cms-journal
Nr. 25
Mai 2004
Service
Metadaten
Hinweise
Weitere Artikel aus dem cms-Journal Nr. 25 finden Sie auf dem edoc-Server der Humboldt-Universität zu Berlin unter http://edoc.hu-berlin.de/cmsj/25
Copyright
Dieser Artikel ist ein Open Access Artikel und steht unter der Creative Commons Lizenz BY (siehe...).

VPN an der HU

J.-U.Winks
winks@cms.hu-berlin.de

Keywords

VPN, Virtual Private Network

Abstract

An der Humboldt-Universität sind zwei Cisco 3060 Concentrators in Betrieb genommen worden. Diese terminieren VPN-Tunnel. Wozu das gut sein soll, möchten die nächsten Zeilen erläutern.


VPN?

VPN steht für Virtual Private Network. Damit ist eine Technologie gemeint, die es ermöglicht, von einem externen Internet-Zugang einen Zugriff auf ein internes Netz zu bekommen.

Zwischen einem Client-Rechner und einem VPN-Concentrator wird ein Tunnel aufgebaut. Der Client authentifiziert sich und wird nach erfolgreicher Authentifizierung logisch zum Bestandteil des Netzes, in dem sich der Tunnelendpunkt (VPN-Concentrator) befindet.

Diese Technologie umfasst optional neben einer Authentifizierung auch moderne Verschlüsselungsverfahren, wie beispielsweise AES. Damit ist es möglich, einen sicheren Zugang über unsichere Netze zu realisieren. Es kommt u. a. IPSec zum Einsatz – an der HU anfangs mit Pre-Shared-Keys. Die spätere Einbindung einer PKI (HU-CA) ist möglich und wird vorbereitet.

image

Abb. 1: Cisco VPN-Concentrator 3060, Pitti und Platsch

Die beiden Konzentratoren (siehe Abbildung 1) wurden im Erwin Schrödinger-Zentrum in Adlershof aufgestellt. Sie tragen die Namen »Pitti« und »Platsch«. Beide verfügen über jeweils zwei redundant ausgelegt Module, welche die Verschlüsselung beschleunigen. Außerdem haben beide drei Fast-Ethernet-Anschlüsse.

Geplant ist, beide Konzentratoren parallel zu betreiben und die eingehenden Verbindungen zwischen ihnen aufzuteilen (Load-Balancing).

Inhaltsverzeichnis

VPN? ...

Wozu? ...

Wie? ...

Wann? ...

Epilog ...


Wozu?

Natürlich wird der interessierte Leser nun fragen: »Wozu braucht man das?«. Deshalb folgendes kurzes praxisnahes Beispiel: Viele Studenten und Mitarbeiter der Uni haben einen DSL-Zugang. Dieser Zugang endet bei einem DSL-Provider und erlaubt u. U. nicht, dass auf universitätsinterne Ressourcen zugegriffen werden kann (Datenbanken, Mailserver etc.). Um den Zugriff dennoch zu ermöglichen, kann ein DSL-Nutzer einen Tunnel aufbauen, der ihn mit einem VPN-Concentrator im HU-Netz verbindet. Damit wird der Client zum Bestandteil des Uni-Netzes, mit allen Rechten, wie ein »normaler« Rechner im Uni-Netz. Natürlich ist der Aufbau eines solchen VPN-Tunnels nicht auf DSL beschränkt, sondern ein derartiger Tunnel kann von jedem beliebigen Internet-Zugang auf der Welt aufgebaut werden.

Derzeit gibt es auch Überlegungen, die Konzentratoren zu benutzen, um den WLAN-Zugang der Benutzter abzusichern. Mehr Informationen dazu gibt es im Artikel »Drahtlose Aussichten« in diesem Heft.

Inhaltsverzeichnis

VPN? ...

Wozu? ...

Wie? ...

Wann? ...

Epilog ...


Wie?

Natürlich wird der interessierte Leser nun fragen: »Wie mach' ich das?«. Ganz einfach. Auf dem Rechner, von dem aus ein VPN-Tunnel aufgebaut werden soll, wird einmalig ein vorkonfigurierter Software-Client installiert. Dieser bildet, wenn man es sich bildlich vorstellen möchte, den Tunneleingang. Nach der Installation wird der Software-Client gestartet, der Benutzer gibt seine Nutzernamen und sein Password an und initiiert die Verbindung. Fertig.

Clients gibt es für verschiedenste Systeme: Windows 98, ME, NT, XP, 2000, Linux, MacOS X und Solaris.

Theoretisch wäre es möglich, bei VPN-Verbindungen die Benutzung einer Personal Firewall auf den Clients zu erzwingen, um das interne Netz abzusichern. Das Management der Client-Firewalls könnte zentral erfolgen. Der Einsatz dieses Features an der HU ist nicht vorgesehen.

Ebenso wäre es möglich, per zentraler Definition ein Split-Tunneling zu gestatten. Das bedeutet, dass nur Verkehr für das interne Netz, zu dem der Tunnel aufgebaut wurde, durch diesen geschleust wird. Die restlichen Datenpakete, also die mit externen Zieladressen, nehmen den direkten Weg ins Internet, also nicht durch den Tunnel. Der Einsatz von Split-Tunneling an der HU ist nicht geplant.

Wie der aufmerksame Leser sicherlich gemerkt hat, benötigt er einen Account am CMS, um VPN benutzen zu können. Nutzer, die einen Account am Institut für Informatik, Mathematik oder Physik haben, können die VPN-Konzentratoren ebenfalls benutzen. Dabei wird wie bei der Einwahl, ein Verbund von Radius-Servern benutzt, um die Authentifizierung zu realisieren.

Inhaltsverzeichnis

VPN? ...

Wozu? ...

Wie? ...

Wann? ...

Epilog ...


Wann?

Natürlich wird der interessierte Leser nun fragen: »Wann kann ich das nutzen?«. Ab sofort. Der erweiterte Testbetrieb wurde am 1.4.2004 aufgenommen.


Epilog

Weitere Informationen sind auf der Web-Seite http://www.hu-berlin.de/cms/vpn abgelegt. Dort sind auch vorkonfiguriete Clients und Konfiguationsbeschreibungen zu finden.