19.10.2007 VPN - Virtual Private Networks, Fachartikel

VPNs (Virtual Private Networks) werden als private und verschlüsselte Kommunikationsstraßen für die Unternehmen immer wichtiger und sind nicht mehr wegzudenken. Ganz im Gegenteil: Je verteilter die Unternehmen, einschließlich ihrer der mobilen Mitarbeiter, im Markt aufgestellt sind, um so mehr wächst ihr Bedarf an VPNs. Nur wie weit sollte der Tunnel reichen? Es bleibt die Frage, wie weit die sicheren Tunnel in die Unternehmens-IT hineinreichen sollen?

IPSec(urity)-VPNs haben sich über die Jahre bewährt. Mittlerweile gibt es kaum mehr ein Unternehmen, das für eine angriffssichere Kommunikation zwischen der Zentrale, den Niederlassungen, Außenstellen, Heimarbeitsplätzen und mobilen Kräften nicht auf das Standard-VPN zurückgreift. Es kann als dedizierte Plattform oder via Internet die Brücke zwischen den Unternehmenseinheiten schlagen. Der eigene Verkehr des eigenen Unternehmens darüber wird darin logisch von dem der anderen Unternehmen abgeschottet. Tunnel-Verbindungen, innerhalb denen die Daten per IPSec verschlüsselt übertragen werden können, schützen die Übertragungsdaten. Darin können die Daten per IPSec verschlüsselt übertragen werden. Je nach Sensibilität der Übertragungsdaten können sie, je nach ihrer Sensibilität für das Geschäft, mit synchronen Schlüsseln bis zu einer Länge von 256 Bit gemäß 3DES (Triple Data Encryption Standard) oder AES (Advanced Encryption Standard). kodiert werden. Terminiert wird der IPSec-Tunnel, unabhängig davon, ob darin Sprache, Daten oder Video transportiert wird, am LAN-Eingang im Access-Router. Der Tunnel spielt für eine verlässliche Benutzer- Authentifizierung mit einem RADIUS (Remote Authentication Dial-in User Service)-Server zusammen. Oder er reicht die Authentisierung an den oder den entsprechenden Application Proxy innerhalb der Enterprise-Firewall weiter.
 
Eines kann über IPSec auf Netzwerkebene nicht erreicht werden: den Übertragungsverkehr Ende-zu-Ende, also vom Zugreifer bis zu den Zielapplikationen zu verschlüsseln. Das ist eine Domäne von SSL (Secure Socket Layer)-VPNs. Sie sind dafür auf Sitzungsebene angesiedelt und bilden verschlüsselte Tunnel über HTTP heraus. SSL-VPNs haben gegenüber IPSec-VPNs einen weiteren Vorteil: Sie kommen ohne Client-Softwareanteil aus. Die muss demzufolge vom Unternehmen oder Provider auch nicht installiert, konfiguriert, administriert und gepflegt werden. Die angriffssichere Ende-zu-Ende-Verbindung wird statt dessen unter der Client-Oberfläche des Browsers dynamisch per Java Applet oder ActiveX-Plug-in aufgebaut. Ohne permanenten Client-Softwareanteil ist es zudem möglich, die gesamte VPN-Installation komplett zentral zu verwalten. Neue TKommunikations-Teilnehmer können dadurch einfacher in den sicheren Kommunikations-Verbund aufgenommen werden.
 
SSL-VPNs haben aber auch Nachteile. Sie setzen innerhalb der Unternehmens-IT webfähige Applikationen voraus. Ihr Anteil steigt zwar, macht aber nach Einschätzung der Marktinstitute wie IDC (International Data Corporation) und Gartner Group im Schnitt erst 30 bis 40 Prozent aller installierten Applikationen aus. Außerdem führt die SSL-VPN-Strategie auf den leitungsgebundenen wie mobilen Clients, die ohne VPN-Software auszukommen, auf dem zentralen Gateway-System zu einem Überwachungs- und Administrations-Mehraufwand.  Von den Entscheidern bedacht werden sollten zudem die Lizenzkosten. Sie werden von den Hersteller in der Regel für jede weitere Zielapplikation in Rechnung gestellt. Setzt das Unternehmen gegenüber seinen webfähigen Applikationen auf SSL-VPNs, müssen sich die IT-Zuständigen im Betrieb außerdem parallel mit IPSec-VPNs gegenüber Legacy- und Client-/ Server-Applikationen auseinandersetzen. Das führt zwangsläufig zu einem höheren Koordinations- und Administrations-Aufwand.
 
Was also tun, um zur richtigen VPN-Entscheidung zu finden? Als erstes sollte das Unternehmen analysieren, wie schutzbedürftig die einzelnen Kommunikationsströme wie Sprache, Daten und Video tatsächlich sind. Das Ergebnis dieser Recherche kann sein, dass selbst viele Web-Applikationen für das Geschäft nicht so kritisch sind, dass eine Ende-zu-Ende-Verschlüsselung über SSL notwendig ist und lohnt. Inwieweit SSL-VPNs für das Unternehmen bereits ein Thema sind, wird auch von seiner Progressivität abhängen, mit der es bestehende Applikationen webfähig macht. Auch die Intensität des mobilen Auftritts des Unternehmens ist mitentscheidend für die richtige VPN-Auswahl. Denn für die mobilen Geräte wie Notebooks, PDAs und Smartphones erweisen sich SSL-VPNs ohne Client-Softwareanteil unterwegs als pflegeleichter. Oder das Unternehmen vereinfacht sich die VPN-Auswahl und das VPN-Handling, indem es die Betriebsverantwortung in Form von Managed Security Services an einen Provider delegiert. Dann kann das Unternehmen flexibel, auch anhand klar überschaubarer monatlicher Gebühren, entscheiden, wo IPSec oder SSL zum Einsatz kommen soll.
 

Von Helmut Binder, Geschäftsführer Marketing und Produktmanagement,

T-Systems