SECURITY
24.09.2005, 22:16 Uhr
Sichere Verbindungen im VPN
Sind Verbindungen im VPN (Virtual Private Network) auf der Basis von SSL auch tatsächlich genügend sicher?
Wie kann die Business-Anforderung nach immer unterschiedlicheren Teilnehmern am Intranet sicher und einfach befriedigt werden. Längst geht es nicht mehr nur um vereinzelte Teleworkers und Vielflieger aus der Geschäftsleitung, die nur selten an ihrem angestammten Arbeitsplatz anzutreffen sind; dazugekommen sind Kunden, Lieferanten und Partner, denen Zugang zu ganz spezifischen Unternehmensdaten gewährt werden muss, damit die Geschäftprozesse reibungsfrei laufen - dies von jeder Lokation auf dem Planeten mit Internetzugang und mit Notebook, Smartphone oder Fernsehgerät - unbürokratisch, sicher und ohne zusätzlichen Aufwand im betrieblichen Tagesgeschäft. Dies soll einfach, sicher und ohne weitere technische Kenntnisse möglich sein.
Bei diesen Anforderungen kann es längst nicht mehr nur um sogenannte «trusted and managed» Verbindungen zwischen bekannten Standorten und Firmen-Computern gehen, die jeweils einen VPN-Client benötigen; vielmehr müssen die Verantwortlichen vermehrt sogenannte «untrusted and unmanaged» Verbindungen beherrschen, indem diese Benutzer nicht einfach abgeblockt werden, sondern eine entsprechende Rolle mit tiefen Privilegien erhalten, je nach Bekanntheitsgrad des Clients. Diese Benutzergruppen verlangen einen Zugang vom Internet ins Intranet und haben einen einfachen Internetbrowser wie etwa Internet Explorer, Netscape oder Firefox installiert. Derlei Zugang spielt sich denn auch nicht mehr auf dem Netzwerklayer und mit IPSec-Protokoll, sondern auf dem Anwendungslayer mit SSL (Secure Socket Layer) ab und ist entsprechend einfach zu betreiben - es genügen ein Internetzugang und ein Browser. VPN-Clients werden hier schlicht überflüssig, entsprechend kostengünstig fällt dann der Betrieb aus. Die Lösung wird typischerweise in der Unternehmens-DMZ installiert - bestehende Server bleiben dabei unberührt.
Bei diesen Anforderungen kann es längst nicht mehr nur um sogenannte «trusted and managed» Verbindungen zwischen bekannten Standorten und Firmen-Computern gehen, die jeweils einen VPN-Client benötigen; vielmehr müssen die Verantwortlichen vermehrt sogenannte «untrusted and unmanaged» Verbindungen beherrschen, indem diese Benutzer nicht einfach abgeblockt werden, sondern eine entsprechende Rolle mit tiefen Privilegien erhalten, je nach Bekanntheitsgrad des Clients. Diese Benutzergruppen verlangen einen Zugang vom Internet ins Intranet und haben einen einfachen Internetbrowser wie etwa Internet Explorer, Netscape oder Firefox installiert. Derlei Zugang spielt sich denn auch nicht mehr auf dem Netzwerklayer und mit IPSec-Protokoll, sondern auf dem Anwendungslayer mit SSL (Secure Socket Layer) ab und ist entsprechend einfach zu betreiben - es genügen ein Internetzugang und ein Browser. VPN-Clients werden hier schlicht überflüssig, entsprechend kostengünstig fällt dann der Betrieb aus. Die Lösung wird typischerweise in der Unternehmens-DMZ installiert - bestehende Server bleiben dabei unberührt.
Dabei sind ausgereifte SSL Lösungen sehr sicher, weil sie
o bei der Pre-Authentifizierung und während der gesamten Session eine starke Endpoint Security einsetzen, das heisst je nach Beschaffenheit des anfragenden Clients, die entsprechende Rolle mit Privilegien dynamisch zuteilen (z. B. überprüfen ob auf dem Client eine Personal Firewall und/oder ein aktueller Virenscanner laufen; feststellen, ob es sich um ein Unternehmens-Notebook handelt oder nicht),
o die Authentifizierung mittels bestehendem LDAP, Radius, NIS oder Active Directory gewährleisten,
o am Schluss der Session den Cache des Clients vollständig reinigen,
o dedizierte und gehärtete Hardware Appliances mit Standard Betriebssystemen verwenden,
o standardmässig als Verschlüsselungstechniken 3-DES, 128 bit RC4 und AES verwenden undFIPS compliant sind.
Die Abgrenzung der SSL-Lösungen zum herkömmlichen IPSec VPN findet bei der Applikation statt; dort wo Benutzer ganz bestimmte (Web-)Applikationen oder andere Unternehmensressourcen brauchen, werden diese auf dem Application Layer provisioniert. Typischerweise wird SSL-VPN nach den folgenden Hauptkriterien eingesetzt:
o IT-Umgebung - eher kurzlebige und variierende Verbindungen mit sich ändernden Geräten, die nicht notwendigerweise in der Hoheit des Unternehmens administriert werden,
o Benutzergruppen - sind nicht vor Ort im Unternehmen, sondern unterwegs und meist sehr mobil,
o Client seitiges Netzwerk - unmanaged, untrusted; im Hotel, Internet-Kiosk, Partner- oder Home-Office.
Vor dem Hintergrund der technischen Möglichkeiten und den weiterhin sehr dynamischen Anforderungen in den Unternehmen ist es daher nicht verwunderlich, dass eine Studie von Infonetics Research für das Jahr 2008 ein weltweites Marktvolumen bei SSL-Produkten von 554 Millionen Dollar prognostiziert.
o bei der Pre-Authentifizierung und während der gesamten Session eine starke Endpoint Security einsetzen, das heisst je nach Beschaffenheit des anfragenden Clients, die entsprechende Rolle mit Privilegien dynamisch zuteilen (z. B. überprüfen ob auf dem Client eine Personal Firewall und/oder ein aktueller Virenscanner laufen; feststellen, ob es sich um ein Unternehmens-Notebook handelt oder nicht),
o die Authentifizierung mittels bestehendem LDAP, Radius, NIS oder Active Directory gewährleisten,
o am Schluss der Session den Cache des Clients vollständig reinigen,
o dedizierte und gehärtete Hardware Appliances mit Standard Betriebssystemen verwenden,
o standardmässig als Verschlüsselungstechniken 3-DES, 128 bit RC4 und AES verwenden undFIPS compliant sind.
Die Abgrenzung der SSL-Lösungen zum herkömmlichen IPSec VPN findet bei der Applikation statt; dort wo Benutzer ganz bestimmte (Web-)Applikationen oder andere Unternehmensressourcen brauchen, werden diese auf dem Application Layer provisioniert. Typischerweise wird SSL-VPN nach den folgenden Hauptkriterien eingesetzt:
o IT-Umgebung - eher kurzlebige und variierende Verbindungen mit sich ändernden Geräten, die nicht notwendigerweise in der Hoheit des Unternehmens administriert werden,
o Benutzergruppen - sind nicht vor Ort im Unternehmen, sondern unterwegs und meist sehr mobil,
o Client seitiges Netzwerk - unmanaged, untrusted; im Hotel, Internet-Kiosk, Partner- oder Home-Office.
Vor dem Hintergrund der technischen Möglichkeiten und den weiterhin sehr dynamischen Anforderungen in den Unternehmen ist es daher nicht verwunderlich, dass eine Studie von Infonetics Research für das Jahr 2008 ein weltweites Marktvolumen bei SSL-Produkten von 554 Millionen Dollar prognostiziert.
Unsere Experten beantworten Ihre Fragen. Schreiben Sie uns: it-security@computerworld.ch
Ein Archiv der Helpdeskartikel finden Sie im Internet: www.computerworld.ch
Ein Archiv der Helpdeskartikel finden Sie im Internet: www.computerworld.ch
