Drei Buchstaben hinter welchen Zugänge zu lokalen Netzwerken stecken – Die Rede ist von VPN, also „Virtual Private Network“. Wir wollen euch heute ein wenig hinter die Kulissen der VPNs der RWTH blicken lassen und euch verraten, wie hilfreich diese Systeme gerade in diesem Jahr sind.
An der RWTH gibt es zwei Kategorien des VPN. Zum einen das zentrale „vpn.rwth-aachen.de“ und zum anderen das VPN der Institute. Der wahrscheinlich größte Unterschied liegt darin, dass das zentrale VPN für Studierende gedacht ist, die auf Portalen wie RWTHmoodle zugreifen wollen. Natürlich steht das VPN aber auch den Mitarbeitenden zur Verfügung.
Bei der Benutzung landen alle Nutzende an einem „Ort“ im Netz, dem zentralen VPN-Netz. Durch das VPN ist es möglich auf die gewünschten Daten von zu Hause zuzugreifen, eine hohe Auslastung für das Lernen und Arbeiten von zu Hause ist gegeben. Bis zum 06.01.2021 waren gleichzeitig 1931 User auf dem VPN.rwth-aachen.de eingeloggt, ein aktueller Peak aus den letzten Wochen lag bei 2559 gleichzeitigen Usern.
Das VPN der Institute ermöglicht auf der anderen Seite das Home-Office. Hierbei ist man als VPN-User im selben Netz wie vor Ort. An der RWTH Aachen gibt es um die 95 Instituts VPNs – Tendenz steigend! Bei den VPNs dieser Größenordnung sind zwischen 50 bis zu über 750 gleichzeitige User pro Gerät aktiv.
Großflächigkeit durch Erneuerung
Um VPN großflächig nutzbar zu machen, bietet die RWTH eine Menge an Geräten, wie Router (auslaufend, wird in Zukunft nicht mehr angeboten) und dedizierte VPN-Geräte an. Letztere umfassen Geräte, deren primäre Funktion das Bereitstellen des Services „VPN“ sind.
Mit der Netzerneuerung sollen unter bestimmten Voraussetzungen alte Router gegen dedizierte VPN-Geräte ausgetauscht werden. Das hat zur Folge, dass die Pflege einer Geräteklasse schneller erledigt ist.
Zudem bieten die neuen Systeme neben IPSEC auch das so genannte SSL(TCP) und DTLS(UDP) an. Dabei bietet DTLS eine erhöhte Performance gegenüber SSL.
Beim Vergleich zwischen IPSEC gegenüber SSL und DTLS bietet IPSEC einen deutlich höheren Datendurchsatz. Dies liegt unter anderem an den optimierten Headern. Da IPSEC jedoch nicht in allen Fällen wie vorgesehen laufen kann – zum Beispiel, wenn man sich in einem Hotel befindet und dort IPSEC gesperrt ist – werden als Reserve SSL und DTLS angeboten.
Im Rahmen der Netzerneuerung werden einige Systeme auf einer für das Gebäude angeschafften Hardware virtualisiert, so lassen sich zum Beispiel fünf Institute auf einer physischen Maschine abbilden. Im Sinne von Green-IT müssen nicht mehrere Systeme betrieben werden, sondern nur eins auf dem die anderen „virtuell“ laufen.
Die neue Technik
Die neuen Geräte sind bestens ausgerüstet und unabhängiger von Provider-Technologien, die negativ in den Datenstrom eingreifen. Zudem ist eine Fehlerkorrektur wie auch Staukontrolle möglich.
VPN kann im „Fulltunnel“ als auch im „Splittunnel“ benutzt werden. Bei der Splittunnel-Variante wird der Datenstrom an die RWTH Aachen durch einen „Tunnel“ geschickt.
Diese Variante hat jedoch den großen Nachteil, dass zum Beispiel im Rahmen einer Emotet-Infektion der Verkehr zum Command and Control-Server (c2c) nicht durch die IT Center Sicherheitssysteme erkannt wird.
Daher sollte der Splittunnel nur im äußersten Notfall benutzt werden. Better safe than sorry!
Weitere Vorteile der neuen Geräte sind die einfache Aktualisierung und Konfiguration des VPN-Clients AnyConnect um beispielsweise neue Features auszurollen. Dies kann per Policy über das Gerät selber geschehen. Sollte eine eigene Software-Verteilung vorliegen, kann das IT Center hierzu kontaktiert werden.
Weitere Optimierung folgt
Zu den in naher Zukunft anstehenden Änderungen gehört das Update der VPN-Clients. Dies gehört zu den komplizierteren Anliegen, doch dadurch kann zum Beispiel eine einheitliche Policy bezüglich Softwarestände umgesetzt werden.
Zusätzlich wird die Performance und Funktion der Geräte weiter optimiert. Wie sich diese und viele weitere Änderungen und Anpassungen entwickeln, bleibt also noch abzuwarten. Wir sind gespannt und halten euch natürlich auf dem Laufenden.
Verantwortlich für die Inhalte dieses Beitrags sind Linda Jörres, Benedikt Paffen und Liza Schwarz.