Dienstbeschreibung


Das IT Center bietet den Nutzern die Möglichkeit eines sicheren, verschlüsselten Zugangs von außen in das RWTH-Netz oder Teile desselben. Je nach Nutzerkreis gibt es unterschiedliche Anwendungsszenarien.

Arbeitsweise

Nachdem der Rechner eines Endnutzers eine VPN-Verbindung (Virtual Private Network) aufgebaut hat, besteht ein verschlüsselter, sogenannter "Tunnel" zwischen dem Rechner und dem VPN-Server. Jeglicher Datenverkehr ins RWTH-Netz (und, je nach Betriebsart, darüber hinaus) durchläuft diesen verschlüsselten Tunnel. Erst ab dem VPN-Server beginnen die Daten ihren herkömmlichen unverschlüsselten Weg ins Netz. Logisch gesehen ist der Rechner des Nutzers in das Netz des VPN-Servers umgezogen: Er tritt gegenüber Dritten nun mit einer IP-Adresse der RWTH Aachen auf.

 1. Basis Modul: RWTH VPN

Das IT Center betreibt einen zentralen, leistungsstarken VPN-Server, der aus Gründen der Verfügbarkeit redundant ausgelegt ist. Zur Nutzung berechtigt sind Inhaber einer TIM-Kennung, für die dieser Diensttyp im Identitätsmanagement freigeschaltet worden ist. Der Nutzerkreis umfasst somit alle Studierenden und Mitarbeitenden der RWTH Aachen. Die Nutzung erfordert das Herunterladen und Installieren einer auf den Webseiten des IT Centers verfügbaren Software („Cisco VPN Client“) samt der dazugehörigen Zugangsprofile.

Durch den Start der Applikation mit dem gewünschten Profil baut der Nutzer eine stark verschlüsselte Tunnelverbindung in das RWTH-Netz auf. Dabei wird dem Nutzer eine RWTH-interne IP-Adresse für die Dauer der Verbindung zugewiesen. Somit ist der Zugriff auf entsprechend geschützte RWTH-interne Ressourcen auch von externen Stellen (z. B. Dienstreise) möglich. Beispiele sind hier die Nutzung von Ressourcen der Universitätsbibliothek oder auch Hard- und Softwareportalen. Durchaus üblich sind auch Freischaltungen für den RWTH-VPN-IP-Bereich auf Ebene von Institutsnetzen. Z. B. kann so der Zugriff auf eine interne Webseite eines Instituts auch für Mitarbeiter auf Reisen oder im Homeoffice realisiert werden.

 2. Basis+ Modul: Instituts-VPN

Häufig besteht bei Einrichtungen die Notwendigkeit, einem eingeschränkten Personenkreis Zugriff auf interne Ressourcen zu gewährleisten. Für diesen Zweck bietet das IT Center VPN als Individualdienst an.

Die Realisierung erfolgt über eine dedizierte Hardware („VPN-Router“ der Firma Cisco), die von der Einrichtung auf eigene Kosten über das IT Center beschafft werden kann. Je nach erwarteter Nutzerzahl und Nutzungsprofil sind Geräte unterschiedlicher Leistungs- und Preisklassen verfügbar. Typischerweise erfolgt die Auswahl des geeigneten Gerätetyps nach einem Beratungsgespräch mit dem IT Center.

Die Konfiguration des VPN-Routers erfolgt individuell durch das IT Center auf Basis der im Beratungsgespräch aufgenommenen Spezifikationen des Kunden. Angepasst werden hier z. B. die Größe des benötigten Adressbereiches, Zugangsprofile oder zusätzliche Paketfilter zur weiteren Einschränkung von Zugriffen im Instituts-LAN.

Der Betrieb des Gerätes erfolgt üblicherweise in den Räumlichkeiten der Einrichtung, der Einbau erfolgt wahlweise durch das IT Center oder durch den Kunden.

Standardmäßig werden die VPN-Router durch das IT Center geeignet zentral überwacht.

Die Administration der Nutzer des VPN-Dienstes erfolgt durch die nutzende Einrichtung im Self-Service. Ein entsprechender Portaldienst wird durch das IT Center betrieben, nach Nennung berechtigter Ansprechpartner durch die nutzende Einrichtung werden diese vom IT Center als Administratoren eingetragen und erhalten einen Link zur Portalseite sowie eine Kurzanleitung zur Verwaltung der Nutzer.

Einen Sonderfall stellt die Kopplung vollständiger externer Netze an ein Instituts-LAN dar (via VPN-Tunnel). Auch dies ist mit den genannten VPN-Routern konfigurierbar und mehrfach realisiert – hier werden allerdings zwei VPN-Router benötigt, einer am gewünschten Standort der RWTH Aachen, der zweite am Standort der externen Einrichtung.

Virtual Private Network


Rechte und Pflichten

Ein Rechner, der eine Verbindung zu einem RWTH-VPN-Server aufgebaut hat, kann insbesondere auf RWTH-interne Inhalte im Netz der RWTH Aachen zugreifen. Weiterhin unterliegt der Rechner allen Beschränkungen und den Nutzungsbedingungen, die im Netz der RWTH Aachen gelten.

Verwendung

Um eine VPN-Verbindung aufzubauen, ist eine VPN-Clientsoftware notwendig. Diese übernimmt den Aufbau des verschlüsselten Tunnels und gaukelt dem System vor, es wäre in einem anderem Netz lokalisiert. Derzeit stehen zwei grundsätzlich verschiedene Zugangstechnologien zur Verfügung, für die unterschiedliche Clientsoftware existiert.

 

ZugangstechnologieClientsoftwareBeschreibung
SSLVPNCisco AnyConnect Client

aktuelle, vom Hersteller unterstützte Clientsoftware; für Windows, Mac OS X, Linux, Android und Apple iOS verfügbar

 OpenConnect Clientalternative Clientsoftware u.a. für Linux; kein Support seitens des IT Centers der RWTH
IPsec-VPN (IKEv1, ISAKMP)Cisco VPN-Clientältere Clientsoftware, ohne Herstellerunterstützung; für ältere Versionen von Windows und Mac OS X

Schematische VPN Darstellung

VPN Schema