Bundesamt für Sicherheit in der Informationstechnik

G 4.70 Unsichere Standard-Einstellungen auf VPN-Komponenten

Die Standard-Einstellungen von VPN-Komponenten weisen nicht immer alle Merkmale einer sicheren Installation auf. Oft wird mehr auf Benutzerfreundlichkeit und problemlose Integration in bestehende Systeme als auf Sicherheit geachtet. Mangelnde Anpassungen an die konkreten Sicherheitsbedürfnisse können daher zu vermeidbaren Schwachstellen und somit zu gefährlichen Angriffspunkten führen.

Da die Verschlüsselung eines VPN-Kanals bei korrekter Anwendung nur mit hohem Aufwand angreifbar ist, bieten die VPN-Endpunkte einen einfacheren Ansatzpunkt für einen Einbruch in ein Netz. Zur Vorbereitung eines Angriffs sammelt ein Angreifer zunächst alle verfügbaren Informationen über das VPN. Im Internet sind spezielle Tools erhältlich, die solche Analysen erleichtern.

Beispiel:

  • Ein neu erworbenes VPN-Gateway wird vom Administrator einer Firma in das interne Netz eingebunden. Da es mit den Standard-Einstellungen auf Anhieb zuverlässig seinen Dienst verrichtet, ändert der Administrator nichts an den gewählten Einstellungen. Das Produkt ermöglicht jedoch ab Werk eine Fernadministration mit einem bekannten Standard-Passwort. Da das Standard-Passwort aber vielen Anwendern bekannt ist, ergibt sich hierdurch eine Gefahr für den sicheren Betrieb der internen Standortvernetzung.

Stand: 10. EL Stand 2008