1 / 11

Neue VPN-Technologien für Remote Access und WLAN

Neue VPN-Technologien für Remote Access und WLAN. Umbau des Remote Access-Zugang. Unsere Gründe dafür waren zunehmende Benutzung von PDAs und ähnlicher mobiler netzfähiger Geräte und fehlende Unterstützung der Einbindung in das HU-Netz

pascha
Download Presentation

Neue VPN-Technologien für Remote Access und WLAN

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Neue VPN-Technologien für Remote Access und WLAN

  2. Umbau des Remote Access-Zugang Unsere Gründe dafür waren • zunehmende Benutzung von PDAs und ähnlicher mobiler netzfähiger Geräte und fehlende Unterstützung der Einbindung in das HU-Netz • möglicher Ersatz der manchmal problematischen Cisco-VPN-Clientes • Ziele • Ablösung des Zugangs mittels Mac-Adresse und statischen WEP-Schlüssels • möglichst clientloser Zugang zum HU-Netz • umfassende Unterstützung mobiler Geräte • Vereinfachung der Verwaltung dieses Zuganges (einfacher, administrationsfreier Zugriff auf das HU-Netz) • bessere Anbindung der Zugangsgeräte ins HU-Netz

  3. Lösung SSL-VPN-Gerät die Verwendung von SSL löst einige Probleme die mit IPSec VPNs verbunden werden. • SSL bedarf keiner Installation • SSL muss nicht konfiguriert werden • SSL ist Bestandteil eines jeden Web Browsers, keine weitere Software ist nötig • SSL ist ein application layer Protokoll, kein Netzwerk-Protokoll, somit ohne Belangen für NAT oder Firewall

  4. IPsec • über einen verschlüsselte Verbindung wird der externe Rechner oder ein komplettes LAN in ein vorhandenes Netzwerk eingebunden • eines kann über IPSec auf Netzwerkebene nicht erreicht werden: den Übertragungsverkehr Ende-zu-Ende, also vom Zugreifer bis zu den Zielapplikationen zu verschlüsseln

  5. SSL-VPN • ein SSL VPN nutzt SSL und Proxies für einen autorisierten und sicheren Zugriff auf Web- und Client/Server-Applikationen sowie File Shares

  6. Was kann unser SSL-VPN-Gerät Unser Gerät, die SA4000, bietet 3 verschiedene Stufen des Zugriffs auf Ressourcen 1.Stufe • Basisdienste wie Mail, Telnet, Terminalsitzungen werden über ActiveX-Scripte oder Java-Applets über https-Port 443 getunnelt 2.Stufe • für eigene Anwendungen können ActiveX-Scripte oder Java-Applets generiert werden 3. Stufe • mit Network Connect stellt dann ein vollwertiger IPsec-Client als Java-Applet bereit, Vorteil dieses Client: geht leichter zu installieren (nicht für mobile Kleingeräte!!!)

  7. Aktiv/ Aktive-Cluster Internet Cluster Hostname: ssl.cms.hu-berlin.de Load Balancer : DNS Externe Seite CASG-Netz Sa4000-1 Sa4000-2 Interne Seite Mgmt-Netz Campusrouter Adf HU-Netz

  8. Vergleich Cisco VPN vs Juniper VPN • Cisco VPN-Lösung + stabiler, erprobter Betrieb der VPN-Concentratoren im Cluster - Clientsoftware unterstützt nur Notebooks mit Windows, Linux und Macs, selbst dabei treten Probleme auf - zur Installation der Clientsoftware werden Admin-Rechte auf dem Gerät benötigt - Bereitstellung von Konfigurationsdateien • Juniper VPN-Lösung + Nutzer braucht nur Java-fähigen Browser + breitere, aber nicht alles abdeckende Geräteunterstützung - noch nicht stabiler Betrieb der SA4000-Geräte im Cluster - noch Probleme mit der Geschwindigkeit - zur Installation der Java-Applets werden Admin-Rechte auf dem Gerät benötigt - Gerät besitzt GBit-Anschlüsse

  9. Unterstützte Clients PC allgemein • alles ab Windows 2000 • alles ab IE 5.5 • alles ab Firefox 1.5 • alles ab Safari 1.0 • alles ab Netscape 4.79 • Opera ? • alle gängigen Linux-Distributionen • Solaris • Sun Java ab JRE 1.4.2 • Microsoft JVM • wir empfehlen aber als Browser nur Firefox und IE

  10. Unterstützte mobile Geräte Aufgrund der Hardwarebeschränkungen mobiler Geräte funktioniert nicht der IPsec-Client Hardware Plattform • Windows Mobile 5.0 based Pocket PC devices: Pocket IE 4.0 • Windows Mobile 2003 based Pocket PCs: Pocket IE 2003 • Treo 650: Palm OS 5.2.1: Blazer 4.0 • Sony Ericsson P910 : Symbian OS 7.1: Opera 6.31 • Palm OS 5.2.1: Blazer 4.0 • NTT i-mode phone • AU/KDDI phone : Openwave Mobile Browser • Vodafone phone : Openwave Mobile Browser bis jetzt wurden schon folgende Geräten genutzt: SymbianOS/9.1, PPC, J2ME/MIDP,XDA orbit, IPAQ

  11. Testbetrieb • Cluster läuft nicht stabil • einige mobile Clients werden gar nicht oder nicht komplett unterstützt (z.B. iPod) Zukünftiges möglicherweise Aktivierung der Sicherheitsfunktionen (hostchecker, cachecleaner) Ausbau der SSL-VPN-Funktionen (am Anfang viel Arbeit) Bereitstellung von SecureMeeting zur Durchführung von Online-Konferenzen

More Related