Um im Wettbewerb bestehen zu können, müssen Unternehmen flexibel agieren und kurzfristig auf Marktanforderungen reagieren können. Dazu brauchen sie ein Netzwerk, das offen nach aussen und trotzdem sicher ist.
Schadenskizze Die Mobiliar / Bild: PD
Die Autorin macht Marketing Kommunikation bei NCP engineering GmbH. Jeder dritte Schweizer Haushalt ist bei der Mobiliar versichert. Diese Marktposition hat die älteste Schweizer Versicherung nicht zuletzt ihren vielen Filialen zu verdanken: Über 80 Generalagenturen mit weiteren rund 60 angegliederten Agenturen betreuen Kunden im ganzen Land. Zur Anbindung aller Niederlassungen sowie der Direktionsstandorte in Bern und Nyon installierte die Mobiliar bereits 2001 ein Virtual Private Network (VPN) auf Basis des IPsec-Standards. Der Zugriff auf versicherungsspezifische Applikationen, Host-Systeme, Microsoft Outlook und Intranet erfolgte allerdings ausschliesslich per LAN – zu statisch für moderne Zeiten. Die Geschäftsleitung forderte daher eine neue Lösung: Mobiliar-Mitarbeiter sollten sich von überall mit dem Firmennetzwerk verbinden können – auch an öffentlichen WLAN-Hotspots. Die strikte Vorgabe: Die gesamte Datenkommunikation muss über das firmeninterne Netzwerk ablaufen, kein Bit darf am eigenen Server vorbei. Keine leichte Aufgabe für Stefan Geiser, den Verantwortlichen für die Einführung der neuen VPN-Lösung bei der Mobiliar: «Öffentliche WLAN-Netze sind wesentlich schwieriger zu sichern als ein LAN. Benutzer dürfen keinen unkontrollierten Zugang ins Internet haben und auch das Endgerät muss vor unerwünschten Zugriffen anderer Hotspot-Teilnehmer geschützt sein.» Das Problem: Bei Hotspot-Anmeldungen läuft die Registrierung ausserhalb des geschützten VPN-Bereichs mittels Webbrowser.
Hohe Anforderungen
Eine wichtige Anforderung war daher eine Location-Awareness-Funktion der Firewall (siehe Box). Der Grund: Beim Einwählen in ein öffentliches Netzwerk kann nicht ausgeschlossen werden, dass dieses im gleichen Addressbereich liegt wie das interne Mobiliar-Netzwerk. Ohne Location Awareness würden die Geräte netzwerkseitig ungeschützt offen stehen. Ein weiterer Knackpunkt: An einigen öffentlichen WLAN-Hotspots in der Schweiz erfolgt die Anmeldung SMS-basiert. Das heisst, der Benutzer registriert sich auf der Website des Hotspot-Betreibers, indem er die Rufnummer seiner Datenkarte eingibt. Anschliessend wird ihm für die Registrierung eine SMS mit einer PIN zugesandt.
Zusätzlich war noch eine Mobiliar-spezifische Anforderung zu erfüllen: Die Authentisierung der VPN-Verbindung sollte über den Microsoft-Zertifikatsspeicher erfolgen. Die Client-Software musste also die CSP-Anbindung (Cryptographic Service Provider) unterstützen. Trotz der komplexen Sicherheitsanforderungen sollte der Verbindungsaufbau unkompliziert und nur noch über ein einziges Tool steuerbar sein. Auch das Management der VPN-Clients galt es zu optimieren. Das Manko der bisherigen Lösung war, dass die Sicherheits-Policies für Clients nur dann aktualisiert werden konnten, wenn die Endgeräte per VPN mit dem Server verbunden waren. Es gibt aber auch Benutzer, die sich nicht regelmässig ins Netzwerk einwählen. Zu guter Letzt sollte die VPN-Client-Software auch noch mit der bereits im Einsatz befindlichen Datenoptimierungslösung von Riverbed kompatibel sein. Die Aufgabenstellung an die IT: alle diese Anforderungen unter einen Hut bringen. «Unsere Vorstellung war, dass wir über ein zentrales Remote Access Management alles definieren können, was auf die Clients Auswirkungen hat, und dass diese Änderungen in kürzester Zeit automatisiert weitergeleitet werden», führt Geiser aus. Vor dem Hintergrund dieses Anforderungskatalogs stiess die bisher eingesetzte VPN-Lösung jedoch an ihre Grenzen. Infolgedessen testeten Geiser und sein Team Lösungen verschiedener Hersteller. Doch keine konnte alle Kriterien erfüllen – insbesondere, was die Sicherheitsanforderungen für WLAN betraf. Die IT geriet zunehmend unter Zeitdruck. Im Zuge der Evaluierung stiess das Projektteam schliesslich im Oktober 2009 auf die VPN-Lösung «NCP Secure Enterprise Solution». Diese versprach einerseits, der drängendsten Forderung nach Location Awareness schnell gerecht zu werden, und bot andererseits auch ein zentrales Remote Access Management. Nach einer kurzen Pilotphase, während der die Herstellerfirma noch CSP-Anbindung und SMS-Funktionalität integrierte, erhielt die NCP engineering GmbH schliesslich den Zuschlag. Ein entscheidender Punkt war dabei die Umsetzungsgeschwindigkeit, wie Geiser erklärt. Denn: «Dank der intensiven Zusammenarbeit mit der Entwicklungsabteilung konnten wir innerhalb von fünf Wochen die Lösung zum Laufen bringen.»
Zentrales Management
Die neue Remote-Access-Lösung ist zentral administrierbar, alle Komponenten werden nahtlos in die vorhandene Netzinfrastruktur integriert. Die Aktualisierung der VPN-Clients erfolgt über die Update-Funktion des NCP Secure Enterprise Managements (SEM) – eine grosse Arbeitserleichterung für die Administratoren und wichtiges Argument für die Implementierung der Lösung. Denn alle Software- und Konfigurations-Updates, die Verwaltung von Usern, Lizenzen und Zertifikaten erfolgen so automatisiert über eine einzi-ge Konsole. «Wir haben die Möglichkeit, Policy-Änderungen ganz flexibel und innerhalb von nur 15 Minuten durchzuführen», erklärt Geiser. Insgesamt sind heute 2500 Benutzer in das VPN eingebunden. Diese können sich von jedem beliebigen Standort sicher ins Firmennetz einwählen, dank WLAN-Verwaltungs-Tool, Personal Firewall und mithilfe eines eigenen 3G-Dialers auch per UMTS. Sämtliche Module sind von der IT zentral administrierbar. Aus Sicherheitsgründen – und um den Benutzern die Bedienung so einfach wie möglich zu gestalten – übernimmt der VPN-Client nach einem Klick auf «Verbindung» automatisch alle weiteren Aktivitäten: die Wahl des Übertragungsnetzes und die Einwahl ins Internet, den Aufbau des VPN-Tunnels zur Firmenzentrale sowie die Auswahl des richtigen Firewall-Regelwerks. Zudem wurde der Client so konfiguriert, dass bei erfolgter VPN-Verbindung automatisch die benutzerspezifischen Laufwerkszuordnungen zum zentralen File Server erfolgen.
Hohe Benutzerakzeptanz
Der Wechsel hat sich für die Mobiliar gerechnet: Durch das zentrale Monitoring und Management verbucht die IT einen Effizienzgewinn. Die Mitarbeiter haben über WLAN sicheren Zugriff auf das Firmennetzwerk und können genauso wie im Büro arbeiten. «Es gibt nur noch eine Software, die alles steuert. Daher haben wir auch eine hohe Benutzerakzeptanz. Die Mitarbeiter schätzen es, sich, egal wo sie sind, mit einem Klick einwählen zu können. Entsprechend gering ist auch die Anzahl der Trouble Tickets und unser Supportaufwand», resümiert Geiser. Für die Zukunft plant die Mobiliar, die Remote-Access-Lösung auf die für 2012 geplante neue Geräteplattform zu portieren. Ziel ist es, verstärkt von den flexiblen Nutzungsmöglichkeiten moderner Kommunikationsmedien zu profitieren – und das auf weiterhin hohem Sicherheitsniveau.
Location Awareness
Der NCP-Client unterscheidet drei Zonen: unbekannte (unsichere) Netze, bekannte (sichere) Netze und VPN. Ist der Anwender z.B. über seinen PC mit dem Firmen-LAN und parallel dazu über WLAN mit einem Hotspot verbunden, erkennt die Software automatisch, welche Verbindung sicher und welche unsicher ist. Die integrierte Firewall schirmt den PC sofort über ein spezielles Regelwerk ab, das von der Mobiliar zentral vorgegeben und vom Anwender nicht veränderbar ist. So kann eine WLAN-Verbindung auch dann gefahrlos aktiv bleiben, wenn sich der Nutzer im Intranet befindet. Für die sichere Einwahl am Hotspot stellt die Personal Firewall in Abhängigkeit vom Verbindungsstatus sicher, dass nur die Hotspot-Anmeldung und der VPN-Aufbau erfolgen, jedoch keine weiteren Programme «direkt» auf das Internet zugreifen können. Alle Firewall-Mechanismen sind bereits beim Systemstart aktiviert und bleiben auch aktiv, wenn kein VPN-Dienst genutzt wird. Des Weiteren lässt sich der Client so konfigurieren, dass er auch aus Netzen heraus IPsec-Tunnel aufbauen kann, in denen die üblichen VPN-Ports gesperrt sind (NCP Path Finder Technology).
Das Projekt
Installiertes System: Basierend auf NCPs Remote-Access-Lösung «Next Generation Network Access Technology» wurden vier Komponenten implementiert: - NCP Secure Enterprise Clients (2500 Lizenzen ) - NCP Secure Enterprise Management Server (1 Lizenz) - NCP Secure Enterprise VPN Server (2 Lizenzen, VPN Gateway) - NCP Secure Enterprise Failsafe Server (1 Lizenz, Ausfallsicherheit/Backup) Projektdauer: Oktober bis November 2009 Vorpilot, im Dezember Pilotausweitung und Rollout-Vorbereitung. Fünf Wochen Rollout. Ende Januar 2010 kompletter Produktivbetrieb. Beteiligte Personen: Insgesamt 6 (je 3 von NCP und Mobiliar)
