Die Sicherheit, die ein Remote Access VPN braucht

Secure VPN ohne Kompromisse

In einem Remote Access VPN müssen Vertraulichkeit, Integrität und Verfügbarkeit von Informationen und Systemen gewährleistet sein Die NCP Remote Access VPN-Lösung gibt Ihnen diese Sicherheit. Attacken auf Endgeräte und Übertragungswege werden durch aufeinander abgestimmte Sicherheitsmechanismen nachhaltig verhindert. ABER: Sicherheit ist keine Momentaufnahme. Alle Sicherheitsfeatures müssen entsprechend den sich ständig verändernden Bedrohungspotenzialen kurzfristig auf den neuesten Stand der Technik gebracht werden. Kein Problem für die NCP Software-Komponenten durch preiswerte Updates- bzw. Upgrades. Ein weiteres Sicherheitsmoment in einem professionellen VPN ist die Verfügbarkeit von Daten und Systemen. Es gilt, Störungen auf den Übertragungswegen zu umgehen und Ausfälle zentraler Systeme zu verhindern.

Die wichtigsten integrierten Sicherheitsfeatures im Überblick:

Dynamic Personal Firewall mit Friendly Net Detection (location awareness) – optimiert für Remote Access
Diese Personal Firewall dient dem Schutz des Endgerätes gegen Attacken aus dem Internet, WLAN und LAN. Sie ist integrativer Bestandteil aller NCP Secure Clients, also unabhängig vom Betriebssystem und zentral administrierbar (NCP Secure Enterprise Solution). Sie schützt den PC bereits während des Systemstarts und passt sich dynamisch an die jeweilige Remote Access-Umgebung an. Für die automatische Erkennung von sicheren und unsicheren Netzen sorgt das Feature "Friendly Net Detection". D.h. ohne Zutun des Teleworkers wird die jeweils erforderliche Firewall-Regel aktiviert bzw. deaktiviert. Ein weiteres Sicherheitsmoment ist die zentral vorgegebene Parametersperre. Sie verhindert,  dass Konfigurationen weder manipuliert noch versehendlich deaktiviert werden können. Auf diese Weise kann auch von so neuralgischen Standorten wie z.B. öffentlichen Hotspots sicher auf das Firmennetz zugegriffen werden. Der Funktionsumfang der NCP Personal Firewall im Überblick:

  • IP-Network Address Translationen (IP-NAT) 
  • Stateful Packet Inspection
  • Applikationsabhängige Filterregeln
  • Protokoll, Port und Adressenbezogene Filterregeln
  • Friendly Net-Erkennung
  • Automatische Hotspot-Erkennung
  • Verbindungsabhängige Filterregeln
  • Umfangreiche Logging-Optionen 

Secure VPN: VPN-Tunneling auf Basis von IPsec und SSL
Der NCP Secure Enterprise VPN Server unterstützt beide VPN-Technologien zuverlässig. Ob mit IPsec VPN Client, SSL Clientless, SSL Thin Client oder SSL Fat Client – Remote Access auf das zentrale Datennetz ist bedarfsorientiert in allen Fällen gewährleistet. 

Datenverschlüsselung (Encryption)
Die NCP VPN-Lösung unterstützt immer die aktuellsten, leistungsfähigsten Algorithmen und Schlüssellängen, die am Markt als „State-of-the-Art“ angeboten werden, beispielsweise elliptische Kurven. Eine Aktualisierung erfolgt schnell und preiswert durch Software Updates per Download via Internet.

Starke Authentisierung
In einem VPN ist es heute nicht mehr ausreichend, den Zugriff auf das Firmennetz per User-Namen und Passwort zu gestatten. Beide sind für Hacker leicht auszuspähen. Deshalb kommen in der NCP VPN-Lösung ausschließlich starke Authentifizierungsverfahren zum Einsatz: OTP-Token (One Time Password), elliptische Kurven (ECC) und digitale Zertifikate in einer PKI (Public Key Infrastructure) sowie biometrische Technologien. 
Die Einmalpasswörter werden dynamisch generiert, ersetzen die statischen Passwörter und verlieren nach dem Gebrauch sofort ihre Gültigkeit. Digitale Zertifikate verfügen über einen noch höheren Schutzgrad und sind zudem universell einsetzbar. Sie stehen als Software oder auf einer Smart Card als X.509 v3-Zertifikate zur Verfügung. Bei Bedarf kann mit mehreren Trust Centern bzw. Certification Authorities (CAs) zusammengearbeitet werden (-> Multi CA-Support). 

Endpoint Security (NAC) - Quarantänezone
Endpoint Security - auch Network Access Control oder Network Admission Control genannt (NAC) - bedeutet, dass alle sicherheitsrelevanten Parameter der NCP Secure Enterprise Clients vor einem Zugriff auf das Firmennetz überprüft werden. Dabei kann es sich beispielsweise um den Status von Virenscannern, Dienste-Informationen, Inhalte von Zertifikaten oder Softwarestand handeln. Die Einhaltung der Sicherheitsrichtlinien ist zwingend und vom Anwender nicht manipulierbar.Bei Abweichungen werden Anwender beispielsweise in einem IPsec VPN in die sog Quarantänezone geleitet. Hier bestehen folgende Optionen:

  • Alle Sicherheitsrichtlinien erfüllt
    • Zugriff auf das Produktivnetz 
  • Nur einer der Sicherheitsparameter ist nicht erfüllt dann kann definiert werden 
    • Verbleib in der Quarantänezone mit beschränktem Server-Zugriff zur Software-Aktualisierung des remote Systems 
    • Starten externer Anwendungen am remote PC
    • Verbindungsabbruch

Parametersperre
Die Parametersperre der NCP Secure Clients hat zwei wesentliche Funktionen. Zum einen kann damit die Komplexität der Konfigurationsmöglichkeiten reduziert werden. Dabei werden Parameterfelder für nicht benötigte Funktionen ausgeblendet, sodass der Benutzer nur die in seiner Umgebung relevanten Einstellungsmöglichkeiten vorfindet. Zum anderen können Voreinstellungen vorgenommen werden, die für den Benutzer unveränderbar sind. Damit sind eine fehlerhafte Konfiguration und unerwünschte Verbindungsaufbauten ausgeschlossen.

Leitungs-Backup 
Das Leitungs-Backup sichert einen hohen Erreichbarkeitsgrad des Zielsystems, auch bei einer Störung des Übertragungsweges (DSL-Anschluss). Störungen oder Engpässe im Internet können nie ausgeschlossen werden. Verbindungsabbrüche führen oft zu Datenverlust und längeren Wartezeiten bis der Fehler behoben ist. Beides ist für den VPN-Betreiber unangenehm und kann mit unerwartet hohen Kosten verbunden sein (z.B. wichtige Daten sind nicht rechtzeitig verfügbar). Mit dem Feature „Leitungs-Backup“ wird im Störungsfall automatisch von einer DSL- oder ISDN-Verbindung auf eine ISDN-Backup-Leitung umgeschaltet (Netzwerkadministration wird informiert). Die Datenverbindung bleibt bestehen, d.h. es kann ohne Neuanmeldung weitergearbeitet werden (kein Session-Verlust). Nach wiederhergestellter DSL-Funktionalität erfolgt selbsttätig die Rückschaltung auf die preiswertere Verbindung.

Schutz der Daten auf dem Endgerät – Cache Potection (SSL VPN)
In einem SSL VPN werden bei Nutzung des Internet Explorers als Web – Oberfläche nach Beendigung einer Session automatisch alle Daten auf dem Telearbeitsplatz gelöscht.

Secure VPN: Erzwungene Interneteinwahl über die Firmenzentrale
Um Attacken aus dem Internet nachhaltig zu entgegnen, kann zentral vorgegeben werden, dass die Einwahl über einen VPN-Tunnel zum Firmennetz und dessen Security Infrastruktur erfolgen muss.

Systemverfügbarkeit
Die High Availability Services der Secure Enterprise Solution sorgen mit ihren Backup- und Load Balancing-Mechanismen für einen hohen Verfügbarkeitsgrad der Secure Enterprise VPN Server. Sie stellen sicher, dass zu jedem Zeitpunkt – also auch im Störungsfall – alle VPN-Tunnel für den Zugriff auf das Firmennetz zur Verfügung stehen. Weitere Informationen finden Sie im Datenblatt HA Services.

FIPS Inside
Die NCP Secure Clients integriert kryptografische Algorithmen nach FIPS-Standard – einem internationalen Sicherheitsstandard. Das eingebettete Kryptografiemodul, das diese Algorithmen beinhaltet, ist nach FIPS 140-2 zertifiziert (Zertifikat #1051).