IPSec oder SSL, das ist die Frage

Entscheidung im Tunnel

10. September 2007, 14:30 Uhr |

VPNs (Virtual Private Networks) werden als private und verschlüsselte Kommunikationsstraßen für die Unternehmen immer wichtiger. Je verteilter sie einschließlich ihrer mobilen Mitarbeiter auf dem Markt aufgestellt sind, desto mehr wächst ihr Bedarf an VPNs. Nur: Wie weit sollte der Tunnel reichen?

Über die Jahre hinweg haben sich IPSec(urity)-VPNs bewährt. Mittlerweile gibt es kaum mehr ein Unternehmen, das für eine angriffssichere Kommunikation zwischen der Zentrale, den Niederlassungen, Außenstellen, Heimarbeitsplätzen und mobilen Kräften nicht auf das Standard-VPN zurückgreift. Es kann als dezidierte Plattform oder via Internet die Brücke zwischen den Unternehmenseinheiten schlagen. Der eigene Verkehr darüber ist logisch von dem der anderen Unternehmen abgeschottet. Tunnel-Verbindungen schützen die Übertragungen. Darin können die Daten per IPSec verschlüsselt versandt werden. Je nach Sensibilität der Informationen sind synchrone Schlüssel bis zu einer Länge von 256 Bit gemäß 3DES (Triple-Data-Encryption-Standard) oder AES (Advanced-Encryption-Standard) möglich. Terminiert wird der IPSec-Tunnel am LAN-Eingang im Access-Router, unabhängig davon, ob darin Sprache, Daten oder Video transportiert wird. Der Tunnel spielt für eine verlässliche Benutzer-Authentifizierung mit einem Radius-Server (Remote-Authentication-Dial-in-User-Service) zusammen. Oder er reicht sie zur Authentisierung an den entsprechenden Application-Proxy innerhalb der Enterprise-Firewall weiter.

Eins ist über IPSec auf Netzwerkebene nicht zu erreichen: den Übertragungsverkehr Ende-zu-Ende, also vom Zugreifer bis zu den Zielapplikationen zu verschlüsseln. Das ist eine Domäne von SSL-VPNs (Secure-Socket-Layer). Sie sind dafür auf Sitzungsebene angesiedelt und bilden verschlüsselte Tunnel über HTTP heraus. SSL-VPNs haben gegenüber IPSec-VPNs einen weiteren Vorteil: Sie kommen ohne Client-Softwareanteil aus. Der muss demzufolge vom Unternehmen oder Provider auch nicht installiert, konfiguriert, administriert und gepflegt werden. Die angriffssichere Ende-zu-Ende-Verbindung wird stattdessen unter der Client-Oberfläche des Browsers dynamisch per Java-Applet oder Active-X-Plug-in aufgebaut. Ohne permanenten Client-Softwareanteil ist es zudem möglich, die gesamte VPN-Installation komplett zentral zu verwalten. Neue Teilnehmer können deshalb einfacher in den sicheren Kommunikationsverbund aufgenommen werden.

SSL-VPNs haben aber auch Nachteile. Sie setzen innerhalb der Unternehmens-IT webfähige Applikationen voraus. Ihr Anteil steigt zwar, macht aber nach Einschätzung der Marktinstitute wie IDC (International Data Corporation) und Gartner Group im Schnitt erst 30 bis 40 Prozent aller Installationen aus. Außerdem führt die SSL-VPN-Strategie, auf den leitungsgebundenen wie mobilen Clients ohne VPN-Software auszukommen, auf dem zentralen Gateway-System zu einem Mehraufwand an Überwachung und Administration. Bedenken sollten die Entscheider zudem die Lizenzkosten. Sie werden von den Herstellern in der Regel für jede weitere Zielapplikation in Rechnung gestellt, bis zu der der Tunnel reicht. Setzt das Unternehmen gegenüber seinen webfähigen Applikationen auf SSL-VPNs, müssen sich die IT-Zuständigen im Betrieb außerdem parallel mit IPSec-VPNs gegenüber Legacy- und Client-/Server-Applikationen auseinandersetzen. Das führt zu einem höheren Koordinations- und Administrationsaufwand.

Was also tun, um zur richtigen VPN-Entscheidung zu finden? Als Erstes sollte das Unternehmen analysieren, wie schutzbedürftig die einzelnen Kommunikationsströme wie Sprache, Daten und Video tatsächlich sind. Das Ergebnis dieser Recherche kann sein, dass selbst viele Web-Applikationen für das Geschäft nicht so kritisch sind, dass eine Ende-zu-Ende-Verschlüsselung über SSL notwendig ist und lohnt. Inwieweit SSL-VPNs für das Unternehmen bereits ein Thema sind, wird auch von seiner Progressivität abhängen, mit der es bestehende Applikationen webfähig macht. Auch die Intensität des mobilen Auftritts der Firma ist mitentscheidend für die richtige VPN-Auswahl. Denn für die mobilen Geräte wie Notebooks, PDAs und Smartphones erweisen sich SSL-VPNs ohne Client-Softwareanteil unterwegs als pflegeleichter.

Oder das Unternehmen vereinfacht sich die VPN-Auswahl und das VPN-Handling, indem es die Betriebsverantwortung in Form von Managed-Security-Services an einen Provider delegiert. Dann kann das Unternehmen flexibel, auch anhand klar überschaubarer monatlicher Gebühren, entscheiden, wo IPSec oder SSL zum Einsatz kommen soll.


Jetzt kostenfreie Newsletter bestellen!

Matchmaker+