Bundesamt für Sicherheit in der Informationstechnik

M 4.224 Integration von VPN-Komponenten in ein Sicherheitsgateway

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Für die Sicherheit eines VPNs ist die Integration der VPN-Endpunkte in die Sicherheitsgateways essentiell. Die optimale Platzierung der VPN-Komponenten ist dabei abhängig von mehreren Faktoren:

  • Schutzbedarf des VPN-Gateways vor Angriffen aus dem nicht-vertrauenswürdigen Netz
  • Notwendigkeit der Kontrolle und Flusssteuerung der Datenübertragung der Zugriffe aus dem nicht-vertrauenswürdigen Netz auf Systeme und Dienste im vertrauenswürdigen Netz
  • Schutzbedarf der übertragenen Daten

Die bekanntesten Protokolle zum Aufbau von VPNs sind IPSec, TLS/SSL, PPTP und L2TP. Daher werden im Folgenden solche VPNs betrachtet. Die hier dargestellten Empfehlungen lassen sich jedoch auch auf die meisten anderen Verfahren übertragen. Die Entscheidung für ein bestimmtes Verfahren hängt von der jeweiligen Anwendung und vom Einsatzgebiet ab. Es kann durchaus zweckmäßig sein, dass eine Institution mehrere VPNs mit unterschiedlichen VPN-Protokollen und Kryptoverfahren betreibt.

Die Entscheidung, welche Verfahren eingesetzt und wie die einzelnen VPN-Komponenten angeordnet werden sollen, ist zu dokumentieren.

VPNs mittels IPSec oder TLS/SSL

Der Ort der Integration des VPN-Gateways relativ zum Paketfilter des Sicherheitsgateways hängt davon ab, wie viele Schnittstellen dem VPN-Gateway zur Verfügung stehen.

  • VPN-Gateways mit einer Schnittstelle:
    Bei einem hohen Angriffspotenzial sollte das VPN-Gateway durch einen Paketfilter geschützt am Application-Level-Gateway ( ALG ) platziert werden. Der äußere Paketfilter schützt gegen IP-Spoofing-Attacken, da aus dem nicht-vertrauenswürdigen Netz eingehende Pakete mit der IP-Adresse des VPN-Gateways als Absenderadresse vom äußeren Paketfilter nicht weitergeleitet werden. Der entschlüsselte Datenverkehr muss auf dem Weg in das vertrauenswürdige Netz das ALG und den inneren Paketfilter passieren. Da entschlüsselte Verbindungen nur an der DMZ -Schnittstelle des ALG und nicht an der Schnittstelle des ALG zum nicht-vertrauenswürdigen Netz erlaubt werden, ist ein unberechtigter Verbindungsaufbau aus dem nicht-vertrauenswürdigen Netz gegenüber den vorangehenden Varianten deutlich erschwert.

  • VPN-Gateways mit zwei Schnittstellen:
    Bei VPN-Gateways mit zwei Schnittstellen sollte das VPN-Gateway mit einer Netzschnittstelle am äußeren Paketfilter und mit der anderen Schnittstelle am ALG verbunden werden. Durch die Platzierung des VPN-Gateways am äußeren Paketfilter wird die VPN-Komponente durch den äußeren Paketfilter gegen Angriffe aus dem nicht-vertrauenswürdigen Netz geschützt. Aus dem nicht-vertrauenswürdigen Netz werden nur Verbindungen zum VPN-Gateway zugelassen, die für die VPN-Kommunikation erforderlich sind. Der entschlüsselte Datenverkehr kann auf Anwendungsebene kontrolliert und eingeschränkt werden, da die Verbindungen über das ALG geleitet werden. Zusätzlich kann der entschlüsselte Datenverkehr durch den internen Paketfilter kontrolliert und eingeschränkt werden.

VPNs mittels Layer-2-Protokollen

Layer-2-VPNs können beispielsweise mit Hilfe der Protokolle PPTP (Point to Point Tunneling Protocol) und L2TP (Layer 2 Tunneling Protocol) realisiert werden. Sie werden häufig verwendet, um VPNs über öffentliche Telekommunikationsnetze, beispielsweise GSM oder ISDN , aufzubauen. Zur Netztrennung sollte auch für Layer-2-VPNs ein ALG zwischen dem LAN und der VPN-Anbindung verwendet werden.

Bei der Anbindung verschiedener Nutzergruppen mit verschiedenen Rechten sollte jeder Nutzergruppe ein eigener Schlüsselkreis zugeordnet werden, um die Vertraulichkeit der übertragenen Daten zwischen den Nutzergruppen sicherzustellen.

Prüffragen:

  • Sind die VPN -Komponenten so in das Sicherheitsgateway integriert, dass der Datenverkehr wirksam kontrolliert und gefiltert werden kann?

  • Ist die Entscheidung dokumentiert, wie die VPN -Komponenten in das Sicherheitsgateway zu integrieren sind?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK