SSL-VPNs erlauben Zugriff auf Daten Ihrer Anwendungen

Laut einer Meldung des US Computer Emergency Response Teams (US-Cert), führen SSL-VPN-Produkte unter Umständen zu Sicherheitsproblemen.

SSL-VPN-Lösungen werden aufgrund Ihrer einfachen Nutzung immer beliebter, denn sie ermöglichen beispielsweise den Zugriff auf Ressourcen des internen Unternehmensnetzwerks, ohne dass auf dem externen Rechner ein VPN-Client installiert werden muss. Der Zugriff auf die Ressourcen erfolgt vollständig per SSL über den Browser.

Internetadressen, die über ein SSL-VPN aufgerufen werden, enthalten den SSL-VPN-Server als Domain und die eigentlich aufgerufene URL wird z.B. als Unterverzeichnis aufgeführt. So ist sichergestellt, dass der Aufruf über den SSL-VPN-Server erfolgt. Dies kann beispielsweise wie folgt aussehen:
https://MeinSslVpnServer.de/www.netzwerk-internet.de

Dadurch, dass die Domain aus Sicht des Browsers immer gleich bleibt (im Beispiel MeinSslVpnServer.de), kann die sogenannte Same Origin Policy die Seiten nicht mehr voneinander trennen. Sie verhindert eigentlich, dass unterschiedliche Internetseiten gegenseitig auf ihre Cookies oder andere Inhalte zugriefen können. Aus Sicht des Browsers stammen alle über die SSL-VPN-Verbindung aufgerufenen Internetseiten von derselben Domain.

Die Hersteller von SSL-VPN-Lösungen arbeiten momentan an einer Lösung. Solange sollten Sie über Ihre SSL-VPN-Server nur vertrauenswürdige Inhalte bereitstellen, da Sie immer damit rechnen müssen, dass die aufgerufenen Web-Anwendungen gegenseitig auf ihre Inhalte - und somit auch Sessions oder sensible Daten - zugreifen können.