Noch kein Licht am Ende des SSL-Tunnels

Zunehmend mehr Unternehmen haben zahlreiche Niederlassungen, Außenstellen, Heimarbeitsplätze und mobile Mitarbeiter. Deshalb wird es für sie immer wichtiger, ihren Geschäftsverkehr über ein Virtual-Private-Network (VPN) abzuschotten. Für sichere Kommunikation mit Geschäftspartnern ist das VPN ebenfalls unverzichtbar. Welcher verschlüsselte Tunnel – IPsec(urity) oder Secure-Socket-Layer (SSL) – erfüllt die Anforderungen am besten?

Sich in nächster Zeit von einer etablierten VPN-Technologie wie IPsec zu trennen, ist für Unternehmen kaum sinnvoll. Dies nicht nur, weil sie mit diesem Standard für die Standortvernetzung über öffentliche Netze gute Erfahrungen gemacht haben. Bewährt hat sich auch die Kodierung geschäftskritischer Daten mit bis zu 256 Bit langen Schlüsseln und in IPSec integrierten Verfahren für eine automatische Schlüsselverteilung.

Anders als über SSL lassen sich über IPSec flussempfindliche Ströme wie Echtzeitdaten, Sprache und Echtzeitvideo ohne Ausgabeverzögerungen an den Endgeräten übertragen. Die Unterstützung von Quality-of-Service (QoS) innerhalb des IPSec-Protokoll-Stack sorgt dafür. Gerade jetzt, mit dem Trend zu Voice-over-IP (VoIP), wird diese »eingebaute« QoS-Fähigkeit gebraucht. Darüber hinaus sprechen die ebenfalls bewährten Techniken wie Remote-Authentication-Dial-in-User-Service (Radius) und Application-Proxy-Firewall sowie der Schutz dieser Investitionen dafür, IPSec-VPNs vorerst beizubehalten.

Dennoch sollten die Entscheider das SSL-VPN auf Grund seiner Vorteile im Auge behalten. Im Gegensatz zum IPSec-VPN kommt das auf Sitzungsebene angesiedelte SSL-VPN Client-seitig ohne VPN-Software aus. Das dynamische Herunterladen einer Applikation wie eines Java-Applets im Web-Browser für den Aufbau der Session genügt, um zwischen Teilnehmer und Zentrale eine sichere, verschlüsselte Verbindung aufzubauen. Das erspart auf den Endgeräten die Installation, Konfiguration, Administration und Pflege der VPN-Client-Software.

Dieses einfache Konzept macht das SSL-VPN zudem schon heute attraktiv für das Einbinden von privaten Internet-Clients, die außerhalb der Verwaltungsdomäne des Unternehmens liegen. Neue Teilnehmer lassen sich über den dynamischen Aufbau von VPN-Sessions via HTTP (Hypertext-Transfer-Protocol) schneller und flexibler als bisher in den Kommunikationsverbund aufnehmen. Über das SSL-VPN etabliert das Unternehmen verschlüsselte Tunnel auf Sitzungsebene bis in die Geschäftsanwendungen hinein. Dabei kann die Übergabe der Einwahl in das Zugriffskontrollsystem direkt erfolgen, beispielsweise über Identity- und Access-Management (IAM).

Entsprechend optimistisch fällt die Prognose von International Data Corporation (IDC) zum Marktpotenzial aus. Der Analyst veranschlagt bis 2009 für den SSL-VPN-Markt durchschnittliche Jahreszuwächse von 35 Prozent. Jedoch verursacht auch das Verwalten von SSL-VPNs Aufwand. So muss das Gateway-System überwacht, administriert und bei Bedarf aktualisiert werden. Das System stellt die VPN-Funktionalität an den Client per Java-Applet oder ActiveX-Plug-in dar. Das SSL-VPN greift über HTTP ausschließlich gegenüber web-fähigen Anwendungen und Diensten. Historisch gewachsene Applikationen wie Legacy-Installationen und Client-/Server-Anwendungen bleiben somit über das SSL-VPN außen vor. Oder es müssen kostenintensive Anpassungen durchgeführt werden.

Für den durchgehenden Sitzungstunnel bis zu den Geschäftsapplikationen mit direkter Übergabe an das Zugriffskontrollsystem stellt der Hersteller für jedes Zielsystem zusätzlich Software-Lizenzgebühren in Rechnung. Das Prinzip solcher Tunnel setzt in den Unternehmen die Planung und Umsetzung eines zentralen Identity- und Access-Managementsystems voraus. Diese Entwicklung steht erst am Anfang.

Parallel zur Errichtung des komplexen IAM-Rahmenwerks müssen die Unternehmen an allen ihren Endgeräten – Desktops wie mobilen – zur eigenen Sicherheit Chipkarten mit einer Zwei-Faktoren-Authentisierung (zusätzlich Token oder biometrische Daten) einführen. Denn käme der Angreifer künftig in den Besitz des Authentisierungs-Privilegs, hätte er über das IAM-Modul Single-Sign-on (SSO) automatisch Zugriff auf alle Geschäftsapplikationen des legitimen Benutzers.

Fazit
Es wird noch einige Zeit dauern, bis Pläne wie das Übernehmen der Prüffunktionen von Authentisierungs-Servern und Application-Firewalls via SSL-Tunnel durch IAM realisierbar sind. Bis dahin sind die Unternehmen gut beraten, IPSec-VPNs beizubehalten. Nur in zwei Bereichen wird sich der SSL-Tunnel schon früher durchsetzen: zur Einbindung privater Internet-Clients und mobiler Arbeitsplätze wie Notebooks und bald Handhelds sowie Smartphones.