Als SSL-VPN (englische Schreibweise: SSL VPN ohne durchkoppelnden Bindestrich) bezeichnet man Systeme, die den Transport privater Daten über öffentliche Netzwerke ermöglichen (siehe VPN) und als Verschlüsselungsprotokoll TLS (alte Bezeichnung: SSL) verwenden.
Prinzipiell ist SSL als Verschlüsselungsprotokoll für VPN sowohl für Site-to-Site- als auch End-to-Site-VPNs geeignet. In den 1990er-Jahren gab es Systeme, die SSL als Sicherungsschicht für Site-to-Site-VPNs einsetzten. Mit der Entwicklung von IPsec und der zunehmenden Vernetzung über Organisationsgrenzen hinaus hat das standardisierte, interoperable IPsec sich als Alternative etabliert.
Der entscheidende Vorteil von SSL-VPN gegenüber IPsec ist die Bereitstellung des Netzwerk- und Applikationszugriffs für mobile Anwender, da die Konfiguration der Clients einfacher möglich ist als mit einer Lösung durch IPsec.
Alle heute üblichen SSL-VPN-Systeme verwenden den TCP-Port 443 (HTTPS) für die Datenübertragung. Dies hat gegenüber IPSec und anderen VPN-Technologien den Vorteil, mit Network Address Translation ohne weiteres kompatibel zu sein und oft auch durch Proxys und Firewalls von Unternehmen hindurch den Zugriff zu ermöglichen. Neben der daraus folgenden Benutzbarkeit auch in fremden Organisationen (bei IPsec-VPN aufgrund der üblichen Firewallkonfigurationen in der Regel ausgeschlossen) ist bei einer Reihe von SSL-VPNs die Benutzung vieler Funktionen auch ohne vorangehende Installation einer Client-Software möglich.
Im Wesentlichen gibt es heute drei unterschiedliche Typen von SSL-VPNs:
Mischformen sind üblich. Eine einheitliche Nomenklatur für die Trennung der unterschiedlichen Typen hat sich im Markt bisher nicht durchgesetzt. Üblich ist die Bezeichnung allerdings für alle VPN-Systeme, die SSL/TLS als Verschlüsselungsprotokoll einsetzen und TCP-Port 443 (HTTPS) zur Datenübertragung verwenden.
Für die meisten SSL-VPNs gilt, dass eine Sitzung über eine Anmeldung auf eine Webseite gestartet wird. Auch das Starten von Nicht-Web-Applikationen geschieht in der Regel über diese Webseite (Portal). Dies gilt jedoch nicht für SSL-VPNs, die sich von klassischen VPNs nur durch das Übertragungsprotokoll unterscheiden; diese verwenden in der Regel einen Client, der installiert werden muss und über dessen Aufruf auch die Anmeldung am VPN erfolgt.
Zur Bereitstellung von Web-Applikationen in solchen SSL-VPN-Systemen, die einen clientlosen Zugriff ermöglichen, wird eine Übersetzung der URL-Namensräume der bereitgestellten Applikationen und Server in einen einzigen URL-Namensraum durchgeführt, so dass der Zugriff auf diese Web-Applikationen über einen einzigen Hostnamen erfolgt. Insbesondere kann auf diese Weise eine zentrale Authentisierung, Autorisierung und Content Inspection für den Zugriff realisiert werden.
Für die Bereitstellung von netzwerkbasierten Client-Server-Systemen verwenden SSL-VPNs unterschiedliche Techniken:
Die client-seitigen Komponenten sind in der Regel als ActiveX- oder Java-Komponenten ausgeführt.
Wie für andere VPN-Technologien existieren auch bei SSL-VPNs typische Sicherheitsrisiken. Der Hauptvorteil von SSL-VPN gegenüber anderen VPN-Lösungen ist bei vielen Systemen die Möglichkeit, einen beliebigen Webbrowser in einem beliebigen Netzwerk als Client einzusetzen.
Zur Authentifizierung werden bei SSL-VPNs in der Regel bestehende Benutzerverzeichnisse verwendet. Typische von SSL-VPNs unterstützte Authentisierungsdienste sind LDAP-Verzeichnisdienste, RADIUS, TACACS+, Zwei-Faktor-Authentisierungssysteme wie SecurID sowie die Verwendung von Zertifikaten. Einzelne SSL-VPN-Lösungen sind in der Lage, während der Anmeldung mehrere Authentisierungsdienste gleichzeitig zu nutzen. Dies kann insbesondere im Zusammenhang mit Single Sign-on für die bereitgestellten Applikationen von Interesse oder für Zwei-Faktor-Authentifizierung (2FA), wenn ein Faktor das Netzwerkkennwort des Anwenders und der zweite Faktor ein Tokencode ist. Nicht alle SSL-VPN-Lösungen verfügen über eine eigene Benutzerverwaltung.
Zur Autorisierung ist bei SSL-VPNs die Nutzung von Gruppenzuordnungen des Benutzers in einem LDAP-Verzeichnisdienst, einem 2FA-Dienst oder RADIUS üblich. Nicht alle SSL-VPN-Lösungen verfügen über eine eigene Gruppenverwaltung.
Die Nutzung eines beliebigen Webbrowsers (und damit eines beliebigen, insbesondere nicht unternehmenseigenen Computers) als Client begründet jedoch auch besondere Sicherheitsrisiken, etwa
Manche SSL-VPN-Systeme adressieren diese Probleme durch
Neben den clientseitigen Sicherheitsrisiken können innerhalb des VPNs auch Angriffe, etwa durch Malware übertragen werden. Einige SSL-VPN-Systeme integrieren auf dem SSL-VPN-Gateway Content-Inspection-Fähigkeiten zur Untersuchung der übertragenen Anfragen und Inhalte.
In SSL-VPN-Systemen, die auch den Zugriff auf netzwerkbasierte (Nicht-Web-)Anwendungen bereitstellen, ist außerdem die Integration von Paketfiltern innerhalb des VPNs üblich. In der Regel wird im Gegensatz zu typischen anderen VPN-Implementierungen aber das Paketfilter-Regelwerk auch auf dem Client durchgesetzt.