Bundesamt für Sicherheit in der Informationstechnik

G 3.90 Fehlerhafte Administration von VPNs

Die fehlerhafte Administration eines VPN-Endpunktes kann die Verfügbarkeit, Vertraulichkeit und Integrität der beteiligten Netze bedrohen. Dies stellt daher ein nicht zu vernachlässigendes Gefährdungspotential für den sicheren Betrieb dar.

Für VPNs sind hier unter anderem folgende Aspekte zu nennen:

  • Sicherheitsrelevante Routineaufgaben auf dem VPN-Client werden häufig vernachlässigt. Dazu gehören zum Beispiel die regelmäßige Datensicherung oder die Prüfung auf Computer-Viren. Insbesondere mobile VPN-Clients werden meistens vom jeweiligen Benutzer mitgeführt und sind daher für die Systemadministration nur schwer erreichbar. Zwar kann auch eine Administration aus der Ferne während einer aufgebauten VPN-Verbindung erfolgen, je nach Nutzungsprofil sind die Verbindungszeiten jedoch zu kurz, um eine geregelte Fernwartung durchzuführen. Werden die administrativen Aufgaben nicht regelmäßig durchgeführt, kann es beispielsweise zu nicht abgestimmten Konfigurationen kommen.
  • Die Fernadministration von Rechnern kann mit Hilfe von verbreiteten Software-Produkten erfolgen und wird vielfach schon in Ansätzen durch Mechanismen des Betriebssystems möglich. Die Verwendung unautorisierter Software (durch den Benutzer oder den Administrator) kann dazu führen, dass nicht erlaubte Protokolle über eine VPN-Verbindung verwendet werden und dass Sicherheitslücken durch unsichere Einstellungen entstehen.
  • Verschlüsselte Daten können durch Computer-Viren-Schutzprogramme nicht überprüft werden. Wenn die Konzepte zur Verschlüsselung der Daten und zum Schutz vor schädlichem Code nicht aufeinander abgestimmt sind, besteht daher das erhöhte Risiko, dass beispielsweise Computer-Viren, Trojanische Pferde oder Würmer über den VPN-Client eingeschleppt werden und Schäden im Netz verursachen.
  • Da VPN-Clients in vielen Fällen in unsicheren Umgebungen betrieben werden und somit beispielsweise der Austausch von Datenträgern praktisch nicht kontrolliert werden kann, stellen Computer-Viren und anderer schädlicher Code eine besonders starke Gefährdung dar. Wenn auf dem VPN-Client kein aktuelles Computer-Viren-Schutzprogramm installiert ist, ist das Risiko groß, dass beispielsweise Computer-Viren, Trojanische Pferde oder Würmer über den VPN-Client in das LAN gelangen.
  • Werden bandbreitenintensive Funktionen über VPN-Verbindungen ausgeführt, so besteht die Gefahr, dass der Benutzer die VPN-Verbindung unterbricht und neu aufbaut, weil er davon ausgeht, dass eine Störung vorliegt. In Wirklichkeit ist meist lediglich die Antwortzeit unakzeptabel lang, da die Bandbreite nicht ausreicht. Hierdurch können einerseits Inkonsistenzen in den Anwendungsdaten und andererseits erhöhte Belastungen des VPNs entstehen.
  • Da VPNs ab einer gewissen Größe und Struktur sehr komplex sind, kann es durch Fehler bei der Konfiguration zu unsicheren und inkorrekten Einstellungen kommen. Diese Gefahr besteht besonders, wenn die Administratoren nicht ausreichend für die verwendeten Techniken und Produkte geschult sind. Hier reichen die Fehlkonfigurationen von fehlenden Sicherheitseinstellungen bis hin zu inkompatiblen Kommunikationsprotokollen. Ebenso breit gestreut sind auch die daraus resultierenden Konsequenzen. Beispielsweise könnte es passieren, dass benötigte Verbindungen nicht zustande kommen oder dass sich nicht autorisierte Dritte erfolgreich mit dem VPN-Gateway verbinden können.

Jede Modifikation von Sicherheitseinstellungen durch ungeschulte Administratoren sowie die Erweiterung von Zugriffsrechten (siehe G 3.16 Fehlerhafte Administration von Zugangs- und Zugriffsrechten ) kann die Gesamtsicherheit beeinträchtigen. Oft werden die vorgenommenen Konfigurationsänderungen auf VPN-Endpunkten weder gesichert noch dokumentiert. Beim Ausfall der Komponenten sind dann die letzten Änderungen, welche für ein erfolgreiches Wiederanlaufen des Systems nötig wären, nicht mehr bekannt. Auch ein mangelhaftes Betriebskonzept und unzureichend geplante Wartungsfenster können sich negativ auf die Verfügbarkeit des VPNs auswirken.

Beispiele:

  • Ein neuer, bislang ungeschulter Administrator ändert unbedacht einen Konfigurationsparameter des VPNs. Dies führt zu einer länger andauernden Unterbrechung der gemeinsamen Verbindung zwischen einem Hersteller und dessen Zulieferer. Als Folge kommt es zu einem kostspieligen Produktionsstillstand, da dringend benötigte Teile nicht geliefert werden.
  • Ein Unternehmen setzt ein Software-Managementsystem ein, das regelmäßig neue Software-Updates auf den einzelnen Benutzerrechnern installiert. Aufgrund eines Konfigurationsfehlers werden in dieses Verfahren auch die mobilen VPN-Clients mit einbezogen. Nach erfolgreichem Verbindungsaufbau wird dann die gesamte Bandbreite durch die Management-Software in Anspruch genommen, die ein größeres Update-Paket an den mobilen Client überträgt.

Stand: 10. EL Stand 2008