peshkova - Fotolia

SSL VPN: Die Top-Produkte im Vergleich

Wir sehen uns die führenden Produkte bei den SSL VPNs an. Der Artikel vergleicht die Security-Komponenten und geht auf die wichtigen Funktionen ein.

Produkte für SSL (Secure Sockets Layer) VPN (Virtual Private Network) oder auch SSL VPNs stellen verschlüsselte Tunnel zur Verfügung. Damit wird der durch sie fließende Netzwerk-Traffic geschützt. SSL VPNs unterstützen die Vertraulichkeit und die Integrität bei der Kommunikation. 

Meist verwendet man sie, um außenstehenden Geräten einen sicheren Zugriff zu ermöglichen. Dabei ist es egal, ob es sich um Desktops, Notebooks, Smartphones oder Tablets handelt. Sicherer Zugriff auf Unternehmensressourcen von außerhalb ist für eine ganze Reihe an Anwendern enorm wichtig. Dazu gehören auch Mitarbeiter, die Geräte der Firma oder BYOD (Bring Your Own Device) nutzen. Weitere Beispiele sind Auftragnehmer, Geschäftspartner und Lieferanten.

Es gibt mehrere Wege, um sich SSL-VPN-Produkte zu beschaffen. Ein Unternehmen kann eine alleinstehende Appliance kaufen, die nur als SSL VPN dient. Auch ein gebündeltes Gerät wie zum Beispiel eine NGFW (Next-Generation Firewall) oder ein UTM (Unified Threat Management) ist denkbar. Diese bieten mehr als eine Funktionalität und SSL VPN ist ein Leistungsmerkmal davon. Eine weitere Möglichkeit ist eine virtuelle Appliance, um SSL VPN zu realisieren. Es ist allerdings weniger entscheidend, in welcher Form SSL VPN angeboten wird. Die Funktionalität und andere große Charakteristiken sind im Grunde genommen gleich.

Dieser Artikel beschäftigt sich mit dedizierten Produkten für SSL VPN. Das bedeutet alleinstehende und virtuelle Appliances. Das soll nun nicht heißen, dass sie den Kombiprodukten (NGFW, UTM und so weiter) überlegen sind. Jedes Produkt muss auf die speziellen Leistungen evaluiert werden, wobei die Form zweitrangig ist. 

Ignorieren Unternehmen existierende SSL-VPN-Leistungsmerkmale, nur damit sie ein dediziertes Produkt einsetzen können, wäre diese Entscheidung ohne einen triftigen Grund nicht besonders klug. In der Tat ist es so, dass die SSL VPNs in den Kombiangeboten oftmals mit den dedizierten identisch sind. Deswegen sind die hier vorgestellten Produkte möglicherweise auch für Firmen interessant, die eine Paketlösung suchen.

Der Artikel beschäftigt sich mit den folgenden SSL VPNs: Barracuda SSL VPN, Check Point Mobile Access Software Blade, Cisco IOS SSL VPN, Dell SonicWall Secure Remote Access (SRA), Juniper Networks SA Series und OpenVPN Access Server.

Jedes dieser Produkte wurde in Bezug auf vier Kriterien unter die Lupe genommen:

  • Optionen für VPN-Client-Software
  • Unterstützung für Betriebssysteme
  • Simultane Unterstützung von Anwendern
  • Zugriffskontrolle für das Netzwerk

Wenn Unternehmen mit dem Kauf eines SSL VPNs liebäugeln, dann sollten sie diese Kriterien in den eigenen Evaluierungsprozess aufnehmen. Weil jede Firma einzigartige Ansprüche hat, auf die Sie eingehen müssen, sollten Sie die Ergebnisse in diesem Artikel nicht komplett auf das eigene Unternehmen übertragen. Es handelt sich hingegen mehr um ein Stück des gesamten Puzzles.

Kriterium Nummer Eins: Optionen bei der Software für VPN-Clients

Wie in einem vorangegangenen Artikel über SSL VPN bereits angesprochen, gibt es hinsichtlich Clientsoftware vier Herangehensweisen:

  1. Clientless (es muss keine Software installiert werden, sondern man setzt komplett auf den Webbrowser)
  2. Browser-Plug-in (Java Applet oder ActiveX-Steuerelement innerhalb eine Browsers)
  3. Eine alleinstehende Anwendung für Notebooks oder Desktops
  4. Eine mobile App für Smartphones und Tablets

Die Tabelle weiter unten zeigt die vier großen Unterschiede bei den vier Herangehensweisen. Wir gehen auf den Aufwand für die Installation, Zugriff auf Ressourcen, Unterstützung für Clientgeräte und Zugriffskontrolle im Netzwerk ein. Sie werden sehen, dass es keine beste Lösung gibt. 

Jeder Ansatz hat seine Nachteile. Zum Beispiel muss man bei einer clientlosen Methode keinen Installationsaufwand betreiben. Dafür ist der Zugriff auf die Ressourcen am meisten eingeschränkt. Ein Plug-in für den Browser oder ein alleinstehendes Programm funktionieren nicht auf mobilen Geräten. Nicht alle diese Technologien bieten Zugriffskontrolle für das Netzwerk.

Tabelle 1: Vier Ansätze für SSL VPN Client Software

  Clientlos Browser Plug-in Alleinstehendes Programm Mobile App
Aufwand für die Installation des Clients Keiner Gering Groß Groß
Zugriff auf die Ressourcen Websites und webbasierte Anwendungen Praktisch alle Praktisch alle Praktisch alle
Unterstützung für Geräte Alle Die meisten Desktops und Notebooks; benötigt allerdings einen unterstützten Browser Gängige Betriebssysteme für Notebooks und Desktops Gängige mobile Betriebssysteme
Zugriffskontrolle für das Netzwerk Nein Ja, möglicherweise limitiert Ja Ja

Im Endeffekt werden sich Unternehmen nach Lösungen oder Ansätzen umsehen, die am besten zu den jeweiligen Anforderungen passen. Alle Produkte unterstützen mehrere Methoden, wie Sie in der unten folgenden Tabelle sehen. Allerdings ist es eher unwahrscheinlich, dass eine einzelne Firma Unterstützung für alle vier Ansätze braucht.

Tabelle 2: Die Ansätze für Clients, die erstklassige SSL VPNs unterstützen

  Clientlos Browser Plug-in Alleinstehendes Programm Mobile App
Barracuda SSL VPN Ja Ja Nein Nein
Check Point Mobile Access Software Blade Ja Ja Nein Ja
Cisco IOS SSL VPN Nein Ja Ja Nein
Dell SonicWall Secure Remote Access (SRA) Ja Ja Ja Ja
Jupiter Networks SA Series Ja Ja Nein Nein
OpenVPN Access Server Nein Nein Ja Ja

Kriterium Nummer Zwei: Vom VPN Client unterstützte Betriebssysteme

Die Herangehensweise in der dritten und vierten Spalte der obigen Tabelle, also ausführbare Dateien und mobile Apps, kann man auch als schwer bezeichnen. Der Grund ist der, dass eine komplett eigenständige Software dafür installiert werden muss. Das steht im Gegensatz zu einem Plug-in oder nur einem Browser. Die Software ist für jedes Betriebssystem spezifisch. Aus diesem Grund müssen sich Unternehmen gut überlegen, für welche Betriebssysteme sie Unterstützung für SSL VPN benötigen. 

Behalten Sie im Hinterkopf, dass clientlose und Plug-in-basierte Herangehensweisen unabhängig vom Betriebssystem funktionieren. Mit Ausnahme der Open-Source-Lösung OpenVPN Access Server unterstützt jedes andere in diesem Beitrag erwähnte Produkt clientlose oder Plug-in-basierte Ansätze.

Wenn Sie SSL VPNs evaluieren, dann suchen Sie besser nicht nur automatisch nach einem speziellem Betriebssystem, auf dem die Software für den Client auch läuft. Vielleicht gibt es leichtgewichtige Optionen wie die erwähnten clientlosen Lösungen oder ein Plug-in für den Browser. Diese unterstützen bekanntlich jedes Betriebssystem. Diese leichtgewichtigen Produkte bieten möglicherweise nur limitierten Zugriff auf Ressourcen. Das gilt ganz speziell für clientlose Angebote. Mit einigen ist keine Zugriffskontrolle im Netzwerk möglich, wodurch die Chance einer Fehlkonfiguration oder Kompromittierung höher sein kann. Vielleicht haben so auch nicht erwünschte Geräte die Möglichkeit, sich mit den Ressourcen einer Firma zu verbinden.

Nehmen wir an, dass sich Ihre Firma für die schwere Option mit einem installierbaren Client interessiert. Der erste logische Schritt in so einem Fall ist nachzusehen, welche Betriebssysteme Sie auf den Notebooks und Desktops sowie auf den Mobilgeräten betreiben. Das kann unter Umständen ziemlich verzwickt sein. Das gilt vor allen Dingen, wenn Ihr Unternehmen BYOD erlaubt. Das Gleiche gilt für Auftragnehmer, Geschäftspartner, Lieferanten und andere Unternehmen, die von außen Zugriff benötigen.

Die nachfolgende Tabelle zeigt die Unterstützung für Betriebssysteme durch die schwergewichtigen Clients. Bei den schweren Clients bieten Dell SonicWall SRA und OpenVPN Access Server die größte Vielfalt an Unterstützung für Betriebssysteme. Aber auch hier gilt, dass die schweren Clients eines Produkts nicht jede Version eines jeden Betriebssystems unterstützen. Wählen Sie den schweren Client deswegen mit Bedacht im Hinblick auf die gängigsten Versionen und setzen Sie auf einen leichtgewichtigen Client, wenn weniger geläufige Betriebssysteme im Einsatz sind.

Tabelle 3: „Schwere“ Clients der SSL VPNs und welche Betriebssysteme sie unterstützen

  Alleinstehendes Programm Mobile App
Barracuda SSL VPN Nicht verfügbar Nicht verfügbar
Check Point Mobile Access Software Blade Nicht verfügbar iOS, Android
Cisco IOS SSL VPN Windows Nicht verfügbar
Dell SonicWall Secure Remote Access (SRA) Windows, Mac OS X, Linux iOS, Android, Windows 8.1, Kindle Fire
Jupiter Networks SA Series Nicht verfügbar Nicht verfügbar
OpenVPN Access Server Windows, Mac OS X, Linux iOS, Android

Kriterium Nummer Drei: Unterstützung für simultane Anwender

Die Lizenzen bei kommerziellen Produkten für SSL VPN hängen in der Regel davon ab, wie viele Anwender den Zugang gleichzeitig nutzen können. Es gibt an dieser Stelle Ausnahmen, wie zum Beispiel virtuelle Appliances, die unlimitierte Skalierbarkeit bieten. In der Regel sind die Lizenzen allerdings begrenzt. Bei einigen kommerziellen Produkten bekommen Sie nur eine pauschale Anzahl an Anwendern. Andere stellen Hardware zur Verfügung, die so leistungsstark ist, dass sie eine große Anzahl an Nutzern gleichzeitig verarbeiten könnte. Dennoch kaufen Unternehmen eine kleinere Anzahl an Lizenzen für simultane Anwender und im Notfall eben welche nach.

Einige Anbieter haben diverse Modelle an SSL VPN Appliances im Portfolio. Barracuda SSL VPN bekommen Sie zum Beispiel als sechs verschiedene Appliances, die zwischen 15 und 100 gleichzeitige Anwender unterstützen. Weiterhin gibt es vier virtuelle Appliances, die zwischen 15 und 500 simultane Nutzer unterstützen. Ähnlich sieht es bei Cisco IOS SSL VPN aus, die speziell für kleinere Firmen entwickelt wurde. Das Produkt unterstützt zwischen zehn und 200 gleichzeitige Anwender auf diversen Hardwareplattformen.

Für mittelständische Firmen ist die Serie Juniper Network SA Series interessant. Die Firma bietet drei Appliances an, die bis zu 10.000 gleichzeitige Anwender unterstützen können. Weiterhin gibt es von Juniper eine virtuelle Appliance, die eine unlimitierte Anzahl an Anwendern abarbeiten können soll. Die Dell SonicWall SRA gibt es als Hardware Appliance in drei verschiedenen Modellen. Sie unterstützen zwischen 25 und 20.000 gleichzeitige Anwender. Weiterhin gibt es eine virtuelle Appliance, die bis zu 5.000 simultane Verbindungen unterstützt.

Einige Produkte wie die Juniper Networks SA Series stellen zusätzlich Lizenzen für den Notfall bereit. In diesem Fall kann der Kunde die Anzahl der simultanen Lizenzen temporär erhöhen. Vielleicht ist es zu einem Desaster gekommen und Sie brauchen diese Option für nur eine Woche. Solche Notfalllizenzen lassen sich ganz normal kaufen und sind sofort bereit für einen Einsatz. Somit ist das eine ideale Hilfe für Disaster Recovery und Planung für den Krisenfall. Natürlich setzt das voraus, dass die Hardware des SSL VPNs stark genug ist, die angedachte Anwenderzahl gleichzeitig beherbergen zu können.

Bei OpenVPN Access Server sieht das Lizenzmodell komplett anders als bei den anderen Produkten in diesem Artikel aus. Zunächst einmal gibt es keine Hardware Appliance. Alle Server des OpenVPN Access Servers sind virtuell. Diese virtuelle Serverkomponente können sie kostenlos herunterladen und zwei Anwenderlizenzen sind zu Testzwecken mit an Bord. Unternehmen müssen für den Gebrauch allerdings mindestens zehn Lizenzen für die Anwender erwerben. Das schlägt derzeit mit knapp unter 100 US-Dollar pro Jahr zu Buche. Ein Limit für die maximale Anzahl an Anwendern scheint es nicht zu geben. An dieser Stelle ist natürlich die Hardware oder der Server, auf dem die Software läuft, der limitierende Faktor.

Allgemein lässt sich sagen, dass es kein bestes Lizenzmodell für das jeweilige Unternehmen gibt. Für kleinere Firmen eignen sich möglicherweise all diese Angebote. Konzerne orientieren sich wohl lieber an Produkten, die die Anforderungen großer Unternehmen stemmen können. Das wären in diesem Fall Dell SonicWall SRA, Juniper Network SA und OpenVPN Access Server.

Kriterium Nummer Vier: Zugriffskontrolle für das Netzwerk

Das finale Kriterium für die Evaluierung eines SSL VPNs ist die Unterstützung der Zugriffskontrolle für das Netzwerk. Das bezieht sich auf eine ziemliche Vielfalt an Funktionen. Man muss die Charakteristiken des Clientgeräts überprüfen und sicherstellen, dass es konform zu den Security-Richtlinien des Unternehmens ist. Beispiele an dieser Stelle wären aktuelle Antiviren-Software und ein clientseitiges digitales Zertifikat für die Authentifizierung.

Die meisten Produkte stellen in irgendeiner Form zumindest ein bisschen Unterstützung für Netzwerkzugriffskontrolle zur Verfügung. Das gilt auch für leichtgewichtige Clients wie Barracuda SSL VPN. Die Anbieter schweigen in der Regel darüber, wie Ihre Zugriffskontrolle auf das Netzwerk genau funktioniert. Viele davon operieren auf unterschiedlichen Betriebssystemen sicherlich komplett anders. Vor einer Evaluierung sollten Sie deswegen zunächst identifizieren, welche Betriebssysteme und vor allen Dingen OS-Versionen auf Ihren Desktops, Notebooks und mobilen Clients laufen. Danach fragen Sie beim Anbieter nach, ob er dafür entsprechend Zugriffskontrollen für das Netzwerk zur Verfügung stellt. Auch eine Überprüfung des Systemzustandes gehört dazu.

Ein Beispiel von ausgezeichneter Zugriffskontrolle für das Netzwerk ist die Dell SonicWall SRA. Das Produkt kann zum Beispiel feststellen, ob die mobilen Geräte jailbroken oder gerootet sind. Weiterhin ist damit eine Überprüfung möglich, ob diverse Kontrollmechanismen für die IT-Sicherheit installiert und angemessen konfiguriert sind. Auch die Zertifikate und Identifikatoren der Clients lassen sich testen. So kann man garantieren, dass die Geräte selbst für den Remote-Zugriff auf das Unternehmensnetzwerk autorisiert sind. Andere Produkte, die mit Zugriffskontrolle für das Netzwerk werben, sind Cisco IOS SSL VPN und Juniper Networks SA Series.

Fazit

Einen klaren Gewinner gibt es in diesem Artikel über die SSL VPNs nicht. Es hängt einfach zu viel vom jeweiligen Szenario ab, beziehungsweise welche Betriebssysteme und -versionen das jeweilige Unternehmen einsetzt. Weiterhin ist relevant, wie viele Anwender man simultan laufen lassen muss und wie viele Lizenzen man benötigt. Die Zugriffskontrolle für das Netzwerk spielt ebenfalls eine Rolle.

Angenommen eine Firma erlaubt BYOD und findet heraus, dass Zugriffskontrollen für das Netzwerk absolut notwendig sind, um eine gewisse Sicherheit bei den Remote-Clients durchsetzen zu können. In diesem Fall sind die Favoriten etwa Dell SonicWall SRA und Juniper Networks SA Series. Diese beiden bieten besonders strenge Netzwerkzugriffskontrollen. Lässt ein Unternehmen BYOD nicht zu, könnte es Zugriffskontrolle für das Netzwerk als überflüssig betrachten.

Für kleinere Unternehmen sind all diese Lösungen irgendwie akzeptabel. Cisco IOS SSL VPN eignet sich am besten für Unternehmen, die bereits ein anderes Security-Produkt für mobile Geräte im Einsatz haben. Ein Beispiel dafür wäre ein Mobile Device Management (MDM). Check Point Mobile Access Software Blade ist für Firmen interessant, die bereits Security-Produkte von Check Point betreiben. Die anderen Angebote eignen sich für viele kleine und mittelständische Firmen, weil Sie Zugriff auf diverse Ressourcen gewähren und viele Client-Geräte unterstützen. Weiterhin stellen Sie diverse Funktionen für den Netzwerkzugriff zur Verfügung.

Konzerne mit mehreren Tausend gleichzeitigen Anwendern sollten sich Dell SonicWall SRA und Juniper Networks SA Series gut ansehen. Dicht darauf folgen Check Point Mobile Access Software Blade und OpenVPN Access Server.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im Juli 2015 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über VPN-Sicherheit und -Konfiguration

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close