. Nicht nur wenn vor Ort keine DSL-Varianten verfügbar sein sollten, kann es sich auch lohnen UMTS- oder TV-Kabel-Anbindungen mitzubündeln, um die Abhängigkeit von Störungen eines Leitungstyps (z.B. Ausfall der DSL-Vermittlungsstelle) zu minimieren.
Üblicherweise wird bei der Standortvernetzung mit Viprinet eine Sternstruktur gewählt. In jeder Filiale befindet sich ein Multichannel VPN Router, der als „VPN Node“ fungiert, ausgestattet mit integrierten Modems passend zu den vorhandenen Leitungen. Dieser verbindet sich jeweils über alle verfügbaren Anschlüsse mit dem „VPN Hub“, einem zentralen Router an einem Knotenpunkt. Bei einer direkt an einen Internet-Backbone angeschlossenen Firmenzentrale kann dieser VPN Hub direkt in selbiger platziert werden, ansonsten bietet sich die Aufstellung des als VPN Hub fungierenden Multichannel VPN Routers in einem hochverfügbaren und gesichertem Rechenzentrum an. Der VPN Hub vermittelt die Datenströme zwischen den verschlüsselten Tunneln der VPN Nodes. Zudem fungiert er als Schnittstelle zum Internet für alle Datenpakete, die das VPN verlassen oder in dieses eintreten sollen. Hier lässt sich auch ideal eine zentrale Firewall für alle Niederlassungen betreiben.
Außendienstmitarbeiter und Heimarbeitsplätze lassen sich leicht mit dem als Softwarelösung für Windows, Linux und MacOS X (in Vorbereitung) verfügbaren VPN Client in das Gesamtnetz sicher authentifiziert integrieren. Der VPN Client ist dabei ähnlich wie der Multichannel VPN Router in der Lage, bis zu 2 am Rechner angeschlossene Internetzugänge parallel zu verwenden – ideal auch am Notebook, um ohne Verbindungsabbruch zwischen UMTS und WLAN zu wechseln. Der Client ist dabei einfach und intuitiv zu bedienen, und einfach zentral zu administrieren.
Der Multichannel VPN Router – Das Herz Ihrer VPN-Lösung
Der Multichannel VPN Router – Das Herz Ihrer VPN-Lösung
Mit seiner Fähigkeit, bis zu 6 lokale Zugangsleitungen gebündelt zu nutzen, stellt der Multichannel VPN Router die ideale Basis für eine flexible, mit den Anforderungen wachsende VPN-Lösung dar.
Aber Hardware ist nicht alles: Zur Unternehmensvernetzung gehören Strategien, Ziele und eine solide Planung. Hier stehen Ihnen die zahlreichen Partnerunternehmen von Viprinet zur Seite. Viele Systemhäuser und ISPs arbeiten heute schon mit uns zusammen, um Ihnen Rundum-Lösungen anbieten zu können – und laufend werden es mehr. Selbstverständlich arbeiten wir auch gerne mit Ihrem bereits bestehendem IT-Partner zusammen und koordinieren die Zusammenarbeit. Kunden, die über eine eigene IT-Abteilung verfügen, können unsere Produkte zudem selbstverständlich auch direkt durch uns, dem Hersteller, beziehen.
Gerne stehen wir Ihnen zur Seite, um für Sie ggf. zusammen mit unseren Partnern eine optimale Betreuung Ihres VPN-Projektes zu gewährleisten. Sprechen Sie uns an!