cnt

Massenware oder Massanzug?

Ist IPSec oder SSL die bessere Variante für VPNs? Weder noch: Für Anwender sind Produktivität, Handhabung und Sicherheit viel wichtiger.

Artikel erschienen in Swiss IT Magazine 2008/04

     

Was die Produktivität anbelangt, so geht es heute darum, was ein VPN zu einer optimalen Nutzung der Leitungsstruktur beisteuern kann. Denn ein modernes VPN-System leistet einen signifikanten Beitrag zur Verbesserung der Ausfallsicherheit. Ein wesentlicher Aspekt ist dabei die Intelligenz des VPN-Systems: Ist es immun gegen Unterbrechungen? Kann es multiple Wege, zum Beispiel MPLS (Multiprotocol Label Switching) und Internet VPN, gemeinsam nutzen?



Sicherheitsanforderungen und Produktivitätserfordernisse lassen sich elegant kombinieren, wenn ein VPN zwischen zwei Standorten mehr als einen physikalischen Weg nutzt. Die Kombination von MPLS und Internet-Provider ist hier häufig anzutreffen. Aber auch beliebige Kombinationen von DSL, UMTS, ISDN mit Leased Line oder MPLS helfen, die Bandbreitenanforderungen kostenoptimal abzudecken.




Jeder VPN-Tunnel kann also mehrere physikalische Transporte nutzen. Für jeden Transport entscheidet der Administrator frei über die zu verwendende Enkapsulierung für das ESP-(Encapsulated Security Payload)Protokoll, verwendete Block-Chiffre und ob er Daten-Kompression aktiviert oder deaktiviert.
Damit lassen sich unterschiedliche Sicherheitsstufen je nach verwendetem Transportweg umsetzen. In Verbindung mit einer Verkehrsklassifikation durch die Firewall kann der Verkehr selektiv auf die einzelnen Transporte aufgeteilt werden. Zudem gibt es die Möglichkeit, zusätzliche Transporte bei Bedarf zu aktivieren, zum Beispiel einen UMTS oder ISDN Uplink. Er wird nur bei einem Ausfall der anderen Transporte benötigt, um ein Abreissen der Kommunikation zu verhindern.




Kann das VPN Störungen schnell erkennen und eine Verbindung unmittelbar wieder herstellen? Lösungen für letzteres Problem sind etwa die Erkennung von Störungen durch aktives Probing sowie der Austausch von Status-Informationen zwischen den VPN-Endstellen und anschliessend die automatische Wiederherstellung der Verbindung. Eine weitere Möglichkeit ist das Umschwenken des Verkehrs auf eine alternative Route. Dabei findet unter Umständen eine Repriorisierung des weitergeleiteten Applikationsverkehrs statt, wenn sich die verfügbare Bandbreite und die Leitungsauslastung ändern.




Der Nutzen von IPSec-Erweiterungen


Ein Tunnel für viele Netze

Die früher wichtige Frage nach der maximalen Anzahl unterstützter Tunnel wird dagegen beinahe obsolet. Viel relevanter ist: Wie viele Gegenstellen können angeschlossen werden? Denn ein Vorteil neuester IPSec VPNs ist, dass zwischen zwei Standorten nur ein Tunnel aufgebaut werden muss, unabhängig davon, wie viele Netze verbunden werden. Dies spart Ressourcen, verbessert die Übersichtlichkeit und verringert die Anzahl von möglichen Fehlerquellen. Auf diese Weise trägt ein VPN erheblich zur Geschäftskontinuität und Produktivität einer Organisation bei.






VPN-Tunnel mit bis zu drei physikalischen Transporten


Aussagekräftige grafische Tools

Bei allen Anwendergruppen ist aber auch die Handhabung im täglichen Betrieb ein wichtiges Thema, da hier ein grosses Kosteneinsparungspotential vorhanden ist. Viele am Markt verfügbare VPN-Implementierungen glänzen nicht unbedingt durch einfache Administrierbarkeit und gute Diagnostik. Zahlreiche Unternehmen mussten daher schon die Erfahrung machen: Konfigurations- und Betriebskosten steigen nicht proportional, sondern exponentiell zur Anzahl der Gateways.



Ein wichtiges Hilfsmittel für die IT-Abteilung sind einfach nutzbare, aussagekräftige grafische Tools. Das betrifft nicht nur die Überwachung und Auswertung. Zeitge-mässe zentrale Managementzentren leisten mehr: Ein schönes Beispiel ist die Möglichkeit, den Aufbau eines VPN-Tunnel-Verbunds einfach mit Hilfe von Drag-and-Drop mit der Maus zwischen den visualisierten VPN-Endpunkten in beliebigen Topologien ermöglichen. Auch multiple Transporte können hier durch mehrfaches Ziehen zwischen Standorten ein­fach angelegt werden.
Organisationen verwalten damit selbst global verteilte Infrastrukturen mit einem minimalen Personalaufwand.


Implementierung eigener Algorithmen

Auch im Bereich Security gibt es grosse Unterschiede zwischen verschiedenen VPNs. So gibt es Organisationen mit besonders hohen Sicherheitsanforderungen, wie Behörden. Sie fordern in ihren VPNs den Einsatz selbst gewählter Verschlüsselungsverfahren. Damit stellen sie sicher, dass niemand, selbst die VPN-Herstellerfirmen, eine technische Handhabe besitzen, um die Sicherheit zu kompromittieren oder auf Daten zuzugreifen. Entsprechend fortschrittliche VPN-Systeme bieten IPSec-Standard-Interoperabilität mit den Produkten anderer Hersteller. Phion zum Beispiel bietet zusätzlich noch eine proprietäre Variante an. Diese nutzt das ESP-Protokoll, aber einen modifizierten Key Exchange, der im Vergleich zu Internet key Exchange (IKE) durch einen pre-handshake bei zertifikatbasierter Authentisierung weniger DoS-anfällig ist.


Zudem erlaubt es die Hinzugabe eines ESP-Counter-Copy-Datenblocks hinter den Payload einen NOHASH-Modus zu verwenden. Das führt zu 100 Prozent Performancesteigerungen auf x86-Architekturen, ohne dabei die Sicherheit zu kompromittieren. Das Verfahren ist vergleichbar mit dem leistungsfähigen AES-GCM-Verfahren, welches auch darauf abzielt, rechenintensives Hashing zu vermeiden.



Diese VPN-Variante bietet auch zusätzliche Features an, die innerhalb von nativem IPSec nicht nutzbar sind. Dazu gehört die Unterstützung von proprietären Block-Chiffren. Diese werden gemäss API-Vorlage in reinem C programmiert und können in weiterer Folge als binärer Blob in der VPN-Konfiguration integriert werden. Dadurch ist gewährleistet, dass der Hersteller für den Anwender keine spezifischen Softwareanpassungen vornehmen muss und der Hersteller die Chiffre nicht zu kennen braucht. Das heisst, Organisationen, die einen erhöhten Bedarf haben, ihre Kommunikation zu schützen, können Algorithmen implementieren, die nur ihnen selbst bekannt sind. Zudem steht ein zusätzliches Kommunikationsprotokoll zwischen den Endgeräten zur Verfügung, um Informationen über die aktuelle Leitungsqualität auszutauschen.


Für gehobene Ansprüche: Ein Client am Endgerät

Die Themen Produktivität und Benutzerfreundlichkeit haben in der jüngeren Vergangenheit massiv zur Verbreitung von SSL-VPN-Lösungen beigetragen. Zwei Wünsche können als Haupttreiber dieser Entwicklung gelten: Erstens der Wunsch, auch hinter fremden Firewalls frei arbeiten zu können (Szenario eines Consultants, Servicetechnikers oder Vertriebsmitarbeiters), zweitens der Wunsch, keinen Client-Rollout an den Endgeräten bewerkstelligen zu müssen, indem man sich einfach des bereits vorhandenen Webbrowsers bedient. Differenziert betrachtet, verschwimmen mittlerweile aber die Unterschiede zwischen IPSec- und SSL-basierten Lösungen.



Das frühere Konnektivitätsdefizit von IPSec ist durch intelligente Enkapsulierungstechnologien von ESP sowohl in UDP als auch TCP gelöst. Bei TCP lässt sich zudem ein SSL-Handshake simulieren, sodass auch hochsichere IPSec-Klienten die Firewall oder den http-Proxy durchtunneln.





Die Vorteile des clientenlosen Zugangs beim SSL-VPN sind dagegen in der Praxis kaum noch relevant: Bei gehobenen Ansprüchen, wie transparentem Netzzugang und Health-Checks am Endpoint, muss schliesslich auch ein Client am Endgerät installiert werden – sei es vor der Erstverbindung oder während die Erstverbindung aufgebaut wird.




Damit verbleiben als eigentliche Pluspunkte von SSL-VPNs jene Einsatzbereiche, für die häufig kein Client verfügbar ist oder nicht installiert werden kann, das sind der Kiosk-PC, der PDA oder das Smartphone, aber auch weniger verbreitete Betriebssysteme. Als Konsequenz ist man dann funktionell jedoch auf ein simples HTTPS-Zugangsportal beschränkt. Der grösste Minuspunkt von SSL-VPN im transparenten Einsatz ist dagegen die relativ geringe Leistungsfähigkeit, bedingt durch das Übereinanderlegen von TCP einerseits als äusserem Enkapsulierungsprotokoll und TCP andererseits als dominantem transportiertem Anwendungsprotokoll.




Wer glaubt, dass VPN im Jahr 2008 eine voll ausgereizte Technologie ist, bei der alle Hersteller in etwa das Gleiche anbieten und es eigentlich nur noch um die Frage SSL oder IPSec geht, irrt also gewaltig. Die am Markt verfügbaren Implementierungen variieren stark. Speziell im Bereich Skalierbarkeit, Betriebskosten und Kommunikationsoptimierung ergeben sich grosse Unterschiede zwischen den einzelnen Produkten. Doch selbst bei den angebotenen Security Features gibt es VPNs von der Stange und VPN für indivi­duelle Ansprüche.


Der Autor

Dr. Wieland Alge ist CEO und Mitgründer der Phion AG




Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Wieviele Fliegen erledigte das tapfere Schneiderlein auf einen Streich?
GOLD SPONSOREN
SPONSOREN & PARTNER