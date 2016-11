Smartphones lassen sich entweder mit den internen Funktionen in iOS 10, Android 7 oder Windows 10 for Mobile an VPNs anbinden oder mit zusätzlichen Apps. Anwender und Administratoren müssen dabei einiges beachten. Außerdem gibt es in den aktuellen Versionen der verschiedenen mobilen Betriebssystemen zahlreiche Neuerungen.

Unternehmen, die mobile Geräte an eigene Ressourcen per VPN im Netzwerk anbinden, kommen um das Management von Smartphones und Tablets kaum herum. Neben PCs und Notebooks gehören Tablets und Smartphones mittlerweile zu festen Größen, wenn es um die Anbindung an VPNs geht. In Unternehmen spielen hier vor allem iOS-Geräte und Android eine wichtige Rolle. Für beide Betriebssysteme gibt es neue Versionen. Im Fall von iOS 10 sind hier auch einige Neuerungen bezüglich der VPNs dazugekommen.

Apple bietet in iOS einen integrierten VPN-Client an, das gilt natürlich auch für Android. Auch Microsoft hat in Windows 10 for Mobile einen VPN-Client integriert. Zusätzlich stellen viele VPN-Lösungen auch eigene Apps zur Verfügung, die sich meistens kostenlos aus den verschiedenen App-Stores herunterladen lassen und eine leichtere Verbindung ermöglichen. Prominente Beispiele dafür sind OpenVPN oder Cisco. ZDNet gibt einen Überblick, welche Möglichkeiten es gibt, mobile Geräte an die verschiedenen VPN-Lösungen anzubinden.

VPN-Voraussetzung sicherstellen

Bei der Anbindung an ein VPN verhalten sich Smartphones generell wie herkömmliche PCs, das gilt für iPhone/iPad genauso wie für Android-Geräte. Unternehmen benötigen einen VPN-Zugang, der in der Lage ist VPN-Verbindungen zu akzeptieren, welche die Endgeräte auch entsprechend unterstützen. Dabei kann es sich um Windows-Server handeln, aber natürlich auch um Linux-Server, Appliances oder Firewalls sowie OpenSource-VPNs und Lösungen wie OpenVPN. Die Anbindung an VPNs erfolgt in iOS über die Einstellungen, ohne dass dafür eine zusätzliche App benötigt wird. Das ist natürlich auch für Android möglich. Von Herstellern die Juniper oder Cisco stehen außerdem im App-Store Apps zur Anbindung an eigene VPNs bereit. Solche Apps vereinfachen die Konfiguration und den Verbindungsaufbau zum VPN.

Für die Planung eines VPNs ist es also wichtig zu planen, welche VPN-Typen der VPN-Server zur Verfügung stellen soll und ob die jeweiligen Endgeräte der Anwender dazu in der Lage sind, eine Verbindung aufzubauen. Das Verteilen der VPN-Konfiguration erfolgt dann entweder über VPN, zum Beispiel bei OpenVPN-Konfigurationsdateien oder mit MDM-Lösungen. Auch die manuelle Konfiguration ist möglich, allerdings deutlich fehleranfälliger und komplizierter für die Anwender.

VPN mit iOS 10 einrichten

Die Konfiguration von VPNs werden entweder automatisiert über das iPhone/iPad-Konfigurationsprogramm vorgenommen, einer anderen MDM-Lösung, die iPhones/iPads unterstützt, oder Anwender verwenden eine manuelle Konfiguration und geben die Daten ein, die vom Unternehmen zur Verfügung gestellt werden.

Die generelle Einrichtung einer VPN-Verbindung ist mit iOS 10 nicht sehr kompliziert. Hier hat sich im Vergleich zu den älteren iOS-Versionen weniger geändert. Apple hat aber in iOS 10 die Unterstützung für SSLv3 und RC4 eingestellt. Webdienste und VPNs, die noch auf diesen weniger sicheren Varianten setzen, können den internen VPN-Client auf iPhones/iPads daher nicht nutzen. Auch PPTP wird nicht mehr von iOS 10 unterstützt. Android 7 unterstützt das alte VPN-Protokoll allerdings noch. Die gleichen Einschränkungen gelten übrigens auch für macOS 10.12 (Sierra). Apple empfiehlt als Ersatz für PPTP die Verwendung von L2TP, IKE2 oder SSL-VPNs von Drittherstellern:

L2TP/IPSec

IKEv2/IPSec

Cisco IPSec

SSL-VPN-Clients im App Store (AirWatch, Aruba, Check Point, Cisco, F5 Networks, MobileIron, NetMotion, Open VPN, Palo Alto Networks, Pulse Secure und SonicWall)

Die Konfiguration von VPN-Verbindungen sind über Einstellungen – Allgemein – VPN zu finden. Durch einen Klick auf VPN hinzufügen stehen alle wichtigen Informationen zum VPN zur Verfügung. Hier tragen Anwender die Daten des VPN-Servers ein. Sind alle notwendigen Daten eingetragen, kann die Verbindung aufgebaut werden. Als VPN-Typ unterstützt iOS 10 IKEv2, IPSec und L2TP.

Der Verbindungsaufbau erfolgt mit einem Antippen der Verbindung. Wenn Anwender per VPN verbunden sind, zeigt das iPhone/iPad die Verbindung in der Statusleiste auf dem Hauptbildschirm an. Natürlich können im iPhone/iPad mehrere VPN-Konfigurationen hinterlegt und verwendet werden. Es ist aber nur eine gleichzeitige Verbindung möglich.

OpenVPN mit iOS 10

Um iPhones und iPads mit einem VPN auf Basis von OpenVPN zu verbinden, besteht der beste Weg darin, die OpenVPN Connect-App aus dem Apple App-Store zu installieren. Die App steht natürlich auch für Android-Geräte in Google Play zur Verfügung. Sobald die App installiert ist und Anwender eine OpenVPN-Konfigurationsdatei erhalten, zum Beispiel per E-Mail, kann die App auf OpenVPN zugreifen. Im Rahmen der Einrichtung müssen Anwender dann nur noch ihre Anmeldedaten eingeben und können sich mit dem OpenVPN verbinden.

VPN in Android 2 bis Android 7 einrichten und nutzen

Die Fragmentierung der Betriebssysteme ist vor allem bei Android ein großes Problem bei der VPN-Anbindung. Wenn Unternehmen Anwender mit Smartphones oder Tablets anbinden wollen, ist zu erwarten, dass Geräte mit verschiedenen Versionen zum Einsatz kommen. In den meisten Fällen ist zwar mindestens Android 4 im Einsatz, häufig aber auch zahlreiche Geräte mit verschiedenen Versionen zwischen Android 5 bis Android 7. In manchen Unternehmen sind auch noch Android-2-Geräte, beziehungsweise Derivate dieser Systeme im Einsatz. Hier müssen Administratoren also sehr sorgfältig vorgehen, wenn es um die Anpassung von Android-Geräten per MDM geht, beziehungsweise beim Schreiben von Anleitungen für die Anbindung von Android-Geräten. Denn die Anbindung der verschiedenen VPN-Systeme unterscheidet sich zwischen den Systemen.

Auch in der neuen Android-Version 7 ist ein VPN-Client integriert, der sich zur Anbindung an die gängigsten VPNs nutzen lässt. Auf älteren Android-Versionen stehen nur VPNs auf Basis von OpenVPN und PPTP/IPsec optimal zur Verfügung. Andere VPN-Verbindungen sind häufig nicht sehr stabil. Ab den Versionen ab Android 4/5 gibt es mehr Möglichkeiten. Wünschenswert wäre es, alle Geräte mit Android 6/7 auszustatten. Das ist allerdings nicht immer möglich, da nicht alle Endgeräte die neuen Android-Versionen unterstützen. Das Gute ist, dass sich die generelle Konfiguration von VPNs zwischen Android 4,5,6 und der neuen Version Android 7 nicht sehr unterscheiden.

Administratoren, die komplexere VPN-Einstellungen vornehmen wollen, können Android „rooten“. Das ist dann sinnvoll, wenn VPN-Apps erweiterte Rechte benötigen und die Standardrechte des Benutzers nicht ausreichen. Allerdings ist das meistens nur bei älteren Android-Geräten sinnvoll. Für Standard-VPNs ist das in neuen Versionen meistens nicht mehr notwendig. Daher sollte aus Sicherheitsgründen auf neuen Android-Versionen auf das Rooten verzichtet werden.

Generell unterstützen Android-Geräte PPTP mit Shared Secret, L2TP und L2TP/IPSec. Hier lassen sich Zertifikate oder Shared Secret-Anmeldungen nutzen. Mit Android 2.1/ 2.2 lassen sich zwar viele VPNs über den integrierten Standard-Client einrichten, aber längst nicht alle. Android 4 und 5 unterstützen noch IPSec und RSA-Verschlüsselung, das gilt natürlich auch für Android 6 und 7. Allerdings lassen sich mit Android 7 und „Android for Work“-Geräten auch „Always-On-VPN“-Konfigurationen nutzen. Dabei startet Android automatisch eine festgelegte VPN-Verbindung, sobald sich das Gerät mit dem Internet verbinden will. In sicheren Umgebungen ist es also durchaus sinnvoll auf Android 7 zu setzen.

Idealerweise sollten Unternehmen auch bei Android möglichst auf den internen Client setzen, beziehungsweise auf VPN-Apps von Drittherstellern, wenn diese keine Root-Rechte benötigen. Arbeiten Unternehmen mit einem Standard-VPN-Protokoll wie PPTP, L2TP oder IPSec müssen Anwender auf den Android-Geräten in vielen Fällen keine App installieren, sondern können mit dem Standard-Client in Android arbeiten. Die Verwendung einer App des Herstellers macht vor allem dann Sinn, wenn diese spezielle Sicherheitsmechanismen unterstützt, einfacher in der Bedienung ist oder spezielle Typen nutzt, die der Standard-Client nicht beherrscht.

Die Einrichtung von VPNs ist in älteren Android-Versionen über Einstellungen – Wireless – VPN-Einstellungen verfügbar. Ab Android 4/5 sind die Einstellungen über Wireless – More oder bei Drahtlose Netzwerke – Mehr zu finden, das gilt auch für Android 6 und 7. Über das Plus-Zeichen im oberen Bereich des Bildschirms können Anwender eine neue VPN-Verbindung aufbauen. In Android 4 tippen Anwender auf Einstellungen – Drahtlos&Netzwerke – Mehr – VPN und dann auf VPN-Profil hinzufügen. Als Protokolle unterstützen ältere Android-2-Geräte L2TP/IPSec und PPTP. Neue Geräte unterstützen wesentlich mehr Protokolle.

Damit die Anmeldedaten in Android gespeichert werden können, muss auf dem Android-Gerät die Display-Sperre aktiviert werden. Android weist darauf hin und ermöglicht Anwendern direkt bei der Einrichtung des VPNs auch gleich die Bildschirm-Sperre einzurichten.

Auf Android-Geräten ist die Auswahl des VPN-Typs besonders wichtig. Denn hier unterstützen die aktuellen Versionen 6/7 zahlreiche Sicherheitskombinationen, die der VPN-Server ebenfalls kennen muss.

VPN mit Zertifikaten nutzen

Arbeiten Unternehmen mit einem Zertifikate-gesicherten VPN, kann das Zertifikat auf verschiedenen Wegen auf die Endgeräte gelangen. Neben Cloud-Speichern, MDM-Lösung oder per Mail stehen bei Android mehr Wege offen, als bei iOS. Beispielsweise kann das Zertifikat auch auf die SD-Karte des Android kopiert und auf diesem Weg installiert werden. Die Installation erfolgt in älteren Android-Versionen über Einstellungen – Standort und Sicherheit – Von SD-Karte installieren. In Android 4 finden Anwender die Konfiguration über Einstellungen – Sicherheit – Von SD-Karte installieren. Ab Android 5 ist die Einstellung in der Konfiguration der Benutzer über Einstellungen – Nutzer – Sicherheit – Von Speicher installieren zu finden. Der Weg fällt natürlich weg, wenn das Endgerät keinen SD-Karten-Slot beherrscht.

VPN-Verbindung aufbauen und verwalten

Sind alle Daten eingegeben, können sich Anwender mit dem VPN verbinden, wenn sie zu Einstellungen Wireless – VPN-Einstellungen oder ab Android 4/5 und Android 6/7 zu Einstellungen – Drahtlos&Netzwerke – Mehr – VPN wechseln. Die App „VPN Show“ aus Google Play hilft Anwendern dabei, ihre VPNs effizienter zu verwalten und einzurichten. Die App springt nach dem Aufrufen direkt in den Konfigurationsbereich der VPNs. Weitere Funktionen sind in der App nicht integriert. Dadurch ersparen sich Anwender die lästige Navigation zu den VPN-Einstellungen. Sinnvoll ist die App vor allem für Profi-Anwender, die oft auf VPNs zugreifen oder die Einstellungen von VPNs oft anpassen müssen.

VPN mit Windows 10 for Mobile

Auch in Windows 10 for Mobile stehen VPN-Verbindungen zur Verfügung. Die Einstellungen dazu finden Anwender über Einstellungen – Netzwerk und Drahtlos – VPN. Bei der Einrichtung unterstützt auch hier ein Assistent. Im App-Store stehen hier allerdings weit weniger VPN-Apps zur Verfügung.

VPN mit Cisco AnyConnect oder SonicWall nutzen

Mit dem Cisco-AnyConnect-Client lassen sich iPhone/iPads an Cisco-VPN-Server anbinden. Der Client dazu steht als App kostenlos im App-Store zur Verfügung. Die App verwendet unter anderem SSL (Secure Sockets Layer) und DTLS (Datagram Transport Layer Security). Welches Protokoll genutzt wird, hängt natürlich auch vom eingesetzten VPN-Server ab.

Der Client erlaubt die manuelle Konfiguration, aber auch den Import von Profilen mit dem iPhone/iPad-Konfigurationsprogramm oder anderen MDM-Lösungen. Anwender geben bei der Anbindung einfach die Daten ein, die sie von den Administratoren erhalten. Zur Authentifizierung der Endgeräte lassen sich auch Zertifikate einsetzen.

Um eine VPN-Verbindung mit Cisco AnyConnect aufzubauen, wird der Menüpunkt Verbindungen ausgewählt. Neue Verbindungen werden dann über den Menüpunkt „VPN-Verbindung hinzufügen“ konfiguriert. Hier stehen alle Konfigurationsmöglichkeiten für den Client zur Verfügung. Die Einrichtung können auch Anwender selbst vornehmen, wenn sie die entsprechenden Daten erhalten. Grundsätzlich ist der Cisco AnyConnect-Client recht leicht zu bedienen.

Im unteren Bereich der App stehen über den Menüpunkt Diagnostics Informationen zur Nutzung der App bereit. Arbeiten Sie mit einem zertifikatsbasierten VPN, können Sie Zertifikate in den Formaten PKCS#1 (.cer, .crt, .der) und PKCS#12 (.p12, .pfx) verwenden. Der Import der Zertifikate kann über das iPhone/iPad-Konfigurationsprogramm erfolgen, oder indem die Zertifikate manuell importiert werden. Grundlage des iPhone/iPad-Konfigurationsprogramms sind Konfigurationsprofile. Auch für Android-Geräte stehen hier verschiedene Möglichkeiten zur Verfügung.

SonicWall stellt für seine Appliances in Google Play ebenfalls eine VPN-App zur Verfügung, das gilt natürlich auch für viele andere Hersteller. Es ist aber nicht immer eine spezielle App notwendig, auch wenn diese in Google Play oder im Apple App-Store zur Verfügung steht. Android-Benutzer, aber auch Anwender mit iPhones und iPads können in den meisten Fällen auch mit den Standardeinstellungen im jeweiligen Betriebssystem arbeiten. Verwenden Unternehmen ein VPN auf Basis von „L2TP/IPSec PSK-VPN“, kann bei Problemen auf Android-Geräten das Deaktivieren der Option für den L2TP-Schlüssel helfen, um die Verbindung herzustellen.

Fazit

Unternehmen, die Anwendern eine VPN-Verbindung zur Verfügung stellen, sollten auch die Smartphones und Tablets berücksichtigen. Hier gilt auszuwählen, welche VPN-Typen der VPN-Server unterstützen soll und wie die Anbindung der Smartphones und Tablets erfolgen kann. Entweder nutzen Unternehmen hier MDM-Lösungen, um die VPN-Konfiguration automatisiert zu verteilen, oder Anwender erhalten eine Anleitung, um ihre Endgeräte anzubinden.

Die internen Clients in iOS 10, Android 7 und Windows 10 for Mobile sind in der Lage die meisten Szenarien abzubilden. Generell ist die Verwendung von Dritthersteller-Apps ebenfalls sinnvoll, da diese Apps optimal mit der jeweiligen VPN-Lösung zusammenarbeiten. Hier sind allerdings umfangreiche Tests notwendig, in welcher Konstellation die VPN-Anbindung am besten erfolgen kann.