Veel bedrijven hebben niet alleen vestigingen maar ook telewerkende medewerkers. Die moeten allemaal op een veilige manier over het internet of over publieke telefoonlijnen met het bedrijfsnetwerk verbonden worden. AVM levert met Access Server een mogelijke oplossing.
Het toverwoord hierbij heet natuurlijk virtual private networking (vpn). Hierbij bouwen we een soort van ‘versleutelde’ tunnel tussen twee of meer via internet verbonden machines, meestal een mobiele client en een bedrijfsserver. De AVM Access Server omvat alles wat men maar nodig heeft om op afstand contact te kunnen opnemen met het bedrijfsnetwerk. Dat contact kan via het internet, maar ook via dial-in. Internettoegang mag voor beide einden op dynamische basis, dat wil zeggen dat beide machines bijvoorbeeld van een breedbandverbinding gebruik mogen maken. Wat men ook kan verzinnen aan verbindingsmethodes (modems, isdn, adsl, kabel, draadloze verbindingen, leased line, sdsl, et cetera), AVM Access Server ondersteunt het. Voor elk van deze verbindingsmethodes kan de gebruiker opgeven dat er bij het tot stand brengen van de verbinding extra authenticatie nodig is.
Beheer
De AVM Access Server wordt beheerd via een Windows programma dat het klassieke Verkenner-patroon biedt: links een boomstructuur van keuzemogelijkheden of onderdelen en rechts dialoog- of informatievensters die bij het gekozen onderdeel horen. Bovenaan is er bovendien nog een pull-downmenu. In principe kan deze beheersoftware in twee modi draaien: configuratie en bewaking. In de bewakingsstand kan men alleen maar kijken, niets veranderen. De software toont dan een overzicht van open verbindingen, isdn-kanalen, routetabellen en statusinformatie. De gebruiker kan statistieken opvragen, maar ook bepaalde acties ondernemen: verbindingen testen of afbreken, netwerkanalyses (packet tracing) en diagnoses uitvoeren.
| Productinfo Product: Access Server Producent: AVM, D; http://www.avm.de Leverancier BE: Tornado, tel. +32 16 551621, http://www.tornado.be Leveranciers NL: McDOS, http://www.mcdos.nl; Ingram Micro BV, http://www.ingrammicro.nl; Telec Electronics BV, http://www.telec.com Adviesprijs (excl. BTW): 619 euro (ongelimiteerde gebruikers/netwerk licentie, tien vpn-aansluitingen en tien isdn-kanalen, inclusief vijf licenties voor Netways/isdn) Systeemvereisten: Windows 2000/SP4 of Windows XP/SP1 met minstens 64 MB beschikbaar intern geheugen (ram) en tot 250 MB schijfruimte, minstens één netwerkadapter met statische ip-configuratie en alles wat nodig is voor internettoegang als dat vereist is. |
Onder internet somt het beheerprogramma alleen de netwerkinterfaces op waarmee de server op het internet komt. Alle netwerkinterfaces staan weliswaar vermeld, maar degene die niets met internettoegang te maken staan ‘uitgeschakeld’.
Gebruikers op afstand bevat een lijst van alle door de beheerder te definiëren gebruikers met hun instellingen. Helaas kan het beheerprogramma geen gebruikers overnemen uit Windows (laat staan zoiets als Active Directory), men moet dus alle gebruikers ingeven die toegang op afstand moeten krijgen. Men kan gebruikers in groepen indelen en dan bepaalde kenmerken voor een hele groep vastleggen.
Netwerken op afstand dient voor andere bedrijfsnetwerken met een eigen AVM Access Server: deze kan de beheerder dus koppelen aan dat van hemzelf. Meestal gaat het hier uiteraard om vestigingen die hun eigen lokale netwerk (lan)koppelen met dat van het hoofdkantoor.
Beveiliging definieert filterprofielen, doorstuurprofielen, caller ID en certificaten.
Filterprofielen past de beheerder helemaal onderaan bij ‘beheer’ toe, door ze toe te wijzen als firewall-regels aan netwerkinterfaces. Men kan allerlei soorten filterprofielen aanmaken, zowel voor het lan als voor de toegangspunten met het internet en zowel voor ingaand als voor uitgaand verkeer. Bij elk filterprofiel wordt bovendien de volledige vrijheid gegeven over de netwerkprotocollen die men wil toelaten of uitsluiten. Doorstuurprofielen hebben te maken het verlenen van toegang tot computers op het binnennetwerk. Er zijn twee soorten: gatewaydiensten en vpn-doorstuurprofielen.
Gatewaydiensten heet bij breedbandrouters ook wel eens ‘viruele serverlinks’. Als men op het ‘binnennetwerk’ bepaalde servers heeft staan die toegankelijk moeten worden vanuit internet, definieert de beheerder daarvoor een gatewaydienst voor de betrokken poort. Zo zou men een gateway voor poort 25 aanmaken voor een smtp-server op het binnennetwerk. Caller ID is een extra controle voor inbellende gebruikers (dus via analoge modem of isdn): men kan hier opgeven dat toegang alleen mogelijk is voor inbellers die vanaf bepaalde telefoonnummers bellen. Zo zou een gebruiker toegang kunnen krijgen als hij vanuit huis inbelt op het bedrijf, maar niet als hij dat vanuit een hotel doet. Een reden daarvoor zou kunnen zijn, dat men andere beveiligingsregels toepast voor dergelijke locaties. Certificaten voegen nog een extra laag van beveiliging toe: in dit geval kunnen verbindingen met bepaalde diensten alleen opgebouwd worden als de juiste certificaten gepresenteerd worden.
| Conclusie AVM heeft aan zowat alles gedacht met hun Access Server en bijgevolg zit er ook zowat alles in. Men kan het zo gek niet bedenken of het is te gebruiken om op afstand toegang te verwerven tot het bedrijfsnetwerk terwijl dat dan toch goed beveiligd is. Het enige manco is dat AVM Access Server, hoewel specifiek voor Windows geschreven, het bestaan van zoiets als Active Directory volledig negeert. De gebruiker/beheerder moet dus alle mobiele gebruikers handmatig invoeren en van rechten voorzien, AVM neemt ze niet over uit Windows. Dat is dan ook ons enig punt van kritiek. |
Clients
Aan de clientzijde is er natuurlijk vpn-connectie software nodig. Daar bestaat heel wat voor onder Windows, maar bij de AVM Access Server zit AVM Netways/isdn gevoegd en de gebruiker krijgt vijf clientlicenties bij de minimumlicentie voor de server. De naam Netways/isdn is een beetje misleidend omdat de software ook bruikbaar is zonder isdn-toegang. Bij het aanmaken van een verbinding kan namelijk worden gekozen uit isdn, adsl en leased lines – in elk van deze gevallen met of zonder ppp-gebaseerde authenticatie en toegang.
Als de beheerder een client aanmaakt in AVM Access Server, kan hij de configuratie van deze client voor Netways-toegang wegschrijven naar een bestand of e-mailen. Aan de clientzijde kan men dan dit configuratiebestand inlezen als een vpn-verbinding via Netways wordt instelt. Zo kan een gebruiker zonder veel technische kennis toch een vrij complex beveiligde verbinding opzetten.
De overhead van dergelijke vpn-verbindingen valt erg mee, al stijgt de overhead natuurlijk met de sterkte van de encryptie. Geen encryptie gaat het snelst, en als er voor 256-bit AES-encryptie wordt gekozen gaat het het traagst. Niettemin is zelfs de traagste methode goed te doen voor modem- en breedbandgebruik tot enkele Mb/s. Eventueel zou men voor snellere verbindingen (Telenet of zo) kunnen overwegen een lichtere encryptie toe te passen als het voornamelijk om toegang tot intranet-webinformatie gaat. Voor e-mail lijkt een zware encryptie niet zo’n probleem, tenzij die e-mail vaak gepaard gaat met grote bijlagen.< BR>
Johan Zwiekhorst, copyright 2004 DTL BVBA, Belgium
zeer goed