Suchen

IP-Insider fragt nach – VPN-Experte Rainer Enders antwortet Wird ein IPsec-VPN bei falscher Konfiguration zum Sicherheitsrisiko?

| Autor / Redakteur: Jürgen Hönig / Dipl.-Ing. (FH) Andreas Donner

Beim Einsatz eines Virtual Private Networks ist die Sicherheit der Verbindung entscheidend. Ob diese Sicherheit durch eine falsche Client-Konfiguration gefährdet werden kann, wie sich eine optimale VPN-Konfiguration sicherstellen lässt und welche Sicherheitslöcher IPsec und SSL lauern, erläutert VPN-Experte Rainer Enders im Gespräch mit IP-Insider.

Firmen zum Thema

Virtual Private Networking im Detail: IP-Insider fragt nach – VPN-Experte Rainer Enders antwortet
Virtual Private Networking im Detail: IP-Insider fragt nach – VPN-Experte Rainer Enders antwortet

IP-Insider: Herr Enders, kann man einen VPN Client versehentlich falsch konfigurieren und dadurch die Sicherheit des VPNs gefährden und, wie kann man eine geeignete VPN Client Konfiguration sicherstellen?

Rainer Enders: Die gute Nachricht ist, dass ein VPN fast vollständig binär funktioniert. Das heißt, entweder wird eine sichere Verbindung hergestellt oder gar keine. Kann keine sichere Verbindung hergestellt werden, gibt es auch keinen Traffic zu gesicherten Ressourcen, was wenig Raum für Sicherheitslücken lässt.

Sicherheitslücken entstehen allerdings auf subtilere Art und Weise. Dabei gehe ich hier aber nur auf IPsec-VPNs ein, die aktuell sicherste VPN-Technologie. Denn im Zusammenhang mit SSL-VPNs stellen sich ganz andere Herausforderungen insbesondere in Verbindung beim Einsatz mit Web-Browsern.

Trotz der vermeintlichen Auffassung, dass SSL-VPNs clientlos seien, ist der Web-Browser hier eine wichtige und kritische Komponente. Die Bequemlichkeit, die durch die weite Verbreitung der Web-Browser entsteht, hat große Auswirkungen auf die Sicherheit in Bezug auf Art und Ort des Browsereinsatzes und kann zu gravierenden Sicherheitslücken führen. Diese Zusammenhänge hat NCP in seinem Whitepaper "Debunking the Myths of SSL VPN [PDF, ca. 1 MB]" detailliert ausgeführt.

Also zurück zum klassischen, client-basierten VPN. Bei jeder VPN Verbindung gibt es zwei Seiten: den VPN-Client und die Gegenstelle am VPN-Gateway. Eine mögliche Fehlkonfiguration am VPN-Client, die Sicherheitsprobleme hervorrufen kann, ist die Manipulation von Phase-1- und/oder Phase-2-Vorschlägen zu den Authentisierungs- und Verschlüsselungsalgorithmen der IPsec-Verbindung.

Wenn beispielsweise der Client laut Konfiguration mit AES128 verschlüsselt, der Nutzer aber den Algorithmus auf DES setzt, dann reduziert sich die gesamte Sicherheit erheblich, da DES eine deutlich schwächere Verschlüsselung und dadurch stärker gefährdet ist. Ein vom Client initiiertes Umschalten von AES128 auf DES bedingt natürlich, dass das Gateway DES als validen Sicherheitsparameter anerkennen muss. Ist dies nicht der Fall, kann bereits das Gateway eine gewisse Kontrolle ausüben und veraltete Sicherheitsprotokolle ablehnen.

Eine andere, subtilere Sicherheitslücke kann entstehen, wenn Nutzer willkürlich VPN-Client-Parameter ändern, wie beispielsweise den Preshared Key. Üblicherweise weiß der Nutzer diesen Wert nicht und nach einer Änderung kann der Client keine VPN-Verbindung mehr aufbauen. Damit der Client wieder funktioniert, versucht der Nutzer in dieser Situation den richtigen Parameterwert zu erhalten. Während der Übertragung dieses wichtigen Sicherheitsparameters können Sicherheitslücken entstehen, wenn der Schlüssel beispielsweise per E-Mail verschickt wird und das womöglich noch an den öffentlichen Yahoo, Gmail oder Hotmail Account des Nutzers, oder der Schlüssel bei einem Telefongespräch mitgehört wird.

Enthält der VPN-Client andere für die Sicherheit relevante Funktionen, wie beispielsweise eine Client-Firewall, wird es noch brenzliger. Ändert der Nutzer wichtige Firewall-Regeln, die aufgestellt wurden, um das Endgerät zu schützen, entstehen weitere beträchtliche Sicherheitslücken.

Ein vorkonfigurierter VPN-Client mit einer gesperrten Konfiguration kann diese Probleme vermeiden, denn die Konfigurationssperre verhindert unberechtigte Änderungen. Werden die VPN-Clients vollständig gemanagt, kann der Administrator Konfigurationen im laufenden Betrieb verändern oder zurücknehmen. Durch das Management System werden zudem identische und gültige Konfigurationen zuverlässig an die VPN-Clients weitergegeben, wodurch Fehlkonfigurationen von vorneherein vermieden werden.

Rainer Enders, VPN-Experte bei NCP Engineering
Rainer Enders, VPN-Experte bei NCP Engineering

Über den Experten

Rainer Enders ist technischer Leiter der NCP Engineering in Nordamerika, einer Niederlassung der deutschen Firma NCP Engineering GmbH, welche Lösungen für sicheren Remote Access VPN entwickelt.

Enders arbeitet seit 20 Jahren in der Netzwerk- und Sicherheitsindustrie und hatdarüber hinaus Erfahrung in Testautomatisierung, Qualitätssicherung sowie Test und Verifikation von komplexen Netzwerk- und Systemarchitekturen.

Bevor Rainer Enders 2010 zu NCP wechselte, war er Geschäftsführer seiner eigenen Consultingfirma, Rainer Enders Consulting Enterprises, die sich auf Computer-Netzwerksicherheit und Storage Netzwerke spezialisiert hatte. Davor besetzte er verschiedenste technische Posten bei Identity Engines, NeoScale Systems, Yipes Enterprise Services und Ericsson.

(ID:36617690)