Sollen Anwender eine sichere Verbindung über das Internet mit Ressourcen im Unternehmen aufbauen, ist eine Anbindung per VPN der beliebteste und sicherste Weg. Auf dem Client ist dazu einfach eine Verbindung zum VPN-Server einzurichten, und mit einem Klick befindet sich das Endgerät im Firmennetzwerk, gesichert durch eine verschlüsselte Verbindung.
Prinzipiell können sich auch Smartphones per VPN mit dem Firmennetzwerk verbinden. So sind die notwendigen Clients in den aktuellen Versionen von iPhone (iOS), Windows Phone 7 und Android integriert. Allerdings fehlt Android eine Unterstützung in Sachen integrierter Verschlüsselung oder hinsichtlich des Ablaufens von Passwörtern. Generell finden nur VPNs auf Basis von OpenVPN und PPTP/IPsec optimal Unterstützung.
Wie mit dem iPhone oder mit Windows-Phone-7-Geräten kann man auch mit Android-Smartphones eine VPN-Anbindung standardmäßig aufbauen, allerdings ist in vielen Fällen etwas Mehrarbeit erforderlich.
Android und VPN
Wer vernünftig mit VPN arbeiten und zusätzliche Apps für den Verbindungsaufbau nutzen will, muss das Android häufig "rooten", da die meisten VPN-Apps erweiterte Rechte benötigen und die Standardrechte des Benutzers nicht ausreichen.
Android basiert auf Linux (Android 2.2 beispielsweise auf Kernel 2.6) und verwendet wie dieses ebenfalls das Root-Prinzip. Der normale Anwender des Smartphones hat keine weitreichenden Rechte, sondern nur der Benutzer Root. Dieser ist der Administrator des Geräts. Anwender können sich aber selbst sehr leicht diese Root-Rechte zuweisen (rooten); hierzu gibt es zahlreiche Anleitungen im Internet. Durch diese Lücke können Anwender dann alles auf dem Android durchführen und installieren, was technisch möglich ist, zum Beispiel auch Systemprogramme. In den meisten Fällen ist dazu aber eine Aktualisierung des Systems notwendig.
Standardmäßig unterstützt Android PPTP mit Shared Secret, L2TP und L2TP/IPSec entweder mit Zertifikat oder Shared Secret. Mit Android 2.1/ 2.2 lassen sich zwar viele VPNs über den integrierten Standard-Client einrichten, aber längst nicht alle.
Die erste Wahl sollte immer die Verwendung des internen Clients sein, da dieser keine Root-Rechte benötigt und kompatibel mit vielen VPN-Servern ist. Außerdem ist der Client sehr einfach einzurichten und von Anwendern leicht zu bedienen. Vor allem, wenn Sie zusätzliche VPN-Clients, zum Beispiel für den Aufbau zu speziellen Geräten wie SonicWALL oder Cisco, verwenden wollen, lassen sich diese Clients nur mit Root-Rechten installieren und konfigurieren. Außerdem unterscheiden sich die verschiedenen Geräte der unterschiedlichen Hersteller sehr stark voneinander. Clients, die auf dem einen Mobiltelefon laufen, müssen nicht zwingend auf allen Android-Handys funktionieren. Hier sind vor dem Einsatz grundlegende Tests angesagt.
VPN einrichten und Router anpassen
Für die meisten VPNs benötigen Sie keinen gesonderten VPN-Client, sondern können den internen Client in Android verwenden. Generell ist die Verwendung eines kompatiblen VPNs die beste Lösung, weil Sie dann auf dem Android keine Änderungen vornehmen müssen und die Anbindung stabil läuft.
Leider funktioniert der Standard-Client aber nicht mit allen VPN-Servern, sodass in vielen Fällen Anpassungen notwendig sind. Im Hinblick auf die Sicherheit ist das allerdings nicht immer zufriedenstellend. Denn auch wenn Sie einen sicheren Cisco-Router als VPN-Server einsetzen, erhöhen Sie die Sicherheit für die Anwender bestimmt nicht, wenn im Gegenzug die Handys gerootet werden müssen und die Anwender fortan mit Administratorrechten auf den Handys arbeiten. So lässt sich der Cisco-kompatible Client aus dem Android-Market beispielsweise nur bei gerooteten Geräten einsetzen.
Wenn Sie ein Standard-VPN-Protokoll wie PPTP oder L2TP verwenden, müssen Sie auf den Android-Geräten meistens nichts installieren, sondern können direkt mit den Standardtools arbeiten.
Die Einrichtung nehmen Sie dann über Einstellungen\Wireless\VPN-Einstellungen vor. Bei der Anbindung an ein VPN verhalten sich Android-Handys wie PCs. Sie benötigen einen VPN-Server, der auch für andere Geräte die Verbindung zur Verfügung stellt. Smartphones brauchen keinen eigenen VPN-Server, sondern begnügen sich mit einem VPN-Router oder einem Windows- beziehungsweise Linux-Server. Die Anbindung erfolgt über interne Einstellungen in Android, oder über zusätzliche Apps, die Sie aus dem Market installieren.
VPN auf dem Smartphone einrichten
Wenn Sie in den VPN-Einstellungen auf VPN hinzufügen klicken, können Sie auf der nächsten Seite auswählen, welche Art von VPN Sie aufbauen wollen. Als Protokolle unterstützt Android L2TP/IPSec und PPTP. VPN-Datenverkehr, der auf Point to Point Tunnel Protocol (PPTP) basiert, besteht aus einer TCP-Verbindung zum TCP-Port 1723 auf dem VPN-Server. Diese Art von VPN ist am einfachsten zu betreiben, und so gut wie jeder VPN-Server beherrscht diese Technik. Um Probleme zu vermeiden, muss die Firewall TCP-Verbindungen auch als Generic-Routing-Encapsulation (GRE)-gekapselte Daten ermöglichen.
Nachdem die Authentifizierung am VPN-Server erfolgt ist, verschlüsselt ein PPTP-VPN die Verbindung. Die Verschlüsselung baut auf dem Kennwort der Authentifizierung auf. Je komplexer das Kennwort, umso besser die Verschlüsselung. Die zweite Variante ist das Layer 2 Tunnel Protocol (L2TP). Dieses Protokoll ist in Verbindung mit IPSec sicherer als PPTP, aber dafür auch komplexer in der Einrichtung. L2TP verwendet IPSec, um eine Verschlüsselung aufzubauen.
Beim Aufbau eines VPN mit L2TP wird der Datenverkehr, im Gegensatz zu PPTP, bereits vor der Authentifizierung zuverlässig verschlüsselt. Da L2TP zur Verschlüsselung des Datenverkehrs IPSec verwendet, können Sie mit diesem VPN-Typ auch eine 3DES-Verschlüsselung durchführen. Der Einsatz eines VPN auf Basis von L2TP setzt eine Zertifizierungsstelleninfrastruktur voraus, und Sie müssen auf dem Android ein Zertifikat installieren. Das ist aber beispielsweise per SD-Karte kein Problem.
Haben Sie sich für eine Variante entschieden, müssen Sie die Daten des VPN eingeben. Bei der Einrichtung von PPTP-VPN handelt es sich hierbei um einen freien Namen, die IP-Adresse oder den DNS-Namen des VPN-Servers sowie die Anmeldedaten.
Wenn Sie mit einem zertifikatgesicherten VPN arbeiten, müssen Sie vor dem Verbindungsaufbau das Zertifikat auf die SD-Karte des Android kopieren und es installieren. Haben Sie eine Zertifikatedatei auf das Android-Gerät kopiert, installieren Sie das Zertifikat über Einstellungen\Standort und Sicherheit\Von SD-Karte installieren.
Verbindung aufnehmen
Haben Sie alle Daten eingegeben, können Sie sich jederzeit mit dem VPN verbinden, wenn Sie zu Einstellungen\Wireless\VPN-Einstellungen wechseln.
Die Einrichtung und das Aufrufen von VPNs vereinfacht beispielsweise die App VPN Show aus dem Market. Diese hat aber keine andere Funktion, als einfach sofort direkt in das Fenster zur Konfiguration der VPNs zu springen. Sie ersparen sich also lediglich die Navigation zu den Standardeinstellungen des Telefons. Anwender, die häufiger auf VPNs zugreifen müssen, können auf diese Weise die Verbindung schneller starten. Ohne eine solche App müssen Sie sich für jeden Verbindungsaufbau erst zu den VPN-Einstellungen hangeln. Da es sich bei dieser App nur um eine Hilfe beim Aufrufen der VPN-Verbindungen handelt, benötigt sie keine Root-Rechte. Bauen Anwender eine VPN-Verbindung auf, müssen sie Benutzernamen und Kennwort eingeben. Das Kennwort lässt sich allerdings nicht dauerhaft speichern.
Auch hier kann eine App aus dem Market wertvolle Hilfestellung leisten: Mit der 5 VPN App können Sie VPN-Verbindungen leichter aufbauen und Kennwörter für die Verbindung speichern. Diese App benötigt ebenfalls keine Root-Rechte, erleichtert den Umgang mit VPNs aber deutlich.
OpenVPN und Cisco-VPN mit Android
Unternehmen, die OpenVPN einsetzen, können Android-Handys per VPN verbinden, indem sie die App OpenVPN aus dem Market auf den Endgeräten installieren. Wenn Sie OpenVPN verwenden, benötigen Sie auch einen OpenVPN-Server, der die Anfragen entgegennimmt.
OpenVPN baut auf SSL auf und ist bezüglich der Konfiguration sehr flexibel. Die Authentifizierung kann über Zertifikate oder über Shared Secrets erfolgen. Die Verbindungsdaten geben Sie dann im Client auf dem Handy ein. Damit Sie die App OpenVPN GUI (Root) verwenden können, benötigen Sie Root-Rechte auf dem Telefon. Eine weitere App, die die Einstellung von OpenVPN auf dem Android vereinfacht, ist OpenVPN Settings. Auch diese App benötigt Root-Rechte. Bei beiden Apps können Sie die Konfiguration in einer Konfigurationsdatei hinterlegen und über eine USB-Verbindung auf die Android-Handys übertragen. Als VPN-Server lassen sich problemlos Internet-Router einsetzen. Selbst kleinere Router für den Heimeinsatz sind in vielen Fällen kompatibel zu OpenVPN-Clients auf Android-Geräten.
Wenn Sie spezielle Router für die Anbindung per VPN einsetzen, sollten Sie im Market überprüfen, ob es angepasste VPN-Clients in Form von Apps gibt. Der sehr große Nachteil dieser Apps ist aber, dass so gut wie alle Root-Rechte benötigen. Das mag bei Android-Handys von Administratoren noch in Ordnung sein, aber bei Otto Normalanwender sollten die Mobiltelefone nicht in diesem Modus agieren.
Zum Beispiel stellt auch SonicWALL für die meisten seiner Geräte im Market eine VPN-App zur Verfügung. Wollen Sie ein VPN mit einem Cisco-Router aufbauen, müssen Sie in jedem Fall das Smartphone rooten. Anschließend benötigen Sie die App VPNC, die die Verbindung zu Cisco-Routern ermöglicht.
Arbeiten Sie mit speziellen Geräten, wie zum Beispiel SonicWALL, ist natürlich nicht immer ein gesonderter Client notwendig. Sie können in den meisten Fällen auch mit den Standardeinstellungen in Android arbeiten, wenn der VPN-Server entsprechend konfiguriert ist. Verwenden Sie zum Beispiel ein VPN mit der Einstellung L2TP/IPSec PSK-VPN auf dem Android, deaktivieren Sie die Option L2TP-Schlüssel aktivieren in den Einstellungen, wenn die Verbindung nicht funktioniert.
Fazit
Wenn Unternehmen auf Standard-VPN-Protokolle wie PPTP und L2TP setzen, haben sie die Chance, dass sich Android-Smartphones problemlos verbinden lassen. Da sich an dieser Stelle aber die verschiedenen Hersteller respektive deren Geräte deutlich unterscheiden, sind grundlegende Tests erforderlich. Wer Android-Handys mit dem Firmen-VPN verbinden will, sollte auf jeden Fall nur auf kompatible Verbindungen setzen und die Installation von zusätzlichen Apps vermeiden.
Da viele VPN-Clients Root-Rechte auf den Telefonen benötigen, sind diese Clients für den Durchschnittsanwender schlicht und ergreifend ungeeignet. Vor allem die fehlende Unterstützung von Cisco-VPN kann für größere Unternehmen oft problematisch sein. Administratoren jedoch, die Systemanwendungen auf dem Gerät installieren müssen und das Handy ohnehin rooten, können selbstverständlich die erweiterten Möglichkeiten nutzen.
Quelle: Tecchannel