Ein Virtual Private Network (VPN) ist ein Netz, das physisch innerhalb eines anderen Netzes, wie beispielsweise dem Internet, betrieben, jedoch logisch von diesem Netz getrennt wird. VPNs können unter Zuhilfenahme kryptographischer Verfahren die Integrität und Vertraulichkeit von Daten schützen. Die Kommunikationspartner können sich sicher authentifizieren, auch dann, wenn mehrere Netze oder Rechner über gemietete Leitungen oder öffentliche Netze miteinander verbunden sind.
Zusammenschluss mehrerer IT-Systeme und Netze mithilfe von Virtual Private Networks (VPNs)
VPNs lassen sich in zahlreichen Szenarien einsetzen. Site-to-Site-VPNs dienen beispielsweise zur Vernetzung dezentraler Netze mehrerer Zweigstellen innerhalb eines Unternehmens oder einer Behörde. End-to-End-VPNs werden häufig für den Zugriff auf einzelne IT-Systeme oder Anwendungen genutzt. Beispielsweise könnten Geschäftspartner oder Kunden auf das zentrale Datennetz des Unternehmens oder Teilen hiervon zugreifen. Bei einem Remote-Access-VPN können sich einzelne Clients von extern in das Firmen-LAN einwählen. Dieses Szenario wird oft für die Einwahl von Telearbeitern oder für die zusätzliche Absicherung von WLANs genutzt.
VPNs sind zahlreichen Gefährdungen ausgesetzt: Hierzu zählen organisatorische Mängel, wie beispielsweise eine unzureichende Planungsphase, aber auch menschliche Fehlhandlungen, wie eine mangelhafte Administration der beteiligten Systeme. VPNs werden üblicherweise aufgebaut, um Informationen zu schützen, die für einen Benutzer oder ein Unternehmen von Wert sind. Daher ist ein VPN ein potenzielles Ziel von Angriffen, sei es, um dieses unberechtigt nutzen zu können oder um dessen Verfügbarkeit zu stören (DoS-Angriffe). Solche Angriffe können eine empfindliche Störung der mit dem VPN verbundenen Applikationen und Infrastruktur nach sich ziehen.
Die durch VPNs verbundenen Rechner und Netze können nicht immer als vertrauenswürdig eingestuft werden. Dies trifft insbesondere dann zu, wenn die angebundenen Netze Fremdnetze sind und nicht selbst administriert werden. Unter diese Kategorie fallen beispielsweise mobile Mitarbeiter (Remote-Access-VPNs), die ihr IT-System selbst administrieren oder Kunden und Geschäftspartner, die auf das Datennetz des Unternehmens zugreifen müssen (End-to-End-VPNs) – bei einem derartigen End-to-End-VPN wird das eigene Netz mit dem anderer Firmen verbunden. In der Automobilindustrie oder in anderen Branchen, die eine intensive Zusammenarbeit zwischen Hersteller und Zulieferer erfordern, wird diese VPN-Form häufig angewendet. Werden hierbei keine Sicherheitsanforderungen berücksichtigt, kann für ein Unternehmen großer Schaden entstehen.
Folgende zusätzliche Gefährdungen könnten den sicheren Einsatz eines VPNs beeinträchtigen:
Durch eine ungeeignete Wahl des Authentifizierungsverfahrens werden schützenswerte Informationen bei der Übertragung über unsichere Netze vielen Gefahren ausgesetzt. Beispielsweise könnte bei einer zu schwachen Verschlüsselung der gesamte Datenverkehr mitgelesen werden. Werden (zu) hohe Anforderungen an die Rechenleistung für die Verschlüsselung gestellt, könnte hingegen das VPN-Gateway die Pakete eventuell nicht mehr zeitnah ver- beziehungsweise entschlüsseln.
Da die Verschlüsselung des VPN-Kanals bei korrekter Anwendung kaum angreifbar ist, bieten die VPN-Endpunkte den besten Ansatzpunkt für einen Einbruch in ein Netz. Zur Vorbereitung sammelt ein Angreifer zunächst alle verfügbaren Informationen über das VPN. Ein VPN-Gateway lässt sich dabei vergleichsweise einfach mittels eines Portscanners identifizieren. Viele dieser Programme bieten zusätzliches Betriebssystem-(OS)-Fingerprinting sowie eine Diensteerkennung, mit deren Hilfe die Versionsnummer des Betriebssystems beziehungsweise der Hersteller des VPN-Gateways ermittelt werden kann. Spezielle Tools können sogar die vom Gateway benutzten kryptographischen Verfahren ausfindig machen und es damit Angreifern erleichtern, bereits bekannte Schwachstellen zu finden und auszunutzen.
Internet Protocol Security, kurz IPsec, ist die zurzeit in der Wirtschaft und Verwaltung am weitesten verbreitete VPN-Implementierung. Unter IPsec versteht man eine Reihe von Protokollen zur Schlüsselverwaltung, Authentifizierung und Verschlüsselung. Der Einrichtungs- und Wartungsaufwand ist für IPsec-basierte VPNs infolge der Komplexität des Standards sehr hoch. Dies kann zu Konfigurationen führen, welche die Sicherheit und Stabilität des VPN-Kanals gefährden können. Da der IPsec-Standard bereits vor einigen Jahren festgelegt wurde, sind darin einige netzspezifische Aspekte nicht berücksichtigt. So haben bestimmte IPsec-Modi Probleme mit der heute in vielen Netzen eingesetzten Network Address Translation (NAT), weil dabei das IPsec-Paket verändert wird.
Ein weiteres Problem ist, dass Default-Einstellungen von VPN-Gateways nicht immer alle Merkmale einer sicheren Installation aufweisen. Oft wird mehr auf Benutzerfreundlichkeit und problemlose Integration in bestehende Systeme als auf Sicherheit geachtet. Mangelnde Anpassungen an die konkreten Sicherheitsbedürfnisse können daher zu vermeidbaren Schwachstellen und somit gefährlichen Angriffspunkten führen.
Um den aufgeführten Gefährdungen zu begegnen, werden in einer der folgenden Versionen der IT-Grundschutz-Kataloge Empfehlungen gegeben, die den sicheren Einsatz eines VPN ermöglichen.
Das Ziel von IT-Grundschutz ist es, durch geeignete Kombinationen von Sicherheitsmaßnahmen ein Sicherheitsniveau zu erreichen, das für einen normalen Schutzbedarf angemessen ist. Im Folgenden werden einige Empfehlungen gegeben, die beim Einsatz von VPNs berücksichtigt werden sollten. Sie sind aufgegliedert in die einzelnen Abschnitte des IT-Grundschutz-Lebenszyklus eines VPNs und gehen sogar teilweise über einen normalen Schutzbedarf hinaus.
Ist die Entscheidung gefallen, ein VPN-System einzusetzen, so muss dessen Aufbau geplant und konzipiert werden. Der erste Schritt ist immer, die notwendigen Anforderungen an ein solches System festzulegen. Erst nachdem die Anforderungen klar definiert worden sind, kann damit begonnen werden, ein entsprechendes Sicherheitskonzept zu erstellen und die Systemarchitektur festzulegen.
Besondere Aufmerksamkeit ist der Definition einer eigenen VPN-Sicherheitsrichtlinie zu widmen. Die Leitlinie definiert den VPN-Sicherheitsprozess und ist in die allgemeine IT-Sicherheitsleitline zu integrieren. Das strategische Rahmenwerk, das durch die VPN-Sicherheitsleitlinie gebildet wird, muss von der Geschäftsführung festgelegt werden, die immer die Gesamtverantwortung trägt. Folgende Fragen sollten beispielsweise in der IT-Sicherheitsleitlinie zu VPNs geklärt werden:
Unternehmen und Behörden haben vielfältige Anforderungen an Netze, wie beispielsweise die Anbindung unterschiedlicher Standorte bis hin zu mobilen Mitarbeitern und Heimarbeitsplätzen. Dementsprechend sind die jeweiligen Anforderungen auch von Unternehmen zu Unternehmen verschieden.
VPN-Produkte unterscheiden sich in ihrem Leistungsumfang, den angebotenen Sicherheitsmechanismen, Bedienkomfort und Wirtschaftlichkeit. Bevor ein Produkt beschafft wird, sollte daher eine Anforderungsliste erstellt werden, anhand derer die am Markt erhältlichen Produkte bewertet werden. Aufgrund der Bewertung kann dann eine fundierte Kaufentscheidung erfolgen, die sicherstellt, dass das zu beschaffende Produkt im praktischen Betrieb den Anforderungen genügt.
Grundvoraussetzung ist, dass sich mit den gewählten VPN-Produkten die geforderten Sicherheitsfunktionen auch tatsächlich umsetzen lassen. Grundsätzlich sollte eine Entscheidung darüber getroffen werden, ob das gewählte VPN-Produkt ein dediziertes VPN-Gerät (Appliance), ein Kombi-Gerät oder eine softwarebasierte VPN-Lösung auf Standard-IT-Systemen (z. B. Linux mit IPsec) sein soll.
Ein VPN-System kann nur dann sicher betrieben werden, wenn schon bei der Installation gewissenhaft vorgegangen wird. Unabhängig davon, ob es sich bei VPN-Komponenten um dedizierte Hardware oder softwarebasierte Systeme handelt, spielt die Konfiguration der beteiligten Komponenten eine wesentliche Rolle. Durch eine ungeeignete Konfiguration der VPN-Komponenten könnten das Netz oder Teile hiervon ausfallen. Zusätzlich kann ein Angreifer unter Umständen vertrauliche Informationen mitlesen oder verändern. Erschwerend kommt hinzu, dass ein VPN-System aus mehreren Komponenten und deren Konfiguration besteht, wodurch naturgemäß die Gesamtkonfiguration komplexer ist. Werden bei einer Komponente die Konfigurationsparameter unabgestimmt geändert, könnte dies im Zusammenspiel mit den anderen Komponenten zu Fehlfunktionen oder Ausfällen führen. Akzeptiert beispielsweise ein Client statt AES nur noch Triple-DES als Verschlüsselungsverfahren, ist keine Kommunikation mehr möglich.
Weiterhin muss die Sicherheit des zugrunde liegenden IT-Systems gewährleistet werden. Dies betrifft besonders IT-Systeme, auf denen ein Standard-Betriebssystem installiert ist und das als VPN-Endpunkt betrieben wird. Daher sind zunächst die generellen Sicherheitsmaßnahmen aus dem entsprechenden Baustein für jede dieser Komponenten durchzuführen.
Die Anbindungen sind für den Geschäftsbetrieb essenziell und immer öfter ist es erforderlich, dass die VPN-Verbindung permanent (24/7) betriebsbereit ist. Für den reibungslosen Ablauf des VPN-Betriebs muss daher ein Betriebskonzept erstellt werden. Wichtiger Bestandteil davon ist ein passend zugeschnittenes Notfallkonzept (siehe unten). Bei der Erstellung eines Betriebskonzepts müssen insbesondere folgende Aspekte beachtet werden:
An den VPN-Endpunkten werden Zugriffskontrollverfahren eingesetzt, welche entscheiden, ob ein Sender zur Kommunikation mit dem Empfänger berechtigt ist. Die ordnungsgemäße Funktion dieser Verfahren ist in regelmäßigen Zeitabständen zu überprüfen. In Vergessenheit geratene Zugänge oder Zugänge bereits ausgeschiedener Mitarbeiter stellen gefährliche Sicherheitslücken dar und sind schnellstmöglich zu sperren. Insbesondere bei der Anbindung von Zulieferern, Partner und Kunden kommen der sofortigen Sperrung nicht mehr benötigter VPN-Zugänge große Bedeutung zu.
Je nach Wichtigkeit der Standorte sollten für die verschiedenen Geschäftsprozesse beziehungsweise Organisationseinheiten individuelle Notfallkonzepte erstellt werden, die die jeweils spezifischen Gegebenheiten abbilden. Bei der Erstellung eines Notfallkonzeptes für ein VPN-System müssen unter anderem folgende Punkte beachtet werden:
Aufgrund des breiten Einsatzspektrums von VPNs ist der sorgfältige Schutz der Verbindungen unbedingt erforderlich. Unterstützung bietet der IT-Grundschutz-Baustein VPN, der voraussichtlich nach der Veröffentlichung der neunten Ergänzungslieferung als Vorabversion auf den Webseiten des BSI [1] bereitgestellt wird. Es ist geplant, den vorhandenen Baustein B 4.4 "Remote Access" um die neuen Gefährdungen und Maßnahmen zu ergänzen und zu einem neuen VPN-Baustein zusammenzufassen.
Da weitere sicherheitsrelevante Aspekte, wie die Absicherung der den VPN-Endpunkten zugrunde liegenden Betriebssystemen, beachtet werden müssen, ist es mit der Umsetzung des Bausteins nicht getan. Vielmehr sollte ein Informationssicherheitsmanagementsystem (ISMS), wie IT-Grundschutz [2], für einen umfassenden Schutz eingeführt werden.
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2007#4, Seite 37
tag:kes.info,2007:art:2007-4-037