WrightStudio - stock.adobe.com
Wie Sie VPNs per Netzwerk-Monitoring optimal managen
VPNs spielen immer noch eine tragende Rolle bei vielen Remote-Access-Strategien. Wer den VPN-Traffic überwacht, sollte Faktoren wie Anwendungsnutzung und -Overhead berücksichtigen.
Virtuelle private Netzwerke (Virtual Private Network, VPN) sind seit vielen Jahren die bevorzugte Technologie für den Remote-Zugriff auf IT-Ressourcen. VPN-optimierte Router verbinden sich mit dem Internet und bauen einen Tunnel zwischen dem sendenden Gerät und dem Ziel auf, das ebenfalls über eine VPN-kompatible Komponente verfügt.
Die COVID-19-Pandemie hat die Nutzung von Remote Access immens gesteigert, da eine große Anzahl von Mitarbeitern, Dienstleistern und anderen Personen von zu Hause oder alternativen Büros aus arbeiten. Die meisten Menschen werden wahrscheinlich auch später zumindest noch eine Zeit lang remote arbeiten.
Die Nachfrage nach VPNs und anderen Remote-Access-Technologien bedeutet unter anderem, dass die Bandbreitennutzung im Vergleich zur Zeit vor der Pandemie dramatisch gestiegen ist. Aufgrund dieser erhöhten Nachfrage müssen Netzwerkprofis die Bandbreitennutzung sorgfältig überwachen und analysieren. Dadurch lässt sich sicherzustellen, dass ausreichend Bandbreite für alle Benutzer verfügbar ist und Geräte, die übermäßig viel davon beanspruchen, identifiziert und bei Bedarf angepasst werden können.
Dieser Artikel untersucht Best Practices zur Überwachung des VPN-Traffics und erläutert, warum dies von entscheidender Bedeutung ist. Wir beschreiben zudem im Detail, was IT-Teams überwachen sollten, etwa Verbindungsdetails, Anwendungsnutzung, Traffic-Zeitraum und -Typen, Overhead, Bandbreite, Kapazität und mehr. Darüber hinaus zeigt der Beitrag, wie Netzwerkteams das VPN-Monitoring in die Netzwerksicherheitsstrategien integrieren können.
Was Netzwerk-Monitoring-Systeme leisten
Netzwerk-Monitoring-Systeme übernehmen viele Aufgaben. Sie können zum Beispiel:
- den Netzwerk-Traffic nach voreingestellten und benutzerdefinierten Regeln untersuchen und analysieren;
- die Bandbreite nach Anwendung, Protokoll und IP-Adressgruppen analysieren;
- den Umfang des Netzwerk-Traffics, Traffic-Muster, Overhead, Latenz und Durchsatz identifizieren;
- Geräte und Anwendungen, die übermäßig viel Bandbreite nutzen, ermitteln und managen;
- benachrichtigt werden, wenn die Netzwerknutzung festgelegte Schwellenwerte überschreitet;
- Benutzer mit hohem Bandbreitenverbrauch erkennen und ihre Aktivitäten einschränken;
- Probleme mit der Netzwerk-Performance identifizieren, diagnostizieren und beheben;
- die Antwortzeit, Verfügbarkeit und Uptime von Routern, Switches und anderen Geräten beobachten; und
- Performance-Daten in Dashboards und anderen visuellen Darstellungsformen anzeigen.
In der Abbildung 1 verwenden sowohl ein Remote-Büro als auch ein Remote-Anwender VPNs, um sich mit dem Data Center der Firmenzentrale zu verbinden und auf die Informationsressourcen des Unternehmens zuzugreifen. Das Netzwerk-Monitoring-System kann Geräte und Traffic im Data Center wie im Remote-Büro überwachen. Es kann zudem den Remote-Benutzer überwachen, indem es den Datenverkehr über das Internet untersucht. IP-Adressen identifizieren jeden Standort und Remote-Benutzer und werden vom Monitoring-System verwendet, um die Traffic-Aktivität zu analysieren.
Bedeutung und Vorteile von Netzwerk-Monitoring
Durch die Analyse und Verwaltung des Netzwerk-Traffics lässt sich sicherstellen, dass Unternehmen ihre Bandbreite optimal nutzen. Mit Echtzeitdaten zur Netzwerk-Performance ist es einfacher, proaktiv auf Probleme zu reagieren, die zu einem langsamen Netzwerk und Netzwerkausfällen führen. Es ist zwar gut, Daten zur Netzwerk-Performance zu erhalten, aber noch wichtiger ist es, die mit dem Netzwerk verbundenen Geräte zu verwalten. Mit den richtigen Systemen für Netzwerk-Monitoring und Netzwerkkontrolle lassen sich überflüssiger Traffic, Netzwerklatenz, Überlastung und Paketverlust im gesamten Netzwerk reduzieren.
Netzwerk-Monitoring-Geräte helfen dabei, festzustellen, wer die Netzwerkbandbreite beansprucht. Daten zur Bandbreitennutzung sind der Schlüssel, um für eine optimale Netzwerkgeschwindigkeit zu sorgen. Um Benutzerbeschwerden über langsame Antwortzeiten und andere Performance-Probleme zu vermeiden, sollten Netzwerkteams zunächst Nutzer mit hoher Netzwerkbandbreite identifizieren. Bandbreitenengpässe lassen sich durch die Verwaltung dieser Benutzer leichter beheben.
Monitoring-Geräte müssen viele verschiedene Netzwerkprotokolle und Kennwerte analysieren, die in den meisten Routern integriert sind. Dazu gehören Simple Network Management Protocol (SNMP), NetFlow, J-Flow, sFlow, NetStream und IP Flow Information Export (IPFIX). Durch die Untersuchung von Daten dieser Metriken können IT-Teams Nutzer, Anwendungen und Protokolle identifizieren, die übermäßig viel Bandbreite verbrauchen, bevor sie Geld für unnötige Ressourcen ausgeben.
Die Optimierung der Netzwerkressourcen mithilfe von Überwachungs- und Kontrollsystemen kann die Netzwerkkosten unter Kontrolle halten, indem der Bedarf an zusätzlicher Bandbreite, Zugangskanälen, Routern und Switches minimiert wird. Ein weiterer Vorteil eines effektiven Netzwerk-Monitorings liegt darin, dass missionskritische Anwendungen die Bandbreite erhalten, die sie für eine optimale Performance benötigen.
Eigenschaften von VPN-Monitoring-Geräten
Wie bereits erwähnt, sollten Geräte für das VPN-Netzwerk-Monitoring nicht nur eine Vielzahl von Performance-Metriken überwachen, sondern auch ein Tool zur Optimierung des Netzwerk-Traffics bieten. Typische Geräte erfassen Traffic-Daten, wandeln sie in ein brauchbares Format für die Analyse um und zeigen sie in einer geeigneten Oberfläche an, zum Beispiel einem Dashboard.
Die Geräte sollten den Netzwerkverkehr über VPNs hinweg messen, indem sie Metriken zur Bandbreite und zum Paket-Routing analysieren. Sie sollten in der Lage sein, den Netzwerk-Traffic mit vorkonfigurierten und anpassbaren Parametern zu verfolgen und anzuzeigen. Alarme sollten programmierbar sein, um zu erkennen, wenn ungewöhnliche Bedingungen vorliegen. Falls möglich, sollte das System imstande sein, die gesamte Netzwerkinfrastruktur abzubilden, da die Darstellung aller Routen und Geräte hilft, dringende Probleme schnell zu erkennen.
So funktioniert VPN-Monitoring
VPN-Monitoring verwendet ICMP-Echo-Anfragen (Internet Control Message Protocol), sogenannte Pings, um festzustellen, ob ein VPN-Tunnel verfügbar ist. Im typischen Betrieb werden Pings durch den VPN-Tunnel an ein Peer Gateway oder ein bestimmtes Ziel am anderen Ende des Tunnels gesendet.
Pings können in voreingestellten Zehn-Sekunden-Intervallen für eine bestimmte Anzahl von Versuchen gesendet werden. Wenn nach der vorgegebenen Anzahl von Ping-Versuchen keine Antwort erfolgt, wird angenommen, dass das VPN ausgefallen ist. Dann werden die Sicherheitsprotokolle – zum Beispiel IPsec – gelöscht.
Das VPN-Monitoring-Gerät muss auf die VPN-Monitor-Option eingestellt sein, damit die IP-Adressen der Endpunkte, die den VPN-Tunnel verwenden, überwacht werden können. Pings werden nur gesendet, wenn es ausgehenden und keinen eingehenden Traffic durch den VPN-Tunnel gibt. Der Tunnel gilt als aktiv, wenn er eingehenden Traffic durch den VPN-Tunnel erkennt.
SNMP wird ebenfalls für VPN-Monitoring verwendet. Geräte sollten mit standardmäßigen und anpassbaren Sensoren ausgestattet sein, die SNMP nutzen, um VPN-Traffic, -Benutzer und -Verbindungen verschiedener Netzwerkgeräte zu überwachen – wie Switches, Router und Firewalls. Bei einer VPN-Ausfallmeldung werden Alarme aktiviert, wenn die Systemmonitore verschiedene Arten von Ereignissen erkennen. Dazu zählen:
- Authentifizierungsfehler: Dazu kommt es, wenn die Fehler bei der Paketauthentifizierung einen bestimmten Wert erreichen.
- Verschlüsselungs- und Entschlüsselungsfehler: Dieses Ereignis tritt auf, wenn Fehler bei der Verschlüsselung oder Entschlüsselung eine bestimmte Anzahl überschreiten.
- Fehler bei Selbsttests: Selbsttests überprüfen, ob die Sicherheitssoftware beim Einschalten eines Geräts ordnungsgemäß implementiert ist. Das Monitoring-System kann einen Alarm erzeugen, wenn ein Selbsttestfehler vorliegt.
- IDP-Flow-Policy-Angriff: Eine IDP-Policy (Intrusion Detection and Prevention) erzwingt Maßnahmen für den Netzwerk-Traffic, um Angriffe zu erkennen und zu verhindern. Konfigurieren Sie das System so, dass ein Alarm ausgelöst wird, wenn es zu einem Verstoß gegen die IDP-Flow-Policy kommt.
- Replay-Angriff: Ein Replay-Angriff ist ein Netzwerkangriff, bei dem eine gültige Datenübertragung in böswilliger oder betrügerischer Absicht wiederholt oder verzögert wird. Stellen Sie den Monitor so ein, dass ein Alarm ausgelöst wird, wenn ein Replay-Angriff auftritt.
Alarme, die auf VPN-Problemen basieren, werden protokolliert. Aber Alarme werden nur dann generiert, wenn bestimmte Schwellenwerte erreicht oder überschritten wurden. Sobald die IT-Teams die Probleme behoben haben, können sie die Alarme löschen.
Sicherheitswert von VPN-Traffic-Monitoring
Die Integration von Netzwerk-Monitoring in Cyber-Security-Aktivitäten lässt sich durch den Einsatz von VPN-Monitoring optimieren. VPNs verwenden in der Regel Remote Access per SSL-Verschlüsselung (Secure Sockets Layer), wobei das Internet als Übertragungspfad genutzt wird. Am Ende dieses Pfads befindet sich ein VPN-Gateway oder VPN-Client. Außerhalb des VPNs greift ein VPN-Benutzer auf Systeme und Daten wie ein normaler Netzwerkclient zu. Der Zugriff auf die Netzwerk-Performance-Daten ist wichtig, um potenzielle Cyberangriffe, etwa Phishing, Ransomware, Viren und Denial-of-Service-Attacken, zu erkennen.