VPNs – nicht das Nonplusultra für mobile Sicherheit

Während einer Veranstaltung zum Thema mobile Sicherheit, die im Rahmen des im Oktober abgehaltenen Symposium/ITxpo in Florida, sprach sich Gartner-Analyst John Girard für die VPN-Lösung aus. Was er dabei nicht erwähnte, sind die Probleme der mobilen Nutzung der VPNs und die Tatsache, dass die VPNs letztendlich durch standardisierte und mehr interoperable Lösungen abgelöst werden dürften, die die Sicherheitslücken gegenwärtiger drahtloser Systeme schließen werden.

Der Hauptgrund für die verstärkte Nutzung drahtloser Netzwerke liegt in der damit verbundenen erhöhten Mobilität. Doch kennt jeder, der schon einmal ein VPN über ein Fest- oder Mobilnetz genutzt hat, die Instabilität der VPN-Verbindungenbei Unterbrechungen des Kontakts zwischen den verwendeten Geräten und den VPN-Servern, selbst wenn diese Unterbrechungen nur wenige Augenblicke dauern.

In 802.11-basierten WLAN-Clients treten solche kurzzeitigen Unterbrechungen auf, wenn sie von einem Access Point des Netzwerks zu einem anderen weitergeleitet werden. Wer jemals einen Ausfall eines VPNs während einer Verbindung von Outlook mit Exchange erlebt hat, der weiß, wovon ich spreche.Ist eine VPN-Verbindung erst einmal unterbrochen, muss man sie meist manuell wiederherstellen – jedenfalls meiner Erfahrung nach. Es ist daher nur schwer vorstellbar, dass sich jemals ein strategischer Einsatz dieser Art von Systemen in Unternehmen und dem öffentlichen Sektor durchsetzen wird- insbesondere von direkt an die Servicequalität gebundenen Anwendungen wie VoIP.

Überlastete Server
Selbst wenn eine VPN-Verbindung zuverlässig ist, bringt sie andere Performance-Probleme mit sich. Jeder über ein VPN fließende Traffic muss einen VPN-Server passieren, wobei ein durchschnittlicher VPN-Server auf maximal 30 – 50 MBit/s ausgelegt ist. Es würden also schon acht Wireless Access Points genügen, um einen VPN-Server mit zu viel Traffic zu überlasten. Daher kämen auf große Organisationen mit unternehmensweiten mobilen Strukturen erhebliche Kosten für das Load-Balancing des VPN-Traffic über mehrere Server zu.

Ich befragte den Gartner-Sicherheitsexperten John Pescatore hinsichtlich der Einschränkungen für die Mobilität bei einer Nutzung von VPNs als Sicherheitslösung. Pescatore meinte hierzu, dass die VPNs hierfür durchaus eine sinnvolle Option darstellten, da nur sehr wenige Personen tatsächlich ein Roaming ausführten, wie ich es hier beschrieben habe.

Abgesehen von den Nachteilen für Mobilität und Performance habe ich weitaus größere Bedenken hinsichtlich der Details des von Girard gemachten Vorschlags sowie aufgrund der Tatsache, dass dieser Ansatz keinerlei Zukunftsperspektiven bietet. Girard empfiehlt Anbieter-spezifische Alternativen zum Wired Equivalent Privacy (WEP) des 802.11. Für eine optimale Flexibilität sollte man sich laut Girard jedoch nicht auf die WLAN-Adapter und Access Points eines Anbieters festlegen, sondern stattdessen VPN als eine Sicherheitslösung nutzen, die für die gesamte, gemischte WLAN-Infrastruktur genutzt werden kann.