SSL-VPN versus IPsec

Wer im Home Office oder unterwegs arbeiten will, benötigt einen sicheren Zugang ins Unternehmensnetzwerk. Doch welche Remote-Access-Lösung eignet sich am besten?

Artikel erschienen in Swiss IT Magazine 2010/09

     

Der Markt beziehungsweise die Unternehmen verlangen heute nach VPN-Lösungen (Virtual Private Network), mit denen Aussendienstmitarbeiter einfach und vor allem sicher auf Ressourcen im Firmennetzwerk zugreifen können. Zwei Technologien haben sich im Remote-Access-Bereich in den letzten Jahren etabliert: SSL-VPN und IPsec. Doch welche Vor- und Nachteile haben die beiden Technologien?



Die folgende Gegenüberstellung wird diese Frage beantworten und Unternehmen bei der Auswahl der richtigen Technologie helfen.


IPsec – Internet Protocol Security

IPsec arbeitet auf der Netzebene des OSI-Modells (Open Systems Interconnection) und sichert dabei alle Daten, die zwischen den zwei Endpunkten ohne eine Zuordnung zu einer bestimmten Anwendung übertragen werden. Wenn ein Client-Computer mit einem IPsec-VPN verbunden ist, ist er «praktisch» ein Vollmitglied des Firmennetzes. Der Client-Rechner kann das gesamte Netzwerk sehen und direkt auf den Inhalt zugreifen, ganz unkompliziert, weshalb IPsec am Markt derzeit auch als Standard etabliert ist.

Um auf ein IPsec-VPN zuzugreifen, muss auf dem betreffenden Arbeitsplatzrechner oder auf dem Gerät allerdings eine IPsec-Client-Software-Anwendung installiert sein. Dies ist sowohl ein Vorteil als auch ein Nachteil. Der Vorteil ist, dass durch eine zusätzliche Software nur Client-Rechner zugreifen können, die über eine richtige Software sowie Konfiguration verfügen. Dies spiegelt aber zugleich den grössten Nachteil von IPsec-VPNs wider: Nur durch eine komplexe Installation, die meist Administrationsrechte benötigt, ist ein Zugriff auf das Unternehmensnetzwerk möglich.


Ein weiterer Nachteil ist, dass eine Kommunikation über IPsec in mit Routern oder Firewalls geschützten Netzwerken oft nicht automatisch möglich ist, sondern eine spezielle Konfiguration notwendig ist. Es ist dieser Nachteil des IPsec-VPN, der im allgemeinen als einer der grössten Vorteile für konkurrierende SSL-VPN-Lösungen gewertet wird.

SSL – Secure Socket Layer

SSL ist ein weitverbreitetes Protokoll, das heute in allen Web-Browsern integriert ist. Dadurch ist fast jeder Rechner bereits mit der notwendigen Client-Software versorgt, um eine Verbindung mittels SSL-VPN aufzubauen. Bei SSL-VPN unterscheidet man grundsätzlich zwischen zwei verschiedenen Kommunika-tionswegen: dem Clientless-Zugriff und dem Zugriff mittels eines Clients.


Der Clientless-Zugriff bezieht sich in erster Linie auf Web-Applikationen, die über HTTPS im internen, gesicherten Netzwerk bereitgestellt werden. Der Zugriff von extern erfolgt hier – gesichert mit SSL-VPN – direkt über den Browser. Hierbei muss der Benutzer keinerlei zusätzliche Software installieren. Die Verbindung wird wieder beendet, sobald der Browser geschlossen wird.


Beim Client-basierten Zugriff lädt der externe Benutzer meist eine Java- oder ActiveX-basierte Applikation herunter, die sich grundsätzlich ohne Administrationsrechte ausführen lässt. Diese Applikation stellt dann die netzwerkseitige Verbindung in das Firmennetz her. Neben den nicht benötigten Rechten auf dem Client, kommt hier ein weiterer Vorteil von SSL-VPN zu tragen. Der Client baut die Verbindung über den Standard Port für SSL auf – Port 443. Dadurch ergeben sich, anders als bei IPsec, keine Probleme bei Verbindungen über Firewalls oder Router, da SSL beziehungsweise die HTTPS-Kommunikation immer freigegeben sein sollte. Somit ist ein flexibler Zugriff von nahezu jedem Standort mit dem Client möglich. Ebenfalls gelöst ist das Problem der Client-Installation. Da der Client in der Regel mittels ActiveX oder Java vom Browser bereitgestellt wird, sind ein mühsamer Rollout und die Konfiguration eines IPsec-Clients nicht mehr notwendig.



Eine Frage der Sicherheit

Sowohl für IPsec als auch für SSL wird die Sicherheit der VPN-Verbindung wesentlich durch die erste Authentifizierung bestimmt. Zur Basis-installation sollte generell ein System zur Abwehr von DoS- und DDoS-Attacken (Denial of Service/Distributed Denial of Service) auf dem zentralen Zugangssystem gehören. Daneben gilt: Egal ob über einen Client oder über einen Browser zugegriffen wird: Ein guter Nutzername und ein starkes Passwort sind entscheidend. «Brute Force»-Angriffe, auch «Dictionary-Attacken» genannt, können andernfalls diese erste, wesentliche Hürde leicht überbrücken.


Viele SSL-VPN-Systeme tragen zu einer starken Authentifizierung bei. Sie bieten eine One-Time-Passwort-(OTP-) oder Token-Lösung, ohne die der Zugriff auf das jeweilige Unternehmensnetzwerk nicht möglich ist. Die Authentifizierung und Autorisierung muss hier mit in die Security Policy einfliessen.


Nach der ersten Phase der Vertrauensherstellung folgt der Aufbau eines Tunnels zum Unternehmensnetzwerk. Hier lassen sich die Zugriffsrechte bei SSL-VPN sehr viel feiner definieren, so dass der Zugriff auf Informa-tionen besser an die Security Policy des Unternehmens angepasst werden kann als dies bei IPsec der Fall ist. Während nämlich bei IPsec nur die Firewall und damit der allgemeine Netzwerk-Traffic konfiguriert werden kann, bieten SSL-VPN-Lösungen den Adminis-tratoren eine dedizierte, Rollen-basierte Zugriffskontrolle.


Auch IPsec kann anwendungsbezogen installiert werden, so dass der Tunnel nicht bei jeder Verbindung mit dem Client vollständig geöffnet ist. Mit anderen Worten lassen sich die Anwendungen, die über die Remote-Verbindung verfügbar sind, je nach Bedarf beschränken. Jedoch ist hier die Sensibilisierung und Schulung der Aussendienstmitarbeiter gefragt, welche diese Einstellungen selbst bestimmen. Allzu oft spielen Nachlässigkeit und Bequemlichkeit eine wesentliche Rolle – auf Kosten der IT-Sicherheit.


Neben der Authentifizierung steht vor allem das Endgerät selbst im Fokus. Manche SSL-VPN-Lösungen können einen sogenannten «Endpoint Security Check» durchführen, der den Client auf Viren-Scanner, Desktop Firewall sowie Anti-Spyware hin untersucht. Hierbei wird zum einen geprüft, ob zum Beispiel ein definierter Viren-Scanner vorhanden und aktiv ist und ob dieser aktuelle Definitionen enthält. Zum anderen sind auch weitere Überprüfungen des Clients, beispielsweise auf den Rechnernamen, das Betriebssystem und vieles mehr möglich.



Welche Lösung für wen?

Es gilt, die oft geführte Sicherheitsdebatte rund um IPsec und SSL-VPN differenziert zu betrachten. Im Grunde verwenden zwar beide die gleichen Algorithmen, bieten Authentifizierung und eine Verschlüsselung beim Datenaustausch. Damit ist jedoch unter Security-Aspekten nur ein Basisschutz gegeben. Wird hingegen eine vielschichtige Sicherheitsarchitektur benötigt, so stossen Firmen mit IPsec rasch an ihre Grenzen.


In der heutigen Zeit nehmen Sicherheitsbedrohungen rasant zu und ein einziger, mit Malware infizierter Computer kann in einem Netzwerk im Handumdrehen einen enormen Schaden anrichten. SSL-VPN ist hier das Mittel der Wahl. Administratoren können mit diesen Lösungen den Zugriff auf Unternehmensnetze sehr viel feiner steuern und regeln. Des weiteren lässt sich eine SSL-VPN- Lösung besser an Endnutzer verteilen als es bei IPsec der Fall wäre.


Bei der eigentlichen Auswahl einer geeigneten VPN-Lösung sind schliesslich verschiedene Faktoren ausschlaggebend. Es gibt Anbieter, die sich mit ihren Produkten überwiegend an kleine und mittlere Unternehmen richten. Diese erhalten so Lösungen, die unmittelbar auf ihre Anforderungen zugeschnitten und beispielsweise auch im Bezug auf das Management einfach zu handhaben sind. Andere Hersteller bieten Lösungen an, die sich eher für grössere Installationen eignen und eine entsprechend umfangreiche Palette an Funktionen bieten.


Neben dem Funktionsumfang spielt selbstverständlich der Preis eine entscheidende Rolle. Dabei gilt es folgendes zu beachten: Hochkomplexe Möglichkeiten sind sehr oft mit der Anschaffung weiterer Hard- und Software verbunden – etwa Server oder Lizenzen. Diese zusätzlichen Investitionen können sich leicht noch einmal auf dieselbe Summe belaufen, die bereits das eigentliche VPN-Produkt gekostet hat. Einige Anbieter stellen deshalb Lösungen «out of the box» bereit. Hier sind bereits umfassende Funktionen wie etwa Endpoint Security oder erweiterte Sicherheit durch Einmal-Passwörter integriert. Und ein solches Appliance-Produkt ist schnell in Betrieb genommen.


Fällt die Wahl auf eine Stand-alone-Lösung, so sollte unbedingt darauf geachtet werden, dass sie mit den im Unternehmensnetz bereits vorhandenen Systemen kompatibel ist. So lassen sich oft bereits vorhandene Zertifikate weiter nutzen oder auch die bestehende Authentifizierungs-Software integrieren.




Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Was für Schuhe trug der gestiefelte Kater?
GOLD SPONSOREN
SPONSOREN & PARTNER