Allgemein
Vorteile
Technologie
Verbindung über Wireless LAN
Verbindung über Netzwerkarbeitsplätze

Allgemein

Remote Access-VPN (Virtual Private Network) bietet die Möglichkeit, von einem beliebigen Internetanschluss aus durch einen sicheren "Tunnel" in das Netzwerk der Universität Zürich zu gelangen. Der Computer, auf dem ein solcher Tunnel eingerichtet wird, befindet sich dann virtuell im NUZ. Das heisst, ihm wird eine IP-Adresse des NUZ zugeteilt. Daten, welche diesen Tunnel durchqueren, werden verschlüsselt und sind somit abhörsicher. Remote Access-VPN ermöglicht es, auch von ausserhalb auf die von der UZH zur Verfügung stehenden Services zuzugreifen, wie z.B. die CD-ROM-Datenbank der Zentralbibliothek oder Online-Zeitschriften. Institutsserver innerhalb des NUZ können zudem erreicht werden, ohne dass diese hierfür Transistor-freigeschaltet werden müssen. Der Schutz durch den Transistor bleibt so erhalten.

Vorteile

• Zugang ins Netzwerk der Universität Zürich von Überall.
• Zugriff auf UZH-interne Dienste.
• Zugriff auf für die UZH reservierte Dienste im Internet.
• Keine Transistor-Freischaltung für Institutsserver notwendig.

Beachten Sie aber bitte, dass während einer aktiven Remote Access-VPN-Verbindung jeglicher Datenverkehr durch den Tunnel geschleust wird. Wenn Sie also im Internet surfen, wird auch dieser Verkehr über das Netzwerk der UZH geleitet. Dies verlangsamt unter Umständen Ihren Datentransfer und belastet unnötig den Internetzugang der UZH. Beenden Sie daher die VPN-Verbindung, sobald Sie nicht mehr auf Dienste der Universität Zürich zugreifen. Dieses Problem können Sie umgehen, wenn Sie das Split-Tunnel-Profil verwenden.

Technologie

Die Universität Zürich bietet ihren Angehörigen Remote Access-VPN in der herkömmlichen Variante IPSec sowie in der neuen Variante SSL an. Somit wird die Remote Access-VPN-Infrastruktur heute und auch in Zukunft höchsten Ansprüchen gerecht.
Sowohl wegen der Bewährtheit von IPSec als auch aus Kostengründen wird durch die Informatikdienste weiterhin der Zugriff mittels des klassischen IPSec-Clients empfohlen.
Der Verbindungsaufbau über den Remote Access-VPN-Gateway mittels des IPSec-Clients ist unlimitiert, wogegen für den SSL-Zugang auf den Remote Access-VPN-Gateway teure Lizenzen beschafft werden müssen. Zur Zeit stehen 2 x 500 SSL-Lizenzen zur Verfügung.

Das herkömmliche IPSec-Remote Access-VPN (empfohlener Standard)

IPSec ist ein Standard (siehe RFC 1825 - 1829) und entspricht einer Erweiterung von IPv4 (IP Version 4, das Netzwerkprotokoll des Internet-Standards TCP/IP). VPNs, welche auf IPSec basieren und von Netzwerkgeräte-Herstellern angeboten werden, wurden ursprünglich für Site-to-Site-Verbindungen zwischen Firmenniederlassungen entwickelt. Bei diesen Site-to-Site-VPNs handelt es sich um eine ökonomische Methode für die Erweiterung des Unternehmensnetzwerkes auf entfernte Niederlassungen über das Internet. Da viele Organisationen die Nutzung der VPNs ausweiteten, um den steigenden Anforderungen an Remote-Access gerecht zu werden, waren proprietäre Erweiterungen des IPSec-Standards bzw. der Hersteller-Implementierungen des Protokolls erforderlich.

Das neue SSL-Remote Access-VPN (wenn IPSec nicht möglich ist)

SSL-VPNs ersetzen immer öfter IPSec-VPNs für den Fernzugriff, da sie umfassende Möglichkeiten mit optimalen Steuerungs- und Sicherheitsfunktionen bieten. SSL (TCP Port 443) ist das Standardprotokoll in Sachen Sicherheit bei Übertragungen im Internet. Auf einer hohen Sicherheitsebene beginnt der Prozess durch einen Handshake, den der Client initiiert. Der Server antwortet mit einem digitalen Zertifikat, welches der Client durch eine CA-Validierung (Certificate Authority) prüft. Ist die Validierung erfolgreich, verwendet der Client den öffentlichen Schlüssel des Servers für die Erstellung eines geheimen Schlüssels für die Ver- und Entschlüsselung der Übertragung. SSL ist ein Sicherheitsprotokoll, das über mehr Ebenen als IPSec reicht und Aktionen auf der Anwendungsebene anstatt auf der Netzwerkebene ausführt. Hierdurch bietet SSL höchst feinstufige Policy- und Zugriffskontrolle, die für den sicheren Fernzugriff erforderlich ist.
Neben Webbrowsern existieren heute auch Remote Access-VPN-Clients, die den SSL-Standard unterstützen. So ist es mit dem Cisco AnyConnect Secure Mobility Client möglich, per SSL eine Remote Access-VPN-Verbindung aufzubauen, und die Vorteile eines klassischen IPSec-VPNs mit den Vorzügen von SSL zu nutzen.
SSL sollte immer dann eingesetzt werden, wenn IPSec nicht möglich ist, z.B. weil es für die benutzte Systemplattform keinen passenden IPSec-Client gibt, oder weil eine Firewall die Verbindung über IPSec verhindert.

Verbindung über Wireless LAN

Sichere Validierung und verschlüsselter Datenverkehr auf dem Wireless LAN der UZH.
Kabelloses Surfen macht nur dann Spass, wenn man sich keine Sorgen um die Sicherheit machen muss. Funkwellen breiten sich ungehindert in alle Richtungen aus. Das Abhören und Missbrauchen ungeschützt übertragener Daten ist daher ein leichtes Spiel. Deshalb muss das Wireless LAN direkt mit einer Verschlüsselungstechnologie wie z.B. WPA/WPA2 benutzt werden (wie es bei den neuen WLAN-SSIDs «uzh» und «eduroam» der Fall ist). Wird unverschlüsseltes Wireless LAN benutzt (wie bei der bisherigen SSID «public»), muss die Verbindung unbedingt mittels Remote Access-VPN geschützt werden. Dieser VPN-Tunnel reicht vom Client-Computer (Notebook) bis zum Remote Access-VPN-Gateway und schliesst somit den Datenverkehr durch die Luft mit ein.

Verbindung über Netzwerkarbeitsplätze

Sichere Validierung und verschlüsselter Datenverkehr auch an den Netzwerkarbeitsplätzen der UZH.
Wenn man den Notebook an einem sog. Netzwerkarbeitsplatz (NWAP) mit einem Kabel an das Netzwerk anschliesst, ist Remote Access-VPN die erste Wahl. Neben der Verschlüsselung der Daten übernimmt der Remote Access-VPN-Gateway nämlich auch die Validierung der Benutzer.