computerwoche.de

Archiv

IPsec oder SSL: Was für wen?

22.12.2004
Von Christoph Skornia
Die Entscheidung, Zugriffe auf das Unternehmensnetz via IPsec oder SSL einzurichten, will gut überlegt sein. Während IPsec sicherer ist, erfordert SSL keine speziellen Clients.

Die IT-Systeme bilden schon längst keine hermetisch abgeschlossenen Strukturen mehr. Zugriffe der Mitarbeiter auf Unternehmensressourcen von unterwegs oder vom Heimarbeitsplatz aus oder das Anbinden von Filialen oder Zweigstellen ist für viele Anwender inzwischen zu einer Selbstverständlichkeit geworden. Das erfordert jedoch eine sorgfältige Absicherung. Etabliert haben sich hierfür Virtual Private Networks (VPNs): Bildete vor wenigen Jahren noch das Verfahren IP-Security (IPsec) die technische Basis für die Verschlüsselung der Verbindungskanäle, haben Anwender heute die Qual der Wahl: In den letzten Jahren hat sich mit dem Verfahren Secure Sockets Layer (SSL) eine Alternative etabliert. Die Frage, welche Technik die bessere ist, lässt sich dabei nicht generell beantworten. Oftmals wird ein und dasselbe Unternehmen für unterschiedliche Anwendungsbereiche beide Verfahren einsetzen.

Der grundlegende technische Unterschied zwischen IPsec und SSL besteht darin, dass es sich bei IPsec um einen Standard auf Netzwerkebene, also der Schicht drei gemäß dem Open-System-Interconnection- (OSI-)Modell handelt, während das SSL-Protokoll auf OSI-Ebene fünf arbeitet. Dadurch sind bereits wichtige Möglichkeiten und Einschränkungen der beiden Verfahren festgelegt. So lässt sich IPsec applikationsunabhängig einsetzen, während SSL als integrierter Aufsatz auf bestimmte Anwendungen genutzt werden kann beziehungsweise muss.

IPsec kapselt die ursprünglichen IP-Daten in eigene Pakete ein und versteckt somit alle applikationsbezogenen Informationen im VPN-Tunnel. Ist dieser erst einmal aufgebaut, können die unterschiedlichsten Formen des Datenverkehrs (Web, E-Mail, Dateien, Voice over IP und so weiter) darüber abgewickelt werden. Dies gilt nicht nur für Punkt-zu-Punkt-Verbindungen, sondern auch für die Kommunikation zu unterschiedlichen Servern, sofern sie sich hinter einem VPN-Gateway befinden.

SSL ist hingegen immer an bestimmte Applikationen gekoppelt. Grundsätzlich unterstützen zwar alle Applikationen auch den Aufbau von SSL-Tunneln, allerdings mit der Einschränkung, dass hierfür in manchen Fällen zuerst weitere Tools auf dem Client installiert werden, die es beim Verbindungsaufbau herunterzuladen gilt. Bei Installation einer SSL-Infrastruktur ist darauf zu achten, dass alle Applikationen unterstützt werden, auf die das Unternehmen Fernzugriffe gewähren will.

SSL mit geringerem Aufwand

Der jeweils notwendige Aufwand für Installation, Integration und Administration einer IPsec- beziehungsweise einer SSL-Infrastruktur hängt von einem wichtigen Punkt ab: Für den Einsatz von IPsec benötigt jeder Rechner eine besondere Client-Software für die Fernzugriffe, während die für den Aufbau einer SSL-Verbindung erforderliche Software in jedem handelsüblichen Browser integriert ist - zumeist kommt hier ein HTTPS-Client zum Einsatz. Für IPsec bedeutet dies einen beträchtlichen Mehraufwand zur Einrichtung, Aktualisierung und Pflege der Client-Komponenten, außerdem fallen zusätzliche Kosten für die in der Regel benötigten Software-Lizenzen an.

Einschränkend kommt hinzu, dass die Zugriffsmöglichkeiten per IPsec auf genau die Geräte mit der entsprechenden Client-Software begrenzt sind, während ein Anwender eine SSL-Verbindung praktisch von jedem Internetfähigen Rechner der Welt aufbauen kann. Auch sind IPsec-Clients unterschiedlicher Anbieter nicht immer kompatibel. Ein Fernzugriff eines mobilen Angestellten kann nur dann sicher gewährleistet werden, wenn tatsächlich die Client-Software zum Einsatz kommt, die der Anbieter der jeweiligen Server-Software zur Verfügung stellt.

Vieles vorher bedenken

Sollen beispielsweise auch Geschäftspartner per IPsec in ein Firmennetz eingebunden werden, kann dies bedeuten, dass diese mehrere IPsec-Clients auf ihrem Rechner installieren müssen. Zusätzliche Einschränkungen der IPsec-Nutzung können sich ergeben, wenn die Client-Software lediglich auf einer sehr begrenzten Auswahl an Betriebssystemen läuft. Unternehmen sollten bei der Wahl einer IPsec-Lösung also immer auch daran denken, von welchen Rechnern aus die Anwender später VPN-Verbindungen aufbauen werden.

Weitaus wichtiger als die bisher genannten Aspekte dürfte für die Wahl einer VPN-Lösung in den meisten Fällen jedoch das jeweils gebotene Maß an Sicherheit sein. Als Protokolle weisen SSL und IPsec hier keine wesentlichen Unterschiede auf. Zwar unterstützt IPsec mehr Authentisierungstechniken und Verschlüsselungsalgorithmen (DES, 3DES, AES oder RC4) als SSL. Auch lassen sich mit IPsec höhere Verschlüsselungsraten (256 Bit mit AES im Vergleich zu 128 Bit bei SSL) erzielen.

Prinzipiell ermöglichen jedoch beide Verfahren den Aufbau abhör- und angriffssicherer VPN-Tunnel. Problematisch sind allerdings nicht die Tunnel selber, sondern vielmehr die Sicherheit auf Seiten des Rechners, der sich in das Firmennetz einloggt. Hier erweist sich der administrative und finanzielle Mehraufwand für die dezidierte Client-Software beim Einsatz von IPsec als nicht zu unterschätzender Vorteil: Die Software baut nicht nur den VPN-Tunnel zum Firmennetzwerk auf, sondern sorgt auch für eine Einkapselung des Datenstroms auf dem Client-Rechner.

Werden SSL-Tunnel nicht von einem Firmen-Laptop, der in aller Regel an entsprechende Sicherheitsmechanismen gekoppelt ist, sondern von einem Web-Terminal an einem öffentlich zugänglichen Ort aus zur Einwahl ins Firmennetz genutzt, können hingegen Probleme auftreten. Häufig sind solche Arbeitsplätze nicht ausreichend gesichert, so dass möglicherweise ein Nutzer Zugriff auf den SSL-Tunnel eines vorangehenden Anwenders erhält und so bösartigen Code in das Firmennetzwerk einschleusen oder sensible Daten abrufen kann.

Außerdem haben sich die meisten Anbieter SSL-gestützter Lösungen zunächst darauf konzentriert, eine sichere Verbindung bereitzustellen. Erst in einem nächsten Schritt weiten sie die Unterstützung unterschiedlicher Applikationen aus, um so den Einsatzbereich der SSL-Technologie zu vergrößern.

Sicherheitslücke von IPsec

Eine Sicherheitslücke weist jedoch auch IPsec auf. Sie beruht auf der Applikationsunabhängigkeit, die eigentlich zu den bereits erwähnten Vorteilen dieses Protokolls zu zählen ist. Während bei einem unbefugten Zugriff über eine SSL-Verbindung nur die davon unterstützten Applikationen manipuliert werden können, ist eine solche Eingrenzung bei IPsec-Verbindungen nicht gegeben. Sollte beispielsweise durch Diebstahl eines Firmen-Laptops und der entsprechenden Passwörter ein Unbefugter über einen IPsec-Tunnel Zugriff auf das Firmennetz erhalten, sind prinzipiell alle Applikationen gefährdet, sofern nicht neben dem IPsec-Client eine Firewall vorhanden ist beziehungsweise eine zentrale Firewall die Verbindung noch einmal überprüft.

In puncto Ausfallsicherheit gereicht IPsec-Lösungen wieder die Tatsache zum Vorteil, dass das Protokoll auf der Netzwerkebene agiert. Läuft die IPsec-Software auf einem geclusterten System, ist die Ausfallsicherheit hoch: Sollte ein Problem auftreten, übernimmt ein zweites Gateway innerhalb des Verbunds die Verbindung ohne Unterbrechung. Ähnliches ist mit SSL schwer zu realisieren. Zwar lassen sich auch hier redundante Systeme installieren, eine unterbrechungsfreie Übergabe einer Verbindung von einem Gateway zu einem anderen ist allerdings noch nicht möglich.

Hohe Performance

Auch im Hinblick auf die Performance bietet IPsec klare Vorteile. So lassen sich mit solchen Systemen Datendurchsätze im Gigabit-Bereich bei einer Unterstützung von Tausenden gleichzeitigen Nutzern erzielen. Bei SSL ist die Anzahl der simultanen Verbindungen in der Regel beschränkt. Zudem lässt sich ein einmal etablierter IPsec-Tunnel von vielen Verbindungen gleichzeitig nutzen, während ein SSL-Tunnel jeweils spezifisch für eine Verbindung erstellt wird. In der Praxis bedeutet dies beim Einsatz von IPsec, dass sich beispielsweise ein von einer VPN-Appliance in einer Zweigstelle erzeugter Tunnel zur Firmenzentrale von sämtlichen Rechnern in der Filiale nutzen lässt. Alternativ würde ein Proxy-Server erforderlich, welcher wiederum ein Problem in puncto Performance darstellen könnte.

Tendenziell muss ein größerer Aufwand betrieben werden, um eine IPsec-Lösung mit einer Firewall zu integrieren. IPsec-VPNs setzen das Protokoll Internet Key Exchange (IKE) ein, um die zur Verschlüsselung des Datenstroms nötigen Daten wie zum Beispiel Algorithmus, Schlüssel oder Gültigkeitsdauer zu übertragen. Viele Firewalls sind allerdings so konfiguriert, dass sie zwar den für SSL-VPNs benötigten HTTPS-Datenstrom zulassen, nicht aber den für IKE (UDP Port 500) oder IPsec (IP Protocol 51). Hier sind häufig nicht unerhebliche Anpassungen der existierenden Firewall erforderlich.

Empfehlungen

Aus den beschriebenen Vor- und Nachteilen der beiden Verfahren lassen sich Empfehlungen für unterschiedliche Einsatzbereiche ableiten. Diese besitzen in einigen Bereichen allgemeingültigen Charakter, in anderen spielen viele Detailerwägungen eine Rolle.

Sollen anonyme Nutzer eingebunden werden, ist IPsec keine gangbare Alternative. Nur SSL ermöglicht es einem Unternehmen, praktisch allen Internet-Teilnehmern auch eine verschlüsselte Übertragung von Daten zu erlauben. Kein Web-Shop wird seinen Kunden zumuten wollen, vor der Nutzung zunächst eine recht komplexe Client-Software herunterzuladen, zu installieren und auch noch korrekt zu konfigurieren. Zudem hat SSL für das jeweilige Unternehmen den Vorteil, dass Zugriffe durch die Technik selbst auf eine enge Auswahl von Applikationen begrenzt sind.

Bei Einrichtung von Site-to-Site-Verbindungen schlägt das Pendel klar zugunsten von IPsec aus. Hier kommen die Vorteile dieses Verfahrens zum Tragen, während die vergleichsweise eingeschränkte Flexibilität oder der höhere Administrationsaufwand kaum ins Gewicht fallen. Bei einer Site-to-Site-Verbindung, etwa der Anbindung einer Filiale an das Mutterhaus oder der Anbindung eines Zulieferers oder Partners, handelt es sich um eine relativ statische Installation. In der Filiale muss in der Regel lediglich ein VPN-Client installiert werden, der den Datenverkehr aller Mitarbeiter mit der Firmenzentrale tunnelt.

Zu diesem Zweck stehen mittlerweile leistungsstarke und einfach zu installierende VPN-Appliances zur Verfügung, die den Krypto-Tunnel aufbauen und gleichzeitig als Router für die Anbindung der Mitarbeiter-Arbeitsplätze dienen. Hinzu kommt, dass man sich mit IPsec keine Gedanken um die Unterstützung für bestimmte Applikationen machen muss: Sämtliche IP-Daten können ausnahmslos sicher übermittelt werden. Als Site-to-Site-Lösung kann IPsec zudem seine Stärken bei Performance und Sicherheit ausspielen.

Bezogen auf den Fernzugriff für mobile Mitarbeiter oder Heimarbeiter eine allgemeine Empfehlung auszusprechen ist schwer, weil hier alle Vor- und Nachteile der beiden Technologien mit ins Spiel kommen. Einige grundsätzliche Überlegungen können trotzdem helfen: Soll beispielsweise der Fernzugriff auf Legacy-Applikationen ermöglicht werden, scheidet SSL in fast allen Fällen von vornherein aus. Will das Unternehmen hingegen nur Web- oder Mail-Anwendungen zur Nutzung anbieten, kann SSL häufig die beste Wahl sein.

Der administrative Aufwand und die Kosten von IPsec-Lösungen steigen mit der Anzahl der Anwender. Umgekehrt wachsen damit also die Vorteile von SSL-Lösungen. Brauchen hingegen nur wenige Anwender Zugriff, gibt die Applikationsunabhängigkeit und tendenziell höhere Sicherheit häufig den Ausschlag zugunsten von IPsec.

Je sensibler die zu übertragenden Daten sind, desto eher ist eine IPsec-basierende Lösung ratsam. Sollten Kosten oder Administrationsaufwand für die Einrichtung einer SSL-Verbindung sprechen, ist darauf zu achten, dass eine Lösung mit möglichst umfassender Endpoint Security gewählt wird. (ave)