Kurzfassung

In den letzten Jahren hat sich SSL-VPN zu einer ausgereiften Technologie gewandelt und mehr und mehr Verbreitung gefunden.

Ein universeller und flexibler Remote Zugang, kryptographisch nach dem Stand der Technik abgesichert, in Verbindung mit billigen Betriebskosten: das ist immer mehr ein Muss in den heutigen IT Landschaften.

Zurzeit existiert kein offizieller Standard für SSL-VPN Technologien. Viele Hersteller implementieren daher unterschiedliche und zum Teil auch proprietäre Lösungen. Diese Arbeit erklärt die SSL-VPN Technologie und erläutert die Vielfalt der unterschiedlichen Lösungsansätze.

FH Campus Wien

Inhalt

Inhalt   

1.  Einleitung  2

2.  Grundlagen und Begriffsbestimmungen.  3

2.1.  Was ist SSL?  3

2.1.1.  Kryptographie in SSL.  3

2.2.  Was ist ein VPN?  5

2.2.1.  Hauptanwendungsmöglichkeiten.  5

3.  SSL-VPN  6

3.1.  Datagram Transport Layer Security (DTLS)  10

3.2.  SSL-VPN Security  10

3.3.  Zusammenfassung  11

4.  Abbildungsverzeichnis  13

5.  Literaturverzeichnis.  14

FH  Campus Wien Page  1

1. Einleitung

Lipp (2006) vermutet, dass es den Begriff SSL-VPN heute gar nicht gäbe, wenn sich die Leute damals intensiver mit den inhaltlichen Teilen des SSL-Draft-RFC ¹ , des TLS-RFC ² und der IPsec Roadmap ³ auseinander gesetzt hätten. Eine ganze Reihe von Missverständnissen und überflüssige Diskussionen wären ausgeblieben.

Vor einigen Jahren begann eine aggressive Vermarktung von SSL-VPN und manche fragten sich, ob das Ende von IPsec in Sicht sei (Ferrigni, 2003). Unternehmen, die SSL-VPN-Gateways vertrieben, zielten mit ihrer Marketingstrategie darauf ab, IPsec durch ihre SSL-Plattformen abzulösen (Lipp). Experten erkannten zwar den Unfug, denn die Ausrichtung der Protokolle IPsec und SSL könnte unterschiedlicher nicht sein: IPsec arbeitet applikationstransparent auf der Netzebene und SSL applikationsbezogen zwischen der Transportebene (TCP) und der Applikationsebene und damit unterstützt SSL selbst auch kein Tunneling - eine der Haupteigenschaften von VPN.

Zeitkritische Applikationen, die auf UDP aufbauen, wie z.B. Voice over IP und Video Conferencing, bekommen im SSL-VPN die für sie negativen Eigenschaften von TCP aufgezwungen. Verloren gegangene Pakete werden dadurch wiederholt gesendet, obwohl sie der Empfänger nicht mehr brauchen kann.

Dennoch schwärmten viele blindlings von SSL-VPN. Also was sind dann die tollen Eigenschaften dieser Technologie? Damit beschäftigt sich die vorliegende Arbeit.

¹ http://www.mozilla.org/projects/security/pki/nss/ssl/draft302.txt

² http://www.ietf.org/rfc/rfc2246.txt

³ http://csrc.nist.gov/archive/ipsec/papers/rfc2411-roadmap.txt

FH Campus Wien Page 2

2. Grundlagen und Begriffsbestimmungen

2.1. Was ist SSL?

SSL ist eine Entwicklung von Netscape mit dem Ziel, das HTTP-Protokoll kryptographisch abzusichern. So sollte die Möglichkeit geschaffen werden, sensible Daten geschützt übertragen zu können. Deshalb wurde das SSL Protokoll auch zwischen dem TCP-Protokoll und der Applikationsebene etabliert.

Die IETF hat auf Basis von SSL Version 3.0 einen Standard verabschiedet, dieser heißt TLS (Transport Layer Security) Version 1.0 (RFC 2246). Die Unterschiede zu SSL sind gering, bewirken aber trotzdem, dass TLS 1.0 und SSL 3.0 nicht kompatibel sind. Praktisch können jedoch fast alle TLS-Implementierungen in einem Kompatibilitätsmodus arbeiten (Lipp)

2.1.1. Kryptographie in SSL

Folgende Abbildung zeigt nun den Aufbau einer SSL Session. Die optionalen Komponenten sind hierbei mit einem Stern (*) gekennzeichnet:

Abbildung 1: Aufbau einer TLS Session (Frahim, Huang, 2008, Seite 54)

Zuerst erfolgt eine Verständigung über die zu verwendeten Chiffrierverfahren und eine Server Authentifizierung. In einem typischen HTTPS Verbindungsaufbau wird nur der Server authentifiziert und der Browser authentifiziert sich nicht. Falls User authentifiziert werden müssen, so wird dies meist an die Applikationsebene delegiert.

FH Campus Wien Page 3