SSL besser für VPNs als IPsec?

Angesichts der Tatsache, dass immer mehr Anwendungen durch die direkte Verwendung von Thin-Clients und die immer weitere Verbreitung von Internetportalen internetfähig gemacht werden, propagierte die Aventail Corporation auf der Fachmesse Networld+Interop einen neuen Ansatz für Virtuelle Private Netzwerke (VPNs): Anstatt proprietäre auf dem IPsec-Protokoll basierende Client-Software zu verwenden, wie es heutzutage vielfach der Fall ist, plädiert Aventail für die Nutzung einer Standardkomponente, die von allen Web-Browsern unterstützt wird: SSL.

Zwar ist auch IPsec ein Standard, aber IPsec-basierte VPN-Lösungen von Anbietern wie Cisco und Nortel erfordern für ein System, das VPN-Zugang benötigt, die Installation spezieller Client-Software, die zu deren VPN-Servern kompatibel ist. Laut Aventail Geschäftsführer Richard Ting bedeuten diese zusätzlichen Anforderungen für den Client eine unnötige Komplexität, denn die zusätzliche Software muss verwaltet, immer auf dem aktuellen Stand gehalten und lizensiert werden.

Aus diesem Grund empfiehlt Aventail den Gebrauch von Software, die sich ohnehin bereits auf den meisten Systemen befindet: Web-Browser und die Java Virtual Machine (JVM). Beide unterstützen SSL und sind, so Richard Ting, kompatibel zu fast allen Anwendungen, die gewerbliche Nutzer in Verbindung mit VPN nutzen.

Laut Richard Ting besteht die einzige entscheidende Voraussetzung darin, dass die Anwendungen in der Lage sein müssen, durch die SSL-basierte Verbindung von Browser oder JVM zu tunneln. Um die SSL-Fähigkeit des Browsers ausnutzen zu können, müssen die Anwendungen Browser-basiert sein. „Für solche Anwendungen oder Unternehmen, auf deren Anwendungen man von HTML-basierten Portalen aus zugreifen kann“, so Richard Thing, „ist SSL eine vielfach sinnvollere Lösung als IPsec.“ Für die Nutzung von SSL müssen Anwendungen jedoch nicht unbedingt Browser-basiert sein: Auch eine JVM kann einen SSL-basierten Tunnel einrichten, genau so wie ein proprietärer Client dies auf Basis von IPsec macht.

Laut Richard Ting besteht die Hauptanforderung in der Nutzung einzelner oder mehrerer statischer TCP-Ports. (Statische TCP-Ports werden zum Beispiel von E-Mail-Protokollen und anderen Protokollen der Anwendungsschicht wie HTTP oder dem Terminal-Server-Protokoll ICA von Citrix verwendet.) „Für Anwendungen, die statische Ports nutzen, haben wir Loopback Proxies eingerichtet, die diesen Anwendungen ermöglichen, die JVM als Tunneling-Client zu benutzen, ohne dass es mit der Java-Sandbox Probleme gibt. Ein Problem ist es noch, wenn Anwendungen wie die SAP GUI von SAP die verwendeten Ports dynamisch auswählen“, so Richard Ting. „Solche Anwendungen werden bisher noch nicht unterstützt, dies wird sich jedoch bald ändern.“