SSL-VPN
SSL-VPN ist ein Remote-Access-VPN, das eine Alternative zu IPsec, PPTP und L2TP darstellt. Während IPse, PPTP und L2TP relativ komplex und fehleranfällig sein können, kommt SSL-VPN durch jede Firewall und durch jedes Netzwerk hindurch. Weil SSL-VPN auf die Standards SSL und TLS baut hat sich daraus der Begriff SSL-VPN gebildet.
Obwohl SSL kein Tunneling beherrscht, kann man es sehr gut für Remote-Access- oder Extranet-Anwendungen benutzen. Das einzige, was wirklich nicht geht, bzw. extrem umständlich wäre, sind Standortvernetzungen.
SSL-VPN-Architektur
- Browser-based
- Enhanced browser-based
- Client-based
- Network-based Clients
Grob gesehen unterscheidet man aber nur zwischen Client-basierten und Browser-basierten SSL-VPNs. Typischerweise verzichtet man bei SSL-VPN auf einen Client und ein Gateway. Das ist dann ein Browser-basiertes SSL-VPN. Alles was man braucht ist ein Browser, der SSL/TLS beherrscht und einen Webserver mit der dazu passenden Implementierung.
Bei Client-basierten SSL-VPNs muss man auf alle Fälle einen Client installieren, wobei die Vorteile eines Client-losen VPNs nicht mehr möglich sind. Allerdings lässt das rein Browser-basierte SSL-VPN viele Möglichkeiten offen. Deshalb kombiniert man Client-basiertes und Browser-basiertes SSL-VPN miteinander.
Dazu stellt man per Browser eine HTTPS-Verbindung zu einem Server oder Gateway her. HTTPS ist in jedem Browser eingebaut und funktioniert praktisch überall. Auch durch eine Firewall oder NAT-Router hindurch. Vom Server oder Gateway lädt sich der Browser automatisch eine Java- oder ActiveX-Applikation herunter. Diese Applikation wird direkt im Browser ausgeführt und arbeitet als TCP/UDP-Gateway, um die VPN-Verbindungen über den Browser umzuleiten. In manchen Fällen wird sogar die Datei- und Druckerfreigabe unterstützt.
Der große Vorteil von SSL-VPN ist, dass es einen VPN-Client praktisch überflüssig macht. Es reicht ein SSL-tauglicher Browser und die Unterstützung von Java oder ActiveX. Eines von beiden sollte auf einem Standard-PC kein Problem darstellen. Insbesondere Java-Applets funktionieren Browser- und Betriebssystem-unabhängig.
Sicherheitsbedenken gegen SSL-VPN?
Gegen SSL kann man grundsätzlich nichts aussetzen. In SSL kommen viele Verschlüsselungs-, Schlüsselerzeugungs- und Hash-Verfahren zu Einsatz, die auch im IPsec- und IKE-Protokoll Anwendung finden.
SSL-VPN hinterlässt auch auf dem Rechner keine Spuren. Trotzdem sind bei hohen Sicherheitsanforderungen fremde Rechner tabu. Dann sollte man kein SSL-VPN zur Verfügung stellen. Probleme können insbesondere veraltete Browser mit Sicherheitslücken machen.
Vergleich: IPsec und SSL-VPN
IPsec und SSL kann man nicht direkt miteinander vergleichen. Dafür sind ihre Ausrichtungen und der Einsatzzweck zu unterschiedlich.
IPsec arbeitet infrastruktur- und anwendungstransparent auf der Netzwerkebene. Dagegen arbeitet SSL ebenso infrastrukturtransparent aber anwendungsbezogen zwischen Transport- und Anwendungsebene. In der Regel ist ein SSL-VPN schneller eingerichtet und hat im laufenden Betrieb weniger Verbindungsprobleme.
Warum kommt SSL-VPN trotzdem nicht bei allen VPN-Anwendungen zum Einsatz?
Der erste Punkt, SSL verschlüsselt nur die Daten, aber nicht die gesamte Kommunikation. Zweitens, SSL-VPN funktioniert von fast jedem Computer, der Internet-Zugang hat. Und das auch, bei einem unsicheren Rechner.
SSL ist für Online-Banking und eCommerce gemacht. Hier profitiert man von der Nutzung unabhängig von Ort und Software-Ausstattung. Die Kunden brauchen nur einen SSL/TLS-fähigen Browser. Doch für manche Anwendungen ist das nicht sicher genug. SSL unterstützt keine Tunnel, was aber für ein VPN eigentlich eine Voraussetzung ist.
IPsec schützt die gesamte Verbindung und erlaubt den Zugriff nur von Geräten und Netzen, die sich dafür autorisieren. Mit IPsec lassen sich Sicherheitsrichtlinien leichter durchsetzen und Angriffsversuche besser verhindern, als mit SSL-VPN. IPsec eignet sich für die Vernetzung und SSL/TLS für sichere Internet-Transaktionen.
Allerdings bietet sich SSL als Ergänzung zu IPsec an. Eine VPN-Lösung mit IPsec UND SSL, am besten mit einer einzigen Benutzerverwaltung, bietet die größtmöglichste Flexibilität und kann damit jedes Einsatz-Szenario abdecken. Die Schwächen der beiden Protokolle werden in einer Gesamtlösung sehr gut ausgeglichen.
Eine IPsec-Installation durch SSL ablösen zu wollen ist in den seltensten Fällen eine gute Idee. SSL-VPN ergänzt IPsec auf Applikationsebene mit vergleichbaren Sicherheitsfunktionen.
Übersicht: VPN-Technik und - Protokolle
- VPN - Virtual Private Network
- PPTP - Point-to-Point Tunneling Protocol
- L2TP - Layer-2-Tunneling-Protocol
- IPsec - Security Architecture for IP
- L2TP over IPsec