5+1 Tipps für ein sicheres VPN

18. November, 2021

VPNs (Virtual Private Networks) sind eines der wichtigsten Werkzeuge, um Mitarbeiter*innen und Geschäftspartnern von extern einen sicheren Zugriff auf ein internes Unternehmensnetzwerk zu ermöglichen. Unter Anwendung von Verschlüsselungen wird ein abhörsicherer Tunnel für Daten vom Client zum Unternehmensnetzwerk hergestellt. Darüber können User*innen die Vorteile von internen Diensten nutzen, die normalerweise nur den Benutzer*innen vor Ort zur Verfügung stehen. Das können z. B. ein Intranet, Drucker, sensible Dokumentenspeicher oder vorwiegend andere lokal eingeschränkte und interne Systeme sein. Umgesetzt werden diese VPNs typischerweise im Unternehmensnetzwerk über dezidierte Server oder auch z.B. als Zusatzfunktion auf vorhandenen Firewalls. Diese Gateways müssen natürlich über das Internet und meist global erreichbar sein. Solche Zugangspunkte zu geschützten Netzbereichen sind daher beliebte potentielle Ziele für Angreifer. Da auch immer wieder Schwachstellen in Software, bei der Implementierung oder auch im Betrieb auftreten und gefunden werden, sind einige Punkte für den sicheren Umgang ganz besonders zu beachten. Zur möglichen Verbesserung des Sicherheitsniveaus dieser wesentlichen Services ist von der US-Amerikanischen Cyber Security Agency ein Best-Practice-Paper zusammengestellt worden, das bei der Planung und Administration zur sicheren Umsetzung von VPNs unterstützen soll [1].

Fünf Wesentliche Empfehlungen zur sicheren Auswahl und den Betrieb von VPN-Lösungen

  • Wählen Sie eine bekannte, bewährte und standardisierte Lösung
    Es beginnt schon bei der Systemauswahl: Bei bekannten und weit verbreiteten Herstellern, deren Produkte gut dokumentiert und getestet sind, ist das Risiko für versteckte Sicherheitslücken deutlich geringer. Da ein VPN-Service oft weltweit über das Internet erreichbar ist, soll die Lösung mit nachvollziehbaren, aktuellen Sicherheitsstandards entwickelt worden sein und regelmäßige Updates für System und Clients erfahren. Besondere Details, wie z.B. der optimierte Funktionsumfang, die ausschließliche Verwendung von signierter Software und ein abgesicherter Boot-Prozess gegen unerlaubte Veränderungen, unterscheiden solche Systeme von „Selbstbauprojekten“.
  • Absichern des Systems bereits bei der Planung und Installation
    Auf nicht notwendige Funktionen soll verzichtet bzw. diese nach Möglichkeit deaktiviert werden. Auch die Erreichbarkeit soll nur wirklich beabsichtigte Systeme umfassen bzw. nur notwendige Verbindungen sollen erlaubt werden. Alle optionalen Zusatzfunktionen oder Fallback-Varianten (wie z.B. der Rückschritt auf eine schwächere Verschlüsselung) sollen unbedingt deaktiviert bleiben. Der Administrationszugriff ist ausschließlich von intern empfohlen, um mögliche Fernzugriffs-Schwachstellen im Vorhinein zu minimieren.
  • Sichere, aktuell gehaltene Konfiguration und Betrieb
    Verwenden Sie stets eine aktuelle Verschlüsselung und starke Authentifizierung für alle Benutzer und Endgeräte. Richten Sie das VPN sicher nach empfohlenen Best-Practices ein und verwenden Sie ausschließlich aktuelle, robuste Methoden ohne Unterstützung für bereits ältere Algorithmen. Optimal wird nicht nur der Nutzer, sondern auch das Endgerät z.B. mit Geräte-Zertifikaten eindeutig autorisiert. Verschiedene Nutzerrollen erlauben genau nur den Zugriff auf die internen Systeme, die für die jeweilige Aufgabe benötigt werden.
  • Achten Sie auf Herstellerinformationen und halten Sie Ihr System stets aktuell
    Neue Softwareupdates sollten besonders für Fehlerbehebungen so schnell als möglich angewendet werden. Es macht hier Sinn, die VPN-Funktionen auf ein dezidiertes Gateway zu legen, um diesen Service so schnell und flexibel wie möglich zu aktualisieren ohne andere Systeme zu beeinträchtigen.
  • Überwachung, Monitoring und Protokollierung
    Ein so zentrales Service soll stets gut überwacht und die Nutzung sowie allfällige Vorkommnisse extern aufgezeichnet werden. Durch die Auswertung von Aktivitäten, Zugriffen sowie auch Häufigkeiten und Intervallen der Authentifizierung der Benutzer, kann ein Sollstand festgestellt werden. Dadurch ist es dann möglich, Abweichungen besser und rechtzeitig zu erkennen. Die Überwachung findet am besten kontinuierlich und mit Unterstützung von weiteren externen Systemen statt, bei denen regelmäßig auf Auffälligkeiten geachtet werden kann.

Zusatztipp: Verwenden Sie keine vermeintlich „freien“ VPN-Services von externen Anbietern

Auch wenn VPN oft als „Addon-Security“ für offene WLAN-Netze oder ähnliches beworben wird: Seien Sie kritisch gegenüber günstigen oder Gratis-VPN-Services. Bezahlen Sie nichts für die Services, sie sind nur allzu oft selbst das Produkt. Im besten Fall werden „nur“ Nutzungsdaten verkauft oder auch vermehrt Werbung eingeblendet und verschickt. In ungünstigen Fällen ist die VPN-Software möglicherweise mit anderer Schadsoftware verseucht und kann das System für andere Schwachstellen öffnen [2].

Fazit: Trotz der Entwicklung zu immer mehr Cloud-Services bleibt VPN nicht nur für Homeoffice und den Zugriff der Mitarbeiter*innen auf bestehende interne Ressourcen immens wichtig. Hierzu bieten VPN-Lösungen einen wesentlichen und oft unterschätzten Zugang zu internen Ressourcen des eigenen Netzwerks, der nach wie vor einen zentralen Sicherheitsaspekt darstellt. Auf die sichere und robuste Umsetzung, aber auch einen nachhaltig sicheren Betrieb darf dabei keinesfalls vergessen werden!

Quellen:

Red Teams, Blue Teams, Purple Teaming

MSSP of the Year 2024

SIEM

Was ist ein SIEM?

Nozomi Guardian Air
HarfangLab Guard
MITRE ATT&CK Framework
v.l.n.r.: Joe Pichlmayr (CEO IKARUS) – Anouck Teiller (CSO HarfangLab) –Alexander van der Bellen (Bundespräsident Österreich) - Frédéric Joureau (Erster Botschaftsrat der französischen Botschaft in Wien) – Christian Fritz (COO IKARUS)
EDR
Cyber Kill Chain
Business Email Compromise
Prognosen für die zehn größten Cybersecurity-Bedrohungen für 2030
E-Mail Verschlüsselung
Schritt für Schritt zum Notfallplan für IT-Security-Incidents
Account Management
Bedrohung

WIR FREUEN UNS AUF SIE!

IKARUS Security Software GmbH
Blechturmgasse 11
1050 Wien

Telefon: +43 1 58995-0
Sales Hotline: +43 1 58995-500
sales@ikarus.at

SUPPORT-HOTLINE:

Support-Infoseite

Support-Hotline:
+43 1 58995-400
support@ikarus.at

Support-Zeiten:
Mo bis Do: 8.00 – 17.00 Uhr
Fr: 8.00 – 15.00 Uhr
24/7 Support nach Vereinbarung

Fernwartung:
AnyDesk Download