Wenn Netzwerkexperten über VPNs reden, geht es häufig darum, ob IPSec oder SSL die bessere Variante darstellt. Doch wenn zwei sich streiten, freut sich der dritte: Beim Anwender sind längst andere Faktoren entscheidend, zum Beispiel Produktivität, Handhabung und zusätzliche Sicherheit. Jede Organisation hat dabei ihre eigene Gewichtung.

Was die Produktivität anbelangt, so geht es heute darum, was ein VPN zu einer optimalen Nutzung der Leitungsstruktur beisteuern kann. Denn ein modernes VPN-System leistet einen signifikanten Beitrag zur Verbesserung der Ausfallsicherheit. Ein wesentlicher Aspekt ist dabei die Intelligenz des VPN-Systems: Ist es immun gegen Unterbrechungen? Kann es multiple Wege, zum Beispiel MPLS (Multiprotocol Label Switching) und Internet VPN, gemeinsam nutzen? Sicherheitsanforderungen und Produktivitätserfordernisse lassen sich elegant kombinieren, wenn ein VPN zwischen zwei Standorten mehr als einen physikalischen Weg nutzt. Die Kombination von MPLS und Internet-Provider ist hier häufig anzutreffen. Aber auch beliebige Kombinationen von DSL, UMTS, ISDN, mit Leased Line oder MPLS helfen, die Bandbreitenanforderungen kostenoptimal abzudecken. Jeder VPN Tunnel kann also mehrere physikalische Transporte nutzen. Für jeden Transport entscheidet der Administrator frei über die zu verwendende Enkapsulierung für das ESP (Encapsulated Security Payload) Protokoll, verwendete Block-Chiffre, und ob er Daten-Kompression aktiviert oder deaktiviert. Damit lassen sich unterschiedliche Sicherheitsstufen je nach verwendetem Transport-Weg umsetzen. In Verbindung mit einer Verkehrsklassifikation durch die Firewall kann der Verkehr selektiv auf die einzelnen Transporte aufgeteilt werden. Zudem gibt es die Möglichkeit, zusätzliche Transporte bei Bedarf zu aktivieren, zum Beispiel einen UMTS oder ISDN Uplink. Er wird nur bei einem Ausfall der anderen Transporte benötigt, um ein Abreißen der Kommunikation zu verhindern. Kann das VPN Störungen schnell erkennen und eine Verbindung unmittelbar wieder herstellen? Lösungen für letzteres Problem sind etwa die Erkennung von Störungen durch aktives Probing sowie der Austausch von Status-Informationen zwischen den VPN-Endstellen und anschließend die automatische Wiederherstellung der Verbin-dung. Eine weitere Möglichkeit ist das Umschwenken des Verkehrs auf eine alternative Route. Dabei findet unter Umständen eine Repriorisierung des weitergeleiteten Applikationsverkehrs statt, wenn sich die verfügbare Band-breite und Leitungsauslastung ändern.

Ein Tunnel, viele Netze

Die früher wichtige Frage nach der maximalen Anzahl unterstützter Tunnel wird dagegen beinahe obsolet. Viel relevanter ist: Wie viele Gegenstellen können angeschlossen werden? Denn ein Vorteil neuester IPSec VPNs ist, dass zwischen zwei Standorten nur ein Tunnel aufgebaut werden muss, unabhängig davon, wie viele Netze verbunden werden. Dies spart Ressourcen, verbessert die Übersichtlichkeit und verringert die Anzahl von möglichen Fehlerquellen. Auf diese Weise trägt ein VPN erheblich zur Geschäftskontinuität und Pro-duktivität einer Organisation bei.

Aussagekräftige grafische Tools

Ein wichtiges Hilfsmittel für die IT-Abteilung sind einfach nutzbare, aussage-kräftige grafische Tools. Das betrifft nicht nur die Überwachung und Auswertung. Zeitgemäße zentrale Managementzentren leisten mehr: Ein schönes Beispiel ist die Möglichkeit, den Aufbau eines VPN-Tunnel-Verbunds einfach mithilfe von Dragand-Drop mit der Maus zwischen den visualisierten VPN-Endpunkten in beliebigen Topologien ermöglichen (siehe Grafik). Auch multiple Transporte können hier durch mehrfaches Ziehen zwischen Standorten einfach angelegt werden. Organisationen verwalten damit selbst global verteilte Infrastrukturen mit einem minimalen Personalaufwand. Auch im Bereich Security gibt es große Unterschiede zwischen verschiedenen VPNs. So gibt es Organisationen mit besonders hohen Sicherheitsanforderungen, wie Behörden. Sie fordern in ihren VPNs den Einsatz selbst gewählter Ver-schlüsselungsverfahren. Damit stellen sie sicher, dass niemand, selbst die VPN-Herstellerfirmen, eine technische Handhabe besitzen können, um die Sicherheit zu kompromittieren oder auf Daten zuzugreifen. Entsprechend fortschrittliche VPN-Systeme bieten IPSec Standard Interoperabilität mit den Produkten anderer Hersteller.

phion zum Beispiel bietet zusätzlich noch eine proprietäre Variante an. Diese nutzt ESP Protokoll, aber einen modifizierten Key-Exchange, der im Vergleich zu Internet Key Exchange (IKE) durch einen pre-handshake bei zertifi-katsbasierter Authentisierung weniger DoS anfällig ist. Zudem erlaubt die Hinzugabe eines ESP Counter Copy Datenblock hinter den Payload, einen NOHASH Modus zu verwenden. Das führt zu 100 Prozent Performance-steigerungen auf x86-Architekturen, ohne dabei die Sicherheit zu kompro-mittieren. Das Verfahren ist vergleichbar mit dem leistungsfähigen AES-GCM Verfahren, welches auch darauf abzielt, rechenintensives Hashing zu vermeiden. Diese VPN-Variante bietet auch zusätzliche Features an, die innerhalb von nativem IPSec nicht nutzbar sind. Dazu gehört die Unterstützung von proprietären Block-Chiffren. Diese werden gemäß API-Vorlage in reinem C programmiert und können in weiterer Folge als binärer Blob in der VPN-Konfiguration integriert werden. Dadurch ist gewährleistet, dass der Hersteller für den Anwender keine spezifischen Softwareanpassungen vornehmen muss und der Hersteller die Chiffre nicht zu kennen braucht. Das heißt, Organisationen, die einen erhöhten Bedarf haben, ihre Kommunikation zu schützen, können Algorithmen implementieren, die nur ihnen selbst bekannt sind. Zudem steht ein zusätzliches Kommunikationsprotokoll zwischen den Endgeräten zur Verfügung, um Informationen über die aktuelle Leitungsqualität auszutauschen.

Gehobene Ansprüche

Die Themen Produktivität und Benutzerfreundlichkeit haben in der jüngeren Vergangenheit massiv zur Verbreitung von SSL-VPN Lösungen beigetragen. Zwei Wünsche können als Haupttreiber dieser Entwicklung gelten: Erstens der Wunsch, auch hinter fremden Firewalls frei arbeiten zu können (Szenario eines Consultants, Servicetechnikers oder Vertriebsmitarbeiters), zweitens der Wunsch, keinen Client-Rollout an den Endgeräten bewerkstelligen zu müssen, indem man sich einfach des bereits vorhandenen Webbrowsers bedient. Differenziert betrachtet, verschwimmen mittlerweile aber die Unterschiede zwischen IPSec- und SSL-basierten Lösungen. Das frühere Konnektivitäts-defizit von IPSec ist durch intelligente Enkaspulierungstechnologien von ESP sowohl in UDP als auch TCP gelöst. Bei TCP lässt sich zudem ein SSL Handshake simulieren, sodass auch hochsichere IPSec Klienten die Firewall oder den http-Proxy durchtunneln. Die Vorteile des klientenlosen Zugangs beim SSL-VPN sind dagegen in der Praxis kaum noch relevant: Bei gehobenen Ansprüchen, wie transparentem Netzzugang und Health-Checks am Endpoint, muss schließlich auch ein Klient am Endgerät installiert werden – sei es vor der Erstverbindung oder während die Erstverbindung aufgebaut wird. Damit verbleiben als eigentliche Pluspunkte von SSL-VPNs jene Einsatzbereiche, für die häufig kein Klient verfügbar ist oder nicht installiert werden kann, das sind der Kiosk-PC, der PDA oder das Smartphone, aber auch weniger verbreitete Betriebssysteme. Als Konsequenz ist man dann funktionell jedoch auf ein simples HTTPS-Zugangsportal beschränkt. Der größte Minuspunkt von SSL-VPN im transparenten Einsatz ist dagegen die geringe Leistungsfähigkeit, bedingt durch das Übereinanderlegen von TCP als äußerem Enkapsulierungs-protokoll und TCP als dominantes transportiertes Anwendungsprotokoll. Wer glaubt, dass VPN im Jahr 2007 eine voll ausgereizte Technologie ist, bei der alle Hersteller in etwa das Gleiche anbieten, und es eigentlich nur noch um die Frage SSL oder IPSec geht, irrt also gewaltig. Die am Markt verfügbaren Implementierungen variieren stark. Speziell im Bereich Skalierbarkeit, Be-triebskosten und Kommunikationsoptimierung ergeben sich große Unterschiede zwischen den einzelnen Produkten. Doch selbst bei den angebotenen Security-Features gibt es VPNs von der Stange und VPN für individuelle Ansprüche.

Dr. Klaus Gheri

Diesen Artikel finden Sie auch in der Ausgabe Mai/Juni 2008 des it security.