Bundesamt für Sicherheit in der Informationstechnik

B 4.4 VPN

Logo VPN

Beschreibung

Die zunehmende Vernetzung von Rechnern und Rechnerverbünden hat einen Wandel im Kommunikationsverhalten von Behörden und Unternehmen bewirkt. Kommunikationsnetze werden zur Suche nach Informationen eingesetzt, um Aufgaben effizient zu erledigen, vor allem aber zunehmend als universelles Transportmedium für Daten. Mit Hilfe von Virtuellen Privaten Netzen (VPNs) können Sicherheitsmaßnahmen realisiert werden, um schutzbedürftige Daten über nicht-vertrauenswürdige Netze wie dem Internet zu übertragen.

Unter der Bausteinnummer B 4.4 wurde in früheren Fassungen der IT-Grundschutz-Kataloge das Thema "Remote Access" behandelt. Der vorliegende Baustein enthält Empfehlungen zu den Anwendungsfällen Site-to-Site-, End-to-End- oder End-to-Site-VPNs. Die für Remote Access erforderlichen Standard-Sicherheitsmaßnahmen sind unter der Überschrift Remote-Access-VPNs (End-to-Site-VPNs) in diesem Baustein integriert.

Ein Virtuelles Privates Netz (VPN) ist ein Netz, das physisch innerhalb eines anderen Netzes, wie beispielsweise dem Internet, betrieben wird, jedoch logisch von diesem Netz getrennt ist. VPNs können unter Zuhilfenahme kryptographischer Verfahren die Integrität und Vertraulichkeit von Daten schützen. Die sichere Authentisierung der Kommunikationspartner ist auch dann möglich, wenn mehrere Netze oder Rechner über gemietete Leitungen oder öffentliche Netze miteinander verbunden sind.

Bei VPNs wird grundsätzlich zwischen folgenden Varianten oder Kombinationen hieraus unterschieden:

  • Site-to-Site-VPN: Hierbei werden zwei Computernetze über ein VPN verbunden, beispielsweise um die Außenstellen einer Institution sicher anzubinden.
  • End-to-End-VPN: Bei dieser Variante wird zwischen zwei Endgeräten ein VPN aufgebaut. Werden im speziellen zwei Server mit einem VPN verbunden, wird dies auch oft als Host-to-Host-Verbindung bezeichnet.
  • End-to-Site-VPN (oder auch Remote-Access-VPN): Hierbei wird zwischen einem Endgerät und einem Netz ein VPN aufgebaut. Diese Variante wird typischerweise eingesetzt, wenn ein mobiler Benutzer von unterwegs mit seinem Laptop über einen VPN-Einwahlknoten auf das LAN seiner Institution zugreifen will. Diese Art des Zugriffs wird auch als Fernzugriff bezeichnet.

Site-to-Site-VPNs dienen zur Vernetzung dezentraler LANs mehrerer Zweigstellen innerhalb eines Unternehmens oder einer Behörde. Mittels eines End-to-End-VPNs können Geschäftspartner oder Kunden auf ein zentrales IT-System einer Institution zugreifen. Bei einem Remote-Access-VPN können sich die Mitarbeiter von extern in das Firmen-LAN bzw. Behörden-LAN einwählen.

Gefährdungslage

Der vorliegende Baustein behandelt Gefährdungen, die beim Einsatz von VPNs relevant sind. Hierzu zählen organisatorische Mängel, wie beispielsweise eine unzureichende Planung, aber auch menschliche Fehlhandlungen (z. B. durch mangelhafte Administration). Zusätzlich sind VPNs auf Grund der Übertragung von internen Daten über nicht-vertrauenswürdige Netze einer permanenten Gefahr ausgesetzt.

Für den IT-Grundschutz beim VPN-Einsatz werden folgende Gefährdungen angenommen:

Höhere Gewalt

G 1.2 Ausfall von IT-Systemen

Organisatorische Mängel

G 2.2 Unzureichende Kenntnis über Regelungen
G 2.16 Ungeordneter Benutzerwechsel bei tragbaren PCs
G 2.19 Unzureichendes Schlüsselmanagement bei Verschlüsselung
G 2.22 Fehlende oder unzureichende Auswertung von Protokolldaten
G 2.24 Vertraulichkeitsverlust schutzbedürftiger Daten des zu schützenden Netzes
G 2.37 Unkontrollierter Aufbau von Kommunikationsverbindungen
G 2.87 Verwendung unsicherer Protokolle in öffentlichen Netzen
G 2.128 Fehlende oder unzureichende Planung des VPN-Einsatzes
G 2.129 Fehlende oder unzureichende Regelungen zum VPN-Einsatz
G 2.130 Ungeeignete Auswahl von VPN-Verschlüsselungsverfahren
G 2.131 Unzureichende Kontrolle von VPNs

Menschliche Fehlhandlungen

G 3.16 Fehlerhafte Administration von Zugangs- und Zugriffsrechten
G 3.40 Ungeeignete Nutzung von Authentisierungsdiensten bei VPNs
G 3.41 Fehlverhalten bei der Nutzung von VPN-Diensten
G 3.42 Unsichere Konfiguration der VPN-Clients für den Fernzugriff
G 3.43 Ungeeigneter Umgang mit Passwörtern oder anderen Authentikationsmechanismen
G 3.44 Sorglosigkeit im Umgang mit Informationen
G 3.90 Fehlerhafte Administration von VPNs
G 3.91 Ausfall von VPN-Verbindungen durch Fehlbedienung

Technisches Versagen

G 4.35 Unsichere kryptographische Algorithmen
G 4.57 Störungen beim Einsatz von VoIP über VPNs
G 4.69 Probleme bei der IPSec-Konfiguration
G 4.70 Unsichere Standard-Einstellungen auf VPN-Komponenten

Vorsätzliche Handlungen

G 5.22 Diebstahl bei mobiler Nutzung des IT-Systems
G 5.71 Vertraulichkeitsverlust schützenswerter Informationen
G 5.92 Nutzung des VPN-Clients als VPN-Server
G 5.93 Erlauben von Fremdnutzung von VPN-Komponenten

Maßnahmenempfehlungen

Um den betrachteten Informationsverbund abzusichern, müssen gemäß den Ergebnissen der Modellierung nach IT-Grundschutz zusätzlich zu diesem Baustein noch weitere Bausteine umgesetzt werden.

Für den erfolgreichen Aufbau eines VPNs sind eine Reihe von Maßnahmen umzusetzen, beginnend mit einer Anforderungsanalyse, über Planung, Konzeption und Installation bis hin zum sicheren Betrieb. Besonders wichtig ist die Durchführung einer entsprechenden Notfallplanung, um im Fehlerfall eine rasche Wiederherstellung der Kommunikationsverbindung garantieren zu können.

Nachfolgend werden die erforderlichen Maßnahmen für eine ordnungsgemäße Einführung eines VPNs sowie dessen sicheren Betrieb aufgeführt:

Planung des Einsatzes von VPNs

Ist die Entscheidung gefallen, für bestimmte Verbindungen ein VPN einzusetzen, so muss dessen Aufbau geplant und konzipiert werden. Dabei können innerhalb einer Institution verschiedene VPN-Varianten zum Einsatz kommen. Der erste Schritt ist immer die Festlegung der notwendigen Anforderungen an ein solches System (siehe M 2.415 Durchführung einer VPN-Anforderungsanalyse ). Erst nachdem die Anforderungen klar definiert worden sind, kann damit begonnen werden, ein entsprechendes Konzept (M 2.416 Planung des VPN-Einsatzes und M 2.417 Planung der technischen VPN-Realisierung ) zu erstellen.

Besondere Aufmerksamkeit ist der Definition einer eigenen VPN-Sicherheitsrichtlinie zu widmen, welche auf die allgemeine Leitlinie für Informationssicherheit abgestimmt werden muss. Die dabei zu berücksichtigenden Aspekte sind in M 2.418 Erstellung einer Sicherheitsrichtlinie zur VPN-Nutzung zusammengefasst.

Beschaffung

Die geeignete Auswahl eines VPN-Produktes ist entscheidend dafür, die geplanten Anforderungen entsprechend umsetzen zu können. Bei der Auswahl der VPN-Komponenten sind daher die in M 2.419 Geeignete Auswahl von VPN-Produkten gegebenen Empfehlungen zu beachten. Wird ein externer Dienstleister beauftragt, ein VPN bereitzustellen, sind die in M 2.420 Auswahl eines Trusted-VPN-Dienstleisters vorgestellten Aspekte zu berücksichtigen.

Umsetzung

Nach Abschluss der organisatorischen und planerischen Vorarbeiten kann mit der Installation des VPNs begonnen werden. Dabei ist insbesondere M 4.319 Sichere Installation von VPN-Endgeräten zu beachten. Ist die grundlegende Installation erfolgt, so muss das System in einen sicheren Betriebszustand überführt werden, damit anschließend der laufende Betrieb aufgenommen werden kann (siehe M 4.320 Sichere Konfiguration eines VPNs ). Um die VPN-Endpunkte ausreichend zu schützen, müssen diese gemäß M 4.224 Integration von VPN-Komponenten in ein Sicherheitsgateway in die Sicherheitsinfrastruktur eingebunden werden.

Betrieb

Auch im laufenden Betrieb muss die Sicherheit des VPNs dauerhaft gewährleistet werden. Die Empfehlungen hierzu sind in der Maßnahme M 4.321 Sicherer Betrieb eines VPNs zusammengefasst.

Aussonderung

In Vergessenheit geratene VPN-Zugänge oder Zugänge von Partnern, mit denen die Kooperation bereits beendet wurde, stellen unnötige Sicherheitslücken dar und sind schnellstmöglich zu sperren. Hierfür sind die in M 4.322 Sperrung nicht mehr benötigter VPN-Zugänge dargestellten Empfehlungen zu beachten.

Notfallvorsorge

Abhängig von den Anforderungen an die Verfügbarkeit kann eine Betriebsunterbrechung des VPNs zu mehr oder minder großen Problemen führen. Um dem entgegenzuwirken, muss ein entsprechendes Notfallkonzept erstellt werden. Die hierfür notwendigen Empfehlungen sind in M 6.109 Notfallplan für den Ausfall eines VPNs beschrieben.

Nachfolgend wird das Maßnahmenbündel für den Bereich "VPN" vorgestellt.

Planung und Konzeption

M 2.415 (A) Durchführung einer VPN-Anforderungsanalyse
M 2.416 (A) Planung des VPN-Einsatzes
M 2.417 (B) Planung der technischen VPN-Realisierung
M 2.418 (A) Erstellung einer Sicherheitsrichtlinie zur VPN-Nutzung
M 3.65 (W) Einführung in VPN-Grundbegriffe
M 4.113 (Z) Nutzung eines Authentisierungsservers bei Remote-Access-VPNs
M 5.76 (Z) Einsatz geeigneter Tunnel-Protokolle für die VPN-Kommunikation
M 5.77 (Z) Bildung von Teilnetzen

Beschaffung

M 2.419 (C) Geeignete Auswahl von VPN-Produkten
M 2.420 (C) Auswahl eines Trusted-VPN-Dienstleisters

Umsetzung

M 4.224 (Z) Integration von VPN-Komponenten in ein Sicherheitsgateway
M 4.319 (A) Sichere Installation von VPN-Endgeräten
M 4.320 (A) Sichere Konfiguration eines VPNs
M 5.122 (A) Sicherer Anschluss von Laptops an lokale Netze
M 5.148 (C) Sichere Anbindung eines externen Netzes mit OpenVPN
M 5.149 (C) Sichere Anbindung eines externen Netzes mit IPSec

Betrieb

M 4.321 (A) Sicherer Betrieb eines VPNs

Aussonderung

M 4.322 (B) Sperrung nicht mehr benötigter VPN-Zugänge

Notfallvorsorge

M 6.109 (A) Notfallplan für den Ausfall eines VPNs

Stand: 11. EL Stand 2009