Ressourcen

VPN-Überwachung

Von der Ermöglichung des Fernzugriffs auf Unternehmensnetzwerke bis hin zur Absicherung von Standort-zu-Standort-Verbindungen sind virtuelle private Netzwerke (VPNs) in der heutigen sicherheitsbewussten Netzwerkbranche immer wichtiger geworden.

Mit der zunehmenden Nutzung steigt auch der Bedarf an einer besseren Beobachtbarkeit und Visualisierung der VPN-Leistung. Die Echtzeitüberwachung von Leistung, Sicherheit, Effizienz und Compliance ist ein wichtiger Aspekt des VPN-Betriebs geworden.

Dieser Artikel befasst sich mit Best Practices für die VPN-Überwachung, die zur Gewährleistung einer optimalen End-to-End-Leistung, Sicherheit und Zuverlässigkeit in modernen Netzwerkumgebungen eingesetzt werden können.

Zusammenfassung der wichtigsten VPN-Überwachungskonzepte 

Die folgende Tabelle enthält eine Liste von Konzepten und bewährten Verfahren im Zusammenhang mit der VPN-Überwachung, die in diesem Artikel näher untersucht werden.

Konzept Beschreibung
Leistungsüberwachung in Echtzeit Verfolgen Sie fortlaufend die VPN-Latenz, den Durchsatz und den Paketverlust.
Überwachung von Endgeräten und Netzwerken Überwachen Sie beide Enden des VPN-Tunnels, einschließlich entfernter Geräte und Rechenzentren.
Internet-Pfadanalyse Bewertung der öffentlichen Internetsegmente, die die VPN-Leistung beeinflussen, einschließlich BGP-Leistung und Pfadauswahl.
Synthetische Tests Synthetische Überwachung wird verwendet, um reales Benutzerverhalten über das VPN zu emulieren.
Überwachung der Sicherheit Erkennen und warnen Sie vor ungewöhnlichen Verkehrsmustern, Verletzungen oder Angriffen.
Verfolgung der SLA-Einhaltung Sicherstellen, dass VPN-Dienstleister die vereinbarten Leistungsstandards erfüllen.
Integration mit anderen Überwachungsinstrumenten Verknüpfung der VPN-Überwachung mit umfassenderen Beobachtungsmöglichkeiten und Diagnoseplattformen.
Vorbereitung auf die Umstellung von VPN auf SASE-Überwachung Zukunftssichere VPN-Überwachungskonzepte durch Berücksichtigung von Branchentrends in Richtung SASE.

Bevor wir die oben genannten Konzepte erörtern, sollten wir uns kurz mit den VPN-Grundlagen befassen, da die wichtigsten VPN-Vorgänge die Überwachung beeinflussen.

VPNs verstehen

Ein VPN ist eine Technologie zur sicheren Übertragung von Daten über ein beliebiges Netz, indem diese in zusätzliche Header eingekapselt werden. Die Header werden hinzugefügt, um sichere Tunnel zwischen zwei Endpunkten aufzubauen. Tunneling bedeutet, dass Pakete in andere Pakete eingekapselt werden, bevor sie über ein öffentliches oder nicht vertrauenswürdiges Netz, wie das Internet, übertragen werden. Die Verschlüsselung stellt sicher, dass die Daten, selbst wenn sie abgefangen werden, ohne die entsprechenden Entschlüsselungsdaten unlesbar bleiben. So stellt das VPN sicher, dass nur autorisierte und authentifizierte Parteien auf die übertragenen Informationen zugreifen und sie interpretieren können.

Arten von VPNs

VPNs lassen sich anhand ihres Zwecks, ihrer Architektur und ihrer Bereitstellungsmethoden in verschiedene Kategorien einteilen.

  • VPN für den Fernzugriff ermöglicht es einzelnen Benutzern, sich von einem einzigen Endgerät, wie z. B. einem PC oder einem Mobiltelefon, über das Internet sicher mit einem privaten Firmen- oder Unternehmensnetzwerk zu verbinden.
  • Site-to-Site-VPN wird verwendet, um entfernte Netzwerke miteinander zu verbinden, typischerweise ein Zweigstellennetzwerk mit der Zentrale.
  • Cloud VPN verbindet die Netzwerkinfrastruktur vor Ort sicher mit Cloud-Umgebungen.

Betrieb

Das folgende Diagramm zeigt einen speziellen Anwendungsfall: Ein PC, auf dem ein VPN-Client läuft, verbindet sich über ein nicht vertrauenswürdiges Netzwerk mit einem VPN-Server.

Ein VPN-Client, der sich über das Internet mit einem VPN-Server verbindet

Zu Beginn baut der VPN-Client einen Tunnel zwischen sich und dem VPN-Server auf. Die erste Kommunikation zwischen Client und Server dient der Authentifizierung des Clients. Der Server und der Client einigen sich auf die Methoden, die sie für die Verkapselung und Verschlüsselung verwenden werden. Sobald eine erfolgreiche Einigung erzielt wurde, gilt der Tunnel als aufgebaut.

Wenn der VPN-Client Datenverkehr an den Server sendet, nimmt er das ursprüngliche IP-Paket und kapselt es als Nutzlast des VPN-Tunnels ein. Dem ursprünglichen IP-Paket wird ein VPN-Header vorangestellt, der einen neuen IP-Header mit der Ziel-IP-Adresse des VPN-Servers enthält. Der VPN-Header enthält die notwendigen Informationen, um das ursprüngliche IP-Paket beim Austritt aus dem VPN-Client zu verschlüsseln und beim Eintritt in den VPN-Server zu entschlüsseln, basierend auf der ursprünglichen Vereinbarung zwischen den beiden Einheiten.

Das ursprüngliche IP-Paket wird verschlüsselt, eingekapselt und auf der Grundlage des neuen äußeren IP-Headers zum VPN-Server transportiert. Während des Transports über das nicht vertrauenswürdige Netzwerk bleibt die Nutzlast vertraulich. Sobald sie den VPN-Server erreicht, wird sie entkapselt, entschlüsselt und auf der Grundlage des ursprünglichen IP-Headers an ihr endgültiges Ziel gesendet.

VPN-Protokolle und Verschlüsselungsmethoden

Zum Tunneln und Verschlüsseln von Daten mit VPNs wird eine Vielzahl von Protokollen verwendet. Die Methoden müssen zwischen den Einrichtungen, die als VPN-Endpunkte fungieren, vereinbart werden. Die Methoden unterscheiden sich erheblich in Bezug auf das Sicherheitsniveau, den Grad des Overheads, die Komplexität und die Verfügbarkeit.  

VPN-Protokolle:

  • IPsec (Sicherheit des Internetprotokolls)
  • SSL/TLS VPN (Secure Sockets Layer/Transport Layer Security)
  • OpenVPN
  • WireGuard
  • L2TP/IPsec (Layer 2 Tunneling Protocol mit IPsec)
  • PPTP (Punkt-zu-Punkt-Tunneling-Protokoll)
  • IKEv2/IPsec (Internet Key Exchange v2)
  • SoftEther VPN
  • SSTP (Secure Socket Tunneling Protocol)
  • MPLS-VPN

Verschlüsselungsmethoden:

  • AES (Advanced Encryption Standard) - AES-128, AES-192, AES-256
  • ChaCha20
  • Blowfish
  • 3DES (Triple Data Encryption Standard)
  • Kamelie
  • RSA (Rivest-Shamir-Adleman)
  • ECC (Elliptische Kurven-Kryptographie)
  • DH (Diffie-Hellman-Schlüsselaustausch)
  • ECDH (Elliptische Kurve Diffie-Hellman)
  • SHA (sicherer Hash-Algorithmus) - SHA-1, SHA-256, SHA-512

Die obige Liste verdeutlicht die große Bandbreite an verfügbaren VPN-Protokollen und Verschlüsselungsmethoden und unterstreicht die zusätzliche Komplexität, die mit ihrem Einsatz verbunden ist.

Die Verschlüsselung sichert Daten, die ein ungesichertes Netz wie das Internet durchqueren.

Beschränkungen

Der Hauptnachteil von VPNs besteht darin, dass sie verschiedene Arten von Overhead hinzufügen, die die Netzwerkleistung und Ressourcennutzung beeinträchtigen können.  

Verschlüsselungs-Overhead

VPN-Verschlüsselungsalgorithmen erfordern zusätzliche Rechenleistung. Je stärker der Verschlüsselungsalgorithmus, desto mehr CPU-Ressourcen werden verbraucht, was die Leistung von Netzwerkgeräten beeinträchtigen kann.

Kapselungs-Overhead

VPN-Protokolle kapseln Pakete mit zusätzlichen Headern ein, wodurch sich die Gesamtgröße der Pakete erhöht. Dies führt zu einem höheren Bandbreitenverbrauch und einer möglichen Fragmentierung, insbesondere wenn die Paketgröße die MTU (Maximum Transmission Unit) der zugrunde liegenden Netzwerkinfrastruktur überschreitet.

Latenzzeit-Overhead

Die Schritte der Verkapselung, Verschlüsselung, Entschlüsselung und Entkapselung von Daten führen zu Verzögerungen, die die Latenzzeit erhöhen.

Gemeinkosten der Verwaltung

VPNs erhöhen die Komplexität eines jeden Netzwerks und verursachen einen hohen Aufwand für Management, Verwaltung und Wartung.

Grundlagen der VPN-Überwachung

Die Vorteile von VPNs, aber auch ihre Einschränkungen und Komplexität machen die Überwachung von VPNs noch wichtiger.

VPN-Überwachung, die das Netzwerk zwischen VPN-Client und Server abdeckt

Überwachung der VPN-Leistung in Echtzeit

Die Überwachung von VPN-Leistungsmetriken wie Latenz, Durchsatz und Paketverlust hilft Netzwerkadministratoren, Leistungseinbußen schnell zu erkennen und darauf zu reagieren. Proaktive Überwachung hilft bei der Identifizierung von Problemen wie Überlastung oder Jitter, die die VPN-Zuverlässigkeit und das Benutzererlebnis beeinträchtigen.

Ein effektives VPN-Management muss über den Tunnel selbst hinausgehen, da es einen Einblick in beide Enden des VPNs erfordert. Die Überwachung von entfernten Endpunkten, VPN-Gateways und der von VPNs genutzten Rechenzentrums- und Cloud-Infrastruktur ist notwendig, um End-to-End-Sicherheit und -Leistung zu gewährleisten. Auf diese Weise kann die Konformität aufrechterhalten und der VPN-Betrieb optimiert werden, insbesondere bei geschäftskritischen Anwendungen.

Internet-Pfadanalyse

Die Internetpfadanalyse ist eine Methode, mit der öffentliche Internetsegmente, die die VPN-Leistung beeinflussen können, überwacht und bewertet werden. Da VPNs in erster Linie über das Internet transportiert werden, wirken sich verschiedene Faktoren wie BGP-Routing, Netzwerküberlastung und suboptimale Pfadauswahl auf die Effektivität von VPNs aus, einschließlich Latenzzeit und Zuverlässigkeit. Routenänderungen, Traffic Blackholing und Störungen auf ISP-Ebene, die die VPN-Konnektivität potenziell beeinträchtigen können, lassen sich erkennen und abschwächen. 

Die Internet Performance Monitoring (IPM)-Lösung von Catchpointbietet den notwendigen tiefen Einblick in diese öffentlichen Netzwerkpfade und hilft dabei, problematische Bereiche zu identifizieren und die Routenauswahl zu optimieren, um eine stabile und leistungsstarke VPN-Benutzererfahrung zu gewährleisten.

Synthetische Tests und VPNs

Im Gegensatz zur passiven Überwachung, die sich auf den realen Datenverkehr stützt, wird bei synthetischen Tests kontrollierter Testverkehr erzeugt, um ganz bestimmte Messgrößen zu bewerten. Es simuliert reale Benutzerinteraktionen, um Leistung, Verfügbarkeit und Zuverlässigkeit zu bewerten, was mehr Kontrolle ermöglicht und Probleme erkennt, bevor sie sich auf die tatsächlichen Benutzer auswirken. 

Synthetische Tests helfen bei der Identifizierung von Problemen an verschiedenen Standorten und Endpunkten, wenn sie mit VPNs verwendet werden. Sie können auch ein wichtiger Bestandteil der Strategie einer Organisation zur Validierung von VPN-SLAs sein. 

Sicherheit und SLA-Einhaltung

VPNs sind vorrangige Ziele für Bedrohungen wie Man-in-the-Middle-Angriffe, unbefugten Zugriff und Traffic-Hijacking, was eine kontinuierliche Überwachung unerlässlich macht. Die Einhaltung von VPN-SLAs erfordert die Verfolgung wichtiger Leistungsindikatoren wie Betriebszeit, Latenz, Paketverlust und Durchsatz, um sicherzustellen, dass die Anbieter die vereinbarten Standards einhalten. Dies gilt insbesondere für unternehmenskritische Dienste wie Site-to-Site- und Cloud-VPNs. 

Die Erhöhung des Sicherheitsniveaus hat jedoch einen Kompromiss bei der VPN-Leistung zur Folge - die sichereren Verschlüsselungsmethoden wirken sich in der Regel stärker auf die Latenzzeit und Leistung aus. Daher muss die Sicherheitsüberwachung in geeigneter Weise mit der Überwachung der SLA-Einhaltung gekoppelt werden, um sicherzustellen, dass sowohl die Leistungs- als auch die Sicherheitsanforderungen erfüllt werden.

Die Kombination von Sicherheitsbewertung und Leistungsanalyse stärkt die Netzwerkintegrität und Servicezuverlässigkeit und gewährleistet den sicheren und effizienten Betrieb von VPNs aller Art.

Integration mit anderen Überwachungsinstrumenten

Die VPN-Überwachung sollte Teil der umfassenderen Überwachungs-, Visualisierungs- und Beobachtungsstrategie eines Unternehmens sein. Sie sollte mit Netzwerk-Performance-Monitoring (NPM), Sicherheitsinformations- und Ereignisverwaltungssystemen (SIEMs) und Anwendungs-Performance-Monitoring-Plattformen (APM) integriert werden. Ein ganzheitlicher Ansatz stellt sicher, dass VPN-Metriken nicht isoliert gesammelt und analysiert werden, sondern als Teil des breiteren Netzwerk- und Sicherheits-Ökosystems verwendet werden. 

Heutzutage führen Unternehmen Secure Access Service Edge-Architekturen (SASE) ein und ersetzen oder ergänzen VPNs durch Zero-Trust- und Cloud-basierte Sicherheitsmodelle. Dieser Trend von VPN zu SASE erfordert die Weiterentwicklung von VPN-Überwachungssystemen, die ein dynamischeres identitätsgesteuertes Sicherheitsmodell unterstützen müssen. 

SASE integriert Zero-Trust-Prinzipien, Cloud-basierte Sicherheit und Software-definierte Netzwerke. Diese Aspekte müssen beim heutigen Einsatz von VPN-Monitoring berücksichtigt werden, um sicherzustellen, dass die heutigen Überwachungsstrategien gut mit den SASE-Frameworks für zukünftige Übergänge abgestimmt sind. Die Zukunft des VPN-Monitorings muss sich also in Richtung einer konvergenten Sichtbarkeit über alle Netzwerkumgebungen hinweg entwickeln, einschließlich lokaler, hybrider und Cloud-Infrastrukturen.

Schlussfolgerungen

Die VPN-Überwachung ist ein wesentlicher Bestandteil eines ganzheitlichen Netzwerküberwachungskonzepts. Netzwerkleistung, -sicherheit und -zuverlässigkeit sind Schlüsselelemente eines erfolgreich implementierten und betriebenen Netzwerks. Indem sie kontinuierlich Einblicke in Latenz, Durchsatz, Sicherheitsbedrohungen und Compliance-Metriken erhalten, können Unternehmen eine sichere und leistungsstarke Konnektivität für ihre Benutzer gewährleisten.

Da Unternehmen ihre Netzwerke auf SASE- und Zero-Trust-Sicherheitsmodelle umstellen, werden Tools wie die IPM-Lösung von Catchpointimmer wichtiger. Um solchen Netzwerkherausforderungen einen Schritt voraus zu sein, erkunden Sie Catchpointumfassende Überwachungswerkzeuge und heben Sie Ihre VPN-Strategie auf die nächste Stufe.

Kapitel

0
.
Digitale Mitarbeitererfahrung

Dieses BGP-Überwachungshandbuch bietet Netzwerkadministratoren und -ingenieuren den technischen und informativen Hintergrund, der notwendig ist, um BGP in ihren eigenen Netzwerken erfolgreich und verantwortungsvoll zu überwachen. 

1
.
Remote Desktop-Überwachung

Erfahren Sie mehr über die besten Praktiken und Anwendungen von Remote-Desktop-Diensten, einschließlich der Bedeutung der Remote-Desktop-Überwachung für Sicherheit und Compliance.

2
.
VPN-Überwachung

Erfahren Sie mehr über Best Practices bei der VPN-Überwachung, um optimale Leistung, Sicherheit und Zuverlässigkeit in modernen Netzwerken zu gewährleisten und sich auf zukünftige Entwicklungen vorzubereiten.

3
.
Monitoring von SaaS-Anwendungen

Erfahren Sie, wie Sie eine SaaS-Anwendungsüberwachung einrichten, die proaktiv Probleme erkennt, Benutzerinteraktionen simuliert und sich in DevOps integriert, indem sie sowohl reale Benutzer als auch synthetische Überwachung nutzt.

4
.
SaaS-Überwachungstools

Erfahren Sie mehr über die Komplexität und die Herausforderungen bei der Überwachung von Software-as-a-Service-Anwendungen und die wichtigsten Funktionen, auf die Sie bei SaaS-Überwachungstools achten sollten.

5
.
SaaS-Überwachung

Erfahren Sie mehr über die Herausforderungen und Best Practices bei der Überwachung der SaaS-Leistung, einschließlich der Vorteile intelligenter Agenten und der vollständigen Transparenz des Internet-Stacks.

Ні 👋 Let's schedule your demo
To begin, tell us a bit about yourself!

We get Catchpoint alerts within seconds when a site is down. And we can, within three minutes, identify exactly where the issue is coming from and inform our customers and work with them.”

Martin Norato Auer
VP, CX Observability Services, SAP
trusted by