SSL-VPN

Da der Aufbau von IPsec-VPNs relativ komplex ist, gibt es auch einfachere VPN-Lösungen. Dazu gehören so genannte webbasierende SSL-VPNs, die zur Sicherung auf den Standard Secure Socket Layer (SSL) setzen. Bei dieser VPN-Variante erhält der Anwender meist keinen direkten Zugriff auf das Unternehmensnetz. Daher ist dieser Ansatz vor allem für Firmen interessant, die viel mit freien Mitarbeitern arbeiten und diesen nur einen begrenzten Zugriff auf die IT-Anwendungen und -Ressourcen einräumen wollen. Auch für die temporäre Anbindung externer Partner wie Kunden und Lieferanten ist ein SSL-VPN gut geeignet. Der Schwerpunkt liegt daher auf dem Netzwerkzugriff für mobile Anwender; für die Vernetzung mehrerer Standorte untereinander hat SSL VPN keine praktische Bedeutung, dort ist IPsec erste Wahl.

Im Wesentlichen gibt es drei verschiedene SSL VPN-Typen:

• Ohne Client: Der Nutzer greift hier mit einem Webbrowser auf Webanwendungen zu. Dies ist aber beschränkt auf HTTP-Anwendungen, die keine Übertragung von Netzwerkprotokollen wie TCP oder UDP erfordern.

• Thin Client: Bei dieser Methode lädt der Browser zusätzlich ein Plugin herunter, das meist als TCP/UDP-Proxy dient und den Zugang zu allen TCP- und UDP-fähigen Applikationen ermöglicht.

• Fat Client: Soll über SSL ein vollwertiges VPN entstehen, muss die Lösung in der Lage sein, den kompletten IP-Verkehr über eine verschlüsselte Verbindung zu übertragen. Hierzu wird ein Treiber installiert, der ein virtuelles Netzwerk-Device erstellt, das die Umleitung des Verkehrs über eine statische Route in den SSL-VPN-Tunnel ermöglicht.

Für die meisten SSL VPNs gilt, dass eine Sitzung über eine Anmeldung auf einer Website gestartet wird. Auch das Starten von Nicht-Web-Applikationen geschieht in der Regel über diese Webseite (Portal). Daher kann man auch schnell von einem Internet-Cafe aus auf Unternehmensanwendungen zugreifen. Dies gilt jedoch nicht für SSL VPNs mit Fat Client, die sich von klassischen VPNs nur durch das Übertragungsprotokoll unterscheiden. Sie verwenden in der Regel einen Client, der installiert werden muss und über dessen Aufruf auch die Anmeldung am VPN erfolgt.

MPLS

Für größere Unternehmen, die etwa Filialen und Außenstellen per VPN anbinden wollen, bieten sich als Alternative zu IPsec auch VPNs mit MPLS-Technologie (Multi Protocol Label Switching) an. Hier kann die Firma ebenfalls günstige Infrastrukturprodukte wie DSL nutzen, muss sich aber nicht selbst um die Konfiguration und Administration des VPNs kümmern. Diese Aufgaben übernimmt ein Service Provider, der das MPLS-VPN als verwalteter Dienst über sein eigenes Netzwerk ausführt. Der Branchenverband VPNC (Virtual Private Network Consortium) bezeichnet diese Spielart auch als trusted VPNs im Gegensatz zu den secure VPNs, zu denen er IPsec- und SSL-VPNs zählt.

MPLS ist wie IP eine Technologie, die Datenverkehr verschiedener Protokolle über den gleichen Kanal übertragen kann. Sie kennzeichnet jedes Datenpaket mit einem Label, damit alle Pakete aus einer Sitzung in denselben Datenstrom gelangen und schnell übertragen werden. Da MPLS damit Verbindungsausfälle im Netzwerk umgeht und gleich bleibende Verfügbarkeit gewährleistet, eignet sich die Technologie sehr gut zur Weiterleitung von Daten zwischen Standorten in einem verwalteten Netz.