Virtual Private Network (VPN): Leistungsmerkmale für modernen Remote Access
Alles was ein Remote Access VPN braucht
Eine Remote Access VPN-Lösung ist immer nur so gut, wie die Summe der Leistungsmerkmale aller Client- und Server-Komponenten. Dabei geht es nicht nur um die Wertung rein technischer Aspekte. Ein State-of-the-Art Remote Access VPN muss die Anforderungen aller am Entscheidungsprozess Beteiligten erfüllen – Anwender, Administratoren, Sicherheitsbeauftragte, Investoren und Controller. Im Wesentlichen geht es um die Themen:
Technologien
Mobile Broadband Unterstützung
5G ermöglicht derzeit die höchsten Übertragungsraten im Funknetz. Die von Windows 10 genutzten virtuellen COM-Ports werden bei der 5G-Datenübertragung zum Flaschenhals. Die Kommunikation via Windows Mobile Broadband Interface garantiert die maximale Übertragungsrate. Ein weiterer großer Vorteil des Mobile Broadband-Supports ist, dass der NCP VPN Client mit seinem integrierten Dialer dadurch automatisch alle aktuellen (4G / 5G) und zukünftigen Karten unter Windows 10 unterstützt.
WLAN-Roaming
Bewegt sich der Teleworker mit seinem Laptop innerhalb des Empfangsbereichs mehrerer Access Points mit derselben SSID, so wird im Falle einer schlechten WLAN-Empfangsleistung automatisch auf einen stärkeren Access Point gewechselt. Anwendungen, die über den VPN-Tunnel kommunizieren, "merken" davon nichts. Der NCP Secure Client kann innerhalb von Firmennetzen zwischen verschiedenen Access Points wechseln (z.B. bei Standortwechsel mit Laptop), ohne eine neue Datenverbindung aufbauen und sich neu am VPN Gateway anmelden zu müssen. D.h. kontinuierlichen Remote Access trotz wechselnder IP-Adresse. (Zentralseitig ist ein NCP Secure Enterprise VPN Server erforderlich).
Seamless Roaming
"Seamless Roaming" kann als logische Weiterentwicklung von "WLAN Roaming" bezeichnet werden. "Seamless Roaming" ist die Fähigkeit automatisch zwischen unterschiedlichen Netzen zu wechseln, beispielsweise zwischen LAN, WLAN 5G und Mobilfunk. Mobile Computing wird damit weiter vereinfacht und "Always On"- die unterbrechungsfreie, ständige Verfügbarkeit von Anwendungen am mobilen Telearbeitsplatz - praktikabel. Der VPN Client wechselt dabei während einer Session – für den Anwender unbemerkt - das Verbindungsmedium und leitet den VPN-Tunnel dynamisch um. Voraussetzung als Gegenstelle ist ein aktueller NCP Secure Enterprise VPN Server.
VPN Path Finder
Dieses Feature ermöglicht Remote Access auch hinter Firewalls, deren Einstellungen einen IPsec-basierten Datenverkehr verhindern (Port 500 bzw. UDP Encapsulation nicht möglich). Mittels der NCP VPN Path Finder Technology kann der NCP Secure Client auch Port 443 der Firewall nutzen (Fallback IPsec/HTTPS). Vorteil ist u.a. die flächendeckende IPsec-basierte Durchsetzung der Security Policy. (Zentralseitig ist ein aktueller NCP VPN Server erforderlich).
IKEv2-Unterstützung
Der IKEv2 Standard ermöglicht gegenüber IKEv1 einen schnelleren Verbindungsaufbau, da IKEv2 mit weniger Meldungen auskommt als sein Vorgänger. Zudem unterstützt die Spezifikation von Version 2 diverse, früher zusätzlich erforderliche, Protokolle (z.B. NAT-T, DPD). Die Authentifizierung erfolgt auf Basis von EAP anstatt XAUTH. Das Mobility and Multihoming Protocol (MOBIKE) sorgt dafür, dass IPsec-Tunnel mit mobilen Anwendungen noch zuverlässiger funktionieren. Die NCP VPN Client Suite ist von Haus aus sehr einfach zu konfigurieren und ermöglicht einen performanten Verbindungsaufbau. Mit den Spezifikationen von IKEv2 lassen sich Virtual Private Networks noch einfacher, flexibler und zuverlässiger aufbauen. Mit Unterstützung von IKEv2 ist die NCP VPN Client Suite zu nahezu allen auf dem Markt befindlichen VPN-Gateways kompatibel.
Home Zone
Die Home Zone ist ein speziell für das Homeoffice konzipiertes Nutzungsprofil, welches sich einfach im heimischen Netzwerk einrichten lässt. Fortan schaltet der Rechner automatisch in diesen Modus um und es greifen nun vom Administrator vordefinierte, spezielle Firewall-Regeln, die nur für den Homeoffice-Bereich gelten. Diese erlauben dem Anwender beispielsweise die Nutzung seines Druckers oder Scanners im Homeoffice-Netzwerk. Verlässt der Anwender den Home Zone-Bereich, werden die bisherigen Firewall-Regeln wieder aktiviert. Dabei merkt sich der Rechner die Umgebung bzw. die Netzwerkadresse. Kehrt der Anwender in den Home Zone-Bereich zurück, aktiviert sich die Home Zone wieder automatisch.
VPN-Bypass
Mittels der Bypass-Funktion im NCP VPN Client kann der IT-Administrator den Client so konfigurieren, dass trotz deaktiviertem Split-Tunneling bestimmte Anwendungen vom VPN ausgenommen und die Daten am Tunnel vorbei ins Internet geschickt werden. Das hat den Vorteil, dass Anwendungen wie beispielsweise Videostreaming die Server nicht länger mit Terabytes an Daten überhäufen.
Dynamic Personal Firewall mit Friendly Net Detection
Optimiert für Remote Access. Diese Personal Firewall dient dem Schutz des Endgerätes gegen Attacken aus dem Internet, WLAN und LAN. Sie ist integrativer Bestandteil aller NCP Secure Clients, also unabhängig vom Betriebssystem und zentral administrierbar (NCP Secure Enterprise Solution). Sie schützt den PC bereits während des Systemstarts und passt sich dynamisch an die jeweilige Remote Access-Umgebung an. Für die automatische Erkennung von sicheren und unsicheren Netzen sorgt das Feature "Friendly Net Detection". D.h. ohne Zutun des Teleworkers wird die jeweils erforderliche Firewall-Regel aktiviert bzw. deaktiviert. Ein weiteres Sicherheitsmoment ist die zentral vorgegebene Parametersperre. Sie verhindert, dass Konfigurationen weder manipuliert noch versehentlich deaktiviert werden können. Auf diese Weise kann auch von so neuralgischen Standorten wie z.B. öffentlichen Hotspots sicher auf das Firmennetz zugegriffen werden.
Der Funktionsumfang der NCP Personal Firewall im Überblick:
- IP-Network Address Translationen (IP-NAT)
- Stateful Packet Inspection
- Applikationsabhängige Filterregeln
- Protokoll, Port und Adressenbezogene Filterregeln
- Friendly Net-Erkennung
- Automatische Hotspot-Erkennung
- Verbindungsabhängige Filterregeln
- Umfangreiche Logging-Optionen
Datenverschlüsselung (Encryption)
Die NCP VPN-Lösung unterstützt immer die aktuellsten, leistungsfähigsten Algorithmen und Schlüssellängen, die am Markt als „State-of-the-Art“ angeboten werden, beispielsweise elliptische Kurven. Eine Aktualisierung erfolgt schnell und preiswert durch Software Updates per Download via Internet.
Endpoint Security (NAC)
Endpoint Security - auch Network Access Control oder Network Admission Control genannt (NAC) - bedeutet, dass alle sicherheitsrelevanten Parameter der NCP Secure Enterprise Clients vor einem Zugriff auf das Firmennetz überprüft werden. Dabei kann es sich beispielsweise um den Status von Virenscannern, Dienste-Informationen, Inhalte von Zertifikaten oder Softwarestand handeln. Die Einhaltung der Sicherheitsrichtlinien ist zwingend und vom Anwender nicht manipulierbar. Werden alle Sicherheitsrichtlinien erfüllt, erhält man Zugriff auf das Produktivnetz. Bei Abweichungen wird der Server-Zugriff beschränkt und es kann definiert werden, welche Daten weiter übermittelt werden und welche am VPN-Tunnel vorbeigeleitet werden.
High Availability
Die High Availability Services der Secure Enterprise Solution sorgen mit ihren Backup- und Load Balancing-Mechanismen für einen hohen Verfügbarkeitsgrad der Secure Enterprise VPN Server. Sie stellen sicher, dass zu jedem Zeitpunkt – also auch im Störungsfall – alle VPN-Tunnel für den Zugriff auf das Firmennetz zur Verfügung stehen. Weitere Informationen finden Sie im Datenblatt HA Services.
FIPS Inside
Die NCP Secure Clients integriert kryptografische Algorithmen nach FIPS-Standard – einem internationalen Sicherheitsstandard. Das eingebettete Kryptografiemodul, das diese Algorithmen beinhaltet, ist nach FIPS 140-2 zertifiziert (Zertifikat #1747).
Integrierte, unlimitierte RADIUS-Server
Integrativer Bestandteil des NCP Secure Enterprise Managements ist neben umfangreichen Steuerungs- und Überwachungsmechanismen ein unlimitierter RADIUS-Server. Bereits vorhandene RADIUS-Systeme können zusammengefasst und auf wirtschaftliche Art und Weise abgelöst werden.
Virtualisierung
Virtualisierung ist die derzeit wichtigste IT-Technologie. Sie beinhaltet das Potenzial für viele messbare Vorteile eines Rechenzentrums – von der Verbesserung der Effizienz und Verfügbarkeit über Kosteneinsparungen bis hin zu einer höheren Produktivität. Die NCP VPN-Lösung ist 100%ig software-basierend und bietet alle Voraussetzungen für erhebliche Kosteneinsparungen bei Installation und Betrieb auch größerer VPN-Umgebungen.
Features/Funktionen
Intuitive grafische Benutzeroberfläche
Alle NCP Secure Clients verfügen über eine vom Betriebssystem unabhängige, grafische Darstellung aller Verbindungs- und Security-Stati. Cursorsensitive Tooltips bieten schnelle Informationen im Klartext. Der Verbindungsaufbau in das Firmennetz kann vollautomatisch erfolgen und der Anwender kann diesen in allen Phasen verfolgen. Störungen werden rot dargestellt. Das vereinfacht die Fehlersuche und den Support. Die übersichtliche Sprachauswahl erleichtert den internationalen Einsatz.
Einfaches Anlegen und Verwalten einer Client-Konfiguration
Jeder NCP Secure Client hat seine eigene Konfigurationsdatei, in der alle Verbindungsparameter abgelegt sind. Der Administrator kann jedes Parameterfeld vorgeben und ggf. gegenüber nachträglichen Veränderungen durch den User sperren. Das schafft Konfigurationsfreiheit für die Realisierung individueller Remote Access-Anforderungen. Das Anlegen, Verwalten und Verteilen der Konfigurationsdateien kann optional automatisiert durch das NCP Secure Enterprise Management erfolgen.
Single Sign-On durch SAML
Die NCP-VPN-Lösungen ermöglichen über das NCP-Gateway und -Management die Implementierung von Single Sign-On (SSO) durch SAML. Die NCP-Lösung übernimmt dabei die Rolle eines Authentication Providers (AP). Zunächst wird die Login-Anfrage des Nutzers am SSO-Portal geprüft. Nach Genehmigung baut der NCP-Client einen hochsicheren IPsec-VPN-Tunnel auf. Dieser Zugang gilt fortan für alle internen Dienste, während externe Cloud-Anwendungen dynamisch über Funktionen wie den NCP VPN-Bypass oder Application Based Tunneling am Tunnel vorbeigeleitet werden können.
APN von SIM-Karte
Der APN (Access Point Name) definiert den Zugangspunkt eines Providers für eine mobile Datenverbindung. Die APN-Daten werden bei einem Providerwechsel automatisiert aus der jeweiligen SIM-Karte in die Client-Konfiguration übernommen. Das erleichtert die Nutzung von günstigen lokalen Providern im Ausland.
Automatische Medienerkennung
Der NCP VPN Client überprüft vor jedem Verbindungsaufbau die nutzbaren Übertragungsmedien und wählt automatisch eines nach einer vorgegebenen Reihenfolge aus. Die manuelle Netzauswahl ist natürlich weiterhin gegeben.
Komfortable Domänenanmeldung
Bei der Nutzung der Funktion Windows Pre-Logon kann der Benutzer bereits VOR der Anmeldung am Windows System einen VPN-Tunnel in die Firmenzentrale aufbauen. Die Benutzeranmeldung am lokalen Windows System geschieht daraufhin durch diesen VPN-Tunnel, so dass er an der zentralen Windows Domäne / Active Directory authentifiziert wird. Ab dieser Clientversion ist bereits in der Pre-Logon-Phase die sichere Anmeldung an einem WLAN-HotSpot möglich, d.h. der Client ist durch die integrierte dynamische Firewall zu jedem Zeitpunkt der Anmeldung am HotSpot optimal geschützt.
Zentrales Management
NCP Secure Enterprise Clients können in ein unternehmensübergreifendes, zentral gemanagtes VPN eingebunden werden. Es geht um Client-Konfigurationen, Massen Roll-out, Software Updates, Zertifikatsverwaltung und Überprüfung der Sicherheits Policies. Hierzu dient das NCP Secure Enterprise Management.
Automatische, netzabhängige Anpassung der Firewall-Regeln
Alle NCP Secure Clients verfügen über eine dynamische Personal Firewall.
Multi-Faktor-Authentifizierung (MFA)
In einem VPN ist es heute nicht mehr ausreichend, den Zugriff auf das Firmennetz per User-Namen und Passwort zu gestatten. Beide sind für Hacker leicht auszuspähen. Deshalb kommen in der NCP VPN-Lösung ausschließlich starke Authentifizierungsverfahren zum Einsatz: die integrierte Advanced Authentication, OTP-Token (One Time Password), elliptische Kurven (ECC) und digitale Zertifikate in einer PKI (Public Key Infrastructure) sowie biometrische Technologien. Die Einmalpasswörter werden dynamisch generiert, ersetzen die statischen Passwörter und verlieren nach dem Gebrauch sofort ihre Gültigkeit. Digitale Zertifikate verfügen über einen noch höheren Schutzgrad und sind zudem universell einsetzbar. Sie stehen als Software oder auf einer Smart Card als X.509 v3-Zertifikate zur Verfügung. Bei Bedarf kann mit mehreren Trust Centern bzw. Certification Authorities (CAs) zusammengearbeitet werden (-> Multi CA-Support).
Parametersperre
Die Parametersperre der NCP Secure Clients hat zwei wesentliche Funktionen. Zum einen kann damit die Komplexität der Konfigurationsmöglichkeiten reduziert werden. Dabei werden Parameterfelder für nicht benötigte Funktionen ausgeblendet, sodass der Benutzer nur die in seiner Umgebung relevanten Einstellungsmöglichkeiten vorfindet. Zum anderen können Voreinstellungen vorgenommen werden, die für den Benutzer unveränderbar sind. Damit sind eine fehlerhafte Konfiguration und unerwünschte Verbindungsaufbauten ausgeschlossen.
Clients für alle gängigen Betriebssysteme
Damit die Vorteile in einem Remote Access VPN auch umfassend genutzt werden können, bietet die NCP-Lösung eine breite Unterstützung unterschiedlichster Betriebssysteme zur Integration aller Devices in ein ganzheitliches VPN. Egal ob Sie Windows, macOS oder Linux verwenden. NCP hat für alle gängigen Betriebssysteme eine Lösung.
Wirtschaftliche Values
Minimierung der Supportkosten
Die Supportkosten nehmen einen Großteil der „Total Cost of Ownership“ (TCO) ein. Um diese möglichst niedrig zu halten, verfügen die NCP Secure Clients unter der Zielsetzung „Easy-to-Use“ über eine grafische Benutzeroberfläche und einen abgestimmten Leistungsumfang, beispielsweise eine Parametersperre. D.h. Netzwerkadministratoren geben zentral die Client-Konfigurationen pro Anwender vor. Die Parametersperre verhindert eine nachträgliche Manipulation, ob beabsichtigt oder durch Fehlbedienung. Störungen werden über die intuitive grafische Benutzeroberfläche mit Fehlermeldungen im Klartext angezeigt. Das ermöglicht dem Support deren schnelles Beheben.
Schutz vor Manipulation
Zur Einsparung von Supportkosten verfügen die NCP Secure Clients unter der Zielsetzung „Easy-to-Use“ über einen abgestimmten Leistungsumfang, beispielsweise eine Parametersperre. Dort geben Netzwerkadministratoren zentral die Client-Konfigurationen pro Anwender vor, wodurch nachträgliche Manipulation verhindert wird.
Minimierung der Administrationskosten
Das NCP Secure Enterprise Management verfügt als „Single Point of Administration“ über alle, für den wirtschaftlichen Betrieb eines VPNs erforderlichen Leistungsmerkmale. Es verkürzt nicht nur den Zeitaufwand für Rollout, Zertifikatsverwaltung und Softwareverteilung. Auch alle notwendigen Veränderungen z.B. bei Personalwechsel bzw. -fluktuation werden quasi in Echtzeit vorgenommen. Das entlastet die Netzwerkadministration und führt zu einer massiven Kosteneinsparung.
Minimierung der Kosten für Identitäts- und Zugangsmanagement
Die NCP VPN-Lösung ist zu 100% kompatibel mit allen gängigen Netzwerktechnologien und Betriebssystemen. Die Software ist somit einfach in bestehende Identitäts- und Management-Systeme (IAM) zu integrieren. Aufwändige Upgrades bereits vorhandener Systeme und/oder teure Neuinvestitionen in Ihre IT-Infrastruktur sind überflüssig.
Multi Company Support durch VPN Gateway Sharing
Dieses Leistungsmerkmal ermöglicht den gleichzeitigen Betrieb mehrerer VPNs für unterschiedliche Firmen über einen einzigen NCP Secure Enterprise VPN Server. Für jedes Unternehmen (Mandant) wird ein abgeschlossenes VPN eingerichtet, auf das nur dessen Mitarbeiter zugreifen können. Das VPN Gateway-Sharing macht die Investition in mehrere Einzel-Systeme überflüssig. Auch Managed Security Service Provider (MSSP) nutzen diesen wirtschaftlichen Vorteil für den Aufbau und Betrieb von managed VPNs.
Bring your own device
Mitarbeiter arbeiten mit eigenen Endgeräten. BYOD-Konzepte erhöhen die Nutzerzufriedenheit und damit einhergehend auch die Arbeitsproduktivität. Damit die Vorteile in einem Remote Access VPN auch umfassend genutzt werden können, bietet die NCP Lösung eine breite Unterstützung unterschiedlichster Betriebssysteme zur Integration aller Devices in ein ganzheitliches VPN.