Vergleich von VPN-Techniken

Für die Einrichtung von VPNs bieten sich drei verschiedene Ansätze an. Noch aus dem Modem-Zeitalter stammt der RAS-Ansatz. Jünger ist dagegen das IP-basierende VPN, das lange Zeit als modernste Technik geschätzt wurde. Als der letzte Schrei gelten seit ein bis zwei Jahren so genannte Web-basierende SSL-VPNs.

Das besondere Plus dieser Technik sind die vielen kompatiblen Übertragungsprotokolle, von analog über ISDN bis hin zu X.31. Letztlich handelt es sich dabei in der Regel um Punkt-zu-Punkt-Verbindungen, die nicht mit hohen Übertragungsraten wie etwa xDSL aufwarten. Was aber auch kein Problem darstellt, da RAS heute meist dazu genutzt wird, um wenige Daten sicher zu übermitteln, wie etwa bei den Fahrkartenautomaten der Bahn oder bei Röntgengeräten, die dem Hersteller selbständig von Zeit zu Zeit ihren Wartungsbedarf melden. Als Übertragungsmedium kommen dabei auch moderne Mobilfunktechniken wie GPRS oder UMTS zum Einsatz, um beispielsweise Geldautomaten oder andere Geräte fernab von einer Backbone-Infrastruktur zu vernetzen.

Im Gegensatz zum direkten Zugriff über Punkt-zu-Punkt-Verbindungen nutzen IP-basierende VPNs zur Übertragung in der Regel Teile eines öffentlichen Netzes. Über dieses wird dann quasi eine Art virtuelles Netzwerk gelegt, das noch gegen Lauscher geschützt werden muss. Im Gegensatz zu RAS, das auf den unteren Netz-Layern greift, sind diese Verfahren meist auf der Netzebene zwei beziehungsweise drei des OSI-Modells angesiedelt. Entsprechende VPNs können mit Protokollen wie L2TP, PPTP, ViPNet und anderen realisiert werden. In der Praxis kommt jedoch sehr häufig IPsec zum Einsatz, weshalb sich für diese Gattung allgemein der Begriff IPsec-basierende VPNs eingebürgert hat.

Für diese Art der remoten Koppelung spricht unter anderem, dass günstige und breitbandige Übertragungsarten wie WLAN-Hotspots oder DSL-Verbindungen sowie das Internet als physikalisches Transportnetz genutzt werden können. Über diese wird ein virtuelles Overlay-Netz gelegt, um etwa das heimische LAN eines Teleworkers transparent mit dem Corporate Network zu koppeln, wobei die Daten verschlüsselt durch einen Tunnel transportiert werden. Alle LAN-Applikationen sind ohne Modifikation remote nutzbar, und für die Anwendungen fällt kein Integrationsaufwand an. Voice over IP (VoIP) ist über ein IPsec-VPN ebenfalls kein Problem, so dass das IP-Telefon im Home Office zur Nebenstelle der Unternehmenstelekommunikation wird. Ferner sind im Gegensatz zu anderen Methoden keine Network-Layer-Applets wie Active X oder Java/JRE notwendig.

Diesen Pluspunkten stehen jedoch auch eine Reihe von Nachteilen entgegen. So sind für die Realisierung des VPN in der Zentrale VPN-Gateways oder Access-Routern mit integrierter VPN-Funktionalität erforderlich. Gleiches gilt für die Gegenseite. Handelt es sich bei dieser nur um einen einfachen Rechner oder ein anderes Endgerät, so ist keine separate Hardware notwendig. Die Funktionalität kann auch über einen VPN-Client hergestellt werden. Soll ein VPN-Projekt in einem größeren Unternehmen mit heterogener Endgerätelandschaft realisiert werden, so ist darauf zu achten, ob wirklich für alle Endgeräte ein entsprechender Client erhältlich ist. Bei mobilen Endgeräten ist neben der Client-Verfügbarkeit zudem noch die Rechenleistung ein Thema, denn nicht selten sind die Prozessoren der Kleinstcomputer mit dem Rechenaufwand für die Verschlüsselung überfordert.

Weniger Verwaltungsaufwand versprechen die noch relativ jungen SSL-VPNs. Diese auch als Web-basierende VPNs bezeichnete Form des virtuellen Netzes setzt nicht auf den unteren Netzschichten, sondern auf der Applikationsschicht des OSI-Modells an. Es ist das Ziel eines SSL-VPN der möglichst einfache und sichere Zugriff auf Web-Anwendungen von unterwegs, ohne dass der Anwender einen direkten Zugriff auf das Unternehmensnetz erhält. Gerade der letzte Teilaspekt ist für Unternehmen interessant, die externe Partner wie freie Mitarbeiter, Kunden und Lieferanten oder in sporadischen Remote-Usern wie beispielsweise Messebesuchern einbinden wollen. Zudem eignet sich die Technik als alternativer Zugang für die eigenen Mitarbeiter, wenn diese aufgrund der Firmen-Policy bei einem Kunden keinen IPsec-Tunnel aufbauen können.

Für die Installation einer solchen Lösung ist in der einfachsten Variante nur ein SSL-fähiger Web-Server mit den nötigen Inhalten erforderlich, und als Client genügt der Browser, um eine gesicherte Verbindung zu der gewünschten Anwendung herzustellen. Fast jedes Endgerät – also auch Handys mit Browser und proprietärem Betriebssystem - kann so für den remoten Zugriff verwendet werden, denn anders als bei IPsec-VPNs ist keine spezielle Client-Software erforderlich, die dann womöglich für die eine oder andere Plattform nicht erhältlich ist.

Allerdings funktioniert diese einfache Variante nur, wenn die Unternehmensanwendungen als über HTTP erreichbar sind. Ist dies nicht der Fall benötigt der Anwender einen SSL-VPN-Server beziehungsweise Proxy als Bindeglied zu den anderen Anwendungen. Mit einem entsprechenden Server lässt sich zudem gleich ein weiteres Manko der SSL-VPNs umschiffen. Da die Technik per se auf der Anwendungsebene aufsetzt, erlaubt sie keinen direkten Zugriff auf Dateiebene. Diesen remoten File Access kann der Anwender wiederum mit Hilfe des VPN-Servers ermöglichen. Der Einsatz entsprechender dedizierter Server empfiehlt sich auch, weil damit Client-Parameter wie verwendetes Betriebssystem, Service Packs und Hotfixes prüfen oder die gestarteten Dienste und Anwendungen auf dem remoten Rechner abfragen lassen. Mit Hilfe dieser Daten können dann ein fein graduierte Zugriffsrechte gewährt werden. Wird ein Endgerät als unsicher eingestuft, so erhält der Anwender beispielsweise lediglich Zugriff auf den Speiseplan der Kantine, während ihm die Verwendung der ERP-Software nur dann erlaubt ist, wenn sein Endgerät alle Sicherheitschecks besteht.

• Der Benutzer verbindet sich über seinen Browser mit der Login-Seite des SSL-VPN-Gateways.
• Dort muss er sich authentisieren, um auf die Portalseite zu gelangen.
• Spätestens nach diesem Login wird überprüft, auf welche Ressourcen (etwa Applikationen) der Benutzer zugreifen kann und darf.
• Nach Bedarf wird dem Benutzer über den Browser ein Applet (Java oder Active X) oder eine andere Software heruntergeladen, welche ihm den nötigen Zugriff auf die Ressourcen des internen Netzes ermöglicht.
• Der Benutzer kann nun über die aufgebaute SSL-Verbindung geschützt und sicher auf die erforderlichen Ressourcen zugreifen.
• Nach der Sitzung können noch Clean-up-Routinen auf dem Client betrieben werden.

Um alle Funktionen zu realisieren, müssen die Hersteller den Funktionsumfang des Browsers über die reine SSL-Funktionalität hinaus durch den Einsatz von ActiveX oder Java Applets erweitern. Dabei existieren drei verschiedenen Zugriffsmethoden:

• Client-less: Der Benutzer greift lediglich mit seinem Browser auf die Web-Seiten eines Servers zu. Das Spektrum der unterstützten Applikationen ist relativ klein, da normalerweise nur Web-Applikationen genutzt werden können. Allerdings gibt es so genannte Webifier als Web-Schnittstelle zu nicht Web-basierenden Anwendungen.
• Thin Client: Bei dieser Methode lädt der Browser zusätzlich ein Plugin herunter. Das geladene Plugin dient meist als generischer TCP/UDP-Proxy und ermöglicht auf Basis eines Portforwardings den Zugang zu allen TCP- und UDP-fähigen Applikationen.
• Fat Client: Soll über SSL ein vollwertiges VPN aufgebaut werden, so muss die Lösung in der Lage sein, den kompletten IP-Verkehr über eine verschlüsselte Verbindung zu übertragen. Hierzu wird ein Treiber installiert, der ein virtuelles Netzwerk-Device erstellt. Dieses Device ermöglicht die Umleitung des Verkehrs über eine statische Route in den SSL-VPN-Tunnel.

• VPN-Clients für Windows Vista
  
• Security-Nachhilfe für Windows-Mobile
  
• VPN mit der Fritz-Box