Bundesamt für Sicherheit in der Informationstechnik

M 2.419 Geeignete Auswahl von VPN-Produkten

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung

Verantwortlich für Umsetzung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter

Unternehmen und Behörden haben vielfältige Anforderungen an Netze, wie beispielsweise die Vernetzung unterschiedlicher Standorte und die Anbindung mobiler Mitarbeiter oder Telearbeitern an das interne Netz. Dementsprechend unterscheiden sich die Anforderungen der Institutionen und müssen bei der Auswahl von VPN-Produkten berücksichtigt werden. Die Ergebnisse der Maßnahmen M 3.65 Einführung in VPN-Grundbegriffe und M 2.416 Planung des VPN-Einsatzes sind ebenfalls einzubeziehen.

VPN-Produkte unterscheiden sich in ihrem Leistungsumfang, den angebotenen Sicherheitsmechanismen, dem Bedienkomfort und der Wirtschaftlichkeit. Zudem stellen sie unterschiedliche Voraussetzungen an Hardware- und Software-Komponenten im Einsatzumfeld.

Bevor ein VPN-Produkt beschafft wird, sollte eine Anforderungsliste für die Bewertung der am Markt erhältlichen Produkte erstellt werden. Aufgrund der Bewertung kann dann eine fundierte Kaufentscheidung erfolgen.

Wird ein Dienstleister beauftragt, ein VPN bereitzustellen, kann in der Regel die Auswahl der Produkte, die vom Dienstleister betrieben werden, nicht beeinflusst werden. Hinweise zur Auswahl von VPN-Dienstleistern sind in M 2.420 Auswahl eines Trusted-VPN-Dienstleisters zu finden.

Ein VPN besteht meistens aus der Kombination von mehreren Hardware- und Software-Komponenten. Zunächst kann grob zwischen LAN-seitigen und Client-seitigen Komponenten unterschieden werden. Die konkret zu beschaffenden Komponenten hängen von der gewählten VPN-Systemarchitektur ab. In großen Institutionen werden oft mehrere VPN-Verbindungen gleichzeitig für unterschiedliche Einsatzzwecke betrieben. Hierfür sind in der Regel besondere IT-Systeme (Hardware mit Software) erforderlich, die speziell für den Einsatz als VPN-Server konzipiert sind.

Verschiedene Hersteller bieten VPN-Komponenten als Appliances an. Dabei handelt es sich um vorkonfigurierte Geräte, die nur für einen genau vorgegebenen Einsatzzweck (hier: VPN-Endpunkt) hergestellt und konfiguriert werden. Gegenüber dem Aufbau einer zentralen VPN-Komponente aus Standard-IT-Komponenten, die (in Eigenregie oder durch einen Dienstleister) entsprechend konfiguriert werden, bieten Appliances oft den Vorteil einer einfacheren Konfiguration. Dem steht jedoch meist der Nachteil gegenüber, dass die Konfiguration weniger flexibel ist und weniger Möglichkeiten zur Anpassung an individuelle Bedürfnisse bietet.

Folgende Sicherheitsgrundfunktionen müssen bei der Auswahl von VPN-Produkten erfüllt werden:

  • Identifikation, Authentisierung und Autorisierung:
    Hierunter fallen die Identifikation und Authentisierung von Systemen untereinander, von Systemen gegenüber Benutzern und von Benutzern gegenüber Systemen. Es muss möglich sein, verschiedene Benutzerkennungen mit unterschiedlichen Rechteprofilen einzurichten. Es sollten ausreichend starke anerkannte Authentisierungsverfahren vorhanden sein. Remote-Zugriffe sollten durch eine starke Authentisierung abgesichert werden.
    Es muss außerdem möglich sein, die festgelegten Zugriffsrechte auf den VPN-Komponenten abbilden zu können.
  • Dienstgüte (Quality of Service, QoS):
    Im Zusammenhang mit Netzübergängen ist der Begriff Dienstgüte als Überwachung und Steuerung der Kommunikation zu verstehen, die über ein Sicherheitsgateway erfolgen darf. Ein geeignetes Produkt muss die bei der VPN-Konzeption ermittelten Anforderungen erfüllen können und eine Priorisierung von geschäftskritischen Applikationen ermöglichen.
  • Übertragungssicherung:
    Zur Übertragungssicherung kommen Funktionen zum Einsatz, welche die Vertraulichkeit und Integrität der Daten sichern. Außerdem muss die Authentizität der Kommunikationspartner gewährleistet werden. Wichtig ist dabei, dass das Produkt sichere kryptographische Mechanismen bietet, die dem Stand der Technik entsprechend (siehe M 2.164 Auswahl eines geeigneten kryptographischen Verfahrens ). Bei der Planung und Realisierung des VPNs muss außerdem die Integration der VPN-Endpunkte in ein Sicherheitsgateway berücksichtigt werden.
  • Schlüsselmanagement:
    Zum Schlüsselmanagement müssen geeignete Funktionen vorhanden sein, um geheime und öffentliche Schlüssel für die kryptographischen Mechanismen verwalten, verteilen und eventuell auch erzeugen zu können. Die ausgewählten Produkte sollten dabei möglichst flexibel sein und eine nahtlose Integration verschiedenster Techniken ermöglichen.

Die nun folgende Liste gibt einen Überblick über mögliche allgemeine Bewertungskriterien, erhebt jedoch keinen Anspruch auf Vollständigkeit und kann um weitere allgemeine Anforderungen erweitert werden. Neben den hier aufgeführten Kriterien müssen weitere spezifische Anforderungen erarbeitet werden, die aus den geplanten konkreten Einsatzszenarien resultieren (siehe Maßnahme M 2.415 Durchführung einer VPN-Anforderungsanalyse ).

Allgemeine Kriterien

  • Performance und Skalierbarkeit
    • Kann das Produkt den Ansprüchen an die Performance gerecht werden?
    • Bietet das Produkt Funktionen zur Lastverteilung?
    • Können die Produkte die zu übertragenen Informationen komprimieren und dekomprimieren?
    • Kann das Produkt einem zukünftigen Wachstumsbedarf gerecht werden (z. B. durch modularen Systemaufbau, einfaches Einbinden neuer VPN-Server, gemeinsame Benutzerverwaltung für alle VPN-Zugänge)?
  • Wartbarkeit
    • Ist das Produkt einfach wartbar?
    • Bietet der Hersteller regelmäßige Software-Updates an?
    • Wird für das Produkt ein Wartungsvertrag angeboten?
    • Können im Rahmen der Wartungsverträge maximale Reaktionszeiten für die Problembehebung festgelegt werden?
    • Bietet der Hersteller einen kompetenten technischen Kundendienst (Call-Center, Hotline) an, der in der Lage ist, bei Problemen sofort zu helfen?
  • Zuverlässigkeit/Ausfallsicherheit
    • Wie zuverlässig und ausfallsicher ist das Produkt?
    • Bietet der Hersteller auch Hochverfügbarkeitslösungen an?
    • Ist das Produkt im Dauerbetrieb einsetzbar?
  • Benutzerfreundlichkeit
    • Lässt sich das Produkt einfach installieren, konfigurieren und nutzen? Genügt das Produkt den geltenden Ergonomievorschriften?
    • Ist insbesondere für den VPN-Client die Benutzerführung so gestaltet, dass auch ungeübte Benutzer damit arbeiten können, ohne Abstriche in der Sicherheit in Kauf nehmen zu müssen (z. B. durch kontextsensitive Hilfen, Online-Dokumentation, detaillierte Fehlermeldungen)?
    • Ist die Nutzung des VPN-Clients so konfigurierbar, dass die Benutzer möglichst wenig mit technischen Details belastet werden? Ist die Sicherheit dabei trotzdem immer gewährleistet?

Funktion

  • Installation und Inbetriebnahme
    • Kann die Installation der VPN-Client-Software automatisiert mit vorgegebenen Konfigurationsparametern erfolgen?
    • Ist die Installation der VPN-Client-Software auch für weniger versierte Mitarbeiter durchführbar?
    • Können wichtige Konfigurationsparameter vor Veränderungen durch Benutzer geschützt werden?
    • Arbeitet das Produkt mit gängiger Hard- und Software zusammen (Betriebssysteme, Einsteckkarten , Treiber)?
    • Ist das VPN mit gängigen Systemmanagementsystemen kompatibel?
  • Verhalten im Fehlerfall
    • Bleibt die Sicherheit des VPN-Zugangs auch nach einem kritischen Fehler gewährleistet?
    • Kann konfiguriert werden, wie sich das System nach einem kritischen Fehler verhalten soll? Kann z. B. eingestellt werden, dass nach einem kritischen Fehler automatisch ein Neustart durchgeführt oder der Administrator benachrichtigt wird?
  • Administration
    • Enthält die mitgelieferte Produktdokumentation eine genaue Darstellung aller technischen und administrativen Details?
    • Kann die Administration über eine graphische Benutzeroberfläche erfolgen, die sich intuitiv bedienen lässt? Ist die administrative Schnittstelle so gestaltet, dass auf fehlerhafte, unsichere oder inkonsistente Konfigurationen hingewiesen wird oder diese verhindert werden?
    • Wird neben der graphischen Administrationsoberfläche auch eine kommandozeilenbasierte Schnittstelle angeboten?
    • Sind die administrativen Funktionen durch eine adäquate Zugriffskontrolle geschützt?
  • Protokollierung
    • Bietet das Produkt geeignete Funktionen zur Protokollierung an?
    • Ist konfigurierbar, wie detailliert die Protokollierung erfolgt und welche Arten von Ereignissen aufgezeichnet werden? Werden durch die Protokollierung alle relevanten Daten erfasst?
    • Ist die Protokollierung in der Weise möglich, dass die Daten nach unterschiedlichen Kategorien erfasst werden können (z. B. verbindungsorientiert, benutzerorientiert, protokollorientiert, dienstorientiert)?
    • Sind die Protokolldaten mit einem Zugriffsschutz versehen?
    • Können die Protokolldaten nicht nur lokal gespeichert werden, sondern auch auf entfernten Rechnern (zentrales Protokoll)? Werden für die entfernte Speicherung gängige Verfahren angeboten, so dass auch Fremdsysteme zur Protokollierung benutzt werden können (z. B. syslog)? Können die Protokolldaten abgesichert übertragen werden?
    • Bietet das Produkt leicht bedienbare Funktionen zur Auswertung der Protokolldaten an?
    • Kann die Protokollierung mit dem eingesetzten Systemmanagementsystem zusammenarbeiten, insbesondere hinsichtlich Übertragungsformat und Übertragungsprotokoll?
    • Bietet das Produkt die Möglichkeit an, beim Auftreten bestimmter Ereignisse den Administrator zu informieren oder auch geeignete Schutzmaßnahmen automatisch durchzuführen? Beispielsweise ist es oft sinnvoll, ein Benutzerkonto zu sperren, wenn mehrere fehlgeschlagene Authentisierungsversuche in Folge für das jeweilige Benutzerkonto festgestellt werden.
    • Kann die Protokollierung an die spezifischen Bestimmungen des Datenschutzes, die für und in der Institution gelten, angepasst werden?
  • Kommunikation und Datenübertragung
    • Unterstützt das VPN-Produkt LAN-seitig alle relevanten Netzwerktechnologien (z. B. Ethernet, ATM )?
    • Unterstützt das VPN-Produkt WAN-seitig alle geplanten Zugangstechnologien (z. B. ISDN , Mobiltelefon, analoge Telefonleitung, X.25)?
    • Ist die Anzahl der VPN-Clients, die sich gleichzeitig in den VPN-Server einwählen können, ausreichend?
    • Unterstützt das VPN-Produkt die gängigen Protokolle für den entfernten Zugang über Telekommunikationsnetze (z. B. PPP, SLIP)?
    • Unterstützt das VPN-Produkt die gängigen Dienstprotokolle für den entfernten Zugriff (z. B. TCP/IP)?
    • Werden für den Internet-basierten Zugriff die gängigen Tunnel-Protokolle (z. B. PPTP, L2F, IPSec, SSL) unterstützt?
    • Bietet das VPN-Produkt je nach verwendeter Zugangstechnologie zusätzliche, technologieabhängige Mechanismen (z. B. Kanalbündelung für ISDN, Rückruf des VPN-Clients durch den VPN-Server) an?
  • Sicherheit: Kommunikation, Authentisierung und Zugriff
    • Bietet das Produkt geeignete Funktionen zur gesicherten Datenübertragung an?
    • Erfolgt die Absicherung der Kommunikation durch standardisierte Mechanismen?
    • Sind alle verwendeten kryptographischen Verfahren etabliert, und entsprechen sie dem Stand der Technik?
    • Erlaubt die Produktarchitektur eine nachträgliche Installation neuer Sicherheitsmechanismen?
    • Bietet das Produkt geeignete Funktionen zur Authentisierung der Benutzer, bevor ihnen Zugang zu lokalen Ressourcen gewährt wird?
    • Können mehrere Authentisierungsmechanismen miteinander verknüpft werden?
    • Ist die Systemarchitektur so aufgebaut, dass neue Authentisierungsmechanismen nachträglich integriert werden können?
    • Erlaubt das VPN die Nutzung eines oder mehrerer gängiger externer Authentisierungsdienste, z. B. SecureID, TACACS+, RADIUS?
    • Ist es möglich, zusätzliche externe Authentisierungsdienste einzubinden?

Sind alle Anforderungen an das zu beschaffende Produkt dokumentiert, so müssen die am Markt erhältlichen Produkte dahingehend untersucht werden, inwieweit sie diese Anforderungen erfüllen. Es ist zu erwarten, dass nicht jedes Produkt alle Anforderungen gleichzeitig oder gleich gut erfüllt. Daher sollten die einzelnen Anforderungen entsprechend ihrer Relevanz für die Institution gewichtet werden. Analog kann auch der Erfüllungsgrad einer Anforderung durch das jeweilige Produkt in mehrere Stufen eingeteilt werden. Auf der Grundlage der durchgeführten Produktbewertung kann dann eine fundierte Kaufentscheidung getroffen werden.

Vor der Installation muss überprüft werden, ob die ausgewählten Produkte tatsächlich die Anforderungen ausreichend erfüllen und kompatibel mit den vorgesehenen Technologien sind. Die Auswahl der VPN-Geräte stellt einen wesentlichen Aspekt für den reibungslosen Betrieb eines VPNs dar. Die Entscheidung muss daher gut überlegt sein, da spätere Änderungen oft mit hohen Kosten oder auch mit Sicherheitseinbußen verbunden sind.

Prüffragen:

  • Werden die Anforderungen der Institutionen an die Vernetzung unterschiedlicher Standorte bzw. die Anbindung mobiler Mitarbeiter oder Telearbeitern bei der Auswahl von VPN -Produkten berücksichtigt?

Stand: 13. EL Stand 2013