Auf dieser Seite finden Sie eine Übersicht über die verschiedenen VPN-Module, die durch das IT Center angeboten werden.

1. Basis Modul: RWTH VPN
2. Basis + Modul: Instituts-VPN
3. Rechte und Pflichten
4. Verwendung

1. Basis Modul: RWTH VPN

Das IT Center betreibt einen zentralen, leistungsstarken VPN-Server, der aus Gründen der Verfügbarkeit redundant ausgelegt ist.

Zur Nutzung berechtigt sind Inhaber eines Benutzernamens (Format: ab123456), für die dieser Diensttyp im Identitätsmanagement freigeschaltet worden ist. Der Nutzerkreis umfasst somit alle Studierenden und Mitarbeitenden der RWTH Aachen.

Die Nutzung erfordert das Herunterladen und Installieren einer auf den Webseiten des IT Centers verfügbaren Software („Cisco Secure Client“) samt der dazugehörigen Zugangsprofile.

2. Basis+ Modul: Instituts-VPN

Instituts-VPN auf dedizierter Hardware

Häufig besteht bei Einrichtungen die Notwendigkeit, einem eingeschränkten Personenkreis Zugriff auf interne Ressourcen zu gewährleisten. Für diesen Zweck bietet das IT Center VPN als Individualdienst an. Auch weitere Security-Maßnahmen können hier implementiert werden, z.B. Endhost-Assesments. 

Die Realisierung erfolgt über eine dedizierte Hardware, die von der Einrichtung auf eigene Kosten über das IT Center beschafft werden muss. Je nach erwarteter Nutzerzahl und Nutzungsprofil sind Geräte unterschiedlicher Leistungs- und Preisklassen verfügbar. Die Auswahl des geeigneten Gerätetyps erfolgt nach einem Beratungsgespräch mit dem IT Center.

Die Konfiguration des VPN-Routers erfolgt individuell durch das IT Center auf Basis der im Beratungsgespräch aufgenommenen Spezifikationen des Kunden. 

Angepasst werden hier z. B. Zugangsprofile oder zusätzliche Paketfilter zur weiteren Einschränkung von Zugriffen im Instituts-LAN.

Der Betrieb des Gerätes erfolgt üblicherweise in den Räumlichkeiten der Einrichtung, der Einbau erfolgt wahlweise durch das IT Center.

Standardmäßig werden die VPN-Router durch das IT Center geeignet zentral überwacht.

Die Administration der Nutzer des VPN-Dienstes erfolgt durch die nutzende Einrichtung im Self-Service. Ein entsprechender Portaldienst wird durch das IT Center betrieben, nach Nennung berechtigter Ansprechpartner durch die nutzende Einrichtung werden diese vom IT Center als Administratoren eingetragen und erhalten einen Link zur Portalseite sowie eine Kurzanleitung zur Verwaltung der Nutzer.

Einen Sonderfall (nur auf dedizierter Hardware möglich) stellt die Kopplung vollständiger externer Netze an ein Instituts-LAN dar (via VPN-Tunnel). Auch dies ist mit den genannten VPN-Routern konfigurierbar und mehrfach realisiert – hier werden allerdings mindestens zwei VPN-Router benötigt, einer am gewünschten Standort der RWTH Aachen, der zweite am Standort der externen Einrichtung.

Instituts-VPN auf zentralisierter IT Center Hardware

Alternativ zum Betrieb von Instituts-VPN auf dedizierter Hardware steht der Betrieb auf zentralisierter IT Center Hardware zur Verfügung.

Hierbei werden virtuelle Instanzen auf redundanter Hardware im IT Center erstellt. Diese Unterteilung bietet eine Segmentierung der Einrichtungen gegeneinander, was zu einer vereinfachten Bedienung durch den End-Benutzer führt sowie einen Zugewinn bei der Sicherheit bringt.

Bei dieser zentralisierten Lösung sind erweiterte Sicherheitsmaßnahmen und die Site-2-Site Konfiguration aus technischen Gründen nicht möglich.

Sie bietet einen reinen Remote-Access. 

Rechte und Pflichten

Ein Rechner, der eine Verbindung zu einem RWTH-VPN-Server aufgebaut hat, kann insbesondere auf RWTH-interne Inhalte im Netz der RWTH Aachen zugreifen. Weiterhin unterliegt der Rechner allen Beschränkungen und den Nutzungsbedingungen, die im Netz der RWTH Aachen gelten.

Verwendung

Um eine VPN-Verbindung aufzubauen, ist eine VPN-Clientsoftware notwendig. Diese übernimmt den Aufbau des verschlüsselten Tunnels und suggeriert dem System, dass es sich im Hochschulnetz befindet. Derzeit stehen zwei grundsätzlich verschiedene Zugangstechnologien zur Verfügung, für die unterschiedliche Clientsoftware existiert: SSLVPN und IPSEC.