Zertifikatsgestützte VPN-Einwahl? Wie realisieren?

[DaFlo]

Hallo!

Unsere Firma hat wohl demnächst ein größeres VPN-Projekt bei nem Neukunden am Laufen... daher sind meine Kollegen und ich jetzt schon am rumtesten...

Folgendes Szenario ist gegeben:

- Windows 2003 Server

- VPN-Einwahl über Zertifikate für Außendienstmitarbeiter usw.

Wir sind schon mal soweit... das eine normale VPN-Einwahl über den Windows 2003 Server funktioniert.

Nun stehen wir vor folgender Problematik:

Die Außendienstmitarbeiter sind in ganz Deutschland ansässig und sollen sich auf den Server einwählen. Welche Möglichkeiten gibt es um die Zertifikate bereitzustellen? Kann man die Zertifikate runterladen und per Email / CD verschicken und die Leute installieren sich die Zertifikate selber? Meine Kollegen und ich haben auf dem Gebiet keinerlei Erfahrungen... vielleicht könnt ihr uns weiterhelfen.

[lordy]

Habt ihr Euch denn schon Gedanken gemacht, wo Ihr die Zertifikate her nehmt und wer die (nachher) pflegt ?

Und wenn Ihr die Zertifikate per unverschlüsselter Email versendet könnt Ihr es eigentlich auch gleich sein lassen...

[DaFlo]

Soweit ich gelesen habe, kann der W2003 Standard Server die Zertifikate als Zertifizierungsstelle bereitstellen (bitte berichtigt mich, wenn ich mich da täusche). Wie die Zertifikate zu die Mitarbeiter kommen... da arbeiten wir noch an einer Lösung... das ist uns selber noch nicht so ganz klar.

[hades]

Du musst auch daran denken, dass Zertifikate ablaufen und erneuert werden muessen.

Gerade wenn viele Aussendienst-Mitarbeiter betroffen sind, die nur sehr selten bei Dir vor Ort erscheinen, wuerde ich es mir 2x ueberlegen ob es das Windows VPN-IPsec mit Zertifikaten einer internen Zertifizierungsstelle sein muss oder nicht auch andere Loesungen besser geeignet sind.

Denn hier kommt die faellige, manuelle Erneuerung der Zertifikate garantiert immer zu einem unpassenden Zeitpunkt.

Das u.a. bei Windows genutzte VPN-IPsec (genauer das ESP-Protokoll) ist auch ein Kandidat, dass - ohne Einsatz von NAT-Traversal- Probleme mit einigen NAT-Routern hat.

Denn ESP besteht darauf, dass ESP-Pakete unveraendert durchgelassen werden.

Wenn Zertifikate, dann wuerde ich aus der Kosten-/Nutzensicht eher auf eine TLS/SSL basierende VPN-Variante setzen.

Z.B. als kostenlose Loesung: OpenVPN

oder als kostenpflichtige Loesungen: eine MS ISA Server Appliance mit dem IAG oder das Citrix Access Gateway.

Denn Du brauchst bei IPsec immer mehrere Ports (mit NAT-Traversal) bzw. mehrere Ports und Protokolle (ohne NAT-Traversal), die durchgelassen werden muessen.

Bei den TLS/SSL-Varianten ist es nur ein Port, der ggfl. auch auf den HTTPS-Port 443 gelegt werden kann. HTTPS wird idR von allen Routern und Firewalls ohne Probleme durchgelassen.

Bearbeitet 28. Oktober 2008 von hades

[lordy]

Full ACK, hades.

Das war es auch, worauf ich hinauswollte. Ihr seht das im Moment noch sehr technisch, aber an dem ganzen Zertifikatskram hängen eben normalerweise Prozesse. Beispiel:

- Wer stellt später Zertifikate für neue Mitarbeiter/Rechner aus ?

- Wer erneuert abgelaufene Zertifikate ?

- Wer sperrt Zertifikate wenn Mitarbeiter ausscheiden oder Rechner gestohlen werden ?

- Wer ist vertrauenswürdig genug, um die Zertifizierungsinstanz überhaupt zu betreuen ?

Ich persönlich würde auch OpenVPN vorziehen. Gerade mit den ganzen schrägen Home-Routern und Hotspots, mit denen der Aussendienst so in Kontakt kommt kann IPSec schnell ein K®ampf werden.

[DaFlo]

Hallo ihr beiden,

also um den Zertifikatskram müssen wir uns kümmern! In welchem Abstand müssen die Zertifikate erneuert werden? Des kann man doch sicherlich bestimmen... ich denke ein jährliches Zertifikat würde uns schon langen! Und ansonsten... aber gut... ich werde mir mal des OpenVPN anschauen.