Editorial
SSL-VPN verdrängt IPSec
Artikel erschienen in Swiss IT Magazine 2004/21
Artikel erschienen in Swiss IT Magazine 2004/21
Das Protokoll Secure Socket Layer (SSL), das in der Welt des
E-Commerce seit Jahren für Sicherheit sorgt, dringt in Form von SSL-VPN-Produkten immer mehr in Bereiche des klassischen VPN-Remote-Access vor. Kaum eine Sicherheitsfirma, die in den letzten Monaten nicht ein solches Produkt
lanciert hat oder eine Kooperation eingegangen ist. Geht es hier einmal mehr um einen Hype? Zahlreiche Analysten glauben das nicht. Sie prophezeien eine Wachablösung.
Für einmal bin ich einer Meinung mit den Analysten. Für SSL-VPN sprechen die wesentlich geringeren Kosten, da keine Client-Software installiert werden muss. Die grösste Kostenersparnis entfaltet sich dann, wenn Web-Applikationen angebunden werden, weil ein ganz normaler Browser als Client reicht. Puristen mögen aufschreien: Das ist auch ein Client! Doch der kleine Unterschied besteht darin, dass er auf praktisch jedem Endgerät schon vorhanden ist. Selbst wenn für die End-Applikation kein Web-Frontend vorhanden ist, bieten Hersteller ein solches auf dem SSL-VPN-Gerät an. Zumindest für die am häufigsten benutzten Applikationen. Dies ist zum Beispiel für den Zugriff auf File-Server-Strukturen der Fall.
In vielen Firmen beschränkt sich der VPN-Zugriff der meisten Benutzer ohnehin auf den File-Server und auf eine Groupware, die meist über ein recht komfortables Web-Frontend verfügt. Aber auch klassische Client/Server-Applikationen können benutzt werden. Der Zugriff erfolgt dann über eine ActiveX-Komponente, die wie ein IPSec-Client vollen Netzwerk-Level-Access bietet, oder über ein Java-Applet. Beide werden nach dem Einwählen über die Portalseite der SSL-VPN-Lösung dynamisch installiert.
Ein weiterer Punkt, wo SSL-VPN-Lösungen klare Vorteile bringen, ist der Netzzugang von Partnerfirmen. Bei IPSec-Lösungen ist das ein Problem, da kaum ein Partner sich dazu verdonnern lässt, die IPSec-Software des Kunden auf seinem Endgerät zu installieren, zumal er möglicherweise über eine eigene VPN-Client-Software verfügt. Dies ist oftmals der Grund, warum Firmen sich für eine SSL-VPN-Lösung entscheiden. Selbst wenn der Partner Client/Server-Applikationen benutzen möchte, kann dies mit der Java-Applet-Variante realisiert werden, denn die dynamische Installation benötigt keine administrativen Rechte auf dem Client. Dabei wird der VPN-Verkehr über Localhost-IP-Adressen auf den SSL-Gateway «getunnelt». So lassen sich ganze RAS-Dial-in-Lösungen ausmustern.
Weitere typische Szenarios, wo SSL-VPNs Sinn machen, sind die Fernadministration von Kundensystemen durch IT-Firmen, der Zugriff von Mitarbeitern über deren Heim-PC oder die Zugriffsregelung in Internet-Cafés. Also überall dort, wo unterschiedliche Endgeräte, die nicht unter der Kontrolle der Firma stehen, sicherheitstechnisch unterschiedlich gewichtet werden müssen. Hier sollte man allerdings vorsichtig ans Werk gehen und den Zugriff nur auf nicht-kritische Daten und Applikationen beschränken.
Es ist aber auch möglich, einen Mischbetrieb zu fahren. So können Firmen-Mitarbeiter und Geschäftpartner von unterschiedlichen Endgeräten über die gleiche SSL-VPN-Lösung auf Firmen-Ressourcen zugreifen. Abhängig vom Endgerät werden dann die Zugriffsrechte unterschiedlich gesetzt. Zusätzlich ist es möglich, Partner und Firmen-Mitarbeiter über verschiedene Portalseiten voneinander zu trennen, die wiederum ihr eigenes «look and feel» haben können.
SSL-VPN wird im Remote-Access-Bereich IPSec zwar nicht ganz zum Verschwinden bringen. Denn gerade für die Power-User, die den kompletten Zugriff auf das Firmennetzwerk benötigen, gibt es wenig Gründe zu wechseln. Aber für den grossen Rest ist SSL-VPN die bessere Wahl, da flexibler, kostengünstiger und genau so sicher.
Artikel kommentieren
