All About Security
  • Aktuelle Sicherheitsartikeln als RSS Feed
  • All About Security auf Twitter
  • All About Security auf Xing
  • Unter4Ohren IT-Security Podcast auf YouTube

VPN - Virtual Private Networks, Fachartikel

IPsec versus SSL VPN

IPsec versus SSL VPN

Für ein „Virtual Private Network“ (kurz VPN) werden heutzutage fast ausschließlich IPsec und SSL VPN benutzt. Obwohl beide dasselbe Ziel verfolgen, unterscheiden sie sich in Theorie und Praxis stark. Dies führt zusammen mit der Komplexität des Themas häufig zu grundlegenden Missverständnissen und zu einer hohen Frustration bei der Konfiguration eines VPNs. Die tägliche Praxis zeigt, dass das Resultat nicht selten ein unsicheres VPN ist. Der Artikel möchte diese Situation beleuchten und hat das Ziel, typische Fallstricke und eine unsichere Konfiguration beim Einsatz eines VPNs zu vermeiden, sowie praxisnah bei der Wahl zwischen IPsec und SSL VPN zu unterstützen. Dazu werden beide Technologien vorgestellt und anhand ausgewählter Kriterien miteinander verglichen.

Der Grundgedanke hinter einem „Virtual Private Network“ ist schnell erläutert. Es besteht der Wunsch, ein privates Netzwerk über ein unsicheres Medium, wie beispielweise das Internet, aufzubauen. Die Nutzung von fremden, bereits bestehenden Netzwerken ist so attraktiv, da sie eine überaus kostengünstige Alternative zum Betrieb von eigenen Netzen darstellt. Es muss aber sichergestellt sein, dass die Daten, die an das fremde Netzwerk übergeben werden, ausreichend geschützt werden. Dazu bedient man sich der Kryptografie, die nicht nur vor dem Ablauschen und einer Manipulation der Daten im fremden Netz schützen soll, sondern sicherstellt, dass ausschließlich erwünschte Personen und Rechner untereinander ein privates Netz aufbauen. Sobald diese Eigenschaften zweifelsfrei gegeben sind, kann sich beispielsweise ein Mitarbeiter auf Dienstreise über das Internet mit dem Firmennetzwerk verbinden und somit auf alle Ressourcen des Unternehmens in gewohnter Weise zugreifen. Dabei ist es fortan unerheblich, ob er ein WLAN im Hotel, einen HotSpot am Flughafen oder einen Internet-Zugang beim Kunden nutzt: Die Unternehmensdaten werden jedes Mal sicher durch diese, ihm unbekannten Netzwerke transportiert. Dabei ist zu bedenken, dass der Mitarbeiter lediglich Einfluss auf das Ziel der Daten hat, jedoch nicht auf das Routing im Transit-Netzwerk. So können Daten im Internet, wie die Vergangenheit zeigt, durchaus über amerikanische oder chinesische Backbone-Netze geleitet werden, obwohl sich Sender und Empfänger im selben Land befinden. Um sich z.B. vor Industrie-Spionage zu schützen, ist eine sichere VPN-Verbindung daher unabdingbar.

Auf der anderen Seite des VPNs ist für die Teilnehmer des Unternehmens-Netzwerkes kaum ersichtlich, dass die Daten einem entfernten Rechner entstammen. Ein VPN-Gateway an der Schnittstelle zum Unternehmensnetzwerk empfängt die Daten, entschlüsselt sie und speist sie derart in das Netzwerk ein, als wäre der Mitarbeiter direkt mit seinem Notebook verbunden. Statt der Anbindung eines einzelnen Mitarbeiters kann man gleichermaßen ein entferntes Netzwerk ankoppeln und so beispielsweise Niederlassungen des Unternehmens anbinden. Die Funktionsweise des virtuellen privaten Netzes ändert sich nicht.

Zur Sicherung der VPN-Verbindungen haben sich im Laufe der Zeit zwei Verfahren etabliert: IPsec und SSL VPN. IPsec wurde durch die IETF standardisiert und bezeichnet eine Sammlung von verschiedenen Netzwerkprotokollen, die zusammen die beschriebenen Eigenschaften zur Sicherung der Unternehmensdaten gewährleisten. Dem SSL VPN liegt der Gedanke zugrunde, dass man das Rad nicht neu erfindet, sondern sich im Kern der erprobten SSL/TLS-Technik bedient und diese um wenige, für ein VPN notwendige Parameter ergänzt. Ein offizieller Standard, der sich im Kern auf SSL/TLS zum Aufbau eines VPN stützt, hat sich jedoch im Laufe der Zeit nicht entwickelt. Es existieren vielmehr verschiedene Software-Implementierungen, die diese Art von VPN realisieren.

              

Abbildung-1: Allgemeiner Aufbau eines VPNs

Bedauerlicherweise wurde der Begriff „SSL VPN“ von einigen Herstellern in den vergangenen Jahren mehr und mehr missbraucht, um damit höchstwahrscheinlich eine höhere Sicherheit zu suggerieren. Dadurch fällt es beim Begutachten von Produktbeschreibungen häufig schwer, ein tatsächliches SSL VPN zu identifizieren. Dies gelingt jedoch, wenn eine zu einem VPN widersprüchliche Beschreibung gewählt wurde. Ein prominentes Beispiel dafür ist die in diesem Zusammenhang oft benutzte Bezeichnung "clientless SSL VPN". Dem Wortlaut nach könnte man zunächst vermuten, dass dahinter die absurde Absicht steckt, einen PC aus einem Internet-Café in das heimische Unternehmens-Netzwerk zu holen oder gar ein Internet-Café anzubinden. Bei genauerer Betrachtung wird jedoch deutlich, dass sich dahinter ein browserbasierter, VPN-ähnlicher Zugriff auf ausgewählte Unternehmensanwendungen mittels HTTPS verbirgt. Diese umfassen häufig den Zugriff auf E-Mail-Postfächer, gemeinsame Dateiverzeichnisse oder einen Terminal-Server. Selbst im Falle eines Terminal-Servers kann man nicht von einem privaten Netzwerk sprechen, weil lediglich Tastatureingaben und Mausbewegungen an den Server gesendet werden und dieser Bildschirmausgaben zurück sendet. Eine direkte Kopplung des entfernten Rechners findet nicht statt. Die Verwendung des Begriffes VPN ist in diesem Zusammenhang daher irreführend und wird zudem häufig unkritisch übernommen. Letztendlich stellt sich die Frage, welche Daten verschlüsselt übertragen werden. Während es in dem einen Fall spezielle Anwendungsdaten über HTTPS sind, werden bei einem „echten“ SSL VPN beliebige Anwendungsdaten zusammen mit Daten des TCP/IP-Stacks übertragen. Zur besseren Differenzierung wäre daher eine andere Bezeichnung sinnvoll, zum Beispiel "Clientless Remote Access" oder zumindest "Web-based SSL VPN“.

<< Erste < Vorherige Page 1 Page 2 Page 3 Page 4 Nächste > Letzte >>

Diesen Artikel empfehlen

Autor: Markus Mahrla

Sichere Systeme – Security beim Hardwaredesign

Als eines der kritischen Systeme ist unser Straßenverkehr zu sehen. Jeder kennt es: In dicht besiedelten und infrastrukturell gut ausgestatteten Regionen reicht ein Kfz mit Defekt, um große Teile des Straßenverkehrs zu stören oder gar zum Erliegen zu bringen. Dies, und vorrangig die...

Auswirkungen der Änderungen von ISO 27001:2005 zu ISO 27001:2013

Die ISO - International Organization for Standardization - ist die internationale Vereinigung von Normungsorganisationen. Ihre Aufgabe ist das Erarbeiten internationaler Normen in allen Bereichen mit Ausnahme der Elektrik / Elektronik (IEC) und der Telekommunikation (ITU). Die ISO, IEC und ITU...

Heartbleed-Rückblick

Was ist Heartbleed? Die Beschreibung von Heartbleed ist relativ einfach. Um sicherzustellen, dass eine TLS-Session noch fehlerfrei besteht, sendet ein SSL-Client regelmäßige Heartbeats an den Server, der dann entsprechend darauf reagiert. Die Heartbeat-Anfrage enthält, vereinfacht gesagt,...

Sicherheitsbetrachtungen zu SaaS

SaaS steht für  “Software as a Service” und stellt eine Cloud-Anwendung dar, bei der von einem externen Dienstleister neben der IT-Infrastruktur auch Anwendungen zur Verfügung gestellt („gehostet“) werden. Der Kunde benötigt lediglich ein Endsystem mit Webbrowser, sowie eine Netzverbindung, in...

Sichere Ende-zu-Ende Verschlüsselung sieht anders aus

Spätestens seit dem NSA-Abhörskandal steht fest: E-Mail Kommunikation ist nicht immer sicher – gerade sensible Daten sollten daher verschlüsselt übertragen werden. Auf die Verunsicherung der User haben die deutschen E-Mail-Provider Deutsche Telekom, Freenet, GMX sowie Web.de zügig reagiert und...

Software-basierter Schutz im Kampf gegen die „Bad Guys"

Das gilt insbesondere hinsichtlich der Sicherheit: Mit den Möglichkeiten der IT-Infrastruktur wachsen auch deren Bedrohungen – und dies schneller und umfassender denn je. Mit immer neuen Formen von Attacken, mit Kombinationen bekannter und unbekannter Cyber-Bedrohungen, die intelligent und...

Sichere drahtlose Mesh-Netzwerke und mögliche Anwendungen

Drahtlose Mesh-Netzwerke Drahtlose Mesh-Netzwerke zeichnen sich zuallererst durch ihre drahtlose Kommunikation aus. In diesem Artikel liegt der Fokus auf IEEE 802.11 (WLAN) als Funktechnologie. Andere Technologien, wie zum Beispiel IEEE 802.16 (WiMAX), IEEE 802.15.4 (ZigBee) oder proprietäre...

Schwachstellen-Analyse mit OpenSSL

SSL/TLS (Secure Sockets Layer / Transport Layer Security) ist für die sichere Datenübertragung im Internet unverzichtbar, sei es bei der Verschlüsselung von sensiblen Bankdaten oder Login-Vorgängen über HTTP, der Anbindung ganzer Unternehmensteile mittels SSL-VPN oder als Allheilmittel zur...

Einsatz von Softwarelösungen zum Aufbau und Betrieb eines ISMS

Es ist hilfreich, sich die Idee eines ISMS als Trichter vorzustellen, welcher mit der Erfassung der informationellen Werte (auch als Assets bezeichnet) beginnt und mittels einer Risikobewertung zu einem konzentrierten Ergebnis, den Maßnahmen, gelangt. Ausgehend von der Frage, was ein Unternehmen...

DDoS-Attacken werden immer gefährlicher

Praktisch jedes Unternehmen hängt heute mehr oder weniger von einer gut funktionierenden Internet-Anbindung ab. Webplattformen werden genutzt, um Produkte zu vertreiben und Kunden mit wichtigen Informationen zu versorgen, eigene Mitarbeiter sind für ihre geschäftliche Kommunikation und Recherchen...

Datenschutzkonforme Archivierung in der Cloud

Kleine Unternehmen scheuen nicht so sehr die Lizenzkosten einer Softwarelösung zur Archivierung, sondern vor allem die Kosten für die Installation und die Schulung der Mitarbeiter. Datenschutzrechtlich ist zu befürchten, dass bei einer zentralen Archivierungslösung gleichzeitig die Möglichkeiten...