|
|
Rubrik: Markt/Hintergrund IT SecCity: SSL VPN-Gateways - Ein neuer Ansatz für ein sicheres Remote Access Brennpunkt VPN: SSL VPNs sind geeignet, die unterschiedlichsten Remote Access-Anforderungen zu decken (01.08.04) - SSL VPNs (SSL = Secure Sockets Layer) erfreuen sich einer rasch ansteigenden Beliebtheit und gelten als ernsthafte Kandidaten, wenn es um die Wahl des "richtigen" Virtual Private Network geht. Analysten sagen voraus, dass Produkte, die auf SSL VPN-Technologie basieren, nicht nur eine ernsthafte Konkurrenz für eine IPSec VPN-Installation darstellen (IPSec = IP Security Protocol), sondern diese sogar als Remote Access-Lösung ersetzen könnten.
Anzeige
Eine Anzahl von Faktoren begünstigt die dramatische Nachfrage nach SSL VPNs. Dazu gehören:
·
Regierungsaufträge wie beispielsweise der "Health Insurance Portability and Accountability Act" (HIPAA) in den Vereinigten Staaten: Sie treiben Schlüsselindustrien dazu an, im elektronischen Datenaustausch mit Klienten die Grundsätze des Schutzes der Privatsphäre einzuhalten;
·
Die wachsende Verwendung von Extranets: Sie führt dazu, dass beispielsweise Geschäftspartnern ein sicherer Zugang zu internen Netzen gewährt werden muss. Extranets gelten mittlerweile als wesentliche Voraussetzung, überhaupt ein Geschäft erfolgreich betreiben zu können.
·
Die Forderung von Firmenangestellten, flexible Arbeitsbedingungen wie zum Beispiel "Home Working" einzuführen: Dieser Trend wird durch staatliche Bestimmungen begünstigt, wie zum Beispiel durch den "Flexible Working Act" in Großbritannien, der verlangt, dass den Eltern jüngerer Kinder vernünftige Arbeitsoptionen angeboten werden. Allein SSL VPNs sind dafür geeignet, den unterschiedlichen Remote Access-Bedarf des heutigen Unternehmens zu decken. Argumente für SSL VPN sind niedrige Kosten, Flexibilität, was den Zugriff auf Applikationen betrifft, hohe Sicherheit und nicht zuletzt die Einfachheit im Umgang mit einem SSL VPN. Bis vor kurzem galten IPSec VPNs noch als die logische Wahl, wenn es darum ging, sichere Netzwerkverbindungen jenseits der Firewall bereitzustellen. IPSec VPNs machten aus dem Internet eine allgegenwärtige Brücke für die Datenübertragung im so genannten "Always on"-Modus. Sie beseitigten "private" Netzzugangskosten wie zum Beispiel Kosten für Mietleitungen, ATM-Leitungen oder Frame Relay-Verbindungen. IPSec VPNs boten eine weiniger teure Alternative zu dedizierten Netzen und zeigten ihre Stärken bei der Bereitstellung von sicheren "On demand"-Point-to-point-Verbindungen. Das Problem dabei ist jedoch: IPSec VPNs bringen zwar Sicherheit - aber zu einem hohen Preis. IPSec-Clients auf Remote-Computern zu verteilen und für den Zugang zu konfigurieren ist eine regelrechte Herausforderung, besonders dann, wenn die IT-Abteilung keinen direkten Zugriff auf die Remote-Computer besitzt. Da sie auf Netzwerkebene arbeiten, statten IPSec VPNs einen Remote-PC zudem mit voller Netzwerkfähigkeit aus, als ob dieser in einem Firmen-LAN beheimatet wäre. Es ist nicht leicht, in einem IPSec-Model die interne Security-Politik eines Unternehmens und auch Sicherheitskontrollen zu installieren und auch durchzusetzen. Gerade aus diesen Gründen schneidet ein IPSec VPN bei einer TCO-Betrachtung schlechter ab im Vergleich zu einem SSL VPN. SSL VPNs: Application-Gateways für das Unternehmen Ein modernes Unternehmensnetzwerk ist eine eher dynamische Umgebung. Fast zwangsläufig konfrontieren große Unternehmen ihre heterogene Anwenderschar mit einer sich ständig ändernden Vielfalt von Applikationen. Diese heterogene Datenlandschaft umfasst Legacy- und Client/Server-Anwendungen auf Windows Terminal Server, Unix/Linux-Server oder AS/400-Rechner ebenso wie Web-Applikationen auf Intranet-Web-Servern. Dieses komplexe Reich auch entfernten Partnern, Lieferanten und Angestellten unter Wahrung der Netzwerksicherheit zugänglich zu machen, war - historisch betrachtet - eine der großen Hürden für den Remote Access gewesen. Als ein Ergebnis sehen wir heute, dass sich Unternehmen in Richtung SSL-basierter VPNs bewegen, um die Anforderungen heutiger heterogenerer Unternehmensnetze zu erfüllen. Die heutigen führenden SSL VPNs erweitern diesen Ansatz noch um einen Schritt, indem sie quasi drei Applikationszugangstechnologien in einem einzigen "Application Layer Gateway"-Device konsolidieren:
·
Client-loser, Browser-basierte Zugang zu Remote Legacy-Applikationen;
·
Sicherer Intranet-Zugang zu Web-basierten Applikationen und Portalen
·
Desktop-Zugang zu Client/Server-Applikationen mittels SSL-Tunnelung Client-loser, Browser-basierte Zugang zu Remote Legacy-Applikationen Während die Zahl der Web-basierten Intranet-Applikationen im Unternehmen sicherlich weiter ansteigt, besteht das Herz der Unternehmensapplikationen auch heute noch häufig aus nicht Web-fähigen Lagacy-Applikationen, die sich auf zentralisierten Windows-, Unix-/Linux-Mainframes oder auch auf AS/400-Rechnern befinden. Für IT-Manager, die nach sicheren Remote Access-Möglichkeiten suchen, besteht die Herausforderung darin, zu diesen wichtigen Legacy-Anwendungen auf die gleiche Weise einen On-demand-Zugang zu implementieren wie zu ihren Web-basierten Pendants. Einige SSL VPN-Appliances lösen dieses Dilemma dadurch, dass sie den Zugang zu Legacy-Applikationen über einen Client-losen Remote Access bereitstellen, indem sie direkt auf der SSL VPN-Plattform so genannte "Web-enabling"-Technologie integrieren. Dieses integrierte Ansatz beseitigt für Unternehmen das Problem, Server-basierte Middleware und dazugehörige Remote Access-Clients einsetzen und warten zu müssen. In diesem Modell werden sowohl die Client-seitigen als auch Server-seitigen Anteile einer Applikation zentral im Rechenzentrum des Unternehmens gehostet. Der Vorteil dieses Ansatzes ist, dass Endbenutzer nur einen Browser brauchen, um auf diese Remote-basierten Applikationen zuzugreifen; es ist keine zusätzliche Software oder Konfiguration des Remote-Computers erforderlich. Über eine solche SSL VPN-Lösung erhalten Remote-User über das Web Zugriff auf Client/Server-Applikationen. Unternehmen wiederum können ihre existierende Legacy-Applikationen weiterhin nutzen. Sie sparen sich Applikations-Entwicklungskosten und müssen Remote-PCs weder installieren noch konfigurieren. Egal welche Anwendung auf welcher Plattform läuft - Windows, Unix, Linux, 3270-Mainframe oder AS/400 - alle diese Anwendungen können mit SSL VPN den Remote-Anwendern leicht zur Verfügung gestellt werden. Sicherer Intranet-Zugang zu Web-basierten Applikationen und Portalen Obwohl es ein Teil ihrer Applikationsstrategie ist, weiterhin Legacy-Applikationen zu verwenden, setzen Unternehmen auch Anwendungen ein, die auf den direkten Zugriff über einen Web-Browser ausgerichtet sind. Dieses können Web-fähig gemachte Versionen von Legacy-Applikationen sein, wie zum Beispiel Microsoft Outlook, oder proprietäre Intranet-Applikationen. Jedoch solche Informationen im Web zu verteilen, kann zu Sicherheitsrisiken führen, mit denen man sorgfältig umgehen muss. IT-Abteilungen, die die Aufgabe haben, Web-basierte Applikationen auf Remote-User und Geschäftspartner auszuweiten, sehen sich signifikanten Herausforderungen gegenüber. Zum Beispiel sitzen diese Web-basierten Applikationen typischerweise im sicheren Intranet eines Unternehmens und verwenden das interne DNS (Domain Name System), was wiederum im öffentlichen Internet Probleme bereitet. Führende SSL VPN-Geräte überwinden diese Hindernisse jedoch und können diese Intranet-Ressourcen den autorisierten Usern sicher zur Verfügung stellen. Erreichen tun sie dies, indem sie mittels der http-Reverse-Proxy-Technologie einen Client-losen, Browser-basierten Zugriff zu Web-basierten Ressourcen bieten. Im Gegensatz zu einem "Forward Proxy", der zwischen einem Intranet-Benutzer im Unternehmen und einer Internet-Web-Site läuft, läuft ein "Reverse Proxy" zwischen einem Remote-User im Internet und einer Unternehmens-Web-Site. Mit diesem Ansatz können Remote-User über einen einzigen Eingangspunkt zum Internet (nämlich über das SSL VPN Gateway) und per Web-Browser sicher auf Backend-Web-Server zugreifen. SSL VPN liefert einen schnellen, sicheren, On-demand-Zugang zu Web-basierten Informationen. Zudem ist die Lösung hoch skalierbar und es ist leicht, weltweit den autorisierten Usern diesen Zugang einzuräumen. Die Sicherheitsvorteile liegen klar auf der Hand: Der Web-Server des Unternehmens bleibt hinter der Firewall in einem abgesicherten Trakt des Unternehmens-Netzwerkes. Die Absicherung eines jeden einzelnen Web-Servers, die bei Nutzung anderer VPN-Varianten geboten ist, entfällt und somit auch der Kostenblock, der für Installation und Wartung von diesbezüglichen Sicherungsmaßnahmen nötig wäre. Außerdem erhalten IT-Administratoren Kontrolle über Verzeichnisse, Server und Pfade sowie detaillierte Kontrolle auf Benutzer- oder Gruppenbasis. Desktop-Zugang zu Client/Server-Applikationen mittels SSL-Tunnelung Die oben beschriebenen zwei Methoden eines Client-losen Remote Access treffen die Anforderungen der meisten Remote-User. Jedoch kann es sein, dass einige Endbenutzer lokale Client/Server-Anwendungen wie E-Mail- oder CRM-Programme verwenden müssen. Diese Applikationen befinden sich häufig auf unternehmenseigenen Rechnern und werden vom eigenen IT-Personal gemanagt. Diese typischerweise lokalen Applikationen tauschen Daten mit Backend-Host-Servern aus, während sie andererseits auch den Offline-Zugriff unterstützen (Ein Beispiel ist Microsofts "Outlook"-Client und "Exchange Server" für E-Mail). In diesen speziellen Fällen ist ein Zugang auf Netzwerk-Layer angeraten - vergleichbar mit IPSec VPNs. Bereitgestellt werden kann dies mittels SSL-Tunnel-Technologie. SSL Tunnelling: Die Technologie und ihre Vorteile Normalerweise wird ein Desktop-Applikations-Zugang über einen SSL-Tunnel mit einem "virtuellen" VPN-Adapter hergestellt. Dieser wird heruntergeladen und installiert, sobald sich der User das erste Mal in ein Remote Access-System für einen Client/Server-Zugriff einloggt. Der virtuelle Adapter stellt den sicheren SSL-Tunnel über den Web-Browser des Benutzers bereit. Dabei ist es nicht erforderlich, an der eigentlichen Client/Server-Applikation technische Veränderungen vorzunehmen. Wenn der Netzwerkadministrator einmal eine Anwendung für den Benutzer autorisiert hat, kann diese Anwendung auch über den SSL-Tunnel ohne spezielle Konfiguration oder Helpdesk-Intervention genutzt werden. Marktführende SSL VPN-Gateways sind bereits auf diesen IPSec-Ansatz für die Bereitstellung von Desktop-Client/Server-Verbindungen eingerichtet. IPSec VPNs und ihre Nachteile · Ein Network-Layer-IPSec VPN erzeugt eine Peer-to-Network-Verbindung zwischen den Remote-Usern und dem Unternehmensnetzwerk. Die Authentisierung und Autorisierung für den Zugriff auf Applikationen ist technisch gesehen nicht unbedingt trivial. Eine integrierte dynamische Firewall limitiert den Zugang zu Client/Server-Applikationen auf Einzel-User-Basis. · Ein Network-Layer-IPSec VPN erfordert die Einrichtung vielfacher Firewall-Ports innerhalb des Unternehmensnetzwerkes · Der gesamte Traffic findet über einen einzelnen Port statt (Port 443), der bereits für einen sicheren Web-Traffic geöffnet wurde. Von einer direkten Firewall-Konfiguration kann kaum noch gesprochen werden, komplexe Strukturen können so kaum bedient werden. · Ein Network-Layer-IPSec VPN arbeitet nur schlecht mit NAT-Devices zusammen SSL VPN Tunneling · Ein sicherer SSL-Tunnel stellt einfach eine Kommunikation über NAT (Network Address Translation) her, dies erfordert keine Router-Rekonfiguration. · Ein SSL-Tunnel erfordert, dass der Schlüssel auf dem PC installiert wird · Ein erfolgreiches Login erzeugt einen sicheren Token für die Authentisierung des SSL-Tunnels über den Browser des Users. Dies geschieht auf Session-Basis und vereinfacht das Security-Management Netzwerkschutz Indem sie einen Client-losen Zugang zu Legacy-Applikationen bieten und dabei als ein "http-Reverse Proxy" für Web-Applikationen arbeiten, können SSL VPN-Gateways viele Modi für den Applikationszugriff bereithalten. Dies tun sie als echter Application-Layer Proxy, denn sie arbeiten auf Layer 7 - dem Application Layer - des Open Systems Interconnection (OSI) Model. Im Vergleich dazu arbeiten IPSec VPNs auf dem Network Layer. In dem SSL VPNs auf dem Application Layer laufen, liefern sie eine völlige Transparenz der Anwendungsdaten. Das gibt Netzwerkadministratoren neue Möglichkeiten, die Sicherheits-Policies des Unternehmens um- und durchzusetzen - und zwar bevor der User-Traffic den Applikations-Server im Rechenzentrum erreicht. Auf diese Weise, können bestimmte SSL VPN-Lösungen einen dynamischen Policy-basierten Zugang zu Applikationsressourcen implementieren - und zwar von einem einzigen Administrationspunkt aus. Das SSL VPN-Gateway schützt diese internen Ressourcen, in dem es die Verbindung zwischen den Anfragen des Remote-Clients und den Server-basierten Applikationen vermittelt und eingehenden Anfragen vom Remote-User zum Applikation Layer registriert. Sobald eine eingehende Anfrage registriert ist, verarbeitet und übersetzt die VPN-Appliance die Daten für das entsprechende Backed-Application Protocol. Dies können sein:
·
Remote Desktop Protocol (RDP) für Windows-Applikationen die sich auf Windows Terminal Servern befinden
·
X.11 über SSH für Unix- oder Linux-Applikationen
·
3270 über Telnet für Mainframe- und AS/400-Applikationen
·
HTTP/HTTPS für Web-Server "Termination Gap" - Das Durchsetzen der Security-Politik im Netzwerkbereich In der Phase zwischen Registrierung einer Anfrage und deren Verarbeitung und Übersetzung ("Termination Gap" genannt), erledigt das SSL VPN-Gateway eine weitere Aufgabe: Die Appliance "befragt" externe Authentisierungs- und Policy-Server (z.B. Active Directory oder LDAP - "Lightweight Directory Access Protocol"), überprüft die Identität des Users und seine Berechtigung und erteilt Zugriff auf spezifische Applikationen. Dieses Szenario zeigt ein Application Layer-VPN in Aktion: Die Anfragen der User werden also nicht direkt an den Applikations-Server im privaten Netzwerk geschickt, sondern zunächst durch das SSL VPN-Gateway registriert, anschließend nach Policy- und Security-Gesichtspunkten verarbeitet, dann für das entsprechende Backend-Protocoll übersetzt und schließlich über eine neue Verbindung dem Application Server übermittelt. Das Gateway setzt also die Authentisierung und die Ausführung von Sicherheits-Policies um, bevor dem Datenstrom gestattet wird, seinen Weg zum Applikations-Server fortzusetzen. Damit schützt das Gateway das private Netzwerk auf eine einzigartige und sehr effektive Weise - die traditionelle Remote Access-Lösungen auf diese Art und Weise nicht leisten können. SSL VPNs: Flexibler, sicherer Remote-Zugang in einer einzigen Plattform Sicherheit ist das A&O einer jeden Remote Access-Implementierung. Es ist ein Grundsatz, der eigentlich keines Beweises bedarf: Gute Sicherheit ist immer auch eine Sicherheit, die leicht zu managen ist. SSL VPN-Appliances können leicht ins Netzwerk integriert werden. IT-Adminstratoren erhalten so eine Lösung, die leicht im Unternehmen zu verteilen ist, ohne an existierenden Application-Servern oder an der bestehenden Sicherheitsstrukturen Modifikationen vornehmen zu müssen. Wenn es um Sicherheit geht, vereinen führende SSL VPN-Gateways eine ganze Anzahl von entscheidenden Merkmalen in einem Gerät: Authentisierung, Policy-Kontrolle und Verschlüsselung. Das Resultat ist eine Appliance, die leicht zu warten und zu managen ist und die von anderen VPN-Angeboten hinsichtlich ihrer Features kaum überboten werden kann. (Ken Araujo/ma) |
