von Redaktion IT-A…
Lesezeit
3 Minuten
Remote Access: HTML5-Gateway versus VPN / RDP
Durch die zunehmende Mobilisierung der Arbeitsplätze stellt sich sehr oft die Frage nach der Zugriffsmöglichkeit von außen auf den Unternehmens-Desktop, ungeachtet ob virtualisiert oder nicht. Der Beitrag beleuchtet in einer Gegenüberstellung die unterschiedlichen Ansätze einer VPN-Lösung und eines HTML5-basierten Zugangswerkzeugs. Dabei geht er auf diverse Kriterien wie Installation, Nutzung, Wartung, Support, Konfiguration, Sicherheit, Skalierbarkeit und Fernwartung ein.
Bei einem Remote-Zugriff über VPN steht am Anfang eigentlich immer die Konfiguration des VPN-Zugangs auf dem zugreifenden System. Dazu ist in der Regel ein VPN-Client herunterzuladen und aufzuspielen. Wie bei jeder Installation kann es hier zu Problemen hinsichtlich Rechten, bereits installierter Software und allgemeiner Kompatibilität kommen. Ist der Anwender hierbei überfordert, muss der Administrator eingreifen. Bei einem HTML5-Ansatz läuft der Zugriff über einen HTML5-kompatiblen Browser ab. Mittlerweile unterstützten alle aktuellen Browser HTML5. Der Benutzer muss hier nichts installieren, er kann direkt die bereits etablierten System-Elemente nutzen.
Konfiguration und laufender Betrieb
Nach der Installation des VPN-Clients muss dieser noch entsprechend konfiguriert werden. Dazu werden dem Benutzer die Anmeldedaten sowie weitere Informationen wie die IP-Adresse und weitere Sicherheitsdetails wie ein Shared Secret übermittelt. Erfolgt diese Übermittlung aus Sicherheitsgründen nicht per E-Mail, muss der Benutzer oder Admin das Shared Secret von Hand eintippen, was recht fehleranfällig ist. Sollte es Probleme bei der Konfiguration geben, ist ohnehin wieder der Admin gefragt. Bei der HTML5-Variante kann der Admin den kompletten Benutzer-Account einrichten und sogar testen. Jegliche Konfigurationsaufgaben für den Benutzer entfallen. Der Benutzer bekommt lediglich seine Anmeldedaten für das Portal mitgeteilt.
Ist der VPN-Zugang dann installiert und konfiguriert, so muss die Verbindung vor jeder Nutzung aufgebaut werden. Erfolgt dies nicht automatisiert, ist immer eine Benutzer-Aktion erforderlich. Wird diese vergessen oder falsch ausgeführt, kommt es zu Problemen beim Zugriff. Auch hier ist dann wieder der Helpdesk oder der Admin gefragt. Beim HTML5-Ansatz bedarf es keiner expliziten Verbindung. Der Benutzer meldet sich einfach am Portal an und baut zum Beispiel den Zugriff auf seinen Desktop per Knopfdruck auf.
Wartung und Support
Software unterliegt der Weiterentwicklung und Pflege, das heißt es kommt zu unvermeidbaren Software-Updates. Beim VPN-Zugriff ist im Falle eines Client-Updates auf jedem Client ein entsprechendes Update durchzuführen. Im Fall von automatisierten Updates über entsprechende Software lässt sich der Aufwand in Grenzen halten. Muss jedoch der Benutzer aktiv werden, kann es zu Problemen kommen – aber der Admin steht ja gerne zur Stelle. Bei der HTML5-Lösung ist der Client der Browser, welcher sich über das Betriebssystem oder selbst aktualisiert. Was passiert aber, wenn sich zum Beispiel die IP-Adresse des VPN-Servers ändert? Dann ist wieder allerhand zu tun. Beim Zugriff über HTML5 fällt für den Benutzer kein Aufwand an, für den Admin ist im besten Fall lediglich eine Einstellung neu zu setzen.
Sicherheit
Ein wesentlicher Punkt bei der Betrachtung von Remote Access-Technologien ist der Sicherheitsaspekt. Ein VPN-Zugang kann über unterschiedliche Protokolle erfolgen, die auch unterschiedliche Sicherheits-Ebenen gewähren. Zu nennen wären hier zum Beispiel PPTP, L2TP/IPSec sowie VPN über SSL. Das PPTP darf mittlerweile kritisch betrachtet werden, während IPSec und SSL als sicher gelten. Bei der HTML5-Lösung gibt es nur SSL/HTTPS/WSS über entsprechende digitale Zertifikate, am besten vergleichbar also mit VPN über SSL. Hier liegen beide Systems auf einem ähnlichen Level. Der technische Unterschied ist aber, dass beim VPN-Ansatz ein Zugang ins Unternehmensnetzwerk erfolgt, während beim HTML5-Zugriff von außen nur ein HTTPS-Zugang auf Portal und Gateway möglich ist.
Ein anderer Aspekt betrifft die Empfindlichkeit gegenüber Schadsoftware. Da es sich beim VPN-Client um ein Programm handelt, besteht hier die Anfälligkeit gegenüber Viren wie bei jeder anderen Software. Bei der HTML5-Lösung findet ein Browser Verwendung, der nach dem Sandbox-Prinzip arbeitet. HTML oder Javascript können nicht direkt auf lokale Ressourcen zugreifen, sodass eine Empfindlichkeit gegenüber Viren deutlich geringer ist. Letzten Endes sitzt aber am PC immer noch ein Benutzer – wie sieht es aus, wenn beispielsweise die VPN-Zugangsdaten des Benutzers in falsche Hände gelangen? Dann könnte zumindest ein Eindringling ins interne Firmennetz gelangen, wenn es nicht weitere Sicherheitsmaßnahmen wie eine Zwei-Faktor-Authentifizierung gibt.
Verliert der Benutzer der HTML5-Konstruktion seine Zugangsdaten, so gelangt ein Eindringling zunächst nur in das Portal, welches in der Regel in der DMZ steht. Jetzt hängt es davon ab, wie der HTML5-Zugriff konfiguriert ist. Werden beim Verbindungsaufbau zum Desktop die Anmeldedaten verlangt, geht es hier nicht weiter. Kommt eine Zwei-Faktor-Authentifizierung zum Einsatz, dann muss der Benutzer zuerst einen Code eingeben, der per SMS oder E-Mail übermittelt wurde. Beim Aufbau einer PC-Verbindung über RDP mit Hilfe eines VPNs werden die PC-Anmeldedaten immer über die Verbindung übertragen, wenn auch verschlüsselt. Bei HTML5 können in Abhängigkeit der Konfiguration die PC-Zugangsdaten zwischen Portal und Gateway innerhalb der DMZ verbleiben.
Skalierbarkeit
Bei steigender Benutzerzahl müssen unter Umständen mehrere Server zum Einsatz kommen. Bei der VPN-Lösung können dies mehrere VPN-Server mit vorgeschaltetem Loadbalancer oder andere Mechanismen sein. Die HTML5-Lösung unterstützt den Zugriff des Clients auf mehrere Gateways, die je nach Auslastung selektiert werden. Durch die Architektur des HTML5-basierten Ansatzes erfolgt durch das Gateway eine Umsetzung des RDP-Protokolls in das HTML5-Protokoll. Durch die zentrale Verwaltung der RDP-Sitzungen ist bei manchen Lösungen auch ein Fernwartungs-Modul bereits integriert. Dadurch ist es möglich, dass ein weiterer Benutzer an einer bestehenden Sitzung teilnehmen und auch die Kontrolle übernehmen kann. Ein weiteres Modul wäre ein integriertes Chat-Werkzeug für alle Nutzer.
Das HTML5-Gateway kann außerdem nicht nur ausschließlich von außen genutzt werden. Kommen zum Beispiel virtualisierte Desktops zum Einsatz, so kann der Zugriff von außen und innen über ein Terminal zentral erfolgen. Ein weiterer Aspekt ist die mögliche Integration eines Active Directory als Authentifizierungsmedium für das Portal.
Fazit
Durch die unterschiedlichen Architekturen der beiden Systeme ergeben sich auch unterschiedliche Vor- und Nachteile. Eine Gegenüberstellung lohnt sich aber auf jeden Fall, um für die jeweiligen Anforderungen die richtige Lösung zu finden.
ln/Hans-Peter Burk, Geschäftsführer bei der Pintexx GmbH
Konfiguration und laufender Betrieb
Nach der Installation des VPN-Clients muss dieser noch entsprechend konfiguriert werden. Dazu werden dem Benutzer die Anmeldedaten sowie weitere Informationen wie die IP-Adresse und weitere Sicherheitsdetails wie ein Shared Secret übermittelt. Erfolgt diese Übermittlung aus Sicherheitsgründen nicht per E-Mail, muss der Benutzer oder Admin das Shared Secret von Hand eintippen, was recht fehleranfällig ist. Sollte es Probleme bei der Konfiguration geben, ist ohnehin wieder der Admin gefragt. Bei der HTML5-Variante kann der Admin den kompletten Benutzer-Account einrichten und sogar testen. Jegliche Konfigurationsaufgaben für den Benutzer entfallen. Der Benutzer bekommt lediglich seine Anmeldedaten für das Portal mitgeteilt.
Ist der VPN-Zugang dann installiert und konfiguriert, so muss die Verbindung vor jeder Nutzung aufgebaut werden. Erfolgt dies nicht automatisiert, ist immer eine Benutzer-Aktion erforderlich. Wird diese vergessen oder falsch ausgeführt, kommt es zu Problemen beim Zugriff. Auch hier ist dann wieder der Helpdesk oder der Admin gefragt. Beim HTML5-Ansatz bedarf es keiner expliziten Verbindung. Der Benutzer meldet sich einfach am Portal an und baut zum Beispiel den Zugriff auf seinen Desktop per Knopfdruck auf.
Wartung und Support
Software unterliegt der Weiterentwicklung und Pflege, das heißt es kommt zu unvermeidbaren Software-Updates. Beim VPN-Zugriff ist im Falle eines Client-Updates auf jedem Client ein entsprechendes Update durchzuführen. Im Fall von automatisierten Updates über entsprechende Software lässt sich der Aufwand in Grenzen halten. Muss jedoch der Benutzer aktiv werden, kann es zu Problemen kommen – aber der Admin steht ja gerne zur Stelle. Bei der HTML5-Lösung ist der Client der Browser, welcher sich über das Betriebssystem oder selbst aktualisiert. Was passiert aber, wenn sich zum Beispiel die IP-Adresse des VPN-Servers ändert? Dann ist wieder allerhand zu tun. Beim Zugriff über HTML5 fällt für den Benutzer kein Aufwand an, für den Admin ist im besten Fall lediglich eine Einstellung neu zu setzen.
Sicherheit
Ein wesentlicher Punkt bei der Betrachtung von Remote Access-Technologien ist der Sicherheitsaspekt. Ein VPN-Zugang kann über unterschiedliche Protokolle erfolgen, die auch unterschiedliche Sicherheits-Ebenen gewähren. Zu nennen wären hier zum Beispiel PPTP, L2TP/IPSec sowie VPN über SSL. Das PPTP darf mittlerweile kritisch betrachtet werden, während IPSec und SSL als sicher gelten. Bei der HTML5-Lösung gibt es nur SSL/HTTPS/WSS über entsprechende digitale Zertifikate, am besten vergleichbar also mit VPN über SSL. Hier liegen beide Systems auf einem ähnlichen Level. Der technische Unterschied ist aber, dass beim VPN-Ansatz ein Zugang ins Unternehmensnetzwerk erfolgt, während beim HTML5-Zugriff von außen nur ein HTTPS-Zugang auf Portal und Gateway möglich ist.
Ein anderer Aspekt betrifft die Empfindlichkeit gegenüber Schadsoftware. Da es sich beim VPN-Client um ein Programm handelt, besteht hier die Anfälligkeit gegenüber Viren wie bei jeder anderen Software. Bei der HTML5-Lösung findet ein Browser Verwendung, der nach dem Sandbox-Prinzip arbeitet. HTML oder Javascript können nicht direkt auf lokale Ressourcen zugreifen, sodass eine Empfindlichkeit gegenüber Viren deutlich geringer ist. Letzten Endes sitzt aber am PC immer noch ein Benutzer – wie sieht es aus, wenn beispielsweise die VPN-Zugangsdaten des Benutzers in falsche Hände gelangen? Dann könnte zumindest ein Eindringling ins interne Firmennetz gelangen, wenn es nicht weitere Sicherheitsmaßnahmen wie eine Zwei-Faktor-Authentifizierung gibt.
Verliert der Benutzer der HTML5-Konstruktion seine Zugangsdaten, so gelangt ein Eindringling zunächst nur in das Portal, welches in der Regel in der DMZ steht. Jetzt hängt es davon ab, wie der HTML5-Zugriff konfiguriert ist. Werden beim Verbindungsaufbau zum Desktop die Anmeldedaten verlangt, geht es hier nicht weiter. Kommt eine Zwei-Faktor-Authentifizierung zum Einsatz, dann muss der Benutzer zuerst einen Code eingeben, der per SMS oder E-Mail übermittelt wurde. Beim Aufbau einer PC-Verbindung über RDP mit Hilfe eines VPNs werden die PC-Anmeldedaten immer über die Verbindung übertragen, wenn auch verschlüsselt. Bei HTML5 können in Abhängigkeit der Konfiguration die PC-Zugangsdaten zwischen Portal und Gateway innerhalb der DMZ verbleiben.
Skalierbarkeit
Bei steigender Benutzerzahl müssen unter Umständen mehrere Server zum Einsatz kommen. Bei der VPN-Lösung können dies mehrere VPN-Server mit vorgeschaltetem Loadbalancer oder andere Mechanismen sein. Die HTML5-Lösung unterstützt den Zugriff des Clients auf mehrere Gateways, die je nach Auslastung selektiert werden. Durch die Architektur des HTML5-basierten Ansatzes erfolgt durch das Gateway eine Umsetzung des RDP-Protokolls in das HTML5-Protokoll. Durch die zentrale Verwaltung der RDP-Sitzungen ist bei manchen Lösungen auch ein Fernwartungs-Modul bereits integriert. Dadurch ist es möglich, dass ein weiterer Benutzer an einer bestehenden Sitzung teilnehmen und auch die Kontrolle übernehmen kann. Ein weiteres Modul wäre ein integriertes Chat-Werkzeug für alle Nutzer.
Das HTML5-Gateway kann außerdem nicht nur ausschließlich von außen genutzt werden. Kommen zum Beispiel virtualisierte Desktops zum Einsatz, so kann der Zugriff von außen und innen über ein Terminal zentral erfolgen. Ein weiterer Aspekt ist die mögliche Integration eines Active Directory als Authentifizierungsmedium für das Portal.
Fazit
Durch die unterschiedlichen Architekturen der beiden Systeme ergeben sich auch unterschiedliche Vor- und Nachteile. Eine Gegenüberstellung lohnt sich aber auf jeden Fall, um für die jeweiligen Anforderungen die richtige Lösung zu finden.
ln/Hans-Peter Burk, Geschäftsführer bei der Pintexx GmbH
