Informatikdienste

Neu an der Uni?
Dienstleistungen
Publikationen
Organisation
Projekte
Support  

Remote Access VPN für Linux

Anleitung

Download SSL-VPN Client

Hier geht's zum Download des Cisco AnyConnect Secure Mobility Client. Dieser verwendet die neue SSL-VPN Technologie.

Remote Access-VPN

Allgemein
Vorteile
Verbindung über Wireless LAN
Verbindung über Netzwerkarbeitsplätze

Allgemein

Remote Access-VPN (Virtual Private Network) bietet die Möglichkeit, von einem beliebigen Internetanschluss aus durch einen sicheren "Tunnel" in das Netzwerk der Universität Zürich zu gelangen. Der Computer, auf dem ein solcher Tunnel eingerichtet wird, befindet sich dann virtuell im NUZ. Das heisst, ihm wird eine IP-Adresse des NUZ zugeteilt. Daten, welche diesen Tunnel durchqueren, werden verschlüsselt und sind somit abhörsicher. Remote Access-VPN ermöglicht es, auch von ausserhalb auf die von der UZH zur Verfügung stehenden Services zuzugreifen, wie z.B. die CD-ROM-Datenbank der Zentralbibliothek oder Online-Zeitschriften. Institutsserver innerhalb des NUZ können zudem erreicht werden, ohne dass diese hierfür Transistor-freigeschaltet werden müssen. Der Schutz durch den Transistor bleibt so erhalten.

Vorteile

  • Zugang ins Netzwerk der Universität Zürich von Überall.
  • Zugriff auf UZH-interne Dienste.
  • Zugriff auf für die UZH reservierte Dienste im Internet.
  • Keine Transistor-Freischaltung für Institutsserver notwendig.

Beachten Sie aber bitte, dass während einer aktiven Remote Access-VPN-Verbindung jeglicher Datenverkehr durch den Tunnel geschleust wird. Wenn Sie also im Internet surfen, wird auch dieser Verkehr über das Netzwerk der UZH geleitet. Dies verlangsamt unter Umständen Ihren Datentransfer und belastet unnötig den Internetzugang der UZH. Beenden Sie daher die VPN-Verbindung, sobald Sie nicht mehr auf Dienste der Universität Zürich zugreifen. Dieses Problem können Sie umgehen, wenn Sie das Split-Tunnel-Profil verwenden.

SSL-Remote Access-VPN

SSL-VPNs ersetzen immer öfter IPSec-VPNs für den Fernzugriff, da sie umfassende Möglichkeiten mit optimalen Steuerungs- und Sicherheitsfunktionen bieten. SSL (TCP Port 443) ist das Standardprotokoll in Sachen Sicherheit bei Übertragungen im Internet. Auf einer hohen Sicherheitsebene beginnt der Prozess durch einen Handshake, den der Client initiiert. Der Server antwortet mit einem digitalen Zertifikat, welches der Client durch eine CA-Validierung (Certificate Authority) prüft. Ist die Validierung erfolgreich, verwendet der Client den öffentlichen Schlüssel des Servers für die Erstellung eines geheimen Schlüssels für die Ver- und Entschlüsselung der Übertragung. SSL ist ein Sicherheitsprotokoll, das über mehr Ebenen als IPSec reicht und Aktionen auf der Anwendungsebene anstatt auf der Netzwerkebene ausführt. Hierdurch bietet SSL höchst feinstufige Policy- und Zugriffskontrolle, die für den sicheren Fernzugriff erforderlich ist.
Neben Webbrowsern existieren heute auch Remote Access-VPN-Clients, die den SSL-Standard unterstützen. So ist es mit dem Cisco AnyConnect Secure Mobility Client möglich, per SSL eine Remote Access-VPN-Verbindung aufzubauen, und die Vorteile eines klassischen IPSec-VPNs mit den Vorzügen von SSL zu nutzen.

Verbindung über Wireless LAN

Sichere Validierung und verschlüsselter Datenverkehr auf dem Wireless LAN der UZH.
Kabelloses Surfen macht nur dann Spass, wenn man sich keine Sorgen um die Sicherheit machen muss. Funkwellen breiten sich ungehindert in alle Richtungen aus. Das Abhören und Missbrauchen ungeschützt übertragener Daten ist daher ein leichtes Spiel. Deshalb muss das Wireless LAN direkt mit einer Verschlüsselungstechnologie wie z.B. WPA/WPA2 benutzt werden (wie es bei den neuen WLAN-SSIDs «uzh» und «eduroam» der Fall ist). Wird unverschlüsseltes Wireless LAN benutzt (wie bei der bisherigen SSID «public»), muss die Verbindung unbedingt mittels Remote Access-VPN geschützt werden. Dieser VPN-Tunnel reicht vom Client-Computer (Notebook) bis zum Remote Access-VPN-Gateway und schliesst somit den Datenverkehr durch die Luft mit ein.

Verbindung über Netzwerkarbeitsplätze

Sichere Validierung und verschlüsselter Datenverkehr auch an den Netzwerkarbeitsplätzen der UZH.
Wenn man den Notebook an einem sog. Netzwerkarbeitsplatz (NWAP) mit einem Kabel an das Netzwerk anschliesst, ist Remote Access-VPN die erste Wahl. Neben der Verschlüsselung der Daten übernimmt der Remote Access-VPN-Gateway nämlich auch die Validierung der Benutzer.

vpntunnel