Drei Client-Ansätze für SSL-VPNs
Um oben genannte Funktionen zu realisieren, müssen die Hersteller teilweise den Funktionsumfang des Browsers über die reine SSL-Funktionalität hinaus durch den Einsatz von Active X oder Java Applets erweitern. Geschäftsführer Hruby unterscheidet deshalb zwischen drei verschiedenen Zugriffsmethoden:
-
Client-less: Der Benutzer greift lediglich mit seinem Browser auf die Web-Seiten eines Servers zu. Das Spektrum der unterstützten Applikationen ist relativ klein, da normalerweise nur Web-Applikationen genutzt werden können. Allerdings gibt es so genannte Webifier als Web-Schnittstelle zu nicht Web-basierenden Anwendungen.
-
Thin Client: Bei dieser Methode lädt der Browser zusätzlich ein Plugin herunter. Das geladene Plugin dient meist als generischer TCP/UDP-Proxy und ermöglicht auf Basis eines Portforwardings den Zugang zu allen TCP- und UDP-fähigen Applikationen.
-
Fat Client: Soll über SSL ein vollwertiges VPN aufgebaut werden, so muss die Lösung in der Lage sein, den kompletten IP-Verkehr über eine verschlüsselte Verbindung zu übertragen. Hierzu wird ein Treiber installiert, der ein virtuelles Netzwerk-Device erstellt. Dieses Device ermöglicht die Umleitung des Verkehrs über eine statische Route in den SSL-VPN-Tunnel.
Unter dem Strich haben also sowohl IPsec- als auch SSL-VPNs ihre spezifischen Vor- und Nachteile, so dass sich ein eindeutiges Pro zugunsten einer Lösung nicht angeben lässt. Zumal es auf das jeweilige Anwendungsszenario ankommt, wie Cisco-Manager Boele aus der eigenen Berufspraxis weiß: "Will ich unterwegs schnell im Internet-Cafe oder an einem Internet-Terminal auf Unternehmensanwendungen zugreifen, dann ist ein SSL-VPN die erste Wahl. Geht es mir aber zu Hause um einen transparenten Zugriff auf das Corporate Network womöglich in Verbindung mit einer VoIP?Installation, dann ist ein IPsec-VPN das probate Mittel." Eine Zwickmühle, auf die zahlreiche Hersteller bereits reagiert haben: Sie offerieren Router und VPN-Gateways, die sowohl IPsec als auch SSL unterstützen, und zahlreiche VPN-Clients sind ebenfalls als Kombilösung ausgelegt.
Für Unternehmen, die den Aufwand einer eigenen Implementierung scheuen, gibt es zudem noch einen dritten Weg: Sie können das Ganze an Dienstleister wie Ipass outsourcen und das gesamte VPN-Konzept als Dienstleistung beziehen. (Computerwoche / wl)