Nicht jede VPN-Technologie ist für jeden Zweck geeignet

Quelle: Netzguide E-Security 2003
Autor: Tom Hager, Managing Director InfoTrust

Virtual Private Networks erlauben einer ausgewählten Benutzergruppe den sicheren Zugriff über das Internet auf Applikationen und Unternehmensdaten. Die Technologien IPSec und SSL werden dabei in unterschiedlichen Bereichen eingesetzt.

In einem Unternehmen führen unterschiedliche Beweggründe zum Einsatz von Virtual Private Networks (VPN). Zum einen werden bei der Anbindung von Aussenstellen mittels eines Intranet-VPN (Site-to-Site) die Kommunikationskosten im Vergleich zu Mietleitungen wesentlich reduziert. Besonders günstig wirkt sich diese Kostenoptimierung bei der Ablösung internationaler Verbindungen aus. Zum anderen benötigen Mitarbeiter einen einfachen und sicheren Zugriff auf Applikationen und Daten des Unternehmens, um ortsunabhängig effizient arbeiten zu können. Hier kommt ein Remote-Access-VPN (Client-to-Site) zum Einsatz. Zudem werden auch Partner (Kunden, Lieferanten und Wiederverkäufer) zur Beschleunigung der Geschäftsprozesse vermehrt über ein Extranet-VPN an das Unternehmensnetzwerk angeschlossen.

Intranet-, Remote-Access- und Extranet-VPNs lassen sich mit unterschiedlichen Technologien realisieren. Folgende Fragen müssen jedoch beantwortet werden, bevor ein Technologieentscheid getroffen werden kann:

• Welcher Typ VPN muss aufgebaut werden, beziehungsweise welche Kommunikationspartner
  müssen eingebunden werden?
• Wer muss auf welche Applikationen und Daten Zugriff haben?
• Wie kann auf diese Applikationen zugegriffen werden (Webtechnologie oder Native Client)?
• Von wo aus muss der Zugriff erfolgen können?

Je nach den Bedürfnissen und Anforderungen des Unternehmens kommen IPSec (Internet Protocol Security) oder SSL (Secure Socket Layer) zum Einsatz.

(Abbildung 1)

Sichere Übertragung mit IPSec oder SSL: Die roten Linien zeigen den verschlüsselten, die grünen den entschlüsselten Datenstrom auf

IPSec benötigt spezielle Clients

Die IPSec-Technologie ist ein Zusatz zum heute eingesetzten Internet-Protokoll Version 4 und setzt mit seinen Sicherheitsmechanismen auf der Netzwerkschicht an. Das IPSec-Protokoll erlaubt die sichere Übertragung von Daten aller Applikationen und Dienste, die auf IP basieren. Es ist somit transparent für die Applikationen und unabhängig vom Übertragungsmedium. Ein IPSec-VPN lässt sich für Site-to-Site- und Client-to-Site-Anbindungen realisieren. Bei der Site-to-Site-Anbindung kommunizieren zwei VPN-Gateways miteinander. Die Authentisierung erfolgt über ein gemeinsames Passwort (Pre-Shared Secret) oder über X.509v3-Zertifikate. Eine Authentisierung der Benutzer ist bei Site-to-Site-Anbindungen gemäss IPSec-Standard nicht vorgesehen, das heisst, jeder Benutzer hinter einem VPN-Gateway hat Zugriff über denVPN-Tunnel auf die Daten. Die Authentisierung von Benutzern einer Client-to-Site-Anbindung erfolgt über Benutzernamen und Passwort. Zur Erhöhung der Sicherheit kann ein One-Time-Passwort oder können X.509v3-Zertifikate verwendet werden.

Die Benutzerverwaltung kann innerhalb der IPSec-VPN-Lösung erfolgen. Bestehende Verzeichnisse wie Microsoft Active Directory oder Novell Directory Services können über das LDAP- oder RADIUS-Protokoll integriert werden. Die Benutzer, die über das Remote-Access-VPN auf Unternehmensdaten zugreifen, benötigen einen speziellen IPSec-VPN-Client auf ihrem Notebook oder Desktop-PC. Jeder Hersteller von IPSec-VPN-Lösungen bietet seinen eigenen VPNClient an. Ein VPN-Client des Herstellers A kann demzufolge nur mit dem VPN-Gateway des Herstellers A kommunizieren. Installation und Konfiguration der VPNClients sind nicht standardisiert. Je nach Hersteller geschieht dies automatisch oder manuell.

Jeder Internet-Client kann SSL einsetzen

Das SSL-Protokoll wurde 1994 von Netscape entwickelt und in den eigenen Webbrowser integriert. SSL bietet wie IPSec die Verschlüsselung der Daten über standardisierte Algorithmen. Im Unterschied zu IPSec setzt SSL mit seinen Sicherheitsmechanismen auf der Applikationsschicht an. Jede Applikation, die mittels SSL gesichert werden soll, muss speziell für SSL vorbereitet werden. Bei Webapplikationen ist dies mit sehr geringem Aufwand verbunden, da fast alle Webserver die benötigten SSL-Methoden bereits implementiert haben. Das SSL-Protokoll bietet End-to-End-Verschlüsselung und eignet sich für Client-to-Server-Verbindungen. Beim Verbindungsaufbau erhält der Client vom Server ein X.509v3-Zertifikat, das den Server authentisiert. SSL bietet die Möglichkeit, auch den Client über ein Zertifikat zu authentisieren. Von dieser Option wird in der Praxis nur wenig Gebrauch gemacht. Weitere Authentisierungsmethoden bietet das SSL-Protokoll keine an, deswegen die Benutzerauthentisierung meistens in der Applikation selbst gelöst wird. Technologien wie beispielsweise ein Secure Proxy können die Benutzerauthentisierung und -verwaltung übernehmen. Der Benutzer meldet sich direkt beim vorgeschalteten Secure Proxy an und nicht mehr beim Applikationsserver. So muss nicht für jede Applikation eine eigene Benutzerverwaltung geschrieben werden. Der Secure Proxy kann die Benutzer sowohl intern verwalten wie auch Schnittstelle sein für externe Datenbanken wie beispielsweise Active Directory. Die Applikations- und Webserver werden durch den Secure Proxy vor Angriffen aus dem Internet geschützt. Auch der leistungsfähige SSL-Verbindungsaufbau kann vom Webserver auf den Secure Proxy ausgelagert werden. SSL bietet gegenüber IPSec den Vorteil, dass der Client, also der Webbrowser, auf jeder Arbeitsstation vorhanden ist. Der Zugriff ist auf diese Weise von jedem Internet-Terminal aus gewährleistet, beispielsweise vom Internet-Café oder vom Flughafen.

IPSec für Legacy-Applikationen, SSL für webfähige Anwendungen

Die Wahl der VPN-Technologie ist abhängig von den Bedürfnissen und Anforderungen eines Unternehmens. Für Site-to-Site-Anbindungen (Intranet-VPNs) eignet sich IPSec, ebenso beim Remote-Access-VPN. Die transparente Verbindung von Netzwerken steht hier im Vordergrund. Es sollen alle Applikationen und Dienste sicher übertragen werden, ohne dass diese in irgendeiner Form angepasst werden müssen, beispielsweise für die Kommunikation mit Legacy-Applikationen, die nicht SSL-fähig sind. Der Aufwand für die Installation des IPSec-Client ist gering, da die Arbeitsstationen der Mitarbeiter vom Unternehmen selbst kontrolliert werden.

Wenn die benötigten Applikationen «Web-enabled» sind, kommt bevorzugt die SSL-Technologie zum Einsatz. So muss keine zusätzliche, «fremde» Software installiert werden. Aus Effizienz- und Kostengründen wird SSL auch bei Extranet-VPNs eingesetzt.

Der Aufbau eines Extranet-VPNs mittels IPSec benötigt hingegen einen sehr hohen Koordinationsaufwand: Die Unternehmen benutzen bei den Site-to-Site-Anbindungen oft unterschiedliche VPN-Lösungen von diversen Herstellern, welche die Implementation einer solchen Anbindung sehr aufwändig werden lassen können. Bei den Client-to-Site-Anbindungen muss bei den Geschäftspartnern der VPN-Client installiert werden. Oft verstösst aber das Installieren von Software auf den Arbeitsstationen der Partner gegen die Security Policy des Unternehmens.

Fazit

Sowohl die IPSec- als auch die SSL-VPNTechnologie bieten Vorteile bei der sicheren Übertragung von Daten aus Applikationen und Diensten, die auf IP basieren. Wichtig ist, dass das Unternehmen seine Bedürfnisse und Anforderungen an eine VPN-Lösung genau formuliert. In einigen Fällen kann auch eine Kombination beider Technologien in Frage kommen.

top