Effizienter im Tunnel unterwegs

SSL/VPN versus IPSec – Wenn es um die Netzwerksicherheit von VPNs geht, scheinen die Lager gespalten. Angeheizt wird die Diskussion zudem durch den »Anytime-and-Anwhere-Netzwerkzugriff«, den ein modernes Unternehmen heute bei umfassender Security bieten muss.

Der weltweite Vernetzungsgrad der Computersysteme und der Telekommunikationstechnologie hat auch im Zuge der voranschreitenden Globalisierung ein Ausmaß erreicht, das die Unternehmen in die Abhängigkeit von der Verfügbarkeit und dem Zugriff ihres unternehmensweiten und des globalen Netzwerkes geführt hat. Insbesondere das Zusammenwachsen der unterschiedlichen Netzwerktechnologien wie LAN, WAN, WLAN, GPRS, UMTS oder Bluetooth und die Integration von mobilen Endgeräten wie Notebooks, Sub-Notebooks, Handys, Smartphones oder Palms in eine globale Netzwerkstruktur stellen die Unternehmen vor immense Herausforderungen im Bereich der Netzwerksicherheit.

Längst werden kritische Geschäftsdaten nicht mehr nur über Desktop- und Serversysteme übertragen, sondern mehr und mehr auch über verschiedenste mobile Endgeräte und Anwendergruppen. Diese Entwicklung hat für die Unternehmen neben enormen Produktivitätsgewinnen aber auch neue Sicherheitsrisiken geschaffen, da die Netzwerkadministratoren es stetig, bedingt durch die neuen Netzwerktechnologien und -geräte, mit neuen Bedrohungen zu tun haben. Dies gilt insbesondere dann, wenn fremde Netze für die Datenübermittlung genutzt werden. Das geschieht von zu Hause, von anderen Unternehmensnetzen aus oder über öffentliche Hotspots.

Oft hoher Installationsaufwand nötig
Ursprünglich entwickelt, um Site-2-Site-Vernetzungen oder den Anschluss von Niederlassungen zu gewährleisten, setzen viele Administratoren IPSec ein, um konventionelle VPNs abzusichern. Auf Grund der Funktionsweise eignet sich IPSec – es baut einen Tunnel im Internet auf, um die Anwender außerhalb der firmeneigenen Firewall mit den unternehmenseigenen Systemen und Applikationen zu verbinden – somit auch für die zuvor genannten Vernetzungsansätze. Der Administrationsaufwand für die VPN-Verbindungen und damit auch die Kosten – es muss auf jedem PC oder Endgerät IPSec installiert sein – war für die Systembetreuer überschaubar.

Mit einer steigenden Anzahl von Usern und insbesondere mit der Anbindung von mobilen Endgeräten steigen jedoch neben dem administrativen Aufwand auch die Kosten rapide, wenn hierzu IPSec eingesetzt wird. In den heutigen VPN-Szenarien wie Internet-Banking oder Shops oder bei Großunternehmen wie Versicherungen mit vielen Außendienstmitarbeitern erscheint der Einsatz von IPSec daher nicht als besonders zweckmäßig. Dies wird noch deutlicher, wenn man bedenkt, dass sich die mobilen Nutzer frei zwischen den verschiedensten Endgeräten und Netzen bewegen. Wird hier IPSec eingesetzt, dann muss auf jedem denkbaren Client ein IPSec-Client eingerichtet und konfiguriert werden. Da die Konfigurationen aber unterschiedlichster Natur sind, je nach dem, welcher Internet-Zugang genutzt werden soll, wird schnell klar, dass IPSec wohl kaum die geeignete Technologie hierfür darstellt.

Hinzu kommt, dass insbesondere Anwender von mobilen Computersystemen unterschiedliche Internet-Zugänge – beispielsweise über UMTS, GPRS oder WLAN-Hotspots – nutzen. Hier müsste jeder mögliche Zugang separat konfiguriert werden. Oft ist der Anwender dann schnell bei der Benutzung überfordert, was zu unnötigen Helpdesk-Anfragen führt. Dynamisch zugeteilte IP-Adressen erschweren den Support zusätzlich. Ferner gilt es zu berücksichtigen, dass gerade im Home-Office-Bereich viele der Firewalls oder Gateways weder IPSec noch IPSec-Verbindungen erkennen beziehungsweise routen können. All dies führt zu einem Mehraufwand für die IT-Abteilungen innerhalb der Unternehmen, die einen hohen Aufwand für Installation, Konfiguration und Wartung einkalkulieren müssen.

In komplexen Remote-Access-Umgebungen treten bei IPSec zudem auch Probleme im Zusammenhang mit Network-Address-Translation (NAT), Firewall-Traversal und Bereitband-Anbindungen auf. So kommt es beispielsweise des öfteren vor, dass ein Notebook-User über den Internet-Access-Point keinen Tunnel durch Firewalls und Router des Kunden hindurch aufbauen kann. Ähnliche Probleme können mit öffentlichen WLAN-Hotspots entstehen, die in vielen Fällen NAT verwenden.

Hohes Risiko für die Unternehmen
Ferner birgt der Einsatz von IPSec auch zusätzliche Sicherheitsrisiken für die Unternehmen. Wie bereits erwähnt, baut IPSec einen vollkommen transparenten Tunnel zwischen zwei Endpunkten auf, womit ein direkter und ungeschützter Zugriff auf die Netzwerkressourcen oder Unternehmensdaten möglich ist. Ist der Tunnel etabliert, ist der Client mit dem Netz verbunden, so als ob sich dieser direkt im physikalischen LAN befinden würde.

Neben den Unzulänglichkeiten von neuer Software und neuen Systemen – oftmals weisen diese erhebliche Sicherheitslücken auf – sorgen die immer geschickter getarnten Angriffstechniken wie Trojaner, Würmer, Phishing oder Spyware, die gezielt Zugangsdaten oder Passwörter ausspionieren, für immer neue Bedrohungen des Netzwerkes. Da auch der Anwender zu Hause über den IPSec-VPN-Tunnel mit dem Unternehmensnetz verbunden ist, entstehen hier neue Bedrohungen für das gesamte unternehmensweite Netzwerk. Ist beispielsweise der private WLAN-Zugang nicht geschützt oder bereits geknackt, ist auch der Weg ins Unternehmen für den Hacker nicht mehr weit. Ohne aufwändige Sicherheitsmaßnahmen ist dies geradezu eine Einladung für jeden Datendieb.

Sicherer Remote-Access ohne großen Aufwand
Vor diesem Hintergrund macht eine Alternative zur sicheren Anbindung von Remote-Usern und Extranet-Umgebungen auf sich aufmerksam. Die Rede ist hier von Secure-Sockets-Layer-VPNs. Bei SSL handelt es sich um ein weit verbreitetes Protokoll, welches Public-Keys zur Verschlüsselung verwendet, die dann über SSL übertragen werden. Ein SSL/VPN-System benutzt sowohl SSL als auch Proxies, um somit den autorisierten und sicheren Zugriff auf http, Client-Server-Anwendungen und Daten zu ermöglichen. Durch diese Verfahrensweise wird die Sicherheit erhöht, da hier eine direkte Verbindung mit den Ressourcen des Netzwerkes unterbunden wird. Da SSL auch bei sicheren Web-Seiten mit https-URLs zum Einsatz kommt, unterstützt so gut wie jeder Browser dieses Protokoll. SSL-VPNs erfordern damit keine zusätzlichen Programme oder Änderungen der Netzwerkkonfiguration auf der Client-Seite, was den Installations- und Kostenaufwand erheblich reduziert. In vielen Fällen genügt den externen Mitarbeitern schon der damit mögliche Zugang auf interne Web-Seiten.

SSL-VPNs stehen in direkter Konkurrenz zu Microsofts Point-to-Point-Tunneling-Protocol (PPTP) und der IP-Erweiterung IPSec. Während PPTP immer wieder durch konzeptbedingte Sicherheitsprobleme von sich reden machte, steht IPSec nicht zu Unrecht in dem Ruf, kompliziert und unflexibel zu sein. Im Gegensatz zu den traditionell eingesetzten IPSec-VPNs bieten SSL-VPNs einen umfassenden Schutz, da es sich hierbei um ein Protokoll handelt, welches auf einem höheren Layer basiert und zudem applikationsunabhängig arbeitet.

Auf Basis dieser Technologie bieten Hersteller wie Array Networks SSL-VPN-Appliancesysteme an, die speziell für die Sicherheitsanforderungen von großen Netzwerkbetreibern wie Banken, Telekommunikationsanbieter oder Großkonzerne entwickelt wurden. Jüngstes Mitglied der SSL-VPN-Appliance-Systemfamilie ist die SPX5000 von Array Networks, die in Deutschland über den Mehrwert-Distributor Sysob und seine Resellerpartner mit umfassendem Service und Supportleistungen vertrieben wird. Eine einzige solche Appliance unterstützt gleichzeitig bis zu 64000 User, 250 VLANs und 128 virtuelle Sites.

Fazit
SSL wird die Bedeutung von IPSec-basierenden VPN-Umgebungen nicht in Frage stellen. IPSec gilt nach wie vor als De-facto-Standard für Site-2-Site-VPNs. Wenn aber die Remote-Anbindung von vielen mobilen Mitarbeitern oder Extranet-Strukturen im Vordergrund steht, stellt SSL-VPN oder die Kombination von SSL-VPN mit IPSec oftmals die bessere Wahl dar.

Thomas Hruby,
Geschäftsführer der Sysob IT-Distribution