Netzwerke, Fachartikel

IPsec versus SSL VPN

IPsec versus SSL VPN

Für ein „Virtual Private Network“ (kurz VPN) werden heutzutage fast ausschließlich IPsec und SSL VPN benutzt. Obwohl beide dasselbe Ziel verfolgen, unterscheiden sie sich in Theorie und Praxis stark. Dies führt zusammen mit der Komplexität des Themas häufig zu grundlegenden Missverständnissen und zu einer hohen Frustration bei der Konfiguration eines VPNs. Die tägliche Praxis zeigt, dass das Resultat nicht selten ein unsicheres VPN ist. Der Artikel möchte diese Situation beleuchten und hat das Ziel, typische Fallstricke und eine unsichere Konfiguration beim Einsatz eines VPNs zu vermeiden, sowie praxisnah bei der Wahl zwischen IPsec und SSL VPN zu unterstützen. Dazu werden beide Technologien vorgestellt und anhand ausgewählter Kriterien miteinander verglichen.

Der Grundgedanke hinter einem „Virtual Private Network“ ist schnell erläutert. Es besteht der Wunsch, ein privates Netzwerk über ein unsicheres Medium, wie beispielweise das Internet, aufzubauen. Die Nutzung von fremden, bereits bestehenden Netzwerken ist so attraktiv, da sie eine überaus kostengünstige Alternative zum Betrieb von eigenen Netzen darstellt. Es muss aber sichergestellt sein, dass die Daten, die an das fremde Netzwerk übergeben werden, ausreichend geschützt werden. Dazu bedient man sich der Kryptografie, die nicht nur vor dem Ablauschen und einer Manipulation der Daten im fremden Netz schützen soll, sondern sicherstellt, dass ausschließlich erwünschte Personen und Rechner untereinander ein privates Netz aufbauen. Sobald diese Eigenschaften zweifelsfrei gegeben sind, kann sich beispielsweise ein Mitarbeiter auf Dienstreise über das Internet mit dem Firmennetzwerk verbinden und somit auf alle Ressourcen des Unternehmens in gewohnter Weise zugreifen. Dabei ist es fortan unerheblich, ob er ein WLAN im Hotel, einen HotSpot am Flughafen oder einen Internet-Zugang beim Kunden nutzt: Die Unternehmensdaten werden jedes Mal sicher durch diese, ihm unbekannten Netzwerke transportiert. Dabei ist zu bedenken, dass der Mitarbeiter lediglich Einfluss auf das Ziel der Daten hat, jedoch nicht auf das Routing im Transit-Netzwerk. So können Daten im Internet, wie die Vergangenheit zeigt, durchaus über amerikanische oder chinesische Backbone-Netze geleitet werden, obwohl sich Sender und Empfänger im selben Land befinden. Um sich z.B. vor Industrie-Spionage zu schützen, ist eine sichere VPN-Verbindung daher unabdingbar.

Auf der anderen Seite des VPNs ist für die Teilnehmer des Unternehmens-Netzwerkes kaum ersichtlich, dass die Daten einem entfernten Rechner entstammen. Ein VPN-Gateway an der Schnittstelle zum Unternehmensnetzwerk empfängt die Daten, entschlüsselt sie und speist sie derart in das Netzwerk ein, als wäre der Mitarbeiter direkt mit seinem Notebook verbunden. Statt der Anbindung eines einzelnen Mitarbeiters kann man gleichermaßen ein entferntes Netzwerk ankoppeln und so beispielsweise Niederlassungen des Unternehmens anbinden. Die Funktionsweise des virtuellen privaten Netzes ändert sich nicht.

Zur Sicherung der VPN-Verbindungen haben sich im Laufe der Zeit zwei Verfahren etabliert: IPsec und SSL VPN. IPsec wurde durch die IETF standardisiert und bezeichnet eine Sammlung von verschiedenen Netzwerkprotokollen, die zusammen die beschriebenen Eigenschaften zur Sicherung der Unternehmensdaten gewährleisten. Dem SSL VPN liegt der Gedanke zugrunde, dass man das Rad nicht neu erfindet, sondern sich im Kern der erprobten SSL/TLS-Technik bedient und diese um wenige, für ein VPN notwendige Parameter ergänzt. Ein offizieller Standard, der sich im Kern auf SSL/TLS zum Aufbau eines VPN stützt, hat sich jedoch im Laufe der Zeit nicht entwickelt. Es existieren vielmehr verschiedene Software-Implementierungen, die diese Art von VPN realisieren.

              

Abbildung-1: Allgemeiner Aufbau eines VPNs

Bedauerlicherweise wurde der Begriff „SSL VPN“ von einigen Herstellern in den vergangenen Jahren mehr und mehr missbraucht, um damit höchstwahrscheinlich eine höhere Sicherheit zu suggerieren. Dadurch fällt es beim Begutachten von Produktbeschreibungen häufig schwer, ein tatsächliches SSL VPN zu identifizieren. Dies gelingt jedoch, wenn eine zu einem VPN widersprüchliche Beschreibung gewählt wurde. Ein prominentes Beispiel dafür ist die in diesem Zusammenhang oft benutzte Bezeichnung "clientless SSL VPN". Dem Wortlaut nach könnte man zunächst vermuten, dass dahinter die absurde Absicht steckt, einen PC aus einem Internet-Café in das heimische Unternehmens-Netzwerk zu holen oder gar ein Internet-Café anzubinden. Bei genauerer Betrachtung wird jedoch deutlich, dass sich dahinter ein browserbasierter, VPN-ähnlicher Zugriff auf ausgewählte Unternehmensanwendungen mittels HTTPS verbirgt. Diese umfassen häufig den Zugriff auf E-Mail-Postfächer, gemeinsame Dateiverzeichnisse oder einen Terminal-Server. Selbst im Falle eines Terminal-Servers kann man nicht von einem privaten Netzwerk sprechen, weil lediglich Tastatureingaben und Mausbewegungen an den Server gesendet werden und dieser Bildschirmausgaben zurück sendet. Eine direkte Kopplung des entfernten Rechners findet nicht statt. Die Verwendung des Begriffes VPN ist in diesem Zusammenhang daher irreführend und wird zudem häufig unkritisch übernommen. Letztendlich stellt sich die Frage, welche Daten verschlüsselt übertragen werden. Während es in dem einen Fall spezielle Anwendungsdaten über HTTPS sind, werden bei einem „echten“ SSL VPN beliebige Anwendungsdaten zusammen mit Daten des TCP/IP-Stacks übertragen. Zur besseren Differenzierung wäre daher eine andere Bezeichnung sinnvoll, zum Beispiel "Clientless Remote Access" oder zumindest "Web-based SSL VPN“.

<next>

 

In der Praxis hat sich über die Jahre eine SSL-VPN-Implementierung besonders hervorgetan und etabliert. Diese als OpenVPN bekannte Implementierung ist mittlerweile in weiter Verbreitung. Hinter diesem Open-Source-Projekt steht insbesondere das US-Amerikanische Unternehmen OpenVPN Technologies, Inc., das neben der Unterstützung des Open-Source-Projektes unter der GPL-Lizenz auch eine kommerzielle Version vertreibt. Aufgrund der Dominanz dieses SSL-VPNs wird im Folgenden IPsec mit OpenVPN, als bedeutendster Stellvertreter eines SSL VPNs, verglichen. Vorab werden die beiden Kontrahenten kurz vorgestellt.

 

Abbildung-2: Site-to-Site-VPN mit OpenVPN

IPsec

Bei der Beschreibung von IPsec lohnt es nicht, dass Protokoll umfassend darzustellen. Der Grund dafür ist, dass sich lediglich eine kleine Menge an Bestandteilen der Protokoll-Suite in der Praxis durchgesetzt hat. Sie umfasst das Protokoll IKE in der Version 1 zur dynamischen Generierung von Schlüsselmaterial im sogenannten Main Mode sowie Aggressive Mode und das Protokoll ESP zur verschlüsselten Übertragung der Netzwerkdaten im sogenannten Tunnel-Modus.

 

Abbildung-3: Client-to-Site-VPN mit OpenVPN

Der Verbindungsaufbau läuft bei IPsec immer in zwei Phasen ab und kann anhand der wesentlichen Merkmale folgendermaßen beschrieben werden: In der ersten Phase, die im Main Mode insgesamt sechs Pakete umfasst, wird in den ersten beiden Paketen eine Einigung auf bestimmte kryptografische Methoden für die nachfolgende sichere Kommunikation erzielt. Im Anschluss daran findet ein Diffie-Hellmann-Schlüsselaustausch im vierten und fünften Paket statt, der einen geheimen Sitzungsschlüssel als Resultat liefert. Die letzten beiden Pakete dienen der Authentifizierung sowie dem Schutz vor Replay-Attacken und werden bereits verschlüsselt übertragen. Im sogenannten Aggressive Mode wird die Phase 1 auf drei Pakete verkürzt, indem die Gegenseite in einem einzigen Paket einen Vorschlag zur Verwendung bestimmter kryptografischer Methoden akzeptiert und ihren öffentlichen Diffie-Hellmann-Schlüssel sowie Authentifizierungs-Daten übermittelt.

Zur Authentifizierung der Kommunikations-Partner werden sogenannte Pre-Shared-Keys oder Zertifikate eingesetzt. Im Falle der Pre-Shared-Keys werden vorab auf beiden Seiten identische und geheime Schlüssel (oder Passwörter) hinterlegt, deren Kenntnis die Authentizität des Gegenübers bescheinigt. Im Falle von Zertifikaten kann sich ein Kommunikationspartner durch den Beweis des Besitzes eines zum Zertifikat gehörenden Private Keys authentifizieren. Der gesamte Authentifizierung-Prozess kann um das häufig eingesetzte, jedoch nicht standardisierte XAUTH-Verfahren ergänzt werden. Bei diesem werden Nutzername und Passwort übertragen, so dass eine Differenzierung von Nutzern und vor allem Gruppenzugehörigkeiten über einen Verzeichnisdienst hergestellt werden kann.

Die Phase 2 (auch Quick Mode genannt) besteht immer aus drei Paketen und ähnelt im Wesentlichen dem Aggressive Mode aus Phase 1. Sie wird mit dem aus der ersten Phase erzeugten Schlüsselmaterial vollständig verschlüsselt übertragen. In der Phase 2 wird letztlich das für die sichere Übertragung benötigte Schlüsselmaterial erzeugt und gewährleistet durch wiederholte Verschlüsselung „Perfect Forward Secrecy“ in einer wesentlich engeren Definition.

Abbildung-4: Aufbau eines IPsec-Datenpaketes

Ein wesentlicher Unterschied von IPsec im Vergleich zu OpenVPN ist, dass IPsec-Daten innerhalb des Betriebssystems verarbeitet werden, weil IPsec-Daten direkt auf dem IP-Protokoll aufsetzen. Das IPsec-Protokoll ist daher im Schichtenmodell auf gleicher Stufe wie beispielsweise das Protokoll ICMP zu finden und nicht auf der Anwendungsschicht angesiedelt. Die Schlüsselgenerierung in den zwei beschriebenen Phasen wird bei IPsec separat über einen Anwendungsdienst auf UDP-Port 500 realisiert, der mit dem Betriebssystem über eine wohldefinierte Schnittstelle kommuniziert. Eine Konfiguration von IPsec-Verbindungen, das heißt welche IP-Adressen einen VPN-Tunnel benötigen, wird dem Betriebssystem aus dem User-Space über dieselbe Schnittstelle mitgeteilt. 

OpenVPN

OpenVPN unterscheidet sich kaum von anderen Anwendungsdiensten, wie beispielsweise einem Web- oder FTP-Server. Der Dienst baut zur Errichtung eines VPNs eine Verbindung mit einem entfernten OpenVPN-Dienst über TCP- oder UDP-Port 1194 auf. Die Schwierigkeit für OpenVPN, an VPN-Daten anderer Anwendungen auf dem gleichen System zu gelangen, löst OpenVPN durch die Installation eines sogenannten TUN/TAP-Gerätes. Es richtet dieses Gerät als eine Netzwerk-Schnittstelle zusammen mit entsprechenden Routen im System ein. Damit erhält OpenVPN recht elegant die zu übertragenden Daten über das TUN/TAP-Gerät, kann diese verschlüsseln und über ein herkömmliches Netzwerk-Interface entsprechend versenden. Auf der Gegenseite werden die Daten dort ebenfalls durch ein TUN/TAP-Geräte und entsprechenden Routen dem OpenVPN-Dienst zugänglich gemacht.

<next>

 

Zur Erfüllung seiner Aufgabe bedient sich OpenVPN im Kern des SSL/TLS-Protokolls und erweitert dieses zum OpenVPN-Protokoll. Dabei kommen Zertifikate zur sicheren Authentifizierung zum Einsatz. Es ist jedoch anzumerken, dass OpenVPN zusätzlich einen zu SSL/TLS alternativen Modus anbietet, der auf statischen Schlüsseln basiert und in keiner Weise einem SSL VPN entspricht. Dieser als „Pre-Shared Static Key“ deklarierte Modus weicht sehr deutlich von der heutigen Praxis im Umgang mit sicherheitsrelevanten Themen ab und ist nicht zu empfehlen. 

Schwergewicht versus Leichtgewicht

In den folgenden Abschnitten werden die beiden VPN-Technologien IPsec und OpenVPN anhand spezieller Kriterien miteinander verglichen. Zur allgemeinen Darstellung der Unterschiede zwischen IPsec und OpenVPN kann man zur Veranschaulichung einen Vergleich mit dem Boxsport ziehen. Demnach ähnelt auf der einen Seite IPsec stark einem amtierenden, alternden Schwergewichts-Weltmeister, dem über die Jahre hinweg niemand den Titel streitig machen konnte. Ein Umstand, der vor allem auf einen Mangel an ernstzunehmenden Mitstreitern zurückzuführen ist, obwohl die Schwächen des Titelhalters jahrelang ersichtlich waren. Auf der anderen Seite kommt OpenVPN einem aufstrebenden und chancenvollen Herausforderer gleich, der eventuell das Potential für den von vielen ersehnten Wechsel des Weltmeister-Titels mitbringt. Während der in der Öffentlichkeit bekannte Schwergewichts-Champion sich eher träge im Ring bewegt, jedoch über ein besonders großes Repertoire an Schlagkombinationen verfügt, überzeugt der junge, eher unbekannte Herausforderer trotz seines Leichtgewichts mit wenigen, dafür aber sehr wirkungsvollen Faustschlägen.

Bei allen Unterschieden der beiden Kontrahenten darf man jedoch nicht vergessen, dass sie sich letzten Endes der gleichen kryptografischen Algorithmen bedienen. Dazu gehören vor allem der Diffie-Hellman-Algorithmus zur sicheren und geheimen Schlüsselerzeugung, der RSA-Algorithmus für eine sichere Authentifizierung über Zertifikate sowie meist gängige symmetrische Verschlüsselungsverfahren wie AES oder 3DES.

Marktdurchdringung

Vergleicht man beide Technologien anhand der Markdurchdringung, erkennt man schnell, dass IPsec eine wesentlich höhere Verbreitung und Unterstützung erfährt als OpenVPN. Dies liegt zum einen daran, dass IPsec wesentlich älter ist, und zum anderen, dass es sich um ein standardisiertes Protokoll handelt. Dies stellt mit Blick auf eine Implementierung des Protokolls einen wesentlichen Vorteil dar. Mit OpenVPN steht diesem ein Open-Source-Projekt gegenüber, bei dem eine Änderung des Protokolls nicht ohne weiteres ausgeschlossen werden kann. Vor diesem Hintergrund findet man bei Herstellern von Security Appliances für größere Unternehmen fast ausschließlich IPsec, erst für kleine und mittlere Unternehmen entdeckt man vereinzelt OpenVPN auf UTM-Firewalls, wie die Produkte der Unternehmen Sophos und Securepoint demonstrieren. Im Heimbereich ist durch den großen Marktanteil der FritzBoxen von AVM und deren Unterstützung für IPsec die Situation zumindest in Deutschland recht eindeutig. Interessant in diesem Zusammenhang ist, dass der Routerhersteller DrayTek erst kürzlich die angekündigte Unterstützung für OpenVPN ohne Angabe von Gründen wieder zurücknahm.   

Im Allgemeinen sind beide Technologien für alle modernen Betriebssysteme verfügbar, sei es für Desktop-PCs, Server oder Smartphones. Die Installation von OpenVPN verläuft meist ohne große Schwierigkeiten.

Aufgrund der Architektur von IPsec erfolgt die Verarbeitung der IPsec-Daten im Betriebssystem. Dies hat zur Folge, dass IPsec bereits ohne Installation weiterer Software zusammen mit dem Betriebssystem in der Regel zur Verfügung steht. Ein entsprechendes Tool zur Konfiguration der IPsec-Verbindungen im Kernel wird meist gemeinsam mit dem Betriebssystem ausgeliefert. Benötigt man für die IPsec-Konfiguration einen größeren Funktionsumfang, kann man sich dazu umfangreicher Open-Source- oder kommerzieller Software bedienen.   

 

Abbildung-5: Routing-Tabelle eines OpenVPN-Clients mit TUN-Device

Konfiguration

Die Konfiguration eines VPNs über IPsec gestaltet sich aufgrund der Komplexität des Protokolls sowie der verschiedenen Begrifflichkeiten als sehr schwierig. Hinzu kommt der Umstand, dass einerseits die Generierung des Schlüsselmaterials im User-Space andererseits das Betriebssystem konfiguriert werden muss. Im Gegensatz dazu verläuft die Konfiguration von OpenVPN transparent und übersichtlich. Die Konfiguration ist auf das Wesentliche beschränkt und mit sinnvollen Default-Werten versehen. Durch die Nutzung eines TUN/TAP-Interfaces, über welches das VPN letztendlich realisiert wird, vereinfacht sich das Troubleshooting erheblich. Eine Verwechslung von IP-Adressen des virtuellen privaten Netzwerkes mit den IP-Adressen des Transport-Netzes, die man häufig bei der Verwendung von IPsec antrifft, ist bei OpenVPN eher selten. Die Konfiguration von IPsec setzt meist tiefergehendes Wissen voraus. Hier setzt OpenVPN bewusst an und überzeugt durch eine leichte und unkomplizierte Konfiguration.

Security

Betrachtet man das primäre Ziel eines VPNs, nämlich die sichere Übertragung von sensiblen Unternehmensdaten über ein fremdes Netz, dann ist ersichtlich, welche entscheidende Rolle die Sicherheit eines VPNs spielt. Bei dieser Überlegung darf man zu Recht die Frage stellen, ob angesichts vergangener Medienberichte die Nutzung von SSL/TLS an dieser Stelle empfehlenswert ist. Denn die Liste der bekanntgewordenen Angriffsmöglichkeiten auf SSL/TLS ist lang und besteht nicht nur aus prominenten Beispielen wie BEAST, CRIME oder RC4-Schwächen. Eine Analyse einzelner Angriffsmöglichkeiten kann an dieser Stelle nicht erfolgen, es kann aber eine allgemeine Entwarnung gegeben werden, denn diese Angriffe haben in der Regel einen sehr starken Fokus auf HTTP und die Entschlüsselung von bestimmten Zeichenketten, wie beispielsweise geheime Session-Cookies. Zudem sind es meist komplexe Angriffe, welche die Zeichenketten an bestimmten Stellen erwarten und eine überaus hohe Anzahl an Wiederholungen benötigen. Im Gegensatz dazu sind die zu übertragenden Daten bei OpenVPN in der Regel sehr unterschiedlich und kaum vorhersagbar. Darüber hinaus befinden sich OpenVPN-Sender und -Empfänger, im Gegensatz zu einem öffentlichen Webserver mit meist anonymen Clients, normalerweise in einer Hand, so dass bei Schwachstellen auf beiden Seiten entsprechende Maßnahmen getroffen werden können.

<next>

 

Beim Vergleich von IPsec und OpenVPN stellt sich natürlich die Frage, welche Technologie sicherer ist. Die Frage kann dahingehend beantwortet werden, dass beide Technologien, eine sichere Konfiguration und ausreichend lange Schlüssel vorausgesetzt, nach dem heutigen Stand sicher für ein VPN verwendet werden können. Möchte man die Frage weitgehender  beantworten, ist es entscheidend, welche Kriterien man als Maßstab zur Beantwortung heranzieht. Je nach Kriterium fällt dann die Beantwortung der Frage schnell zugunsten einer Technologie aus. So wird zum Beispiel von OpenVPN-Anhängern die im vorherigen Abschnitt beschriebene einfache Konfiguration als Argument für ein sichereres VPN angeführt. Diese einfache Konfiguration adressiert unmittelbar den wohl größten Kritikpunkt an IPsec. Als Gegenargument verweisen IPsec-Befürworter gern auf die Tatsache, dass IPsec wesentlich häufiger einem Security-Review unterzogen wurde. Dies spiegelt sich nicht nur in der Verabschiedung des Protokolls durch die IETF wider, sondern auch in vielen IPsec-Implementierungen führender Hersteller, wie sie im Abschnitt zur Markdurchdringung aufgeführt wurden. Zudem existieren für IPsec prominente Security-Analysen wie beispielsweise [3]. Die Schwachstellen des Protokolls sind somit bekannt und können entsprechend adressiert werden; ein Prozess, den OpenVPN in der Form bisher nicht durchlaufen hat.

Wesentlich wichtiger als die Frage, welches Protokoll sicherer ist, ist letztendlich die sichere Errichtung und Nutzung eines VPNs. Dies gilt es zu prüfen, denn es lauern typische Fallstricke bei beiden Technologien, die die Sicherheit wesentlich vermindert. Auf Seiten von IPsec ist dabei der Einsatz von Pre-Shared-Keys zusammen mit dem Aggressive Mode zu nennen. In dieser Konfiguration werden aufgrund der Verkürzung im Aggressive Mode die Pre-Shared-Keys zur Authentifzierung in Form eines Hashes unverschlüsselt übertragen. Dieser Hash kann unbemerkt abgefangen und die Pre-Shared-Keys offline über Brute-Force-Angriffs-Techniken ermittelt werden. Von der Verwendung von Pre-shared-Keys im Aggressive Mode ist daher dringend abzuraten. Ein entsprechendes Tool zur Ausnutzung dieser Schwachstelle ist unter [4] frei verfügbar, so dass der Aufwand eines Angreifers relativ gering ausfällt.

Auf Seiten von OpenVPN ist hinsichtlich typischer Fallstricke die relativ hohe Nutzung von OpenVPN im „Pre-Shared Static Key“-Modus zu nennen. In Anbetracht der Tatsache, dass in diesem Modus ausschließlich statische Schlüssel zum Einsatz kommen, ist dieser OpenVPN-Modus verhältnismäßig häufig zu sehen. Es liegt daher die Vermutung nahe, dass dieser Modus eventuell missverstanden wird. Er ist deutlich von Pre-Shared-Keys im Zusammenhang mit IPsec zu unterscheiden. Während Pre-Shared Keys bei IPsec für die Authentifizierung benutzt werden, dienen die Pre-Shared-Static-Keys bei der Nutzung von OpenVPN ausschließlich zur statischen Verschlüsselung der Daten. Der Modus ist vollkommen losgelöst von SSL/TLS und ist zur deutlichen Unterscheidung eventuell besser mit "manual keying" zu bezeichnen, Die statischen Schlüssel werden vorab generiert und zusammen mit der Information, welches symmetrische Verschlüsselungsverfahren benutzt wird, auf jeder Seite installiert. Anschließend können die damit verschlüsselten Daten sofort versendet werden; ein Verbindungsaufbau, wie er bei SSL/TLS zur Generierung von geheimen Sitzungsschlüsseln durchgeführt wird, findet nicht statt. In den meisten Fällen wird dieser Modus als Alternative zur eher aufwendigen Erstellung von Zertifikaten verwendet. Von der Nutzung ist aus Security-Sicht jedoch abzuraten. Der Grund dafür ist zum einen, dass die geheimen Schlüssel vorab auf einem sicheren Weg installiert und auf beide Seiten verteilt werden müssen. Zum anderen werden die Schlüssel mit hoher Wahrscheinlichkeit selten geändert, so dass jede Verbindung dieselben Schlüssel verwendet. Bei einer Kompromittierung der Schlüssel kann jede Verbindung entschlüsselt werden, auch wenn sie in aufgezeichneter Form weit in der Vergangenheit liegt. Diese Vorgehensweise zur Errichtung einer sicheren Verbindung ist bei weitem nicht mehr zeitgemäß und erinnert eher an den Schlüsselaustausch in der Zeit vor der Erfindung des ersten asymmetrischen Verschlüsselungsverfahrens im Jahr 1977.

Fazit

Im Boxsport erlebt man nicht selten die Situation, dass Punktrichter in einem weitestgehend ausgeglichenen Titelkampf zögern, sich für ein Unentschieden oder den Sieg des Herausforderers auszusprechen. Dieser muss in der Regel den amtierenden Weltmeister überzeugend besiegen; die Einschätzung über die Leistung des Herausforderers liegt dabei meist stark im Auge des Betrachters. Beim Vergleich zwischen IPsec und OpenVPN verhält es sich ähnlich. Von einem überzeugenden Sieg ist OpenVPN allerdings weit entfernt. Ob sich dies eventuell in der Zukunft ändert, bleibt abzuwarten. Beide Technologien bieten in jedem Fall Vor- und Nachteile, anhand derer eine schnelle Entscheidung getroffen werden kann. Die beim Vergleich beider Technologien häufig gestellte Frage, welche VPN-Technik sicherer sei, kann damit beantwortet werden, dass beide Techniken nach heutigem Stand, der insbesondere die NSA-Enthüllungen mit einschließt, für ein sicheres VPN verwendet werden können. Die viel wichtigere Frage ist, ob ein VPN in der jeweiligen Umgebung sicher eingerichtet wurde und verwendet wird. Dies sollte bei der Übertragung von sensiblen Unternehmensdaten über ein fremdes Netzwerk bei allen Überlegungen zu VPN immer im Vordergrund stehen.

Markus Mahrla, GAI NetConsult GmbH

Quellennachweis

[1] RFC 2409: The Internet Key Exchange (IKE), IETF, 1998

[2] OpenVPN: http://openvpn.net/

[3] N. Ferguson, B. Schneier, A Cryptographic Evaluation of IPsec, 2003

[4] IKECrack: http://ikecrack.sourceforge.net/

Diesen Artikel empfehlen

Autor: Markus Mahrla

Sichere Systeme – Security beim Hardwaredesign

Als eines der kritischen Systeme ist unser Straßenverkehr zu sehen. Jeder kennt es: In dicht besiedelten und infrastrukturell gut ausgestatteten Regionen reicht ein Kfz mit Defekt, um große Teile des Straßenverkehrs zu stören oder gar zum Erliegen zu bringen. Dies, und vorrangig die...

Auswirkungen der Änderungen von ISO 27001:2005 zu ISO 27001:2013

Die ISO - International Organization for Standardization - ist die internationale Vereinigung von Normungsorganisationen. Ihre Aufgabe ist das Erarbeiten internationaler Normen in allen Bereichen mit Ausnahme der Elektrik / Elektronik (IEC) und der Telekommunikation (ITU). Die ISO, IEC und ITU...

Heartbleed-Rückblick

Was ist Heartbleed? Die Beschreibung von Heartbleed ist relativ einfach. Um sicherzustellen, dass eine TLS-Session noch fehlerfrei besteht, sendet ein SSL-Client regelmäßige Heartbeats an den Server, der dann entsprechend darauf reagiert. Die Heartbeat-Anfrage enthält, vereinfacht gesagt,...

Sicherheitsbetrachtungen zu SaaS

SaaS steht für  “Software as a Service” und stellt eine Cloud-Anwendung dar, bei der von einem externen Dienstleister neben der IT-Infrastruktur auch Anwendungen zur Verfügung gestellt („gehostet“) werden. Der Kunde benötigt lediglich ein Endsystem mit Webbrowser, sowie eine Netzverbindung, in...

Sichere Ende-zu-Ende Verschlüsselung sieht anders aus

Spätestens seit dem NSA-Abhörskandal steht fest: E-Mail Kommunikation ist nicht immer sicher – gerade sensible Daten sollten daher verschlüsselt übertragen werden. Auf die Verunsicherung der User haben die deutschen E-Mail-Provider Deutsche Telekom, Freenet, GMX sowie Web.de zügig reagiert und...

Software-basierter Schutz im Kampf gegen die „Bad Guys"

Das gilt insbesondere hinsichtlich der Sicherheit: Mit den Möglichkeiten der IT-Infrastruktur wachsen auch deren Bedrohungen – und dies schneller und umfassender denn je. Mit immer neuen Formen von Attacken, mit Kombinationen bekannter und unbekannter Cyber-Bedrohungen, die intelligent und...

Sichere drahtlose Mesh-Netzwerke und mögliche Anwendungen

Drahtlose Mesh-Netzwerke Drahtlose Mesh-Netzwerke zeichnen sich zuallererst durch ihre drahtlose Kommunikation aus. In diesem Artikel liegt der Fokus auf IEEE 802.11 (WLAN) als Funktechnologie. Andere Technologien, wie zum Beispiel IEEE 802.16 (WiMAX), IEEE 802.15.4 (ZigBee) oder proprietäre...

Schwachstellen-Analyse mit OpenSSL

SSL/TLS (Secure Sockets Layer / Transport Layer Security) ist für die sichere Datenübertragung im Internet unverzichtbar, sei es bei der Verschlüsselung von sensiblen Bankdaten oder Login-Vorgängen über HTTP, der Anbindung ganzer Unternehmensteile mittels SSL-VPN oder als Allheilmittel zur...

Einsatz von Softwarelösungen zum Aufbau und Betrieb eines ISMS

Es ist hilfreich, sich die Idee eines ISMS als Trichter vorzustellen, welcher mit der Erfassung der informationellen Werte (auch als Assets bezeichnet) beginnt und mittels einer Risikobewertung zu einem konzentrierten Ergebnis, den Maßnahmen, gelangt. Ausgehend von der Frage, was ein Unternehmen...

DDoS-Attacken werden immer gefährlicher

Praktisch jedes Unternehmen hängt heute mehr oder weniger von einer gut funktionierenden Internet-Anbindung ab. Webplattformen werden genutzt, um Produkte zu vertreiben und Kunden mit wichtigen Informationen zu versorgen, eigene Mitarbeiter sind für ihre geschäftliche Kommunikation und Recherchen...

Datenschutzkonforme Archivierung in der Cloud

Kleine Unternehmen scheuen nicht so sehr die Lizenzkosten einer Softwarelösung zur Archivierung, sondern vor allem die Kosten für die Installation und die Schulung der Mitarbeiter. Datenschutzrechtlich ist zu befürchten, dass bei einer zentralen Archivierungslösung gleichzeitig die Möglichkeiten...