FAQ LANCOM Trusted Access

Ja, LANCOM Trusted Access unterliegt und entspricht als IT-Security-Lösung Made in Germany europäischen Rechtsstandards und ist somit DSGVO-konform. Der LANCOM Trusted Access Client sowie die LANCOM Management Cloud (LMC) werden in Deutschland entwickelt, und auch das Hosting sämtlicher Cloud-Daten erfolgt in Rechenzentren in Deutschland. Für höchste Datensicherheit und höchsten Datenschutz erfolgt der Datenaustausch zur Benutzer-Authentifizierung ausschließlich über die LMC. Alle weiteren Nutzdaten verlaufen direkt zwischen LTA-Client und LTA-Gateway – ohne Auskopplung über eine externe Cloud. 

Egal, ob Sie Cloud-managed VPN-Client-Vernetzung für weitreichende Netzwerkzugriffe benötigen oder den Schritt zu einer umfassenden Zero-TrustSicherheitsarchitektur gehen möchten – LANCOM Trusted Access bietet passende Ausbaustufen an. Weitere Informationen dazu entnehmen Sie bitte dem Datenblatt. Bitte beachten Sie, dass LTA nicht für Private LMC zur Verfügung steht.

Datenblatt LANCOM Trusted Access Client

Mit LANCOM Trusted Access (LTA) verwalten Sie die Zugriffsrechte und Netzwerkverbindungen für mobile Mitarbeitende sicher und zentral über die LANCOM Management Cloud. Dabei wird den mobilen Benutzern der normale Internetverkehr grundsätzlich erlaubt (Split Tunnel). Um zusätzlich den gesamten Internetverkehr angebundener LTA-Clients abzusichern, aktivieren Sie den ‚Full Tunnel‘-Betrieb. Damit wird der gesamte Datenverkehr durch das zentrale LTA-Gateway (Unified Firewall oder SD-WAN Gateway) geleitet. Der Vorteil: Risiken durch unbefugte Zugriffe, Malware, Phishing und andere Cyberangriffe werden minimiert und können zusätzlich über aktivierte Sicherheitsfunktionen auf dem Gateway wie Anti-Virus oder Content Filter auch bei externen Web- / Cloudbasierten Anwendungen überprüft werden. Wir nennen diesen Betriebsmodus ‚Trusted Internet Access‘.

Der LANCOM Service & Support steht Ihnen mit Rat und Tat zur Seite, sofern Sie Unterstützung bei Software-Problemen benötigen oder technische Informationsanfragen haben.

Welche Voraussetzungen dafür gelten, erfahren hier:

Infopaper: Support-Leistungen LANCOM Trusted Access

Geräteredundanz des LTA-Gateways

Die geräteseitige Redundanz muss manuell auf den Geräten in der LMC konfiguriert werden und kann als redundanter Einwahlpunkt für LTA-Clients über ein HA-Cluster (LCOS FX oder bei LCOS mit unterschiedlichen Einwahl-Pools und VRRP) realisiert werden.

Leitungsredundanz (redundante Anbindung der LTA-Gateways)

Die leitungsseitige Redundanz muss manuell auf den Geräten in der LMC konfiguriert werden. Dabei terminieren mehrere WAN-Verbindungen auf einem Gerät (bis zu 4 WAN-Verbindungen bei LCOS, bis zu 6 WAN-Verbindungen bei LCOS FX).

Controller-Redundanz (Cloud)

Die LANCOM Management Cloud (LMC) ist geo-redundant ausgelegt. Sie dient bei LTA nur als „Control Plane“, d. h. die Nutzdatenübertragung erfolgt nach Autorisierung direkt zwischen LTA-Client und LTA-Gateway.

LTA-Client – autarker Weiterbetrieb

Für einen aktiven, autorisierten Client ist ein Weiterbetrieb ohne LMC-Verbindung möglich, solange die jeweilige Session besteht. Für höchste Resilienz ist optional ein autarker Weiterbetrieb der LTA-Clients einstellbar, so dass ein einmal authentisierter LTA-Client innerhalb eines definierten Zeitraums auch ohne Verbindung zur LMC bzw. nach Neustart des Clients oder Rechners eine Verbindung zu den zugewiesenen Zielen aufbauen kann.

LANCOM Trusted Access kann mit verschiedenen Tunnel-Modi verwendet werden. Dieser legt fest, ob der gesamte Netzwerkverkehr der LTA-Benutzer über den Tunnel zum Gateway geleitet wird (Full Tunnel) oder nur selektiv (Split Tunnel). Sie finden die Einstellungsmöglichkeiten in der LANCOM Management Cloud unter ‚Sicherheit / LANCOM Trusted Access / Client-Konfiguration‘. Die Sicherheitseinstellung für die LTA-Benutzer nehmen Sie hingegen im Profil ‚LTA users‘ unter ‚Sicherheit / Profile‘ vor.

Split Tunnel: Selektiver Netzwerkverkehr wird vom LTA-Client durch den sicheren Tunnel zum Gateway geleitet. Die Selektion erfolgt im LTA-Client auf Basis der ‚getunnelten Netze‘. Diese Einstellung ermöglicht eine effizientere Nutzung der Gateway-Ressourcen oder eine gezielte Steuerung bestimmter Datenverbindungen über das LTA-Gateway.

Full Tunnel: Jeglicher Netzwerkverkehr wird vom LTA-Client durch den sicheren Tunnel zum Gateway geleitet und kann auf dem Gateway durch Sicherheitsfunktionen überprüft werden. Die Sicherheitseinstellung für die LTA-Benutzer werden im Profil ‚LTA users‘ im Tab ‚Profile‘ vorgenommen. Die Kombination aus Full Tunnel-Betrieb und Sicherheitsmechanismen auf dem LTA-Gateway wird ‚Trusted Internet Access‘ genannt.

Für den Betrieb der LANCOM Trusted Access-Lösung benötigen Sie die folgenden drei LANCOM Komponenten sowie eine zentrale Benutzerdatenbank:

• LANCOM Trusted Access Client (LTA-Client):
  Verfügbar als 1, 3 oder 5 Jahreslizenzen, Client-Lizenzierung erfolgt zentral über die LANCOM Management Cloud
• LANCOM Management Cloud (LMC) (LTA-Controller):
  Konfiguration, Monitoring, Lizenzmanagement und Anbindung an Active Directory
• LANCOM Trusted Access Gateway (LTA-Gateway): LANCOM VPN-Router oder LANCOM R&S®Unified Firewall
  Bei kleinen Installationen kann ein vorhandener VPN-Router für Standortvernetzung und Remote Access eingesetzt werden. In größeren Szenarien empfiehlt sich eine Auslagerung z. B. der LTA-Gateway-Funktion auf ein Firewall HA-Cluster in einer DMZ.
• Zentrale Benutzerdatenbank mit Microsoft Entra ID Connect (ehem. Azure AD Connect) zur Kopplung an vorhandenes Microsoft Active Directory. Alternativ steht für kleine Installationen ohne AD auch eine interne User-Verwaltung in der LMC zur Verfügung (LMC-interne Benutzertabelle).

• Microsoft Windows 10 / 11 (auf Intel x86 bzw. x86-64 Prozessorarchitektur)
• MacOS (in Vorbereitung)

• Alle LCOS-basierten Router (Hardware oder vRouter) ab LCOS 10.80
• Alle LCOS FX-basierten Firewalls (Hardware oder vFirewall) ab LCOS FX 10.13 

LANCOM Trusted Access Client

Die Lizenzen des LANCOM Trusted Access Clients können mit den Laufzeiten 1, 3 und 5 Jahren für verschiedene Benutzerzahlen (1, 10, 25, 100, 250 oder 1.000) käuflich erworben werden. Die Lizenzierung erfolgt pro Benutzer (d. h. nicht pro Endgerät). Mit einer LTA-Lizenz können pro Benutzer bis zu drei Endgeräte parallel genutzt werden.

Alle LTA-Lizenzen sind immer genau einem Projekt in der LANCOM Management Cloud (LMC) zugeordnet (wird bei der Bestellung abgefragt) und sind nicht übertragbar. Maßgeblich für die Benutzer-Zählung sind diejenigen Mitarbeitenden eines Unternehmens, die entweder in der lokalen Benutzerverwaltung hinzugefügt und aktiviert sind oder in der Primärgruppe der IdP-Benutzerverwaltung (geeignete Active Directory-Gruppe, z. B. „LTA User“) enthalten sind. Gegenstand der Lizenzierung sind somit jeweils alle potenziell berechtigten Benutzer.

Trusted Access Gateway (Router oder Firewall)

• Alle LTA-Gateways müssen über eine aktive LMC-Lizenz verfügen.
• Auf LCOS-basierten Gateways ist pro Benutzer ein freier VPN-Kanal notwendig. Content-Filtering für Web-Traffic steht nur in Verbindung mit der entsprechenden Software-Option LANCOM Content Filter zur Verfügung.
• Auf LCOS FX-basierten Gateways ist eine aktive Basic- oder Full-Lizenz notwendig. Content-Filtering, IDS / IPS, Antivirus sowie SSL Inspection für Web-Traffic steht nur in Verbindung mit einer entsprechenden Full-Lizenz zur Verfügung.

Falls Sie nicht ausreichende LTA-Lizenzen für die Anzahl der verwalteten LTA-Benutzer aktiviert haben, erhalten Sie entsprechende Hinweismeldungen. Nach einem mehrstufigen Mahnprozess werden alle Zugänge gesperrt. Um dies zu verhindern, lizenzieren Sie bitte frühzeitig nach.

Es steht eine kostenfreie LTA-Starter-Lizenz zur Verfügung. Diese ermöglicht Ihnen den Test von LANCOM Trusted Access für maximal 30 Tage und 25 Benutzer.

Die LTA-Starter-Lizenz wird einmalig in Ihrer Lizenzverwaltung unter „LTA-Benutzer-Lizenzen“ hinterlegt und nach der Konfiguration des ersten LTA-Benutzers bzw. einer Benutzergruppen-Aktivierung aus einem Active Directory automatisch aktiviert. Voraussetzung dafür ist eine LMC-Organisation oder ein „Not-for-resale“-Projekt (NFR) in der LMC, welches kostenlos über das Partnerprogramm zur Verfügung gestellt wird.

Zur Eigenverwendung sowie für Tests und Demos können dort kostenfrei Geräte durchdie LANCOM Management Cloud betrieben werden. LANCOM Gold- und Platinum-Partner können pro Jahr bis zu 10 LTA-NFR-Lizenzen (CLA, projektgebunden, Laufzeit 1 Jahr) kostenfrei für Demo- und Testzwecke erhalten, Bronze- und Silver-Partner bis zu 5 LTA-NFR-Lizenzen. Ab Januar 2024 können in den NFR-Cloud-Projekten neben diesen LTA-NFR-Lizenzen auch kostenpflichtige LANCOM Trusted Access CLA-Lizenzen für den Eigenbetrieb eingesetzt werden.

Die nachfolgende Tabelle verdeutlicht, welche LTA-Lizenztypen in welchen LMC Projekttypen funktionieren und wie viele Lizenzen pro Partnerstufe kostenlos verfügbar sind: