Bundesamt für Sicherheit in der Informationstechnik

G 3.40 Ungeeignete Nutzung von Authentisierungsdiensten bei VPNs

Die Identität der VPN -Benutzer, die sich über ein Remote-Access-VPN ins LAN einwählen möchten, muss beim Verbindungsaufbau festgestellt werden. Dazu werden typischerweise Authentisierungsmechanismen verwendet, die auf einer Benutzerverwaltung mit gespeicherten Authentisierungsdaten beruhen. Virtuelle Private Netze (VPNs) bieten für die Speicherung der Benutzerdaten meist mehrere Möglichkeiten an: eine eigene Benutzerverwaltung, die Verwendung der Benutzerverwaltung des Betriebssystems und die Verwendung von Authentisierungsservern (mit eigener Benutzerverwaltung). Werden getrennte Benutzerverwaltungen für VPN und Betriebssystem verwendet, so kann es zum Beispiel aufgrund von organisatorischen Mängeln zu Inkonsistenzen in den beiden Datenbeständen kommen. Als Folge kann dies zu unerlaubten Verbindungsaufnahmen und unberechtigten Zugriffen auf Daten führen.

Viele VPN-Clients für den Remote Access erlauben es, die zur Authentisierung notwendigen Daten nach einmaliger Eingabe lokal zu speichern, so dass beim erneuten Verbindungsaufbau die Eingabe der Daten durch den Benutzer nicht mehr erforderlich ist. Dies birgt jedoch ein hohes Gefahrenpotential für den Fall, dass der VPN-Client einem unberechtigten Zugriff ausgesetzt ist. Der Authentisierungsmechanismus kann seine Aufgabe dann nicht mehr erfüllen. Dadurch können Unbefugte unter Umständen auf die lokalen Netze zugreifen, die über eine VPN-Verbindung von dem entsprechenden Client aus erreichbar sind. Die Sicherheit dieser lokalen Netze ist somit gefährdet.

Beispiel:

  • Beim Weggang eines Mitarbeiters wird das Benutzerkonto in der VPN-Benutzerverwaltung nicht gelöscht. Der ehemalige Mitarbeiter kann sich daher immer noch über den VPN-Zugang einwählen und auf allgemein zugängliche Daten zugreifen. Der Zugang könnte nun auch dazu benutzt werden, schwerwiegende Angriffe durchzuführen.

Stand: 10. EL Stand 2008

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK