|
Sichere e-Business-Kommunikation
mit Secure Socket Layer (SSL)
Quelle:
eCompany Magazin 03/2002
Autor: Tom Hager, Managing Director InfoTrust
Das
Internet ist zu einem festen Bestandteil
der Geschäftsprozesse geworden. Für
immer mehr Unternehmen wird die Kommunikation
über das Internet zu einem strategischen
Erfolgsfaktor. Diese Entwicklung stellt
eine grosse Chance dar, birgt aber auch
wesentliche Gefahren und Risiken. Die Anforderungen
an eine Internet-basierende IT-Lösung
bezüglich Performance, Verfügbarkeit
und Sicherheit sind dementsprechend hoch.
Zusätzlich müssen beim Übertragen
von Personendaten auch rechtliche Aspekte
berücksichtigt werden. Aber auch firmeninterne
Daten dürfen nicht ohne Schutzmassnahmen
übertragen werden. Zu den wichtigen
Massnahmen neben der Firewall-Infrastruktur
gehören die Authentisierung und die
Verschlüsselung der Datenströme
über das Internet.
Datenströme
über das Internet - authentisiert und
verschlüsselt
Heute werden
für die Authentisierung und die Verschlüsselung
der Datenströme über das Internet
vor allem die zwei Protokollfamilien IPSec
und SSL/TLS eingesetzt (Abbildung 1). Die
IPSec-Technologie kommt vor allem bei VPNs
(Virtual Private Networks) zum Zuge. Das
Protokoll IPSec ist integraler Bestandteil
der IP-Version 6 und kann bei der heute
gebräuchlichen IP-Version 4 als Option
angewandt werden. Mit Hilfe der IPSec-VPN-Technologie
lässt sich der gesamte Datenverkehr
verschlüsseln, da die Technologie gemäss
ISO-Modell (?) auf der Netzwerkschicht eingesetzt
wird und daher unabhängig von den Applikationen
ist. Die Technologie ist in homogenen Umgebungen
einfach zu implementieren. In heterogenen
Umgebungen kann der Implementationsaufwand
relativ hoch sein, da die Verteilung von
Client-Konfigurationen noch nicht standardisiert
ist. Gerade in diesem Bereich bestehen zwischen
den verschiedenen Produkteanbietern Inkompatibilitäten.
(Abbildung
1)
Die Grafik zeigt,
wo die Authentisierung und Verschlüsselung
der Datenströme erfolgt: Bei der Protokollfamilie
IPSec wird der Datenverkehr gemäss
ISO-Modell auf der Netzwerk-Schicht authentisiert
und verschlüsselt. Das SSL-Protokoll
wird in der Applikations-Schicht eingesetzt
Die
IPSec-VPN-Technologie eignet sich speziell
für die sichere Netzwerkverbindung
unterschiedlicher Unternehmensstandorte
über das Internet. Auch der Zugriff
der einzelnen Benutzer vom Home Office oder
aus dem Hotelzimmer lässt sich mit
Hilfe dieser Technologie einfach integrieren.
Die Kommunikationskosten werden dadurch
massiv gesenkt.
Secure
Socket Layer (SSL) ermöglicht sicheren
Webzugriff
Im
Gegensatz zu IPSec wird das 1994 von Netscape
entwickelte Secure Socket Layer (SSL)-Protokoll
auf der Applikationsschicht eingesetzt.
Es wird heute vorwiegend für den sicheren
Webzugriff (https für Webmail) und
in e-Business-Infrastrukturen eingesetzt.
Neben dem http-Protokoll können auch
beliebig andere TCP-Protokolle, wie ftp
und nntp, mit SSL ergänzt werden. Auf
einfache Weise können diese Protokolle
dadurch zu sicheren Übertragungsprotokollen
erweitert werden. Der Begriff Secure Socket
Layer (SSL) wurde bis zur Version 3.0 verwendet.
Mit der Standardisierung durch die Internet
Engineering Task Force im Jahre 1999 wurde
der Begriff SSL mit dem neuen Begriff TLS
(Transport Layer Security) abgelöst.
Die aktuelle TLS Version 1.0 unterscheidet
sich nur in wenigen Details von der SSL
Version 3.0.
Der
Vorteil von SSL liegt in der einfachen Implementation
für Browser-basierende Anwendungen.
Das SSL-Protokoll kann bei den meisten Webservern
mit wenig Aufwand implementiert werden.
Authentisierung
mittels digitaler Zertifikate
Die
Authentisierung der Kommunikationspartner
wird bei SSL mit digitalen Zertifikaten
gelöst. Unterschieden wird zwischen
Server- und Client-Zertifikaten. Beide Zertifikate
müssen von einer Certificate Authority
(CA) signiert sein. Für die Überprüfung
der Zertifikate benötigt das CA-Zertifikat
ein weiteres Zertifikat. Dieses Zertifikat
kann in den Browser importiert werden. Dadurch
kann eine für den Benutzer transparente
Authentisierung des SSL-Protokolls erreicht
werden.
Beim
Aufbau einer Verbindung erhält der
Client vom Server das Serverzertifikat.
Falls das entsprechende CA-Zertifikat installiert
wurde, akzeptiert der Client automatisch
das Serverzertifikat und die SSL-Verbindung
kann aufgebaut werden. Optional kann der
Server auch vom Client ein Zertifikat verlangen
und dieses entsprechend überprüfen.
Dies erlaubt die sichere Identifikation
sowohl des Servers wie auch des Clients.
Doch die meisten eBusiness-Applikationen
verzichten auf Client-Zertifikate, da der
Kunde nicht über SSL authentisiert
werden muss, sondern von der Applikation
über Benutzernamen und Passwort, evtl.
auch mit Passwortzusatz, authentisiert wird.
Ein weiterer Grund liegt in der Verwaltung
der Client-Zertifikate. Das heisst, der
Betreiber der eBusiness-Infrastruktur müsste
die Client-Zertifikate ausstellen und verwalten
oder signierte Client-Zertifikate einer
vertrauten CA akzeptieren. Die Herausforderung
ist hier nicht technischer Natur, sondern
liegt in der Organisation und der Verwaltung
der Client- Zertifikate.
Optimierung
der Performance und der Verfügbarkeit
Ein
wichtiger Aspekt ist die Performance des
SSL-fähigen Webservers. Der Aufbau
(CPU-intensive SSL Handshake...) einer HTTPS-
im Vergleich zu einer HTTP-Verbindung kann
zu Performance-Einbussen um den Faktor 15
bis 200 führen. Dies kann bei zu geringer
Dimensionierung der Server zu merkbaren
Wartezeiten führen. Der CPU-intensive
Aufbau der HTTPS-Verbindung kann durch den
Einsatz eines vorgeschalteten SSL Accelerators
ausgelagert werden. Der Server verarbeitet
nur noch die unverschlüsselte HTTP-Verbindung
zwischen ihm und dem SSL Accelerator. Der
SSL Accelerator kümmert sich um das
Aushandeln der Verbindungsmodalitäten,
in der Fachsprache SSL Handshake genannt,
die Ver- und Entschlüsselung der Daten
sowie die Verwaltung der Zertifikate. Zudem
kommuniziert er in verschlüsselter
Form mit den Clients.
Bei eBusiness-Infrastrukturen
ist neben Sicherheit auch die Verfügbarkeit
ein zentrales Thema. Bei Ausfall der Applikationen
oder bei sehr schlechter Performance können
keine Geschäftsfälle mehr abgewickelt
werden. Dadurch entstehen für ein Unternehmen
unvorhergesehene und schwer budgetierbare
Kosten. Aus diesem Grund müssen die
Applikations-Server den erwarteten Benutzerzugriffen
standhalten. Es darf kein Unterbruch bei
Ausfall eines Servers entstehen. Zu diesem
Zweck werden WebSwitches eingesetzt, die
die Benutzeranfragen auf verschiedene Server
verteilen (Server Load Balancing). Für
die Verteilung kommen unterschiedliche Algorithmen
und Kriterien zur Anwendung. Bei der Kombination
von WebSwitch und SSL Accelerator werden
die Benutzeranfragen auf der Basis des Inhaltes
einer Anfrage verteilt (Abbildung 2). Diese
Kombination ist bis zu mehreren hunderttausend
Verbindungen pro Sekunde skalierbar. So
können die Webserver optimal eingesetzt
werden. Die erforderliche Persistence einer
Verbindung ist gewährleistet.
(Abbildung
2)
Aufbau
einer sicheren https-Verbindung, die durch
den Einsatz des SSL-Accelerators ausgelagert
wird. Die Server verarbeiten nur noch die
unverschlüsselte http-Verbindung zwischen
ihnen und dem SSL-Accelerator. Der WebSwitch
verteilt die Benutzeranfragen aufgrund des
Inhalts auf die verschiedenen Server (Server
Load Balancing). So werden eine hohe Performance
und Verfügbarkeit erreicht.
Nicht
nur die WebSwitches und die Server müssen
der Anzahl Verbindungen standhalten, auch
die Firewalls und die Internet-Anschlüsse
müssen entsprechend dimensioniert werden.
Auf diese Weise erreicht man die gewünschte
Performance und Ausfallsicherheit auf der
Serverseite.
Fazit
Das Secure Socket Layer-Protokoll
ist prädestiniert für den Aufbau
der sicheren Kommunikation in webbasierenden
eBusiness-Applikationen. Vor allem die einfache
Implementation und die Tatsache, dass ausser
dem Webbrowser keine Client Software benötigt
wird, sprechen für SSL. Die benötigte
Performance und die Ausfallsicherheit können
durch die Verwendung von WebSwitches und
SSL Acceleratoren optimiert werden.
top
|
