Bundesamt für Sicherheit in der Informationstechnik

M 2.417 Planung der technischen VPN-Realisierung

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, IT-Sicherheitsbeauftragter

Neben den organisatorischen und personellen Planungen, die in M 2.416 Planung des VPN-Einsatzes behandelt werden, erfordert die Einführung eines VPN s auch Entscheidungen zu einer Reihe von technischen Aspekten. Diese Entscheidungen müssen in jedem Fall vor der Beschaffung getroffen werden und bilden die Grundlage für die spätere VPN -Realisierung. Bei der technischen Planung sind alle existierenden Rahmenbedingungen aus der aktuellen technischen Situation zu berücksichtigen, um Inkompatibilitäten zu vermeiden.

Im Folgenden werden jeweils die wesentlichen Fragestellungen aufgezeigt, die im Rahmen des technischen Konzepts beantwortet werden müssen. Je nach konkreter Situation ergibt sich naturgemäß ein speziell auf die jeweiligen Gegebenheiten zugeschnittener zusätzlicher Regelungsbedarf.

  • Es sollte beschrieben sein, wie das VPN durch Hardware- und Software-Komponenten technisch realisiert ist. Die Komponenten werden lediglich durch ihre Funktion definiert. Im Rahmen einer nachgeschalteten Analyse vorhandener Systemkomponenten und am Markt beschaffbarer neuer Komponenten können die Elemente des Konzeptes tatsächlichen Geräten und Software-Produkten zugeordnet werden (siehe M 2.419 Geeignete Auswahl von VPN-Produkten ).
  • Alle potentiellen VPN -Endpunkte, die die Einwahl in das LAN ermöglichen, und die dafür verwendeten Zugangsprotokolle sind zu beschreiben.
  • Im Rahmen der Sicherheitskonzeption sind alle VPN -Zugangspunkte zum lokalen Netz zu erfassen und es ist zu beschreiben, wie diese Zugangspunkte an das LAN angeschlossen werden (siehe auch Baustein B 3.301 Sicherheitsgateway (Firewall) ). Das Sicherheitskonzept muss aufbauend auf der aktuellen Netzstruktur analysieren, welche Teilnetze bei Nutzung eines VPN -Zugangs erreichbar sind. Es sollte überlegt werden, dedizierte Zugangsnetze (Access Networks) zu bilden, aus denen nur kontrolliert (über Router, Paketfilter bzw. interne Firewall) in das produktive Netz zugegriffen werden kann. Die Bildung von Zugangsnetzen erfordert dabei die Anschaffung und Wartung zusätzlicher Hard- und Software (siehe auch M 5.77 Bildung von Teilnetzen ).
  • Alle Dienste und Protokolle, die über den VPN -Zugang zugelassen werden, sowie die darüber zugreifbaren Ressourcen sind zu dokumentieren. Die Auswahl ist davon abhängig, welche Applikationen eingesetzt werden sollen. Für einen zeitkritischen Datenverkehr werden eventuell QoS (Quality of Service), MPLS (Multi Protocol Label Switching) oder dedizierte Leitungen benötigt.
  • Es müssen geeignete Verschlüsselungsverfahren zum Schutz der Daten festgelegt werden. Relevant sind hier unter anderem:
    • Tunneling
      Die Kommunikation kann auf niedriger Protokollebene verschlüsselt werden (so genanntes Tunneling, siehe M 5.76 Einsatz geeigneter Tunnel-Protokolle für die VPN-Kommunikation ). Dazu muss ein geeignetes Verfahren ausgewählt werden. Die herkömmlichen VPN s stellen solche Verfahren standardmäßig, jedoch in unterschiedlicher Zahl und Ausprägung zur Verfügung.
    • TLS / SSL -Verschlüsselung
      Zur Verschlüsselung kann auch TLS / SSL eingesetzt werden, wenn von der Verschlüsselung auf niedriger Protokollebene aus bestimmten Gründen kein Gebrauch gemacht werden kann. Dies gilt besonders für Zugriffe auf Webserver oder E-Mail-Server über Browser, die standardmäßig TLS / SSL -gesicherte Kommunikation unterstützen. Dazu sollte auch M 5.66 Clientseitige Verwendung von SSL/TLS beachtet werden.
    • Verschlüsselung durch Netzkoppelelemente
      Neben der Absicherung der Kommunikation durch Software kann auch der Einsatz von verschlüsselnden Netzkoppelelementen (Router, Modems) erwogen werden. Diese sind besonders für den stationären Einsatz und zur Anbindung mehrerer Rechner sinnvoll, da die Verschlüsselung transparent erfolgt und die Endsysteme nicht belastet werden. Zu beachten ist jedoch, dass die Netzkoppelelemente sorgfältig konfiguriert und gewartet werden müssen.
      Auch bei direkten Einwahlverfahren beispielsweise über analoge Telefonnetze oder ISDN ist eine Verschlüsselung zum Schutz der Daten erforderlich.
  • In M 3.65 Einführung in VPN-Grundbegriffe werden die verschiedenen Arten von VPN s vorgestellt. Anhand der Anforderungen muss entschieden werden, welcher VPN -Typ realisiert werden soll.
  • Es muss entschieden werden, ob die Verbindung über dedizierte Carrier-Leitungen realisiert werden muss. Diese Entscheidung hat in der Regel erheblichen Einfluss auf die Kosten.
  • Um einen stabilen Betrieb und eine kontinuierliche Verbesserung gewährleisten zu können, sollten geeignete Monitoring-Systeme eingeplant werden. Die aus den Monitoring-Systemen gewonnenen Erkenntnisse tragen wesentlich zur Feinabstimmung des VPN -Betriebs bei (siehe M 4.321 Sicherer Betrieb eines VPNs ).

Die VPN -Planung muss der Leitungsebene zur Entscheidung vorgelegt werden.

Prüffragen:

  • Ist die technische Realisierung des VPN dokumentiert?

  • Ist festgelegt, welche Verschlüsselungsverfahren für das VPN genutzt werden sollen?

  • Ist festgelegt, welche Anforderungen an das Trägernetz bestehen?

  • Sind die VPN -Endpunkte und die erlaubten Zugangsprotokolle festgelegt?

  • Sind die Dienste, Protokolle und Ressourcen, die über das jeweilige VPN zugelassen sind, definiert?

  • Ist festgelegt, welche Teilnetze über das VPN erreichbar sind?

  • Ist festgelegt, wie das Monitoring des VPN erfolgt?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK