Geht es um den sicheren Fernzugriff auf das Unternehmensnetz, so kommen heute vor allem zwei Techniken zum Einsatz:
- IPsec VPNs und
- SSL-VPNs.
Eine nur noch untergeordnete Rolle spielt dagegen ein Klassiker des Fernzugriffs, die Remote Access Services (RAS). Zu einer Zeit entwickelt, als Internet und DSL noch unbekannt waren, zeichnet sich das Verfahren vor allem durch seine Unterstützung unterschiedlichster Übertragungsverfahren aus. Von analogen Methoden über ISDN, X.31 bis hin zu UMTS und Co. können fast alle Transportmedien genutzt werden, um eine Punkt-zu-Punkt-Verbindung aufzubauen. Für diese sind dann aber auch die entsprechenden Verbindungskosten zu zahlen, denn im Gegensatz zu den anderen beiden VPN-Techniken bleibt hier das Internet als kostengünstiges Transportmedium außen vor. Mittlerweile führt RAS eher ein Schattendasein im Bereich der Maschinenvernetzung, um etwa Geldautomaten zu verbinden oder Fahrkartenautomaten eine Möglichkeit zu geben, ihren Wartungsbedarf automatisch zu melden.
Abgesehen von diesen Sonderfällen mit direktem Zugriff über Punkt-zu-Punkt-Verbindungen kommen heute in der Regel IP-basierende VPNs zum Einsatz. Der Charme dieses Ansatzes besteht darin, dass Teile eines öffentlichen Netzes als kostengünstiges Transportmedium genutzt werden und über dieses quasi ein virtuelles privates Netz gelegt wird. Im Gegensatz zu RAS, das auf den unteren Netz-Layern greift, sind diese Verfahren meist auf der Netzebene zwei beziehungsweise drei des OSI-Modells angesiedelt. Entsprechende VPNs können mit Protokollen wie L2TP, PPTP, ViPNet und anderen realisiert werden. In der Praxis kommt jedoch sehr häufig IPsec zum Einsatz, weshalb sich für diese Gattung allgemein der Begriff IPsec-basierende VPNs eingebürgert hat.
Transparent: IPsec VPN
Für diese Art der remoten Koppelung spricht unter anderem, dass günstige und breitbandige Übertragungsarten wie WLAN-Hotspots oder DSL-Verbindungen sowie das Internet als physikalisches Transportnetz genutzt werden können. Über diese wird dann ein virtuelles Overlay-Netz gelegt, um etwa das heimische LAN eines Teleworkers transparent mit dem Corporate Network zu koppeln. Die Daten selbst werden verschlüsselt durch einen Tunnel transportiert. Alle LAN-Applikationen sind so ohne Modifikation remote nutzbar, und für die Anwendungen fällt kein Integrationsaufwand an. Selbst Voice over IP (VoIP) ist über ein IPsec-VPN kein Problem, wenn das Transportnetz performant genug ist. Auf diese Weise wird das IP-Telefon im Home Office zur Nebenstelle der Unternehmenstelekommunikation. Ferner sind im Gegensatz zu anderen Methoden keine Network-Layer-Applets wie ActiveX oder Java/JRE erforderlich.
IPsec VPN
(+) Günstige Kommunikationskosten;
(+) transparente Anbindung;
(+) sichere Vernetzung;
(+) vielseitig nutzbar (etwa VoIP).
(-) Schwierige Konfiguration;
(-) komplex;
(-) mangelnde Interoperabilität;
(-) extra Client-Software;
(-) nicht für alle Clients erhältlich;
(-) Client-Rechner wird zur Außengrenze des Netzes.
Diesen Pluspunkten stehen jedoch eine Reihe von Nachteilen entgegen. So sind für die Realisierung des VPN in der Zentrale VPN-Gateways oder Access-Router mit integrierter VPN-Funktionalität erforderlich. Gleiches gilt für die Gegenseite. Handelt es sich bei dieser nur um einen einfachen Rechner oder ein anderes Endgerät, so ist keine separate Hardware notwendig. Die Funktionalität kann auch über einen VPN-Client hergestellt werden. Soll ein VPN-Projekt in einem größeren Unternehmen mit heterogener Endgerätelandschaft realisiert werden, so ist darauf zu achten, ob wirklich für alle Endgeräte ein entsprechender Client erhältlich ist. Bei mobilen Endgeräten ist neben der Client-Verfügbarkeit zudem noch die Rechenleistung ein Thema, denn nicht selten sind die Prozessoren der Kleinstcomputer mit dem Rechenaufwand für die Verschlüsselung überfordert.
Schwierige Konfiguration
Was in der Praxis bei der Planung und Einrichtung zu beachten ist, zeigt der Beitrag "Sicherer Netzzugang in allen Lebenslagen" auf Seite 12. Ein Stolperstein sind beispielsweise die vielen Parameter zum Aufbau der verschlüsselten Kommunikationstunnel. Diese komplexen Vorgänge führen des Weiteren dazu, dass es zwischen dem Equipment verschiedener Anbieter häufig an der Interoperabilität hapert. Zwar versuchen die Mitglieder des VPN Consortiums (VPNC), das reibungslose Zusammenspiel ihrer Produkte sicherzustellen, doch in der Praxis bleibt dies häufig nur ein frommer Wunsch. Die Absicherung der Verbindung selbst ist jedoch nur einer der Security-Aspekte, die bei IPsec-VPNs zu beachten sind. Da wie oben dargestellt das LAN eines Teleworkers zu einem Bestandteil des Corporate Network wird, muss sichergestellt sein, dass auch Ersteres von Viren, Trojanern und anderem digitalen Ungeziefer frei ist. Denn die beste Security Policy im Unternehmen nutzt wenig, wenn über das VPN neue Würmer eingeschleppt werden, die sich etwa der Sohnemann des Mitarbeiters zu Hause bei seiner letzten Filesharing-Session eingefangen hat.
Keep it simple: SSL-VPNs
Gerade diese Komplexität und die vielen Fallstricke führten dazu, dass mit den SSL-VPNs eine Alternative entwickelt wurde, die mit weniger Verwaltungsaufwand und einer einfacheren Konfiguration - also weniger Fehlerquellen - punkten sollte. Diese auch als Web-basierende VPNs bezeichnete Form des virtuellen Netzes setzt nicht auf den unteren Netzschichten, sondern auf der Applikationsschicht des OSI-Modells an.
SSL VPNs
(+) Einfach zu realisieren;
(+) bereits ein SSL-fähiger Web-Server reicht;
(+) lediglich Browser als Client erforderlich;
(+) es findet kein direkter Netzzugriff statt.
(-) Anwendungen müssen Web-enabled sein;
(-) direkter Dateizugriff nur über Umwege möglich;
(-) keine transparente Netzanbindung (etwa bei VoIP wichtig);
(-) Gefahr durch manipulierte Browser;
(-) vertrauliche Daten können im Browser-Cache fremder Rechner zurückbleiben;
(-) kein Arbeiten wie direkt am Arbeitsplatz möglich.
Ziel eines SSL-VPN ist der möglichst einfache und sichere Zugriff auf Web-Anwendungen von unterwegs, ohne dass der Anwender einen direkten Zugriff auf das Unternehmensnetz erhält. Gerade der letzte Teilaspekt ist für Unternehmen interessant, die externe Partner wie freie Mitarbeiter, Kunden und Lieferanten oder sporadische Fernbenutzer wie beispielsweise Messebesucher einbinden wollen. Zudem eignet sich die Technik als alternativer Zugang für die eigenen Mitarbeiter, wenn diese aufgrund der Firmen-Policy bei einem Kunden keinen IPsec-Tunnel aufbauen können.
Web-Server als Gegenstelle
Für die Installation einer solchen Lösung ist in der einfachsten Variante nur ein SSL-fähiger Web-Server mit den nötigen Inhalten erforderlich, und als Client genügt der Browser, um eine gesicherte Verbindung zu der gewünschten Anwendung herzustellen. Fast jedes Endgerät - also auch Handys mit Browser und proprietärem Betriebssystem - kann so für den remoten Zugriff verwendet werden, denn anders als bei IPsec-VPNs ist keine spezielle Client-Software erforderlich, die dann womöglich für die eine oder andere Plattform nicht erhältlich ist.
Allerdings funktioniert diese einfache Variante nur, wenn die Unternehmensanwendungen über HTTP erreichbar sind. Ist dies nicht der Fall, benötigt der Anwender einen SSL-VPN-Server beziehungsweise einen Proxy als Bindeglied zu den anderen Anwendungen. Mit einem entsprechenden Server lässt sich zudem gleich ein weiteres Manko der SSL-VPNs umschiffen. Da die Technik per se auf der Anwendungsebene aufsetzt, erlaubt sie keinen direkten Zugriff auf Dateiebene. Diesen remoten File Access kann der Anwender wiederum mit Hilfe des VPN-Servers ermöglichen.
Aufbau einer SSL-VPN-Sitzung
‚Ä¢ Der Benutzer verbindet sich über seinen Browser mit der Login-Seite des SSL-VPN-Gateways.
• Dort muss er sich authentisieren, um auf die Portalseite zu gelangen.
‚Ä¢ Spätestens nach diesem Login wird überprüft, auf welche Ressourcen (etwa Applikationen) der Benutzer zugreifen kann und darf.
‚Ä¢ Nach Bedarf wird dem Benutzer über den Browser ein Applet (Java oder ActiveX) oder eine andere Software heruntergeladen, welche ihm den nötigen Zugriff auf die Ressourcen des internen Netzes ermöglicht.
‚Ä¢ Der Benutzer kann nun über die aufgebaute SSL-Verbindung geschützt und sicher auf die erforderlichen Ressourcen zugreifen.
‚Ä¢ Nach der Sitzung können noch Clean-up-Routinen auf dem Client betrieben werden
Entsprechende dedizierte Server empfehlen sich auch, weil damit Client-Parameter wie verwendetes Betriebssystem, Service Packs und Hotfixes geprüft werden können. Ferner lassen sich so die gestarteten Dienste und Anwendungen auf dem remoten Rechner abfragen. Mit Hilfe dieser Daten können dann fein graduierte Zugriffsrechte gewährt werden. Wird ein Endgerät als unsicher eingestuft, so erhält der Anwender beispielsweise lediglich Zugriff auf den Speiseplan der Kantine, während ihm die Verwendung der ERP-Software nur dann erlaubt ist, wenn sein Endgerät alle Sicherheitschecks besteht.
Um oben genannte Funktionen zu realisieren, müssen die Hersteller teilweise den Funktionsumfang des Browsers über die reine SSL-Funktionalität hinaus durch ActiveX oder Java Applets erweitern.
Unter dem Strich haben also sowohl IPsec- als auch SSL-VPNs ihre spezifischen Vor- und Nachteile. Wer seinen Mitarbeitern überall - etwa in einem Internet-Cafe - einen schnellen Zugriff auf die Unternehmensapplikationen ermöglichen will, wird SSL-VPNs bevorzugen. Besonders wenn er seine Anwendung bereits als Web-Services betreibt.
Auch IT-Verantwortliche, die einen heterogenen Endgerätepark etwa mit Smartphones und Macs zu hüten haben, werden mit einem SSL-VPN liebäugeln, denn ein Browser als kleinster gemeinsamer Nenner wird sich immer finden lassen. Was für einen IPsec-Client dagegen leider nicht immer zutrifft. Dass diese Technik trotz ihrer Komplexität weiter verbreitet ist als SSL-VPN hat nur einen Grund: ihre Transparenz. Immer wenn es darum geht, dass ein Mitarbeiter in der Ferne arbeiten können soll wie an seinem Büroplatz, dann ist diese Technik die erste Wahl. Dies gilt vor allem dann, wenn andere Netzdienste wie VoIP mit ins Spiel kommen.