Ein ideales Gespann

DI Franz Kasparec

An das EDV-Netz als Abbild der Organisationsstruktur werden damit ganz neue Anforderungen gestellt. Damit Organisationen sicher und effizient über das Internet zusammenarbeiten können, ist eine ganze Palette von neuen Technologien im Entstehen. Dabei ist die Verbindung von VPN-Lösungen und Terminal-Server-Technologie einer der erfolgsversprechendsten Lösungsmöglichkeiten. Sie vereint die Komponenten Performance, Kostenminimierung, Sicherheit und Netzwerkverbreitung optimal.

VPN - Enorme Kostenersparnis möglich

Dank seiner bekanntesten Anwendung, des World Wide Web, hat das Internet einen Siegeszug sondergleichen angetreten. Die Netzwerk-Infrastruktur des Internet ist aber auch für andere Zwecke nutzbar - so etwa als kostengünstige Alternative zu privaten Standleitungen und ISDN-Wählverbindungen mittels VPN-Technologie. Die Abkürzung steht für "Virtual Private Network". Die Datenpakete eines privaten Intranet oder Extranet werden gleichsam auf eine Fähre geladen und über das offene Internet transportiert. Optional können sie auch verschlüsselt und/oder elektronisch signiert werden. Die empfangende Seite "entlädt die Fähre" und führt eine allfällige Entschlüsselung und Signaturprüfung durch. Für die Anwendungs-Software ist dieser Mechanismus vollkommen transparent: Der "Tunnel" durch das Internet gleicht einer privaten Stand- oder Wählleitung.

Der Hauptvorteil dieser Technologie ist die enorme Kostenersparnis, die sich durch Verwendung der allgegenwärtigen Internet-Infrastruktur als Trägermedium gegenüber privaten Stand- und Wählleitungen erzielen läßt.

Ein Beispiel: Für eine Firma mit einer Zentrale und drei in Österreich verteilten Außenstellen fallen leicht monatliche Standleitungskosten von etwa ATS 25.000,- an. Mit einer VPN-Lösung wie sie beispielsweise Data Systems Austria bereithält, lassen sich die monatlichen Kosten auf ATS 12.000,- und darunter drücken. Abgesehen von den Synergien mit einem unternehmensweiten Internetzugang ergibt das eine jährliche Ersparnis von über ATS 150.000,- !

Außerdem ist das Sicherheitsniveau infolge der Verwendung von Verschlüsselungs- und Signaturverfahren höher als auf privaten Leitungssystemen, und private Netzwerk-Adressräume können beibehalten, ja sogar Internet-fremde Protokolle über VPNs betrieben werden. Ein Problem ist allerdings, dass der Datendurchsatz über das Internet nicht garantiert werden kann, außer man trifft spezielle Vereinbarungen mit den beteiligten Providern.

Als Industriestandards der VPN-Technologie haben sich IPSec und Microsoft PPTP etabliert. Ersteres ist für Standortvernetzung ("LAN zu LAN") sehr gut geeignet, letzteres für Einwahl-Tunnels von Heimarbeitern oder Außendienst-Mitarbeitern ("Punkt zu LAN"). IPSec, das Funktionen des kommenden Internet-Protokolls IPv6 vorwegnimmt, ist für Zwecke der Verschlüsselung und Signatur mit Zertifikatsystemen nach X.509-Standard kombinierbar und eignet sich daher besonders auch für große, skalierbare VPNs.

Natürlich darf dabei auch die interne Datensicherheit nicht auf der Strecke bleiben. Das Konzept des zentralen Firewall, der ein mittels Privatleitungen aufgebautes WAN vom Internet trennt, ist für VPNs ungeeignet, denn jeder Standort benötigt seinen eigenen sicheren Internet-Zugang. Die JET STREAM-Lösungen von Data Systems Austria verwenden daher neuartige Firewall-Software, die unmittelbar auf der Plattform des Internet-Zugangsrouters (Cisco) läuft und neben Kostenvorteilen verbesserten Schutz vor neuartigen Sabotage-Attacken bietet. Übergreifender Virenschutz, ein zentraler Web-Proxy und ein automatisches Alarmsystem, das Anomalitäten über das firmeninterne E-Mail meldet, ergänzen das Konzept.

Microsoft Terminal Server und Citrix Metaframe

Der große Nachteil des Internet, die geringe Performance, hat eine zentrale Anforderung des Marktes nach kostengünstigen remote Arbeitsplätzen in herkömmlicher Softwareumgebung bisher verhindert.

Auf die Datenbanken eines Unternehmens via Internet konnte nur über ein spezielles Web-Frontend, wie zum Beispiel JET WEB von Data Systems Austria oder ähnliche Produkte zugegriffen werden. Die hat die großen Vorteile einer automatischen "Filterfunktion" der Daten und der gewohnten Oberfläche des Webbrowsers und ist somit für gezielte Eingaben und Abfragen in eBusiness-Applikationen hervorragend geeignet. Der Sachbearbeiter eines Unternehmens möchte aber natürlich auch von einem entfernten Arbeitsplatz in seiner gewohnten Softwareumgebung arbeiten.

Die Lösungen heißen Microsoft Terminal Server und Citrix Metaframe. Beide Verfahren dienen dazu, Desktop (Bildschirm), Tastatur und Maus eines zentralen Rechners über ein Netzwerk gleichsam zu verlängern. Die Software-Anwendung oder zumindest deren Client-Teil wird auf dem zentralen System installiert und gewartet. Der Arbeitsplatz selbst benötigt damit nur mehr sehr einfache Software, um auf den zentralen Applikationsrechner zuzugreifen. Diese Mini-Software ist anwendungsunabhängig und sogar unter dem Handheld-Betriebssystem Windows CE verfügbar. Für derartige "abgemagerte" Arbeitsplätze hat sich der Begriff "Lean Clients" eingebürgert.

Von Fernwartungs-Software, mit der ein entfernter Arbeitsplatz fernbedient werden kann, unterscheidet sich das Verfahren insofern, als der zentrale Applikationsrechner - der "Terminal Server" - mehrere Anwender gleichzeitig bedient. Auch ist das "Mitschauen" auf dem fernbedienten System nicht vorgesehen. Vielmehr handelt es sich um einen technischen Ansatz, wie er im Prinzip schon beim X-Windows unter Unix bekannt war.

Eine für den zentralen Applikationsrechner vorgesehene Variante von Windows NT 4.0 wird von Microsoft seit längerem unter dem Namen "Windows NT - Terminal Server Edition" angeboten. Auf diesem System lässt sich zusätzlich Software des Herstellers Citrix installieren, die sowohl in Bezug auf Performance (Verwendung des optimierten Kommunikationsprotokolls ICA) als auch auf Funktionalität (lokale Drucker und Laufwerke, optionale Verschlüsselung u.a.) eine Aufwertung bringt. Mit den Terminal-Server-Funktionalitäten von Windows 2000 hat Microsoft die Performance verbessert und gleichzeitig ein attraktives Lizensierungsmodell eingeführt, einige Features bleiben jedoch weiterhin Citrix vorbehalten.

Ein Hauptargument für die Verwendung dieser Technologie ist die bessere Wartbarkeit durch zentralen Betrieb der Anwendungs-Software. Trotz einer gewissen Investitionsschwelle für Lizenzen und ausreichend starke zentrale Hardware sinkt damit die "Total Cost of Ownership". Ob man jedoch soweit gehen sollte, auch Bürosoftware wie Textverarbeitung oder Tabellenkalkulation zu zentralisieren, muß im Einzelfall kritisch hinterfragt werden.

Darüber hinaus ermöglicht es insbesondere das ICA-Kommunikationsprotokoll von Citrix, über vergleichsweise langsame Datenverbindungen wie im Mobilfunk oder Internet üblich komfortabel zu arbeiten. Insbesondere in Kombination mit Highspeed-Mobilfunk (HSCSD und GPRS) oder Internet-VPNs bietet sich so ein Verfahren für Heimarbeit und Außendienst an, und die in beiden Szenarien kritische Wartungsfrage wird ebenfalls gelöst.

Besonders zukunftsträchtig erscheint der Ansatz von Citrix, die eingangs erwähnte Mini-Software für den Arbeitsplatz als Java-Applet oder - komfortabel über das Web installierbares - Browser-Plugin zu realisieren. Damit reduziert sich die Arbeitsplatz-Ausstattung auf einen Web-Browser, und auch klassische Software ohne Web-Frontend wird über das Web nutzbar.

Tiefergehende VPN-Informationen finden Sie unter http://vpn.jet.at

Dipl. Ing. Franz Kasparec, MBA, ist VPN-Spezialist bei der Data Systems Austria AG