M 2.185 Auswahl einer geeigneten RAS-Systemarchitektur
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement, Administrator
Je nach den geplanten Einsatzszenarien können unterschiedliche RAS-Systemarchitekturen genutzt werden, um den entfernten Zugang zu einem LAN zu realisieren. Die verschiedenen Systemarchitekturen haben naturgemäß unterschiedliche Eigenschaften und sind daher für die einzelnen Einsatzzwecke unterschiedlich gut geeignet. Prinzipiell ist zwar jede Kombination möglich, erfordert jedoch bei einer ungünstigen Wahl zusätzlichen Aufwand (z. B. zusätzliche Hardware, administrativer Mehraufwand).
Die folgenden RAS-Szenarien, denen jeweils eine typische Systemarchitektur zugeordnet werden kann, kommen in der Praxis häufig zum Einsatz.
-
Anbindung einzelner Rechner an ein LAN
In diesem Fall kommt oft eine Architektur in Frage, die mit "Direct Dial-In" (Direkte Einwahl) bezeichnet wird. Die RAS-Software wird auf dem Rechner des entfernten Benutzers installiert. Der Rechner besitzt eine Verbindung zu einem Telekommunikationsnetz. Der Anschluss kann hier beispielsweise über ein analoges Modem, eine ISDN-Karte oder auch über ein Mobiltelefon erfolgen. Zur Verbindungsaufnahme wählt die RAS-Client-Software die Telefonnummer, unter der die RAS-Server-Software zu erreichen ist. Auch der RAS-Server ist über ein Modem oder eine ISDN-Karte mit dem Telekommunikationsnetz verbunden. Je nach RAS-Server-Produkt (auch Access-Server genannt) kann ein Server mehrere Kommunikationsverbindungen aufbauen (z. B. über so genannte "Modem-Pools"), so dass sich gleichzeitig mehrere RAS-Clients einwählen können.
Vorteilhaft ist hier, dass durch dieses Verfahren ein einzelner Rechner von einem beliebigen Ort aus an das LAN angeschlossen werden kann. Dies ist insbesondere für mobile Benutzer günstig. Durch die direkte Einwahl auf dem RAS-Server des Ziel-LANs wird die Verbindung zwar nur über die Telekommunikationsnetze der benutzten Telekommunikationsanbieter geschaltet, der Einsatz von Mechanismen zur Kommunikationsabsicherung ist jedoch auch hier zu empfehlen, also z. B. Verschlüsselung, digitale Signaturen, Authentisierung.
Nachteilig ist hier, dass je nach Entfernung zum Ziel-LAN unterschiedlich hohe Telefonkosten entstehen können, die (ohne besondere Vorkehrungen) in der Regel beim entfernten Benutzer anfallen. Für die Anbindung mehrerer Benutzer, die sich gemeinsam an einem entfernten Ort befinden, ist diese Variante nicht geeignet, da jeweils eine dedizierte Verbindung zwischen Client und Server aufgebaut wird. Jeder Client muss daher mit einem entsprechenden Modem ausgestattet sein; die gleichzeitige Nutzung genau einer gemeinsamen Verbindung durch mehrere Client-Rechner ist auf diese Weise nicht möglich. -
Anbindung mehrerer Rechner an ein LAN
In diesem Fall kommt oft eine Architektur in Frage, die mit "Direct LAN-to-LAN-Dial-In" bezeichnet wird. Die Rechner der entfernten Benutzer bilden hier ein eigenes LAN. Die RAS-Client-Software ist dabei in der Regel nicht auf einem der Benutzerrechner installiert, stattdessen wird die RAS-Funktionalität durch eine dedizierte Hardware in Form eines Routers zur Verfügung gestellt. Müssen Datenpakete von einem LAN in das andere übertragen werden, so stellt der im Router enthaltene RAS-Client automatisch eine Verbindung mit dem Ziel-LAN her, indem er den dortigen RAS-Server anwählt. In dieser Konfiguration wird meist eine symmetrische Architektur für beide LANs gewählt, so dass der anzuwählende RAS-Server auch in einem Router enthalten ist und eine Punkt-zu-Punkt Verbindung entsteht. Alternativ können mehrere entfernte LANs über einen Access-Server (RAS-Server, der mehrere gleichzeitige Verbindungen erlaubt) angebunden werden.
Vorteilhaft ist hier, dass durch die Funktionstrennung von RAS-Client und Rechner des entfernten Benutzers über eine Verbindung zum Ziel-LAN mehrere entfernte IT-Systeme angebunden werden können. Der Router, der den RAS-Client enthält, stellt dabei die aufgebaute Verbindung für alle am entfernten LAN angeschlossenen Rechner zur gleichzeitigen Nutzung bereit. Dies ist jedoch zugleich auch nachteilig, da die Verbindungskapazität unter den zugreifenden entfernten IT-Systemen aufgeteilt wird und nicht exklusiv genutzt werden kann.
Selbstverständlicher Nachteil ist hier, dass die Clients nicht mehr mobil sind. -
Anbindung eines Rechners oder eines LANs über einen Service Provider
Als Erweiterung der beiden vorangegangenen Szenarien kann die Anbindung eines Rechners oder eines LANs auch über eine spezielle Zugangsrufnummer eines Service Providers erfolgen. In diesem Fall kontaktiert der RAS-Client eine besondere Telefonnummer, die häufig eine Ortsgespräch-Rufnummer oder eine kostenfreie Rufnummer ist. Anrufe für diese spezielle Nummer werden vom anbietenden Service Provider innerhalb des Kommunikationsnetzes an den RAS-Server des Ziel-LANs weitergeleitet. Diese Variante erlaubt insbesondere Mitarbeitern auf Dienstreise eine für sie kostengünstige Verbindungsaufnahme. -
Anbindung eines Rechners oder eines LANs über Internet
Dieser Fall unterscheidet sich von den obigen Szenarien dadurch, dass vom Client zunächst eine Verbindung zu einem Internet-Dienstanbieter (Internet Service Provider - ISP) aufgebaut wird. Erst im zweiten Schritt verbindet sich der Client über die bestehende Internet-Anbindung mit dem Ziel-LAN. Dazu muss der entfernte Benutzer eine Zugangsberechtigung für den Internet-Zugang des jeweiligen ISP besitzen und das Ziel-LAN über einen Internet-Anschluss verfügen. Die Kommunikation mit dem Ziel-LAN erfolgt in diesem Fall über Internetprotokolle. Ein eigener RAS-Server (für direkte Verbindungen über ein Telekommunikationsnetz) ist im Ziel-LAN nicht erforderlich.
Diese Variante wird in der Regel genutzt, um die Telefonkosten für den entfernten Benutzer gering zu halten (z. B. Ortsgesprächsgebühren), kann sich jedoch in der Konfiguration als relativ komplex erweisen. Da der Internet-Zugang eines LANs in der Regel durch eine Firewall geschützt wird, muss bei der Planung der Firewall-Architektur die Möglichkeit des Internet-basierten Zugangs entfernter Benutzer berücksichtigt werden (siehe auch Baustein B 3.301 Sicherheitsgateway (Firewall)). -
Aufbau eines Virtuellen Privaten Netzes (VPN)
Neben der Möglichkeit, mit Hilfe von Internet-basierten Protokollen und Programmen (z. B. telnet, ftp, POP3) auf Daten des internen Netzes zuzugreifen, können auch so genannte Tunnel-Protokolle benutzt werden. Diese erlauben es, über das Internet als Transportmedium eine Direktverbindung zwischen dem RAS-Client und dem RAS-Server des Ziel-LANs zu simulieren. Über diese scheinbare Direktverbindung erfolgt die eigentliche RAS-Kommunikation (siehe auch M 5.76 Einsatz geeigneter Tunnel-Protokolle für die RAS-Kommunikation). Der RAS-Server des Ziel-LANs muss hierzu über das Internet erreichbar sein. Oft bieten Firewall-Produkte RAS-Unterstützung an, so dass die Konfiguration des RAS-Zugangs mit Hilfe des Werkzeugs zur Firewall-Administration erfolgen kann.
Der Vorteil einer solchen Lösung liegt darin, dass Internetzugänge mittlerweile weit verbreitet sind, so dass hier in einfacher Weise auf einem existierenden Verbindungsnetz aufgebaut werden kann. Nachteilig ist jedoch, dass das Internet aufgrund seiner offenen Struktur nicht als sicheres Netz konzipiert wurde. Aus diesem Grund ist hier die Absicherung der Kommunikation besonders wichtig. Beim Tunneling geschieht dies durch den Einsatz kryptographischer Verfahren. Hierdurch wird ein so genanntes Virtuelles Privates Netz (VPN) realisiert.
Nach erfolgreichem Verbindungsaufbau besteht eine Verbindung über das Internet zwischen dem entfernten Rechner und dem LAN, meist über die Firewall hinweg. Unter dem Gesichtspunkt der IT-Sicherheit ist dies jedoch problematisch, da ein Angreifer unter Umständen weitreichende Zugriffsmöglichkeiten auf das Ziel-LAN hat, wenn es ihm gelingt, in einen Client-Rechner einzudringen. Der ausreichende Schutz aller Clients ist also entscheidend für die Sicherheit des Gesamtsystems. Aufgrund der fehlenden Durchsatzgarantien bei der Internet-Kommunikation muss zusätzlich davon ausgegangen werden, dass die Dienstqualität in der Regel geringer ausfällt als bei direkten und dedizierten Verbindungen zum LAN über das Telefonnetz. Bei dieser Architektur sollten daher die Auswirkungen auf die IT-Sicherheit und die Performance sorgfältig geprüft werden.
Die vorgestellten Szenarien und Systemarchitekturen sind gängige Varianten für die Realisierung von RAS-Zugängen, können jedoch trotzdem nur als Beispiele verstanden werden. Welche konkrete Systemarchitektur zu wählen ist, hängt sehr von den geplanten Einsatzszenarien ab. Oft besteht auch die Anforderung, mehrere Szenarien gleichzeitig zu realisieren (z. B. Telearbeit und mobile Benutzer). Insbesondere mobilen Benutzern soll eine größtmögliche Freiheit bei der Wahl der Zugangstechnologie angeboten werden, damit sie von möglichst vielen Orten und Arbeitsumgebungen aus auf das lokale Netz zugreifen können.
Unter dem Gesichtspunkt der IT-Sicherheit ist jedoch zu berücksichtigen, dass die Verwendung von unterschiedlichen Zugangstechnologien in der Regel auch unterschiedliche Zugangspunkte im Ziel-LAN erfordert. Generell ist ein LAN, das über mehrere externe Zugänge verfügt, einer größeren Zahl von Gefährdungen ausgesetzt als ein LAN, das nur über genau einen externen Zugang erreichbar ist. Andererseits kann jedoch durch unterschiedliche Zugangspunkte die Verfügbarkeit des RAS-Systems erhöht werden.