Suchen

Jürgen Hönig über die Zukunft von VPNs mit Windows 8 Sterben klassische VPNs mit DirectAccess aus?

Autor / Redakteur: Jürgen Hönig / Dipl.-Ing. (FH) Andreas Donner

Warum Unternehmen trotz Windows 8 noch klassische Virtual Private Networks brauchen, welche Schwächen DirectAccess trotz Verbesserungen bei Windows 8 und Server 2012 immer noch hat und ob sich DirectAccess mit einem herkömmlichen VPN kombinieren lässt, erläutert VPN-Experte Jürgen Hönig im Gespräch mit SearchSecurity.

Firma zum Thema

Virtual Private Networking im Detail: SearchNetworking fragt nach – VPN-Experte Jürgen Hönig antwortet
Virtual Private Networking im Detail: SearchNetworking fragt nach – VPN-Experte Jürgen Hönig antwortet
(Bild: NCP)

SearchSecurity.de: Herr Hönig, Microsoft hat Windows 8 mit erweiterten DirectAccces-Funktionen ausgestattet. Warum sollten Unternehmen mit Windows-8-Rechnern dennoch Virtual Private Networks einsetzen?

Jürgen Hönig: Die Argumente, weshalb in einer reinen Windows-Umgebung mit Windows-8-Clients zusätzlich ein Virtual Private Network implementiert werden sollte, sind dünn gesät. So ist es beispielsweise bei Windows 8 nicht erforderlich, einen separaten DirectAccess-Client zu installieren. Das war noch bei Windows 7 der Fall. Allerdings weist auch Windows 8 in Verbindung mit DirectAccess einige Schwachpunkte auf.

So unterstützt nur Windows 8 Enterprise die verbesserten DirectAccess-Management-Funktionen von Windows Server 2012. Viele Anwender, auch Geschäftskunden, werden jedoch Systeme mit Windows 8 Pro einsetzen. Ihnen stehen die Funktionen somit nicht zur Verfügung.

Ein weiterer kritischer Punkt ist die enge Verzahnung von Betriebssystem, in diesem Fall Windows 8, und DirectAccess. Sicherheitslücken in Windows 8 oder gezielte Angriffe auf das Betriebssystem könnten somit auch DirectAccess-Verbindungen kompromittieren.

SearchSecurity.de: Gibt es Vorgaben von DirectAccess in Bezug auf die Rechner-Hardware?

Jürgen Hönig: Wie auch bei Windows 7 muss ein Client-System, das DirectAccess nutzen möchte, auch bei Windows 8 ein Trusted Platform Module (TPM) und einen Smartcard-Reader besitzen. Bei VPN-Lösungen ist das nicht der Fall. Vor allem kleinere und mittelständische Unternehmen setzen jedoch häufig Windows-PCs ein, die für den Consumer-Bereich vorgesehen sind und daher nicht über ein TPM verfügen.

SearchSecurity.de: Macht DirectAccess in Verbindung mit Windows 8 VPN überflüssig?

Jürgen Hönig: Nein, denn Windows-8-Systeme können nur in reinen Windows-Umgebungen über DirectAccess mit Servern und Clients kommunizieren. In gemischten Umgebungen, beispielsweise mit Linux-Servern, MacOS-Rechnern oder Endgeräten mit dem Betriebssystem Android sind VPNs nach wie vor unverzichtbar.

Diese Plattform-Vielfalt wird sich durch den Trend in Richtung "Bring Your Own Device" (BYOD) künftig noch verstärken und den Nutzen von DirectAccess weiter schmälern.

Zudem haben viele Unternehmen und öffentliche Einrichtungen, wie etwa Bildungseinrichtungen und Behörden, bereits eine VPN-Infrastruktur aufgebaut. Diese Investitionen werden sie wohl kaum zugunsten von Windows 8 in Verbindung mit Windows Server 2012 aufgeben.

SearchSecurity.de: Eine der größten Schwächen von DirectAccess in Verbindung mit Windows Server 2008 R2 war die unflexible und komplexe Implementierung. Windows Server 2012 hat in dieser Beziehung Verbesserungen gebracht. Gibt es dennoch Aspekte, die weiter verbessert werden könnten oder gar optimiert werden müssten?

Jürgen Hönig: Die Implementierung von DirectAccess unter Windows Server 2012 ist in der Tat deutlich einfacher. Es ist beispielsweise nur noch eine Konsole erforderlich; zuvor waren es mehrere. Zudem können eingehende Remote-Access-Verbindungen mittels Network Address Translation (NAT) zu einem zentralen DirectAccess-Server weitergeleitet werden. Es sind nicht mehr mehrere Server notwendig.

Weiterhin wird nun ein globales Server-Load-Balancing unterstützt. Das heißt beispielsweise, dass sich ein Windows-8-Client problemlos am nächstgelegenen Network Entry Point anmelden kann.

Dem stehen jedoch etliche Problempunkte gegenüber. So ist der Multi-Site-Support bei Windows Server 2012 und DirectAccess immer noch aufwändig. Außerdem muss bei Multi-Site-Implementierungen zwingend eine Public Key Infrastructure (PKI) genutzt werden. Dies ist mit einem erhöhten Aufwand für den Anwender verbunden und widerspricht Microsofts Aussage, dass mit Windows 8, DirectAccess und Windows Server 2012 der Aufbau von sicheren Verbindungen generell einfacher vonstattengeht als bei einer VPN-Infrastruktur.

Nach Berichten von Anwendern ist es außerdem notwendig, bei DirectAccess-Implementierungen die DHCP- und DNS-Einträge (Dynamic Host Configuration Protocol / Domain Name Server) höchst sorgfältig zu konfigurieren. Auch das erhöht den Aufwand und die Fehleranfälligkeit.

SearchSecurity.de: Stehen die verbesserten Konfigurations- und Managementfunktionen für DirectAccess auch in Netzwerken zur Verfügung, in denen sowohl Windows Server 2008 R2 als auch Windows Server 2012 im Einsatz sind?

Jürgen Hönig: Nein, die Verbesserungen sind nur für Windows Server 2012 verfügbar. Es ist davon auszugehen, dass Anwender nur allmählich von Windows Server 2008 R2 auf Version 2012 umstellen werden. Das heißt, viele Firmen müssen noch etliche Zeit lang mit den Einschränkungen leben, die mit dem Einsatz von DirectAccess in einer Umgebung mit Windows Server 2008 verbunden sind.

SearchSecurity.de: Lässt sich DirectAccess in Verbindung mit einem VPN einsetzen? Dies könnte etwa dann sinnvoll sein, wenn Unternehmen für Rechner unter Windows 7 und Windows 8 DirectAccess einsetzen wollen und gleichzeitig ein IPsec/SSL-VPN für Windows XP, MacOS, iOS, Android oder Linux benötigen?

Jürgen Hönig: Hier ändert sich auch durch Windows Server 2012 nichts. DirectAccess ist weiterhin nur für Windows-7/8-Clients tauglich. Wer andere Clients (MacOS, iOS, Android, Linux, Unix) einsetzt, muss parallel dazu eine unabhängige VPN-Infrastruktur aufbauen beziehungsweise betreiben.

Windows Server 2012 bietet zwar bei der Implementierung von DirectAccess per "default" die zusätzliche Installation von VPNs für Nicht-Windows-Clients an. Dennoch werden weiterhin zwei Welten existieren, wenn ein Anwender neben Rechnern unter Windows 7 und 8 auch Clients mit anderen Betriebssystemen verwendet. Damit verbunden ist ein erhöhter Aufwand bei der Installation und Konfiguration sowie dem Betrieb. Außerdem steigt die Wahrscheinlichkeit, dass wegen der hohen Komplexität Sicherheitslücken auftreten.

(ID:37140910)