IPSec VPN vs. SSL VPN: Vor- und Nachteile der beiden VPN-Methoden
IPSec-VPN und SSL-VPN findet man am häufigsten, wenn es um sichere Zugriffe auf Unternehmens-Ressourcen von außen geht. Wir zeigen die Unterschiede.
VPNs (Virtual Private Networks) sind heutzutage der De-Facto-Standard, wenn man den Partnern oder den Mitarbeitern eines Unternehmens Remote-Zugriff auf die Firmen-Ressourcen auf sichere Art und Weise gestatten möchte. In diesem Tipp möchten wir Ihnen den Unterschied zweier populärer VPN-Typen erklären und für welche Methode Sie sich entscheiden sollten. Wir sprechen hier von SSL- und IPSec-VPN.
Bevor wir allerdings tiefer in die Materie dieser beiden unterschiedlichen Arten eintauchen, müssen wir uns zunächst einen VPN-Technologieüberblick verschaffen. VPN gehört zu der Art an Technologien, mit der man von außerhalb auf die Ressourcen eines Unternehmens zugreifen kann.
In erster Linie nutzen das Mitarbeiter, die von zu Hause oder von öffentlichen Orten die Ressourcen des Unternehmens nutzen möchten. Das gilt auch für Partner und Dritte, die diverse Systeme innerhalb der Firmen-Infrastruktur unterstützen. VPNs setzt man üblicherweise zur Datenübermittlung über öffentliche IP-Netzwerken ein. Hierzu wird eine Verschlüsselter Kanal zwischen der Außenstelle, beispielsweise ein Notebook eines Mitarbeiters oder ein System eines Drittanbieters, und dem Netzwerk der Firma aufgebaut.
Schlüsseltechnologien
Derzeit basieren die beiden gebräuchlichsten VPN-Technologien auf IPSec (Internet Protocol Security) und SSL (Secure Sockets Layer), die in erster Linie auf der Applikations-Ebene operieren. Sie unterscheiden sich sowohl bei der verwendeten darunterliegenden Technologie, als auch in der Funktionsweise. Somit bringen beide unterschiedliche Security-Risiken mit sich.
IPSec wurde ursprünglich entwickelt, um eine dauerhaft aktive Punkt-zu-Punkt-Verbindung zwischen Außenstelle und zentralen Office-Ressourcen zur Verfügung zu stellen. Die Clients wären in diesem Fall Zweigstellen oder Anbieter. Das Protokoll wurde so ausgelegt, dass es auf Layer 3 operiert.
Es lässt sich verwenden, um jegliches IP-basiertes Protokoll zu übertragen. Dabei ist die Applikation irrelevant, die den Traffic generiert. Im Laufe der Zeit wurde die Belegschaft wesentlich mobiler. Aus diesem Grund wurde IPSec erweitert, um den Remote-Zugriff dedizierter VPN-Applikationen (Clients) auf den mobilen Geräten der Anwender zu unterstützen.
SSL-VPNs wurden dagegen mit dem Hintergedanken an eine mobile Belegschaft entwickelt. Das ausgewiesene Ziel war es, eine nahtlose Methode für den Remote-Zugriff ohne speziellen Client zur Verfügung zu stellen. Ein SSL-VPN können Sie wie eine Art Applikations-Proxy betrachten. Damit ist ein gezielter Zugriff auf spezielle Firmen-Ressourcen möglich. Ein Außendienstmitarbeiter kann mithilfe des Browsers zugreifen und muss dafür keinen Client installieren.
Stärken und Schwächen
Die größte Stärke von IPSec ist es, dass man damit eine permanente Verbindung zwischen zwei Orten realisieren kann. Weil die IPsec-Technik auf Layer 3 operiert, ist sie Applikations-unabhängig. Es lässt sich also jedes IP-basierte Protokoll darüber tunneln. Somit ist IPSec eine attraktive Alternative zu teuren, speziell angemieteten oder dedizierten Leitungen. Weiterhin lässt sich die Technologie als Backup einsetzen, sollte die primäre oder dedizierte Leitung ausfallen, die eine Außenstelle mit der Zentrale verbindet.
Das Applikations-unabhängige Design von IPSec ist allerdings auch die Schwäche der Technologie. Sie stellt Authentifizierung, Autorisierung und Verschlüsselung zur Verfügung und ermöglicht somit, dass sich Außendienstmitarbeiter mit dem Firmen-Netzwerk verbinden können.
Jede VPN-Methode hat innerhalb eines Unternehmens eine Existenz-berechtigung. Es kommt auf das Einsatzgebiet an.
Allerdings besitzt IPSec keine Möglichkeit, den Zugriff auf die Ressourcen sehr fein zu kontrollieren. Sobald ein Tunnel etabliert ist, können Remote-Anwender auf sämtliche Unternehmens-Ressourcen zugreifen. Es verhält sich so, als wären Sie direkt mit dem Firmen-Netzwerk verbunden. Diese Security-Bedenken hinsichtlich SSL-VPN verschlimmern sich noch, wenn man der mobilen Belegschaft den Zugriff mit nicht gemanagten IT-Betriebsmitteln wie Smartphones oder Heim-PCs erlaubt, um damit auf die Unternehmens-Ressourcen zuzugreifen.
Es handelt sich hierbei um Geräte, die die IT-Abteilung nicht kontrollieren kann und die außerhalb des Sichtbarkeits-Bereiches liegen. Es gibt also keine Garantie, dass sich diese Geräte auf dem Security-Niveau des Unternehmens befinden, das man in der Regel bei gemanagten Betriebsmitteln durchsetzt.
Die Wartung von IPSec ist außerdem aufwendiger. Man muss nicht nur die Appliance aufsetzen, um die Tunnel zu terminieren, sondern es sind auch zusätzliche Konfigurations-Arbeiten und Wartung notwendig, um die Remote-Anwender angemessen versorgen zu können. Verwenden Unternehmen NAT (Netzwerk Address Translation), ist sogar eine spezielle Konfiguration notwendig. Nur dann funktioniert IPSec problemlos in einer NAT-Umgebung.
SSL-VPNs wurden auf der andere Seite von Grund auf so entwickelt, dass sie Remote-Zugriffe unterstützen. Es ist nicht notwendig, spezielle Software zu installieren. Der Remote-Zugriff wird durch eine Browser-basierte Sitzung oder Session mit SSL realisiert.
SSL-VPNs geben Unternehmen außerdem die Möglichkeit, den Zugriff sehr fein zu kontrollieren. Durch spezielle Authentifizierungs- und Autorisierungs-Schemata für eine Applikation lässt sich der Zugriff auf eine bestimmte Zielgruppe einschränken. Eingebaute Möglichkeiten für Logging und Audits richten sich an verschiedene Konformitäts-Regularien.
SSL-VPNs stellen außerdem die Möglichkeit zur Verfügung, Konformitäts-Prüfungen auf den Remote-Betriebsmitteln auszuführen, die sich mit dem Unternehmen verbinden wollen. Hier kann man überprüfen, ob diese mit angemessener Security-Software ausgestattet sind und alle notwendigen und aktuellen Patches installiert haben.
Das bedeutet aber nicht, dass SSL-VPNs das Allheilmittel für die Schwächen von IPSec sind. Benötigt eine Außenstelle eine permanente Verbindung zur Zentrale, ist SSL-VPN keine angemessene Lösung. Weil IPSec Applikations-unabhängig ist, lassen sich damit einige ältere Protokolle und herkömmliche Client-Server-Applikationen mit minimalem Aufwand unterstützen.
Bei SSL-VPNs ist das nicht der Fall, weil diese um webbasierte Applikationen gebaut sind. Viele SSL-VPNs umgehen dieses Problem, indem sie einen Java- oder ActiveX-basierten Agent auf dem Remote-Betriebsmittel installieren. Diese Installation geschieht in der Regel nahtlos, nachdem sich das Remote-Betriebsmittel erfolgreich an der SSL-VPN-Appliance authentifiziert hat. Es sei allerdings darauf hingewiesen, dass ActiveX und Java eigene Security-Schwachstellen mit sich bringen, die sehr gerne von Angreifern ausgenutzt werden.
SSL- oder IPSec-VPN?
Jede VPN-Methode hat innerhalb eines Unternehmens eine Existenzberechtigung. Im Idealfall setzt man SSL- und IPSec-VPNs für unterschiedliche Zwecke ein und die beiden Methoden ergänzen sich gegenseitig. Somit sollten sie beide VPN-Technologien entsprechend implementieren:
- IPSec-VPN zieht man in Situationen in Betracht, bei denen eine permanente Verbindung zu einer Außenstelle oder einem Partner gefragt ist. In diesen Fällen kann man fehlende Zugriffskontroll- und Host-Check-Möglichkeiten mit einem NAC-System (Network Access Control) ausgleichen. Damit garantieren Sie, dass sich nur genehmigte Remote-Hosts mit dem Unternehmen verbinden dürfen.
- Firmen sollten SSL-VPNs in erster Linie verwenden, um eine Remote-Möglichkeit für die mobile Belegschaft zur Verfügung zu stellen, bei der sich der Zugriff sehr fein kontrollieren lassen muss und wo Logging, Auditing und das Durchsetzen von Security-Richtlinien entscheidend sind.
Welche VPN-Methode Ihre Anforderungen am besten deckt, müssen Sie selbst entscheiden. Allerdings dürfen Sie nicht vergessen, dass die VPNs nicht nur aktualisiert, getestet und auf Performance überwacht werden müssen. Sie sind auch Teil der gesamten Verteidigungs-Strategie, die umfassende Richtlinien und eine Vielfalt an Netzwerk-Security-Technologien beinhaltet.
Über den Autor:
Anand Sastry ist Senior-Security-Architekt bei Savvis Inc. Vor Savvis hat er für eine der Big-Vier-Consulting-Firmen Kunden in diversen Branchen beraten. Dazu gehören große und mittelständische Unternehmen in den Bereichen Finanzen, Gesundheitswesen, Einzelhandel und Media. Er hat Erfahrung mit Netzwerk- und Applikations-Penetrations-Tests, Design von Security-Architektur, drahtlose Security, Reaktionen auf Vorfälle und Security-Engineering. Derzeit beschäftigt er sich mit den Themen Netzwerk- und Applikations-Firewalls, Netzwerk-IDS (Intrusion Detection System), Malware-Analyse und DDoS-Systeme (Distributd Denial of Service). Er twittert unter https://twitter.com/cptkaos.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!
