Der Aufwand für mobile Clients ein IPSec basierendes VPN zu betreiben wird immer größer. Abhilfe schaffen hier ssl basierende VPN’s nicht nur für den Administrator sondern auch für den Anwender
Eines der größten Probleme bei IPsec VPN ist NAT. Hier müssen nicht nur der Client und der VPN Server sondern auch das jeweilige Gateway in der Lage das die Datenpakete entsprechend zu behandeln. Sicherlich hat IPSec in diesem Bereich mit IKEv2 nachgelegt und vieles vereinfacht. Jedoch ist das Protokoll nicht weniger kompliziert. Wenn die Anwender irgendwo in der Welt unterwegs sind, dann sind die Möglichkeiten online zu gehen ebenso viele wie es Zugangsprovider gibt. Das Problem ist nur, wie kann der Administrator vorhersehen, über welchen Zugang der Anwender eine Verbindung zum Internet bekommt. Ist er am Flughafen, im Hotel, beim Kunden oder vielleicht in einem Schnellrestaurant wo es auch Kaffee gibt? Das Protokoll von IPSec im Vergleich mit dem nur einem TCP Port für ssl-VPN’s deutlich komplizierte ist, dürfte allen Admins bekannt sein. Gerade das macht auch eine Fehleranalyse oft sehr schwierig und bietet den möglichen Fehler viel mehr Optionen in Erscheinung zu treten. Gerade hier bieten ssl-VPN’s deutliche Vorteile. Sie benötigen nur eine https-Verbindung. Dabei spielt es keine rolle, ob diese Verbindung direkt oder über einen Proxy zur Verfügung steht. Auch ist durch die Portal-Seite einer ssl-VPN Appliance es für den Anwender sehr einfach zu erkennen ob er eine Verbindung hat oder nicht. Da es ja auch nicht immer ein vollwertiges VPN sein muss, ist es oft auch ausreichend die entsprechende Applikation zu tunnel, in vielen Fällen ist dies mehr als ausreichend.
Durch den Einsatz von ssl-VPN lassen sich sehr gut die VPN-Zugänge von extern konsolidieren und durch die Policies der Appliances sehr gut absichern. Die Implementation ist denkbar einfach und kann in den meisten Fällen parallel zur vorhanden IPSec Struktur erfolgen. So können die vorhanden Zugänge sanft migriert werden und die externen Mitarbeier schnell zu den Vorzügen der ssl-VPN kommen. Bei all den Vorteilen ersetzen solche Systeme natürlich nicht die Anbindung von Niederlassungen und Partnern mit einer Netz-zu-Netz Verbindung. In diesem Bereich sind IPSec VPN unverzichtbar.