Einführung in SSL-VPN-Produkte für Unternehmen

SSL-VPNs setzt man ein, um die Vertraulichkeit der Kommunikation über das Netzwerk zu bewahren.

Produkte für SSL (Secure Sockets Layer) VPN (Virtual Private Network), oder kurz SSL-VPN, benutzt man für die Verschlüsselung der Netzwerkkommunikation. Das schützt die Diskretion und die Integrität der Kommunikation zwischen einem individuellen Gerät (Server, Desktop, Notebook und mobiles Gerät) und einem VPN-Gateway. Einige der modernen SSL-VPNs sind speziell dazu da, um außenstehende Client-Geräte abzusichern und keine Server, Gateways oder andere Geräte der Infrastruktur.

SSL-VPN-Produkte verwendet man in erster Linie, um nicht autorisierte Lauschangriffe bei Netzwerkkommunikationen mit sensiblen Daten zu verhindern. So ein Abhören ist vor allen Dingen dann ein Sorgenkind, wenn sich Client-Geräte in externen Netzwerken befinden und der Netzwerk-Traffic durch das Internet muss. Möglicherweise sind auch noch ungesicherte drahtlose Access Points und andere Netzwerke involviert, die keine angemessene Sicherheit zu Verfügung stellen.

Kann ein Angreifer die Kommunikation durch beispielsweise einen MitM-Angriff (Man-in-the-Middle) abfangen, hat er die Möglichkeit, die Kommunikation zu manipulieren, sofern diese nicht abgesichert ist. So eine Änderung bleibt möglicherweise sogar unentdeckt. Eine derartige Manipulation der Kommunikation zu verhindern, ist ein weiterer Grund für den Einsatz von SSL-VPN.

SSL-VPNs gibt es schon eine ganze Weile. Dedizierte Produkte trifft man allerdings heutzutage nicht mehr so häufig wie früher an. Viele Anbieter haben aufgehört, dedizierte SSL-VPNs zu verkaufen. Stattdessen implementiert man das Leistungsmerkmal SSL-VPN in Next-Generation Firewalls (NGFWs), Unified Threat Management (UTM) und anderen Security-Geräten. Es gibt aber dennoch robuste und vor allen Dingen dedizierte Produkte für SSL-VPN.

Die Architektur von SSL-VPN-Produkten

Alle SSL-VPN-Produkte teilen sich die gleiche grundlegende Architektur. Es handelt sich dabei um einen zentralen Server oder ein Gateway und mehrere Client-Geräte verbinden sich entsprechend damit. Bei dieser Architektur gibt es allerdings große Unterschiede. Die meisten dieser Produkte basieren auf dedizierten SSL-VPN-Appliances. 

Der Hauptgrund für den Einsatz eines SSL-VPN-Produkts ist zu verhindern, dass Unbefugte die Netzwerk-kommunikation abhören und sensible Daten abziehen.

Ein großer Anbieter stellt das Leistungsmerkmal SSL-VPN via Router zur Verfügung. Andere wiederum bieten SSL-VPN-Server an, die sich in einer virtuellen Maschine befinden. Wir sprechen in einem späteren Artikel über die Anbieter im Detail. Die Details der Implementierung sind allerdings zweitrangig. Fakt ist, dass sich alle SSL-VPNs um eine Art Server oder Gateway drehen.

Es gibt weiterhin signifikante Unterschiede bei den Produkten, wenn wir einen Blick auf die Client-Software werfen. Einige Anbieter bewerben Ihre Produkte als Client-los (clientless). Das bedeutet, dass es keine native Client-Anwendung dafür gibt. Der Anwender bemüht einfach einen Webbrowser, um auf SSL-VPN zugreifen zu können. 

Andere Anbieter setzen ebenfalls auf den Webbrowser als primäre Schnittstelle für den Client, lassen einen Client allerdings innerhalb des Browser laufen. Das könnte zum Beispiel eine Java-Anwendung sein. Einige SSL-VPNs, vor allen Dingen für mobile Geräte, stellen dedizierte Client-Anwendungen zur Verfügung. Diese muss man auf dem Gerät installieren und konfigurieren. Somit braucht man sich nicht auf den Webbrowser verlassen.

Setzt man eine dedizierte Anwendung oder einen webbasierten Client ein, kann man über ein SSL-VPN auf eine breitere Palette an Ressourcen zugreifen. Gemeinsam genutzte Laufwerke (Shares) sind dafür ein Beispiel. Das ist möglich, weil die Anwendung oder der Client im Vergleich zum Webbrowser zusätzliche Funktionen zur Verfügung stellen.

Typische Umgebungen die sich für den Schutz mit SSL-VPN eignen

Wir haben bereits erwähnt, dass Schutz via SSL-VPN am notwendigsten ist, wenn sich Client-Geräte in externen Netzwerken befinden. Dazu gehören Telearbeiter und andere Außendienstmitarbeiter, die nicht vom Unternehmensnetzwerk beschützt sind. Sie verwenden Netzwerke wie WLAN und mobiles Breitband, die sich nicht unter der Kontrolle der Firma befinden. 

SSL-VPNs muss man auf Client-Geräten normalerweise nicht neu konfigurieren und eine Installation einer separaten Client-Software ist manchmal ebenfalls nicht nötig. Wir haben schon angesprochen, dass der Client via Webbrowser geliefert werden kann. Somit eignet sich diese Technologie für Bring Your Own Device (BYOD) Desktops, Notebooks, Smartphones und Tablets – natürlich auch für Geräte, die sich unter der Kontrolle der Firma befinden.

Schutz durch SSL-VPN ist auch für Geschäftspartner, Auftragnehmer und andere Nichtmitarbeiter wertvoll, die von extern Zugriff auf Ressourcen der Firma benötigen. In solchen Fällen würde das Unternehmen das gleiche Produkt verwenden, um diese Parteien zu versorgen. Man würde webbasierte SSL-VPN-Clients zur Verfügung stellen oder Ihnen Authentifizierung via SSL-VPN ermöglichen.

Die Kosten für die Integration und Bereitstellung von SSL-VPNs

Die Kosten für die Integration und Bereitstellung eines SSL-VPNs sind normalerweise sehr geradlinig. Der jeweilige SSL-VPN Server oder das Gateway kosten etwas. Darin sind in der Regel Lizenzen für eine gewisse Anzahl an Anwendern enthalten. Müssen Sie weitere Nutzer versorgen, ist meist der Kauf zusätzlicher Lizenzen möglich. Denkbar ist auch, dass Sie den Server oder das Gateway durch eine größere Version ersetzen müssen, damit die Ressourcen für mehr Nutzer ausreichen. An dieser Stelle möchten wir betonen, wie wichtig es beim Thema SSL-VPN ist, angemessen für die Zukunft zu planen.

Unternehmen sollten sich auch im Klaren sein, dass sich die Nutzer von SSL-VPN authentifizieren müssen. Sie können existierende Services zur Authentifizierung nutzen. Für den Zugriff von außen wird in der Regel allerdings Multifaktor-Authentifizierung empfohlen, um so sicher wie möglich unterwegs zu sein. Möglicherweise müssen Sie an dieser Stelle einen RADIUS-Server oder ein anderes System für die Authentifizierung aufsetzen.

Die Anwender werden mit Sicherheit Support benötigen. Auch wenn die Benutzung für die meisten Nutzer sehr transparent sein sollte, brauchen Sie bei der Wahl des Webbrowsers Unterstützung. Man muss sicherstellen, dass dieser auf dem neuesten Stand ist. Möglicherweise brauchen sie auch Hilfe, wenn es um den Download und das Ausführen des browserbasierten Clients geht. Gibt es eine dedizierte Anwendung für den Client, benötigen die Anwender natürlich Support für Installation und Wartung.

Einige SSL-VPNs stellen außerdem eine „Gesundheitsprüfung“ für den Client zur Verfügung. Sollte der Client die Sicherheitsanforderungen des Unternehmens nicht erfüllen, ist es dem Gerät untersagt, SSL-VPN zu benutzen. In solchen Situationen kommt natürlich der Support ins Spiel. Für die Anwender ist das möglicherweise unbequem, aber die Sicherheitsrisiken sind vermindert.

Mit SSL-VPNs sensible Daten schützen

SSL-VPNs schützen Kommunikationen vor Lauschangriffen und Manipulation, die über nicht vertrauenswürdige Netzwerke vonstattengehen. Somit schützt die Technologie auch sensible Daten und nicht autorisierte Parteien haben darauf keinen Zugriff.

Auf der Seite des Clients setzt man häufig auf eine browserbasierte Lösung. Dedizierte Apps gibt es oft für Smartphones und Tablets. In der Regel muss man die Clients nicht andauernd umkonfigurieren oder neu einstellen. Ein dedizierter Server oder ein Gateways ist die Grundlage von SSL-VPN. Dabei kann es sich um ein physisches Gerät oder eine virtuelle Instanz handeln.

Im nächsten Artikel dieser Serie sehen wir uns weitere Vorteile und Funktionen von SSL-VPNs an. Im speziellen widmen wir uns der Infrastruktur für Remote-Zugriffe und die Anforderungen an die IT-Sicherheit. Damit wollen wir Unternehmen die Entscheidung erleichtern, ob diese Security-Leistungsmerkmale für die Netzwerkkommunikation zu ihren IT-Umgebungen passen.

Über den Autor:
Mike Chapple, Ph.D., CISA, CISSP, ist IT-Sicherheitsmanager an der University of Notre Dame. Zuvor hat er bei der National Security Agency (NSA) und der U.S. Air Force im Bereich Informationssicherheit geforscht. Chapple schreibt regelmäßig Artikel für SearchSecurity, wo er als ständiger Experte für Compliance, Frameworks und Standards tätig ist. Außerdem ist er technischer Redakteur für das Magazin Information Security und Autor mehrere Bücher über Informationssicherheit, darunter „CISSP Study Guide“ und „Information Security Illuminated“.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im Juni 2015 aktualisiert

Erfahren Sie mehr über Netzwerksicherheit

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close