M 4.224 Integration von Virtual Private Networks in ein Sicherheitsgateway
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsbeauftragter
Verantwortlich für Umsetzung: Administrator
Virtual Private Networks (VPNs) werden häufig mittels IPSec oder SSL aufgebaut. Vor der Beschreibung der Realisierungsformen werden grundlegende Anforderungen an VPNs bzw. Schwachpunkte von VPNs beschrieben.
Anforderungen
- Für den Aufbau von VPNs sollten nur sichere Verschlüsselungsverfahrens verwendet werden.
- Beim Einsatz von proprietären Verschlüsselungsverfahren sollte das Verschlüsselungsverfahren offen gelegt sein. Dies ermöglicht unter anderem die Fehlersuche durch unabhängige Experten.
- In der Regel sollten verfügbare, offen gelegte Verschlüsselungsverfahren der Eigenentwicklung eines Herstellers vorgezogen werden.
- Bei vielen VPN-Implementierungen findet die gesamte VPN-Kommunikation über eine zentrale Verschlüsselungskomponente statt. Im Falle einer Störung (beispielsweise wegen eines Hardwarefehlers) ist dann das gesamte VPN angreifbar oder nicht verfügbar. Dies ist besonders dann problematisch, wenn eine VPN-Gegenstelle von einem externen Dienstleister betrieben wird und Verfügbarkeitsanforderungen nicht vertraglich fixiert wurden.
- Beim Betrieb eines VPNs mittels IPSec im Transportmodus ist zu beachten, dass die IP-Adressen der Rechner in den zu schützenden Netzen prinzipiell mitgelesen werden können und somit nicht auf eine "Network Address Translation" verzichtet werden kann. Beim Betrieb im Tunnelmodus stellt die VPN-Komponente die NAT-Funktion durch Hinzufügen neuer TCP/IP-Header und Verschlüsselung des kompletten gekapselten Ursprungspakets implizit bereit.
Im Zusammenhang mit Sicherheitsgateways bietet sich der Tunnelmodus zum Betrieb eines VPNs an, da die VPN-Funktion von einem zentralen Gateway übernommen werden kann und keine Anpassungen der Rechner in den vertrauenswürdigen Netzen notwendig ist. Zudem sind bei Verwendung des Tunnelmodus in der Regel weniger Paketfilterregeln als beim Transportmodus notwendig (dies entfällt, falls je nach der gewählten Integrationsvariante der VPN-Verkehr keinen Paketfilter mehr passiert, siehe später).
- Bei der Wahl der Verschlüsselungskomponente sollte ein dediziertes Gerät einem selbst erstellten System (z. B. mit Linux und IPSec) normalerweise vorgezogen werden, da Appliances viele Funktionalitäten mittels manipulationssicherer und performanter Hardware realisieren.
- Zum sicheren Betrieb von VPNs ist meist der Aufbau einer vertrauenswürdigen Schlüsselinfrastruktur notwendig (PKI).
- Von der Erzeugung von "Pseudo-VPNs" innerhalb einer Organisation durch die Nutzung der VLAN-Funktionalität von Switches wird abgeraten, da es derzeit noch einfache Angriffe auf Switches gibt, die unberechtigten Nutzern Zugriff auf das VLAN gestattet. VLANs sind keine Technik zur sicheren Trennung von Netzen (siehe auch M 2.277 Funktionsweise eines Switches)
Nach den allgemeinen Hinweisen zu VPNs werden im Folgenden Realisierungsformen von VPNs anhand von IPSec und SSL vorgestellt.
VPNs mittels IPSec
Vor und Nachteile von VPNs mittels IPSec stellen sich wie folgt dar:
Vorteile von VPNs mittels IPSec | Nachteile von VPNs mittels IPSec |
---|---|
Bereitstellung ganzer Netze über eine zentrale VPN-Komponente möglich. |
Integration einer Hardware-Komponente in das Sicherheitsgateway notwendig. Die Platzierung der VPN-Komponente ist im Einzelfall zu betrachten, da aufgrund der unterschiedlichsten Anwendungszusammenhänge keine allgemeingültigen oder grundlegenden Aussagen zur Platzierung möglich sind. |
Einmalige Integration des VPN-Gateways an zentraler Stelle. |
Ausfall des zentralen VPN-Gateways verursacht Komplettausfall des (VPN-) Netzwerks. |
Tabelle: Vorteile und Nachteile von VPNs mittels IPSec
Im Zusammenhang mit VPNs muss zwischen einem Trusted-VPN und einem Secure-VPN unterschieden werden:
-
Nutzung eines Trusted-VPN
Da sowohl bei der Verbindung zweier Standorte als auch bei der Verbindung von Telearbeitern mit Standorten die Daten vom Dienstleister oftmals nicht verschlüsselt werden und die gesamte Betreuung beim externen Dienstleister liegt, sollten sie nur bei wenig schutzwürdigen Daten verwendet werden. Bei höherem Schutzbedarf ist vor Übertragung der Daten eine Verschlüsselung notwendig (die faktisch ein Secure-VPN darstellt, so dass das Trusted-VPN überflüssig wird). Zudem ist eine regelmäßige Revision mindestens der Zugangssysteme beim Dienstleister notwendig, um Fehler in der Konfiguration aufdecken zu können. - Integration eines Secure-VPN
Die folgenden Betrachtungen beziehen sich ausschließlich auf den Betrieb im Tunnel-Modus. Diese Betriebsart ist im Zusammenhang mit der sicheren Verbindung von Standorten im Vergleich zum Transport-Modus die leichter zu administrieren.
Der Ort der Integration des VPN-Gateways relativ zum Paketfilter des Sicherheitsgateways hängt davon ab, wie wenig vertrauenswürdig das externe Netz ist. Prinzipiell existieren dabei (auch dann, wenn nur ein einstufiges
Sicherheitsgateway bestehend aus einem Paketfilter eingesetzt wird) drei Möglichkeiten:
- Bei einem hohen Angriffspotenzial sollte das VPN-Gateway durch einen Paketfilter geschützt, also zwischen ALG und äußerem Paketfilter platziert werden.
In diesem Fall wird einerseits das VPN-Gateway geschützt, andererseits ist es aber nicht mehr möglich, den eintreffenden Datenverkehr auf dem Paketfilter portabhängig zu filtern. Da der über das VPN kommende Verkehr ebenfalls aus einem vertrauenswürdigen Netz kommt, kann dieser Nachteil aber normalerweise in Kauf genommen werden.

Abbildung: Platzierung der VPN-Komponente "hinter" dem Paketfilter.
Vorteile | Nachteile |
---|---|
Das VPN-Gateway (insbesondere der TCP/IP-Stack des VPN-Gateways) wird durch den Paketfilter geschützt. |
Filterung durch den Paketfilter nur anhand der Informationen des IP-Headers möglich. Einige grundlegende Portfilterfunktionen können allerdings von einem ALG wahrgenommen werden. |
Einfache Administration des Paketfilters, da nur die IP-Adresse des VPN-Gateways als Absenderadresse erscheint. |
Der Paketfilter darf keine NAT vornehmen. |
Tabelle: Vorteile und Nachteile von VPN-Gateways
- Ist die Angriffswahrscheinlichkeit auf das Sicherheitsgateway gering, weil das externe Netz "relativ vertrauenswürdig" ist, so kann das VPN-Gateway auch "vor" dem Paketfilter platziert werden:

Abbildung: Platzierung der VPN-Komponente "vor" dem Paketfilter.
Vorteile | Nachteile |
---|---|
Filterung anhand der Informationen des TCP-Headers möglich. |
Kein Schutz des VPN-Gateways durch den Paketfilter. (Werden dedizierte VPN-Komponenten eingesetzt, ist ein Schutz durch einen Paketfilter in der Regel nicht notwendig.) |
Möglichkeit zur NAT durch den Paketfilter. |
|
VPN-Komponente kann durch einen externen Dienstleister betrieben werden. |
Tabelle: Vorteile und Nachteile von VPN-Gateway vor dem Paketfilter
- Alternativ zur Platzierung vor dem äußeren Paketfilter kann das VPN-Gateway auch an eine weitere Netzschnittstelle des ALG angeschlossen werden. Ist das zur Übertragung der Daten genutzte Netz nur in sehr geringem Maße nicht vertrauenswürdig, kann eventuell sogar auf den Einsatz eines Paketfilters verzichtet werden. Ein konkreter Einsatzzweck hierfür ist beispielsweise die Kopplung zweier räumlich getrennter LANs, die über gemietete, nur von einem Nutzer bzw. Betreiber verwendete Leitungen verbunden werden sollen. In diesem Fall braucht die Verbindung nicht unbedingt durch einen Paketfilter vor Angriffen auf Dienste geschützt zu werden.
Abbildung: Platzierung der VPN-Komponente zwischen ALG und vertrauenswürdigem Netz ohne Verwendung eines Paketfilters.
Vorteile | Nachteile |
---|---|
Keine Einschränkungen der Paketfilterfunktionalität, da über den Paketfilter kein verschlüsseltes Protokoll geleitet wird. |
Einsatz nur bei Verbindung zweier vertrauenswürdiger Netze. |
Keine Einschränkungen der VPN-Funktionalität, da die VPN-Kommunikation nicht über einen Paketfilter geleitet wird. |
Tabelle: Vorteile und Nachteile von VPN-Gateways zwischen ALG und vertrauenswürdigem Netz
Neben dem Aufbau von VPNs mittels IPSec können sichere Zugänge zu Anwendungen in vertrauenswürdigen Netzen auch mittel SSL-VPNs hergestellt werden. Diese werden im folgenden Abschnitt vorgestellt.
VPNs mittels SSL
Vor- und Nachteile von VPNs mittels SSL stellen sich wie folgt dar:
Vorteile von VPNs mittels SSL | Nachteile von VPNs mittels SSL |
---|---|
Gezielte Bereitstellung einzelner Server für einzelne Nutzer möglich. |
Evtl. hohe Performanceeinbußen auf dem Server, da der Server die Verschlüsselungsfunktion übernehmen muss (falls hierfür keine eigene Komponente verwendet wird). |
Bereitstellung von Servern mit fast jedem ALG möglich. |
Nicht web-basierte Anwendungen erfordern oftmals die Ausführung von ActiveX-Komponenten oder Java-Applets im Browser des Nutzers. |
Einfache (aber auch eventuell unsichere) Integration in Web-Browser möglich. |
Nicht web-basierte Anwendungen erfordern die Integration von SSL-Unterstützung auf dem Server, was aufgrund der Komplexität von SSL zur Fehladministration führen kann. |
Für web-basierte Anwendungen sind keine Clients außer dem Browser notwendig. |
Anpassung an neu eingeführte Applikationen/Protokolle notwendig. |
Gegenüber IPSec feinere Abstimmung von Zugriffsregelungen möglich. |
Tabelle: Vorteile und Nachteile von VPNs mittels SSL
Die Kommunikationsbeziehung zwischen Client und Server ist in Abbildung ersichtlich. Der SSL-verschlüsselte Datenverkehr sollte über jedes verfügbare ALG mittels generischer Proxies geleitet werden können.

Abbildung: Überblick über VPNs mit SSL
Existieren dedizierte Sicherheitsproxies für eine mittels SSL bereitgestellte Anwendung, so kann deren Funktionalität zur Durchsetzung von Sicherheitsleitlinien genutzt werden, wenn die verschlüsselte Verbindung aufgebrochen, gefiltert und wieder verschlüsselt wird. Dieses Szenario stimmt - abgesehen vom Typ des verwendeten Sicherheitsproxies - mit dem Einsatz eines HTTPS-Proxies überein.

Abbildung: Überblick über VPNs mit SSL. Die Verbindung wird temporär zur Kontrolle der übertragenen Daten entschlüsselt.
Bei der Anbindung verschiedener Nutzergruppen mit verschiedenen Rechten sollte jeder Nutzergruppe ein eigener Schlüsselkreis zugeordnet werden, um die Vertraulichkeit der übertragenen Daten zwischen den Nutzergruppen sicherzustellen.
In der Regel bieten sich zur Erstellung eines VPN der Einsatz einer dedizierten Lösung eines Herstellers oder der Einsatz der Implementierung eines offenen Standards (z. B. FreeS/WAN bzw. IPSec) an. Die Vor- und Nachteile beider Lösungen sind im Folgenden beschrieben.
Proprietäre Lösungen
In der folgenden Tabelle werden Vor- und Nachteile von dedizierten Modulen zum Aufbau eines VPN vorgestellt:
Vorteile | Nachteile |
---|---|
Geringer Installationsaufwand bis zur Inbetriebnahme, da die Produkte zur schnellen Inbetriebnahme entsprechend vorbereitet sind (oder im Einzelfall vom Hersteller entsprechend vorbereitet werden). |
Möglicherweise Schwächen im Verschlüsselungsverfahren, wenn proprietäre Verschlüsselungsverfahren eingesetzt werden. Offengelegte Verschlüsselungsverfahren sind in der Regel den proprietären Verfahren vorzuziehen, da bei offengelegten Verfahren in der Regel mehr Teilnehmer an der Schwachstellenanalyse beteiligt sind. |
Hoher Schutz vor Kompromittierung des Systems, da viele Funktionen in die Hardware integriert sind. |
Softwarefunktionen sind durch Angriffe leichter zu kompromittieren. Programmierfehler bleiben unter Umständen lange unentdeckt, falls ein Produkt nur eine geringe Verbreitung besitzt. Bei wenig verbreiteten Produkten werden Hinweise zu Schwachstellen und Patches möglicherweise nicht von bekannten Medien publiziert, so dass das Auftreten von Sicherheitslücken unbekannt bleiben kann. |
Evtl. höhere Geschwindigkeit, da dedizierte Produkte oft auf hohe Geschwindigkeit hin optimiert sind. |
Aufgrund proprietärer Bauteile und der hohen Integration von Funktionen in Hardware resultieren geringe Erweiterungsmöglichkeiten. |
Geringer Wartungsaufwand, falls das Produkt (vom Hersteller) ferngewartet werden kann und z. B. Patches automatisch über das Internet installiert werden können. |
Tabelle: Vorteile und Nachteile von dedizierten Modulen
Offene Standards
In der folgenden Tabelle sind Vor- und Nachteile der Implementation eines offenen Standards am Beispiel von IPSec aufgelistet:
Vorteile | Nachteile |
---|---|
Da IPSec-Implementierungen oft im Quelltext vorliegen, eine große Verbreitung und somit viele "Tester" besitzen, handelt es sich um eine vergleichsweise ausgereifte, fehlerarme Software. |
Hoher Installations- und Wartungsaufwand, da der Rechner, auf dem IPSec betrieben werden soll, oftmals selbst installiert und gehärtet werden muss. |
Das Verschlüsselungsverfahren wurde von einer großen Zahl an Entwicklern diskutiert und sollte somit als relativ sicher gelten. |
Schwieriges Recovery bei Systemausfall, da selbst installierte Systeme hierfür keine Standardverfahren vorsehen. Ggf. muss ein Cold-Standby-System bereitgehalten werden. |
Geringe Investitionskosten für Software, insbesondere falls VPNs zwischen einzelnen Rechnern (zwecks Ende-zu-Ende-Verschlüsselung) gebildet werden. In diesem Fall muss nicht für jeden Client kostenpflichtige, proprietäre Software beschafft werden. |
Mögliche Inkompabilitäten beim Einsatz verschiedener Implementierungen von IPSec (wenn optionale Bestandteile der Spezifikation unterschiedlich ausgenutzt wurden). |
Tabelle: Vorteile und Nachteile der Implementation eines offenen Standards am Beispiel von IPSec
Ergänzende Kontrollfragen:
- Welche VPN-Technik wird eingesetzt?
- Wo ist der VPN-Endpunkt platziert?