An der HU werden Dienste betrieben, die aus Sicherheits- oder vertragsrechtlichen Gründen nur aus dem Campus-Netz der HU erreichbar sein dürfen. Der CMS bietet dafür einen auf Internetstandards basierenden VPN-Dienst.
Eine VPN-Verbindung (Virtual Private Network) lässt jeden PC, Laptop, jedes Tablet oder Smartphone Teil des HU-Campus-Netzes werden. Einige Dienste erlauben nur so den Zugang, beispielsweise lassen sich digitale Publikationen bei einigen Verlagen ausschließlich aus dem HU-Netz lesen. Sämtliche Verwaltungsanwendungen (HIS, SAP) und einige Webseiten mit dienstlichen Informationen sind ebenfalls geschützt und von unterwegs oder im Home-Office nur über VPN zugänglich.
Alt gegen Neu
Der CMS betreibt seit langem eine OpenVPN-Lösung, die jedoch bei weitem nicht die Leistungsfähigkeit des neu hinzugekommenen SSL-VPN besitzt. Sowohl der Datendurchsatz als auch die Zahl der gleichzeitigen Verbindungen ist bei SSL-VPN deutlich höher als bei OpenVPN. Derzeit kann SSL-VPN mit über 10.000 gleichzeitigen Verbindungen umgehen, OpenVPN ist dagegen wegen knapper Ressourcen auf 4.000 beschränkt.
Darüber hinaus funktioniert SSL-VPN auch aus abgesicherten Netzen von Hotels oder aus restriktiven Ländern heraus, da für die Verbindung der Port 443 genutzt wird, der sonst für sichere Webseiten (https) Verwendung findet.
Die Empfehlung des CMS lautet daher klar, von OpenVPN auf SSL-VPN umzusteigen, um keine Verbindungsprobleme beim mobilen Arbeiten oder im Home-Office durch Kapazitätsengpässe zu bekommen.
VPN und Videokonferenzen
Nicht jeder Dienst verträgt sich jedoch mit VPN. Wer im Internet surfen oder an Videokonferenzen teilnehmen möchte, muss zur Problemvermeidung entweder VPN komplett deaktivieren oder den VPN-Client auf Split-Tunneling umstellen. Für letzteres muss bei SSL-VPN nur der HU-Account um „@split_tunnel“ ergänzt werden. Wer dies tut, wird beim Aufruf von Webseiten und Videokonferenzdiensten, die nicht zur HU gehören, direkt – ohne den Umweg über das HU-Netz und damit ohne zusätzliche Verzögerungen – verbunden. Der CMS stellt auf seinen Webseiten [1] Installations- und Konfigurationsanleitungen für alle gängigen Betriebssysteme wie Windows, Mac-OS, Linux, aber auch iOS und Android bereit.
Status und Statistik
Auf den Webseiten des Dienstes [1] sind nicht nur Anleitungen und Hilfestellungen (FAQ), sondern auch Status-Informationen und Auslastungsstatistiken der beiden VPN-Angebote hinterlegt, welche alle fünf Minuten aktualisiert werden. Derzeit nutzen nur ca. 20 % der VPN-Benutzer*innen die neuere performantere SSL-VPN-Lösung und die meisten Sitzungen finden während der üblichen Arbeitszeiten statt. Auch zu diesen Stoßzeiten stellt SSL-VPN noch verfügbare Verbindungen bereit.
Sicherheit und Datenschutz
Der SSL-VPN-Dienst der HU erhöht nicht die Sicherheit beim Surfen im Internet oder anonymisiert Webseitenaufrufe. Dafür müssen Webbrowser und Betriebssystem aktuell gehalten und für anonymes Surfen können „Private Fenster“ des Webbrowsers oder der Tor-Browser verwendet werden.
Die eingesetzte VPN-Technik ist redundant ausgelegt, d. h. die verwendeten Geräte sind doppelt vorhanden und genauso wie die Internetanbindung der HU auf die beiden Hauptstandorte der HU (Adlershof und Mitte) verteilt. Für die Fehlersuche bei Störungen speichert der SSL-VPN-Dienst kurzzeitig Logindaten (Datum, Uhrzeit, Username, IP-Adresse), jedoch keine Verbindungsdaten (Ziel-IPs etc.).
Technik im Detail
Für die Einrichtung des SSL-VPN-Zugangs auf den (mobilen) Geräten wird die Software des Firewall-Herstellers verwendet, über die der Dienst betrieben wird. Für die sichere verschlüsselte Verbindung kommt das von der Internet Engineering Taskforce (IETF) standardisierte Protokoll Transport Layer Security (TLS, früher Secure Socket Layer [SSL]), in der aktuellen Version 1.3 (TLS, AES256, GCM, SHA384) zum Einsatz, das auch für sichere Webseiten (https) und Mailserver verwendet wird.
Die dafür angeschaffte Technik wird nicht nur für den SSL-VPN-Dienst, sondern auch für die Einbindung von entfernteren bzw. abgesetzten Standorten der HU ins Campus-Netz über sogenannte Site-to-Site-VPN-Verbindungen (S2S) mittels Internet Protocol Security (IPsec) genutzt, um über Netzwerk-Leitungen von kommerziellen Anbietern sicheren Datenverkehr zu ermöglichen. So kann die Telefonanlage der HU genutzt oder können WLAN-Zugänge mit Eduroam an solchen Standorten betrieben werden.
[1] Dienste-Seite zu VPN an der HU: https://hu.berlin/vpn