VPN-Verschlüsselung ist keine Entscheidung für Unerfahrene

Für Unternehmen aller Größen ist inzwischen das Thema Virtual Private Network (VPN) Alltagsgeschäft. Was die Anbindung externer Netze noch voneinander unterscheidet, das ist die Art der Verschlüsselung, die erwählt wird. Für die einen eignen sich die Client-basierten IPSec-Verschlüsselungen besser, andere – bislang vor allem im Bereich der Finanzinstitute und Banken angesiedelt – entscheiden sich für die Technik, die als die modernere gilt, weil sie browserbasiert arbeitet: SSL (Secure Socket Layer). Die andere Technik, IPSec, gilt als altbacken. Wagen wir einmal einen näheren Blick, so gibt es technische und bedarfsgetriebene Unterschiede.
“Für unsere Großkunden ist gerade der Kostenaspekt der entscheidende Grund, um auf SSL-VPNs zu setzen”, sagt Albert Hold, Unternehmenssprecher bei dem Dienstleister T-Systems, der sich auf Großkunden spezialisiert hat. “Ob es sich finanziell auf längere Sicht rechnet, entscheiden dennoch erst die Anwendungen und IT-Umgebungen. Besonders lohnend ist aber der Einsatz bei allen Arten von Web-Applikationen – egal ob bei Finanzdienstleistern oder anderen Anbietern.”

“IPSec eignet sich für die Remote-Access-Anbindung von Arbeitsplätzen und Home Offices, um verschiedene Anwendungen im Firmennetz zu nutzen. Der große Vorteil dabei ist, dass alle Dienste so genutzt werden können, als ob man direkt im lokalen Netzwerk angemeldet ist”, stellt Holger Wagner, Netzwerkfachmann bei T-Systems klar. So erfolgt ihm zufolge das Verschlüsseln von Daten zwischen mehreren Netzen und Standorten (site to site) fast ausschließlich über IPSec. “SSL VPN eignet sich insbesondere dann, wenn eigene Mitarbeiter mit einzelnen Applikationen wie E-Mail oder CRM verbunden werden sollen. Darüber hinaus ist es auch sinnvoll, wenn Mitarbeiter anderer Unternehmen Zugriff auf einzelne Anwendungen erhalten sollen.”

Grundsätzliches zum Thema SSL und IPSec

Grundsätzlich sehen die Techniken so aus: Secure Socket Layer oder SSL ist im OSI-Schichtenmodell zwischen TCP/IP und den Protokollen der Anwendungs- und Darstellungsschicht – http und ftp sind hier zu nennen – angesiedelt. Die von Netscape entwickelte Verschlüsselungstechnik ist seit 1999 ein Standard der Internet Engineering Task Force (IETF). Hiermit soll das Hauptproblem, das VPNs haben, nämlich das zwischen zwei Netzwerken geschaltete Internet, besser ausblenden und eine Korruption der gesendeten Informationen verhindern. Verbindung und Echtheit der Dokumente und Daten werden dabei durch Zertifikate gewährleistet, die der sendende und der angesteuerte Server jeweils erkennen und abgleichen können.

IPSec hingegen ist die Erweiterung des Internet Protocol (IP), um lokale Netze zu einem gemeinsamen virtuellen Netz über ein unsicheres Netzwerk, beispielsweise das Internet. IPsec wurde von der IETF zunächst für das IPv6, das Internet der nächsten Generation, als integraler Bestandteil geplant, doch stellten die Mitglieder des Gremiums sicher, dass auch die jetzige Version, IPv4, die IPsec-Verfahren und Protokolle nutzen kann. Eingebaute Sicherheitsfunktionen für Interoperabilität, kryptografischen Schutz der übertragenen Daten, Zugangskontrolle, Datenintegrität, Authentifizierung des Absenders, Verschlüsselung und die Authentifizierung und Verwaltung von Schlüsseln sind bereits integriert, und das reicht auch einigen Firmen.

Die Vor- und Nachteile der beiden Techniken umreißt T-Systems-Mann Wagner so: “IPSec bietet Zugriff auf alle Unternehmensanwendungen, bietet hohe Sicherheit, ermöglicht das Kombinieren von Remote Access und Site-to-Site; SSL ist die kostengünstige Alternative und braucht in den meisten Fällen keine Installation auf dem Rechner.” Dabei kann er aus Beratersicht bei den Großkunden in Europa keine Favorisierung feststellen. “Man vergleicht hier in gewissem Maße Äpfel mit Birnen. Entscheidend sind die Einsatzfelder der geplanten Lösung. Unter Umständen macht es Sinn, eine kombinierte Lösung aus SSL und IPSec zu schaffen.”

Diskussion findet statt

Das Thema SSL oder IPSec werde von Kunden als dediziertes Thema angesehen – eventuell in Kombination mit der Zugangsproblematik, beispielsweise komme hier die Frage nach der Providerauswahl ins Spiel. Holger Wagner: “Es kann sein, dass der Kunde das Thema in eine Security-Gesamtstrategie integriert. Deshalb zählen zur Produktfamilie für Security-Produkten bei IPSec und SSL auch Firewall, Content Security und Intrusion Prevention.”

Zu Eskalierungsplänen sagt er aus Anbietersicht, dass T-Systems mit Betrieb und den damit verbundenen Leistungen Geld verdient. “Das heißt auch, dass wir uns zu definierten Service Level Agreements verpflichten. Hierbei hat der Kunde Garantien, dass ein bestimmter Dienst zum Zeitpunkt X in der vereinbarten Qualität wieder zur Verfügung steht.” Er betont noch einmal: “SSL ist eindeutig die kostengünstigere Variante für spezielle Einsatzfelder. Hier wird sich mittel- und langfristig auch nicht viel ändern. IPsec wird weiterhin die umfassendere Lösung sein. Hierbei versuchen wir dem Kunden in den Preismodellen für Hardware, Software und Services größte Transparenz zu schaffen.”

Für Paul Green, Senior Manager bei dem Netzwerksicherheitsunternehmen Verisign Global Security Consulting Europe und Inhaber des renommierten Security-Zertifikats CISSP stellt sich die Frage jedoch ganz anders. Es mag klar sein, dass es keine Ablösung der einen durch die andere Technik geben wird und beide ihre Berechtigung haben – je nach den Bedürfnissen des Kunden. Dieser sollte allerdings, das betont Green oft, seine Ansprüche an die externe Anbindung genau kennen und sich gründlich mit beiden Themen beschäftigt haben.
 
Der Client bestimmt

“SSL ist nur dort sinnvoll, wo vom Client aus direkt bis hin zur Web-Applikation eine gesicherte Verbindung bestehen soll. Die Client/Server-basierte SSL VPN-Verbindung kann allerdings nicht von einer Applikation sicher auf die andere übertragen werden. IPSec VPN bildet im Gegensatz dazu einen Tunnel vom Client zum Gateway und gewährleistet so den Zugang zu einer Art Sub-Netz und zu allen webbasierten Anwendungen wie E-Mail und Intranet.” Für die Verschlüsselung zwischen Client und verschiedenen Applikationen, oder zwischen Client und nicht webbasierten Anwendungen, empfiehlt er eindeutig IPSec. “Dann nämlich baut das VPN einen authentifizierten Tunnel auf, der in einem Sub-Netz diese Anwendungen bereit hält, die von dort aus über alle Anwendungen erreicht werden können.”

Die Tatsache, dass IPSec Client-seitige Software braucht, um den Tunnel aufzubauen und aufrecht zu erhalten, bezeichnet er als logische Konsequenz – auch wenn beispielsweise eine gesicherte Site-to-Site-Kommunikation stattfinden soll. “Wenn aber nur zwischen dem Client und einer einzigen Web-Applikation ein VPN benötigt wird, kann ein SSL VPN eingesetzt werden, dafür ist es die beste und einfachste Lösung. IPSec wäre hier vollkommen überdimensioniert”, so Green im Gespräch. SSL benötige als Voraussetzung nur, dass die Applikation webbasiert sei und dass der Client über einen Web-Browser auf diese Anwendung zugreift.

Jedoch macht er am Kostenaspekt noch keine Entscheidung fest. “Beide Lösungen”, so der Sicherheitsexperte, “brauchen extra Lizenzen, SSL sowie IPSec verlangen Client- und Server-seitig Zertifikate, beziehungsweise auch Gateway-seitig.” IPSec verlange zusätzlich, dass die einzelnen Nutzer jeweils eine Client-Version der Anwendung aufgespielt erhalten. Bei SSL muss die Anwendung webbasiert sein.

Eine Frage der Technik

Daher steht für ihn außer Frage, dass die Entscheidung für die technische Seite der externen Anbindung nur auf die Geschäftsaufgaben und die Bedürfnisse des Kunden abgestimmt sein sollte. “Wo ein webbasiertes Szenario läuft und die Endkunden auf die restlichen Applikationen des Unternehmens nicht zugreifen müssen, empfehle ich SSL; besonders dort, wo es sich um Endkunden- und Partnerlösungen handelt, zum Beispiel um Portale oder E-Commerce.”

Soll dagegen eine Verbindung zwischen zwei Niederlassungen hergestellt werden, über die auf ganz unterschiedliche Anwendungen zugegriffen werden soll, dann sei IPSec die bessere Lösung, sagt er. “Ich würde einen Umstieg auf SSL nur dort empfehlen, wo der Kunde sich sicher ist, dass die Nutzer- und Anwenderbasis keinen Zugang braucht, der nicht durch SSL-Lösungen abgedeckt werden kann.” Für die Anwendungen, die beispielsweise in SAP-Umgebungen laufen, sagt er klar: “Dafür ist SSL nicht gebaut.”

Er sieht keinerlei Rivalität zwischen den Techniken – vielmehr habe jede Anbindung ihre Vorzüge wenn der Kunde weiß, was er braucht. Er würde auch nicht unterschreiben, dass SSL grundsätzlich billiger ist, denn: “Auch die Kosten sind abhängig von der Softwareumgebung – einfach weil Produktionsunternehmen beispielsweise mit SSL-Verbindungen oft wenig anfangen können und Banken für ihre Online-Angebote niemals zu einer IPSec-Lösung greifen würden. Das wäre ein echter Overkill für diese Systeme.”

Zu beachten ist noch, dass die Firewall auf beiden Seiten die verschlüsselten Datenpakete durchlassen muss. Das wird auch gerne mal vergessen. Mit IPsec sind nur Dienste möglich, die auch IP verwenden. Ferner gilt es zu beachten, dass VPN bei einer Firewall-Lösung besondere Hilfe braucht: Ohne Probleme ist VPN über eine Firewall nur möglich, wenn diese gleichzeitig als Endpunkt einer VPN-Verbindung arbeitet. Die Lösung hier heißt Port-Forwarding und funktioniert wie eine Art Räuberleiter, die dem Datenpaket über die Firewall hilft.