Vier Kriterien für die Wahl des richtigen SSL-VPNs

SSL-VPNs bieten Unternehmen Schutz für sichere Kommunikation im Netzwerk und vor Manipulation. Die Wahl des richtigen Produkts ist entscheidend.

Produkte der Gattung Secure Sockets Layer (SSL) Virtual Private Network (VPN) oder kurz SSL-VPN setzt man ein, um die Netzwerkkommunikation vor Lauschangriffen und Manipulation zu schützen. SSL-VPNs werden meist verwendet, um Zugriffe von außerhalb für Desktop, Notebooks, Smartphones und Tablets zu ermöglichen. Dabei ist es egal, ob die Geräte dem Unternehmen oder dem Anwender gehören und der Bring Your Own Device (BYOD) nutzt. Auch Auftragnehmern, Lieferanten und Business-Partnern ermöglicht man so einen Zugang.

SSL-VPNs gibt es als alleinstehende oder virtuelle Appliances. Immer häufiger bündelt man die Leistungsmerkmale auch mit anderen Security-Produkten wie zum Beispiel Next-Generation Firewall (NGFW) und Unified Threat Management (UTM). Die Leistungsmerkmale sind sich in der Regel sehr ähnlich, egal ob gebündeltes oder alleinstehendes Produkt. Der Teufel steckt eher im Detail. Auf welche Weise die SSL-VPNs implementiert sind, macht den Unterschied aus.

Um die Unterschiede identifizieren zu können, muss ein Unternehmen die SSL-VPNs nach gewissen Kriterien evaluieren. Nur so finden sie das richtige Produkt für ihre Ansprüche. Folgend beschreiben wir diverse wichtige Kriterien, die Sie bei jeder Evaluierung von SSL-VPNs in Betracht ziehen sollten.

Kriterium 1: Software-Optionen für VPN-Clients

Für die meisten Unternehmen ist der wichtigste Entscheidungsgrund die Antwort auf die Frage, auf welche Ressourcen die SSL-VPN Clients zugreifen können. An dieser Stelle sind Websites, Applikationen, gemeinsam genutzte Ordner und so weiter gemeint. Weiterhin ist wichtig, welche Sicherheitsanforderungen man auf diesen Client-Geräten durchsetzen möchte. Das sind die treibenden Aspekte bei der Evaluierung von SSL-VPN Client-Software.

Allgemein gibt es vier Ansätze für SSL-VPN Client-Software:

  1. Clientless: Hier verwendet man den Webbrowser des Geräts, um die Verbindung mit dem SSL-VPN zu etablieren. Eine Installation von Software ist nicht notwendig. Der Ansatz ohne Client bietet in der Regel die geringsten Zugriffsmöglichkeiten auf die Ressourcen eines Unternehmens. Normalerweise sind nur webbasierte Applikationen und Websites damit abgedeckt.
  2. Plug-in für den Browser: Das ist entweder ein Java Applet, ein ActiveX-Steuerelement oder ein anderer Code, der innerhalb eines Webbrowser ausgeführt wird. Ein Plug-in für den Browser ermöglicht oftmals den Zugriff auf gemeinsam genutzte Ordner, Anwendungen, die nicht webbasiert sind und andere Ressourcen, die bei einem Clientless-Modell nicht verfügbar wären. Plug-ins für den Browser sind nur für Desktops und Notebooks verfügbar, aber nicht für Smartphones und Tablets.
  3. Alleinstehende und ausführbare Programme für Desktops und Notebooks: Man installiert einen dedizierten Client im Betriebssystem und verwendet nicht den Webbrowser. Das ermöglicht Zugriff auf die gleichen Ressourcen wie beim Ansatz mit Browser-Plug-in, allerdings ist die Sicherheit potenziell höher. Der Zustand des Systems lässt sich besser prüfen und das Unternehmen kann Einstellungen zur Konfiguration erzwingen. Weil es keine Abhängigkeit von einem Browser gibt, sind der Hersteller und die Version irrelevant, die auf dem Client installiert sind.
  4. Mobile Applikation für Smartphone oder Tablet: Das ist das Äquivalent zu einem alleinstehenden Programm, allerdings konzipiert für mobile Geräte.

Jedes Unternehmen muss sich im Klaren darüber sein, welche Ressourcen benötigt werden und wie man die IT-Sicherheit umsetzt. Auch die Charakteristiken der Client-Geräte sind relevant. Sie müssen nachsehen, ob Sie Desktops und Notebooks oder eher Smartphones und Tablets im Einsatz haben. 

Auch Marke und Version des Browsers spielen eine Rolle. Nur wenn das Unternehmen all diese Informationen hat, kann es sich für eine Herangehensweise hinsichtlich eines Clients für SSL-VPN entscheiden. Im Anschluss sehen Sie dann nach, welche SSL-VPNs die gewünschten Clients anbieten. Einige Angebote stellen Optionen für den Betrieb mit und ohne Client zur Verfügung. Andere haben wiederum nur einen Client im Portfolio.

Kriterium 2: VPN Clients und die Unterstützung für das Betriebssystem

Entscheidet sich eine Firma für einen schwergewichtigen Client-basierten Ansatz bei SSL-VPN, ist dafür ein alleinstehendes Programm für Desktops und Notebooks oder eine mobile App für Smartphones und Tablets zu installieren. Deswegen müssen Sie umsichtig evaluieren, welche Betriebssysteme die Client-Software überhaupt unterstützt. Geht man einfach von einer gegebenen Unterstützung aus, ist das sehr leichtsinnig. Das gilt sowohl für Desktops und Notebooks, als auch für Smartphones und Tablets.

Nehmen Sie zum Beispiel ein Unternehmen, das eine Mischung an Windows und Mac OS X auf den Desktops und Notebooks einsetzt. Dazu kommen noch diverse Smartphones und Tablets mit Google Android und Apple iOS. An dieser Stelle könnte es schon schwierig werden, ein einziges SSL-VPN-Produkt zu finden, das Client-Software für Windows, Mac OS X, Android und iOS zur Verfügung stellt.

Erlaubt die Firma auch noch BYOD, dann muss man die Geräte der Anwender ebenfalls in die Rechnung aufnehmen. Möglicherweise lassen sie andere Betriebssysteme wie zum Beispiel Unix und Linux auf den Desktops und Notebooks laufen, sowie Windows (Phone) und BlackBerry auf Smartphones und Tablets.

Eventuell ist es notwendig, schwergewichtige Clients auf einigen Geräten einzusetzen. Auf anderen verwendet man vielleicht Plug-ins für den Browser oder Clientless-Lösungen. Beachten Sie aber, dass Sie auf Smartphones und Tablets sehr wahrscheinlich dedizierte Apps einsetzen müssen, um SSL-VPNs nutzen zu können. Unter Umständen ist die Unterstützung für mobile Betriebssysteme wichtiger als die für Desktops oder Notebooks.

Kriterium 3: Unterstützung für simultane Anwender

Kommerzielle SSL-VPNs werden in der Regel nach der Anzahl der simultanen Anwender lizenziert. Die meisten Anbieter stellen verschiedene Modelle zur Verfügung. Sehr kleine Optionen sind zehn oder 15 Nutzer, die gleichzeitig arbeiten können. Implementierungen von Service Providern können auch mal 10.000 simultane Anwender enthalten. 

Dazwischen gibt es natürlich auch jede Menge Optionen. Von ein paar Hundert bis einige Tausend simultane Anwender ist alles drin. Bei einigen finden Sie sogar virtuelle Appliances, die wegen eines möglichen Cloud-Ansatzes unbegrenzte Skalierbarkeit versprechen.

Das dritte Kriterium ist deswegen verzwickt, da man das SSL-VPN hinsichtlich der maximalen Anforderungen richtig bemessen muss. Ein häufiges Beispiel ist die Planung für Disaster Recovery. Sollten die Mitarbeiter wegen einer Naturkatastrophe oder einer anderen Situation das Büro nicht erreichen, können dann alle gleichzeitig von außerhalb arbeiten? Die Nutzung von SSL-VPN erhöht sich vielleicht für einen kurzen Zeitraum. Das kann für Stunden oder auch für Tage sein. Danach sinkt der Gebrauch wieder auf das alte Niveau ab. Offensichtlich ist es wichtig, die Appliances an dieser Stelle richtig zu bemessen. Wegen saisonalen Gründen muss selbstverständlich etwas Kapazität nach oben da sein. Wie plant man aber für außergewöhnliche Umstände?

Zum Glück bieten einige Anbieter von SSL-VPNs auch eine Lizenzierung für Spitzenlasten an. Damit haben Unternehmen die Möglichkeit, temporäre Lizenzen zu erwerben. Damit sind mehr simultane Anwender möglich. So einen Lizenztyp kann man kaufen und im Anschluss fast ohne Verzögerung einsetzen. 

Das ist ideal, sollte es zu unerwarteten Spitzenlasten kommen, wie es möglicherweise bei einem Desaster der Fall ist. Sie sollten aber im Hinterkopf behalten, dass eine Appliance an sich nur eine gewisse Anzahl an Anwendern verarbeiten kann. Übersteigen Sie diese Anzahl, wirkt sich das sehr wahrscheinlich negativ auf die Performance aus.

Im Notfall ist allerdings ein langsamer Zugriff aber immer noch besser als gar keiner.

Kriterium 4: Zugriffskontrolle für das Netzwerk

Funktionen für die Zugriffskontrolle im Netzwerk sind bei den SSL-VPNs eigentlich schon Standard. Die Zugriffskontrolle für das Netzwerk bezieht sich auf die Überprüfung, ob das Client-Gerät zu diversen Sicherheitsrichtlinien des Unternehmens konform ist. Zum Beispiel will man sicherstellen, dass sich auf dem Desktop oder Notebook aktuelle Antiviren-Software befindet oder ein mobiles Gerät nicht jailbroken oder gerootet ist. Unterschiedlich ist bei den SSL-VPNs hingegen, welche Betriebssysteme die Netzwerk-Zugriffskontrolle unterstützt und zu welchem Grad jedes Produkt die Security-Richtlinien überprüft.

Ein Beispiel ist die Authentifizierung mit clientseitigen digitalen Zertifikaten. Viele Unternehmen stellen auf ihren Geräten digitale Zertifikate zur Verfügung. Damit lässt sich überprüfen, ob sich das Gerät unter der Kontrolle der Firma befindet. Zugriffskontrollfunktionen für das Netzwerk können die Überprüfung des Zertifikats vor einem Zugriff erzwingen und somit garantieren, dass das Gerät berechtigt ist, auf die Ressourcen des Unternehmens zugreifen zu dürfen.

Wir raten Firmen, die Zugriffskontrolle für das Netzwerk während der Evaluierung und vor dem Kauf eines SSL-VPNs ausführlich zu testen. Auf diese Weise können sie herausfinden, wie gründlich ein SSL-VPN die Security-Richtlinien des Unternehmens überprüft und durchsetzt.

Machen Sie Ihre Hausaufgaben und bewerten die Lösungen

SSL-VPNs sind in den vergangenen Jahren gereift und alle bieten ungefähr die gleichen Funktionen an. Durch die Details dieser Funktionen differenzieren sich diese Produkte allerdings und eignen sich mehr oder weniger für ein bestimmtes Unternehmen.

Jede Firma hat eigene Ansprüche und Voraussetzungen für den Einsatz eines SSL-VPNs. Aus diesem Grund kann man die Produkte nicht pauschal bewerten. Die Kriterien in diesem Artikel sollen als Startpunkte dienen, um SSL-VPNs evaluieren zu können. Sehen Sie sich Softwareoptionen hinsichtlich der Clients, Unterstützung für simultane Anwender, Unterstützung für Betriebssysteme und Zugriffskontrolle für das Netzwerk an.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im Juni 2015 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über VPN-Sicherheit und -Konfiguration

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close