Was die Produktivität anbelangt, so geht es heute darum, was ein VPN zu einer optimalen Nutzung der Leitungsstruktur beisteuern kann. Denn ein modernes VPN-System leistet einen signifikanten Beitrag zur Verbesserung der Ausfallsicherheit. Ein wesentlicher Aspekt ist dabei die Intelligenz des VPN-Systems: Ist es immun gegen Unterbrechungen? Kann es multiple Wege, zum Beispiel MPLS (Multiprotocol Label Switching) und Internet VPN, gemeinsam nutzen?
Sicherheitsanforderungen und Produktivitätserfordernisse lassen sich elegant kombinieren, wenn ein VPN zwischen zwei Standorten mehr als einen physikalischen Weg nutzt. Die Kombination von MPLS und Internet-Provider ist hier häufig anzutreffen. Aber auch beliebige Kombinationen von DSL, UMTS, ISDN mit Leased Line oder MPLS helfen, die Bandbreitenanforderungen kostenoptimal abzudecken.
Die früher wichtige Frage nach der maximalen Anzahl unterstützter Tunnel wird dagegen beinahe obsolet. Viel relevanter ist: Wie viele Gegenstellen können angeschlossen werden? Denn ein Vorteil neuester IPSec VPNs ist, dass zwischen zwei Standorten nur ein Tunnel aufgebaut werden muss, unabhängig davon, wie viele Netze verbunden werden. Dies spart Ressourcen, verbessert die Übersichtlichkeit und verringert die Anzahl von möglichen Fehlerquellen. Auf diese Weise trägt ein VPN erheblich zur Geschäftskontinuität und Produktivität einer Organisation bei.
Bei allen Anwendergruppen ist aber auch die Handhabung im täglichen Betrieb ein wichtiges Thema, da hier ein grosses Kosteneinsparungspotential vorhanden ist. Viele am Markt verfügbare VPN-Implementierungen glänzen nicht unbedingt durch einfache Administrierbarkeit und gute Diagnostik. Zahlreiche Unternehmen mussten daher schon die Erfahrung machen: Konfigurations- und Betriebskosten steigen nicht proportional, sondern exponentiell zur Anzahl der Gateways.
Auch im Bereich Security gibt es grosse Unterschiede zwischen verschiedenen VPNs. So gibt es Organisationen mit besonders hohen Sicherheitsanforderungen, wie Behörden. Sie fordern in ihren VPNs den Einsatz selbst gewählter Verschlüsselungsverfahren. Damit stellen sie sicher, dass niemand, selbst die VPN-Herstellerfirmen, eine technische Handhabe besitzen, um die Sicherheit zu kompromittieren oder auf Daten zuzugreifen. Entsprechend fortschrittliche VPN-Systeme bieten IPSec-Standard-Interoperabilität mit den Produkten anderer Hersteller. Phion zum Beispiel bietet zusätzlich noch eine proprietäre Variante an. Diese nutzt das ESP-Protokoll, aber einen modifizierten Key Exchange, der im Vergleich zu Internet key Exchange (IKE) durch einen pre-handshake bei zertifikatbasierter Authentisierung weniger DoS-anfällig ist.
Zudem erlaubt es die Hinzugabe eines ESP-Counter-Copy-Datenblocks hinter den Payload einen NOHASH-Modus zu verwenden. Das führt zu 100 Prozent Performancesteigerungen auf x86-Architekturen, ohne dabei die Sicherheit zu kompromittieren. Das Verfahren ist vergleichbar mit dem leistungsfähigen AES-GCM-Verfahren, welches auch darauf abzielt, rechenintensives Hashing zu vermeiden.
Die Themen Produktivität und Benutzerfreundlichkeit haben in der jüngeren Vergangenheit massiv zur Verbreitung von SSL-VPN-Lösungen beigetragen. Zwei Wünsche können als Haupttreiber dieser Entwicklung gelten: Erstens der Wunsch, auch hinter fremden Firewalls frei arbeiten zu können (Szenario eines Consultants, Servicetechnikers oder Vertriebsmitarbeiters), zweitens der Wunsch, keinen Client-Rollout an den Endgeräten bewerkstelligen zu müssen, indem man sich einfach des bereits vorhandenen Webbrowsers bedient. Differenziert betrachtet, verschwimmen mittlerweile aber die Unterschiede zwischen IPSec- und SSL-basierten Lösungen.
Das frühere Konnektivitätsdefizit von IPSec ist durch intelligente Enkapsulierungstechnologien von ESP sowohl in UDP als auch TCP gelöst. Bei TCP lässt sich zudem ein SSL-Handshake simulieren, sodass auch hochsichere IPSec-Klienten die Firewall oder den http-Proxy durchtunneln.
Die Vorteile des clientenlosen Zugangs beim SSL-VPN sind dagegen in der Praxis kaum noch relevant: Bei gehobenen Ansprüchen, wie transparentem Netzzugang und Health-Checks am Endpoint, muss schliesslich auch ein Client am Endgerät installiert werden – sei es vor der Erstverbindung oder während die Erstverbindung aufgebaut wird.
Damit verbleiben als eigentliche Pluspunkte von SSL-VPNs jene Einsatzbereiche, für die häufig kein Client verfügbar ist oder nicht installiert werden kann, das sind der Kiosk-PC, der PDA oder das Smartphone, aber auch weniger verbreitete Betriebssysteme. Als Konsequenz ist man dann funktionell jedoch auf ein simples HTTPS-Zugangsportal beschränkt. Der grösste Minuspunkt von SSL-VPN im transparenten Einsatz ist dagegen die relativ geringe Leistungsfähigkeit, bedingt durch das Übereinanderlegen von TCP einerseits als äusserem Enkapsulierungsprotokoll und TCP andererseits als dominantem transportiertem Anwendungsprotokoll.
Wer glaubt, dass VPN im Jahr 2008 eine voll ausgereizte Technologie ist, bei der alle Hersteller in etwa das Gleiche anbieten und es eigentlich nur noch um die Frage SSL oder IPSec geht, irrt also gewaltig. Die am Markt verfügbaren Implementierungen variieren stark. Speziell im Bereich Skalierbarkeit, Betriebskosten und Kommunikationsoptimierung ergeben sich grosse Unterschiede zwischen den einzelnen Produkten. Doch selbst bei den angebotenen Security Features gibt es VPNs von der Stange und VPN für individuelle Ansprüche.
