Per VPN in die Cloud
IPsec, SSL und Citrix: Welche VPN-Lösung ist wann geeignet?
Alle drei Technologien lassen sich klaren Anwendungsgebieten zuordnen
Von Olaf Belling
(24.01.13) - Cloud Computing-Services haben immer eine Voraussetzung: einen performanten Netzzugang. Ohne passende Anbindung funktioniert nichts. Viele Lösungen binden den Nutzer per VPN und Remote Access in die Cloud ein. Doch wann ist welche Technologie sinnvoll? Die bevorzugte Technologie für Remote-Access-Lösungen im Business-Kontext sind die Virtuellen Privaten Netzwerke (VPN). Allerdings gibt es hier ganz unterschiedliche Technologien, die einen Datenaustausch ermöglichen. Dabei werden verschiedene Methoden verwendet, um die Daten zu verschlüsseln und gegen den Einfluss Dritter zu sichern. Je nach Bedarf bieten sich unterschiedliche Protokolle an.
Sicher durch das Netz
Eines der sichersten und gängigsten Protokolle zur Datenübermittlung in VPNs ist nach wie vor IPsec. Es ergänzt das einfache Internetprotokoll um Verschlüsselungs- und Authentifizierungsmechanismen, um einen gesicherten Datenstrom zu gewährleisten. Die Sicherheit basiert auf Security Associations, die Umfang und Eigenschaften der gesicherten Datenübertragung zwischen den Gateways regeln. Um diese zu erlangen, findet im Vorfeld ein Austausch wichtiger Sicherheitsparameter statt: Er beinhaltet Informationen über Art und Weise der Verschlüsselung, Authentifizierung, den Schlüsselaustausch und die Dauer der Gültigkeit. Das Tunneling gewährleistet den geschützten Datentransport über ein unsicheres öffentliches Netz. Kernstücke dieser Sicherheit sind der Authentication Header (AH) zur Authentifizierung, das ESP-Protokoll (Encapsulating Security Payload) zur Verschlüsselung und das Key Management. Zugriffe auf das Netzwerk sind nur autorisierten Geräten und Nutzern möglich. Mit IPsec lassen sich so Sicherheitsrichtlinien leichter durchsetzen und Angriffsversuche auf den Datenstrom verhindern. IPsec bietet sich vor allem zur Standortvernetzung von Unternehmen an, weil der Standard herstellerübergreifend fast alle Geräte unterstützt. So können beispielsweise Router und Firewalls diese Funktion gleich mit übernehmen. Auch wenn es das Protokoll relativ lange gibt, hat es nichts von seiner Aktualität eingebüßt, zumal sich die Verschlüsselungsalgorithmen aktualisieren lassen. Für Remote Access eignen sich IPsec-Lösungen allerdings nur bedingt: Durch die erforderliche Client-Installation und komplexe Firewall-Einstellungen verursachen sie einen eher großen administrativen Aufwand, der mit einer mangelnden Flexibilität einhergeht.
Sicherheit auch ohne Client
Besser eignen sich beispielweise SSL-VPNs: Bei dieser Technologie erfolgt eine Unterscheidung in client- oder browserbasierten SSL-VPNs. Für die browserbasierte Variante entfällt die Installation eines Clients. Ein HTTPS-fähiger Browser und Java- oder ActiveX-Applikationen, die den Client ersetzen, ermöglichen jedoch eine Mischform aus beiden Varianten. Diese benötigten Werkzeuge machen eine SSL-VPN-Variante relativ einfach, da sie auf den meisten Rechnern zum Standard gehören und daher kein hoher Administrationsaufwand entsteht. Zudem sind SSL-VPNs auch durch Firewalls nutzbar, ohne komplizierte Einstellungen und Konfigurationen im Vorfeld. Durch die einfache Inbetriebnahme der SSL-VPNs bieten sie sich für Remote-Access-Lösungen oder Extranet-Anwendungen an. Durch die auf Endgeräte zugeschnittene Architektur spielen SSL-VPNs für virtuelle Standortvernetzungen keine Rolle.
Schwerpunkte festlegen
In punkto Verschlüsselung nutzen beide Protokolle unterschiedliche Verfahren: Während IPsec mit Tunneling arbeitet und die gesamte Kommunikation verschlüsselt, bietet SSL eine reine Datenverschlüsselung, die trotzdem Integrität und Authentizität der Daten sichert. Im Hinblick auf Administration und Management liegt SSL jedoch klar im Vorteil: Es ist schneller eingerichtet und benötigt im Gegensatz zu IPsec keine umfassenden Einstellungen, um beispielsweise über Firewalls hinweg zu funktionieren. Dieser Konfigurationsaufwand macht IPsec auch für Remote-Access-Anwendungen unattraktiv, bei denen mobile Endgeräte und flexible Einsatzbedingungen gefordert sind. Aufgrund seiner Komplexität ist IPsec zudem fehleranfälliger in der Konfiguration. Um die bestmögliche Lösung zu finden, sollten die beiden Protokolle je nach Anwendungszweck und individuellen Anforderungen eingesetzt werden. Zwar stand die SSL-Technologie in jüngster Zeit wegen mangelnder Sicherheit immer wieder in der Kritik, doch in diesem Kontext ging es vor allen Dingen um geknackte Certificate Authorities, nicht um eine per se unsichere Technologie.
Vorteile nutzen mit Citrix
Die Access-Gateway-Familie von Citrix bietet umfassende Anwendungsmöglichkeiten für VPNs. Der Vorteil: Die Citrix-Anwendungen basieren auf der Einfachheit der SSL-VPNs. Zwar gibt es die Möglichkeit, einen Client zu installieren, doch ist der Zugang über den Browser, gerade für mobile Endgeräte, die elegantere Lösung. Wie bei IPsec, ermöglicht Citrix den Aufbau eines Tunnels, um eine höhere Sicherheit zu gewährleisten. Über die Endpunktanalyse erfolgt die Identifizierung und Autorisierung der Geräte und Nutzer. Kompatibilität mit den gängigen Betriebssystemen und Browsern vereinfacht die Nutzung der Anwendungen. Während des Zugriffs auf das VPN läuft kontinuierlich eine Überprüfung der Sicherheitsfunktionen der Endgeräte. Bei Verbindungsabbrüchen erfolgt eine automatische Wiederanbindung. Die unterschiedlichen Komponenten von Citrix ermöglichen während der Verbindung einen hohen Sicherheitsstandard. Nach Beenden der Sitzung im VPN wird der Browser-Cache gelöscht und eventuell gespeicherte Daten beseitigt.
Einfacher Zugriff und hohe Sicherheit
Schlussendlich lassen sich alle drei Technologien klaren Anwendungsgebieten zuordnen: Bei IPsec liegt der Funktionsschwerpunkt auf der Standortvernetzung mit einem Fokus auf etablierte und anerkannte hohe Sicherheitsstandards. Die Lösungen auf Basis von SSL bieten den Nutzern eine höhere Flexibilität mit deutlich geringerem Wartungsaufwand durch den Wegfall umfangreicher Konfigurationen. Citrix hingegen bietet eine gut umzusetzende Policy auf Anwendungsebene und kann sicherstellen, wer welche Applikation sehen kann und bereitgestellt bekommt. Letztlich entscheidet also das Einsatzgebiet, welche VPN-Variante gerade die geeignetste ist. Deshalb prüfen Provider wie die BCC Business Communication Company immer im Vorfeld gemeinsam mit dem Kunden und finden die individuell passende Lösung. (BCC Business Communication Company: ra)
BCC Business Communication: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.