VPN-Technik und Security-Herausforderungen - NCP ePaper powered by LANline

VPN-Techniken im Vergleich

Drei Konzepte zur Auswahl

Die verschiedenen Anbindungen an die Cloud sind für unterschiedliche Szenarien anwendbar: Während sich bei IPSec der Client wie im Unternehmensnetz verhält, greift der Benutzer bei SSL per bereitgestellten Plug-ins auf die Anwendung zu. Bei Citrix werden die Applikationen am Server ausgeführt und so nur die Bilddetails übertragen. Bild: Icyteas/BCC
 
geschrieben von Jörg Wagenführ/pf,Produkt-Manager der BCC Business Communication Company, www.bcc.de.

Ohne einen performanten und sicheren Netzzugang funktioniert in der Cloud nichts. Gerade im Business-Umfeld binden viele Lösungen den Nutzer per VPN und Remote Access in die Cloud ein. Hinzu kommt die klassische Standortvernetzung per VPN. Doch wann ist welche Technik sinnvoll?

Ganz gleich ob Private, Hyprid oder Public Cloud – Dienste aus der Wolke funktionieren nur mit einer geeigneten Netzanbindung. Im Business-Kontext sind die Rahmenparameter neben einer einfachen Administration, vor allem Zuverlässigkeit und Sicherheit. Eine bevorzugte Variante für den Zugang in die Cloud sind beispielsweise Remote-Access-Lösungen per VPN (Virtual Private Network). Allerdings gibt es dafür ganz unterschiedliche Techniken, die einen Datenaustausch ermöglichen. Dabei kommen verschiedene Methoden zur Anwendung, um die Daten zu verschlüsseln und gegen den Einfluss Dritter zu sichern. Je nach Bedarf bieten sich unterschiedliche Protokolle an.
 
Sicher durch das Netz

Eines der sichersten und gängigsten Protokolle zur Datenübermittlung in VPNs ist nach wie vor IPSec. Es ergänzt das einfache Internet-Protokoll um Verschlüsselungs- und Authentifizierungsmechanismen, um einen gesicherten Datenstrom zu gewährleisten. Die Sicherheit basiert auf Security Associations, die Umfang und Eigenschaften der gesicherten Datenübertragung zwischen den Gateways regeln. Um diese zu erlangen, findet im Vorfeld ein Austausch wichtiger Sicherheitsparameter statt: Er beinhaltet Informationen über Art und Weise der Verschlüsselung, über die Authentifizierung, den Schlüsselaustausch und die Dauer der Gültigkeit. Das Tunneling gewährleistet den geschützten Datentransport über ein unsicheres öffentliches Netz. Kernstücke dieser Sicherheit sind der Authentication Header (AH) zur Authentifizierung, das ESP-Protokoll (Encapsulating Security Payload) zur Verschlüsselung und das Key-Management. Zugriffe auf das Netzwerk sind nur autorisierten Geräten und Nutzern möglich.
Mit IPSec lassen sich somit Sicherheitsrichtlinien relativ leicht durchsetzen und Angriffsversuche auf den Datenstrom verhindern. IPSec bietet sich vor allem zur Standortvernetzung von Unternehmen an, weil fast alle Geräte herstellerübergreifend diesen Standard unterstützen. So können beispielsweise Router und Firewalls diese Funktion gleich mit übernehmen. Auch wenn es dieses Protokoll schon relativ lange gibt, hat es nichts von seiner Aktualität eingebüßt, zumal sich die Verschlüsselungsalgorithmen aktualisieren lassen. Für Remote Access eignen sich IPSec-Lösungen allerdings nur bedingt: Durch die erforderliche Client-Installation und komplexe Firewall-Einstellungen verursachen sie einen eher großen administrativen Aufwand, der mit einer mangelnden Flexibilität einhergeht.
 
Sicherheit auch ohne Client

Besser eignen sich beim Remote Access beispielweise SSL-VPNs (Secure Socket Layer). Bei dieser Technik erfolgt eine Unterscheidung in Client- und Browser-basierende SSL-VPNs. Für letztere Variante entfällt die Installation eines Clients. Ein HTTPS-fähiger Browser und Java- oder Activex-Applikationen, die den Client ersetzen, ermöglichen jedoch eine Mischform aus beiden Varianten. Diese benötigten Werkzeuge machen eine SSL-VPN-Variante relativ einfach, da sie auf den meisten Rechnern zum Standard gehören und daher kein hoher Administrationsaufwand entsteht. Zudem sind SSL-VPNs auch durch Firewalls nutzbar – ohne komplizierte Einstellungen und Konfigurationen im Vorfeld. Durch die einfache Inbetriebnahme der SSL-VPNs bieten sie sich für Remote-Access-Lösungen oder Extranet-Anwendungen an. Durch die auf Endgeräte zugeschnittene Architektur spielen SSL-VPNs für virtuelle Standortvernetzungen keine Rolle.
 
Schwerpunkte festlegen

In puncto Verschlüsselung nutzen beide Protokolle unterschiedliche Verfahren: Während IPSec mit Tunneling arbeitet und die gesamte Kommunikation verschlüsselt, bietet SSL eine reine Datenverschlüsselung, die trotzdem Integrität und Authentizität der Daten sichert. Im Hinblick auf Administration und Management ist SSL jedoch klar im Vorteil: Es ist schneller eingerichtet und benötigt im Gegensatz zu IPSec keine umfassenden Einstellungen, um beispielsweise über Firewalls hinweg zu funktionieren. Dieser Konfigurationsaufwand macht IPSec auch für Remote-Access-Anwendungen unattraktiv, bei denen mobile Endgeräte und flexible Einsatzbedingungen gefordert sind. Aufgrund seiner Komplexität ist IPSec zudem fehleranfälliger in der Konfiguration. Um die bestmögliche Lösung zu finden, sollten die beiden Protokolle je nach Anwendungszweck und individuellen Anforderungen zum Einsatz kommmen.
Zwar stand die SSL-Technik in jüngster Zeit wegen mangelnder Sicherheit immer wieder in der Kritik, doch in diesem Kontext ging es vor allen Dingen um geknackte Certificate Authorities (CAs), nicht um eine per se unsichere Technik. Eine Schwäche von SSL liegt in der Tatsache, dass Hacker in den vergangenen Jahren immer wieder gefälschte CAs ausgegeben haben. SSL-Zertifikate erfüllen zweierlei Aufgaben: Auf Web-Servern installiert, liefern sie einerseits das nötige Schlüsselmaterial, damit überhaupt verschlüsselte Verbindungen aufbaubar sind. Zum anderen bieten sie den Nutzern einer Web-Seite die Möglichkeit zu überprüfen, ob es sich bei der besuchten Seite tatsächlich um den entsprechenden Anbieter handelt. Die in den Browsern hinterlegten Certificate Authorities stellen solche Zertifikate nur dann aus, wenn die Identität des Anbieters überprüft wurde. Bei einem Aufruf einer Web-Seite über HTTPS verifizieren die Browser im Hintergrund automatisch das Zertifikat und warnen bei ungültigen oder nicht passenden Zertifikaten.
Diese Vorgehensweise hat jedoch einen grundlegenden Nachteil: Zertifikate einer CA, die der Browser als vertrauenswürdig einstuft, akzeptiert dieser bedingungslos. Somit reicht ein einziger „Bürge“ aus, damit ein Browser diese Zertifikate als unbedenklich bestätigt. Ein weiteres Problem ist, dass die Integrität einer CA nicht überprüfbar ist. Hat jemand Zugriff auf eine der weltweit zirka 600 öffentlichen CAs und dort gefälschte Zertifikate ausgestellt, werden diese ohne Warnung akzeptiert. Entsprechende Vorfälle hat es im Zusammenhang mit Phishing-Angriffen bereits gegeben. Nach einem bekannt gewordenen Einbruch in einer CA aktualisieren die Hersteller die Liste der Zertifizierungsstellen und stellen sie als Update bereit – ein weiterer wichtiger Grund für Administratoren, immer die aktuellsten Patches und Updates zu fahren.
 
Vorteile nutzen mit Citrix

Als Alternative zu beiden genannten Ansätzen bietet beispielsweise die Access-Gateway-Familie von Citrix umfassende Anwendungsmöglichkeiten für VPNs. Der Vorteil dieses Lösungsansatzes: Die Citrix-Anwendungen basieren auf der Einfachheit der SSL-VPNs. Zwar gibt es die Möglichkeit, einen Client zu installieren, doch ist der Zugang über den Browser – gerade für mobile Endgeräte – die elegantere Lösung.
Wie bei IPSec, ermöglicht Citrix den Aufbau eines Tunnels, um eine höhere Sicherheit zu gewährleisten. Über die Endpunktanalyse erfolgt die Identifizierung und Autorisierung der Geräte und Nutzer. Kompatibilität mit den gängigen Betriebssystemen und Browsern vereinfacht die Nutzung der Anwendungen.
Während des Zugriffs auf das VPN läuft kontinuierlich eine Überprüfung der Sicherheitsfunktionen der Endgeräte. Bei Verbindungsabbrüchen erfolgt eine automatische Wiederanbindung. Die unterschiedlichen Komponenten von Citrix ermöglichen während der Verbindung einen hohen Sicherheitsstandard. Nach Beenden der Sitzung im VPN werden der Browser Cache gelöscht und eventuell gespeicherte Daten beseitigt.
 
Zugriff und Sicherheit

Schlussendlich lassen sich alle drei Techniken klaren Anwendungsgebieten zuordnen: Bei IPSec liegt der Funktionsschwerpunkt auf der Standortvernetzung mit einem Fokus auf etablierte und anerkannte hohe Sicherheitsstandards. Die Lösungen auf der Basis von SSL bieten den Nutzern eine höhere Flexibilität mit deutlich geringerem Wartungsaufwand durch den Wegfall umfangreicher Konfigurationen. Citrix hingegen bietet eine gut umzusetzende Policy auf Anwendungsebene und kann sicherstellen, wer welche Applikation sehen darf und bereitgestellt bekommt. Letztlich entscheidet also das Einsatzgebiet, welche VPN-Variante gerade die geeignetste ist.
Geht es nicht um einen Remote Access einzelner Benutzer, sondern beispielsweise um die Einbindung von Filialen oder kleineren Standorten, ist auch eine direkte Anbindung an die Cloud per MPLS-VPN (Multiprotocol Label Switching) möglich. In diesem Fall kommen die Daten zwischen der Cloud und den eigenen Standorten mit gar keinem anderen Netz in Berührung. Die Cloud-Ressourcen stehen dem Unternehmen wie ein weiterer Standort in seinem VPN zur Verfügung – ohne weitere Protokolle oder CAs.
Gerade in Zeiten von Spionageskandalen und Abhöraffären zählt nicht nur Funktionalität und Zuverlässigkeit. Jeder IT-Verantwortliche sollte vor allem die Sicherheit seines Datenaustauschs im Blick haben und auch in der Lage zu sein, diese individuell zu steuern. Gleiches gilt im Übrigen nicht nur für den Zugang sondern für das gesamte Cloud-Konstrukt eines Unternehmens. Deshalb prüfen Provider wie beispielsweise die BCC Business Communication Company mögliche Szenarien immer im Vorfeld gemeinsam mit dem Anwender und finden die individuell passende Lösung.