Bundesamt für Sicherheit in der Informationstechnik

M 4.320 Sichere Konfiguration eines VPNs

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Alle VPN-Komponenten müssen sorgfältig konfiguriert werden, da es durch eine ungeeignete Konfiguration von VPN-Komponenten zu einem Verlust der Verfügbarkeit des Netzes oder Teilen davon kommen kann. Der Verlust der Vertraulichkeit von Informationen oder der Datenintegrität ist ebenfalls denkbar. Unabhängig davon, ob es sich bei VPN-Komponenten um dedizierte Hardware (Appliances) oder softwarebasierte Systeme handelt, spielt daher die korrekte Konfiguration der beteiligten Komponenten eine wesentliche Rolle. Da ein VPN aus mehreren Komponenten und deren Konfiguration besteht, ergibt sich eine erhöhte Komplexität der Gesamtkonfiguration. Das Ändern eines Konfigurationsparameters bei einer Komponente kann im Zusammenspiel mit den anderen Komponenten zu Sicherheitslücken, Fehlfunktionen und/oder Ausfällen führen.

Da die Konfiguration eines VPN-Systems in der Regel Veränderungen unterworfen ist (z. B. durch Personaländerungen, neue Nutzungsszenarien, Systemerweiterungen), kann nicht davon ausgegangen werden, dass es genau eine sichere (und statische) Konfiguration gibt, die einmal eingestellt und nie wieder verändert wird. Vielmehr wird die Konfiguration üblicherweise fortlaufend geändert. Es ist Aufgabe der für das VPN zuständigen Administratoren, dass jeweils nur sichere Versionen der Systemkonfiguration definiert werden und das System von einer sicheren Konfiguration in die nachfolgende sichere Konfiguration überführt wird. Alle Änderungen und die jeweils aktuelle Einstellungen müssen nachvollziehbar dokumentiert sein.

Grundeinstellungen

Die Grundeinstellungen, die vom Hersteller oder Distributor einer VPN-Komponente vorgenommen werden, sind nicht unbedingt auf Sicherheit, sondern auf eine einfache Installation und Inbetriebnahme optimiert. Der erste Schritt bei der Grundkonfiguration muss daher sein, die Grundeinstellungen zu überprüfen und entsprechend den Vorgaben der Sicherheitsrichtlinie anzupassen. Standardpasswörter müssen durch eigene, ausreichend komplexe Passwörter ersetzt werden.

Server-Konfiguration

Die sichere Konfiguration der VPN-Server-Software erfordert, dass die durch die Software angebotenen und im vorliegenden Einsatzszenario sinnvollen Sicherheitseinstellungen auch aktiviert sind und genutzt werden können. Die Nutzung von bestimmten Sicherheitseinstellungen setzt voraus, dass auch andere Komponenten des VPNs entsprechende Funktionen besitzen bzw. entsprechend konfiguriert werden können. So ist z. B. bei der Nutzung der Rufnummernübertragung (Calling Line Identification Protocol - CLIP ) sicherzustellen, dass diese für den gewählten Anschluss auch aktiviert ist. Damit die Benutzer-Identifikation beispielsweise beim Zugriff über das Internet über X.509-Zertifikate erfolgen kann, muss dem VPN der Speicherort der Benutzerzertifikate bekannt sein.

Dazu muss die VPN-Software entweder externe Authentisierungsserver unterstützen oder eine eigene Zertifikatsverwaltung anbieten.

Daher sollte vorab überprüft werden, ob alle angebotenen Sicherheitsmechanismen auch genutzt werden können oder ob hierzu andere bzw. zusätzliche Hard- oder Software benötigt wird. Im laufenden Betrieb muss dann regelmäßig die Korrektheit der Einstellungen überprüft werden.

Client-Konfiguration

Für die sichere Konfiguration der VPN-Client-Software gelten ähnliche Anforderungen wie für die Server-Software. Damit Client und Server in sicherer Art und Weise kommunizieren können, ist auf eine konsistente Konfiguration der beteiligten Komponenten zu achten (z. B. beim benutzten Verfahren zur Kommunikationsabsicherung).

Zusätzlich ist darauf zu achten, dass zum VPN-Zugang benötigte Passwörter nicht durch die Software gespeichert werden, auch wenn dies vielfach angeboten wird. Kann die Speicherung technisch nicht verhindert werden, muss sie allen Benutzern untersagt werden. Die Benutzer sollten über die Sicherheitsproblematik gespeicherter Passwörter aufgeklärt werden.

Einrichten von standardisierten IT-Systemen

Die sichere und konsistente Konfiguration von Client und Server kann dadurch unterstützt werden, dass eine Standardkonfiguration für VPN-Clients (Hard- und Software) durch das VPN-Konzept festgelegt und durch organisatorische Maßnahmen durchgesetzt wird. Dadurch wird erreicht, dass nur eine feste Anzahl unterschiedlicher Client-Konfigurationen im Einsatz ist.

Einrichtung von Zugangsnetzen

Neben der Konfiguration des VPNs kann auch die Aufteilung der angebundenen Netze in Teilnetze der Zugriffssteuerung dienen. Aus Gründen der Informationssicherheit kann es daher zweckmäßig sein, so genannte Zugangsnetze (Access-Networks) einzurichten (siehe auch M 5.77 Bildung von Teilnetzen ).

Routing-Einstellungen

Über die Routing-Einstellungen der für das VPN-System verwendeten Netzkoppelelemente sollte der Netz-Verkehrsfluss restriktiv gesteuert werden. Moderne Netzkoppelelemente lassen das selektive Weiterleiten von Paketen innerhalb erlaubter Netzverbindungen (Paketfilter-Funktion) zu. Auf diese Weise kann z. B. erreicht werden, dass ausschließlich Verbindungsanfragen an den HTTP-Dienst eines Servers weitergeleitet werden.

Auf VPN-Clients sollten nur autorisierte Benutzern zugreifen können. Besonderes bei mobilen Rechnern ist es wichtig, dass der Zugang zum VPN eingeschränkt wird. Wird der mobile Rechner gestohlen, könnten sich ansonsten Unberechtigte in das VPN einwählen. Die Benutzer müssen sich daher strikt an die festgelegten Regelungen halten (z. B. sichere Authentisierung und Diebstahlschutz, siehe auch Baustein B 3.203 Laptop ).

Mobile VPN-Clients sollten so konfiguriert werden, dass bei gestarteter VPN-Client-Software der gesamte Datenverkehr nur über die VPN-Verbindung geleitet wird.

Datenverbindungen an der VPN-Verbindung vorbei in andere Netze sollten unterbunden werden. Viele VPN-Client-Produkte bieten diese Einstellungsmöglichkeit als Funktionalität an.

Zugriffsberechtigungen

Es muss darauf geachtet werden, dass eventuell vorhandene Testzugänge und Benutzerkennungen (beispielsweise von Testläufen bei der Installation) wieder entfernt werden. Weiterhin müssen die erteilten Zugriffsrechte regelmäßig überprüft werden, damit einerseits alle benötigten Funktionalitäten genutzt und andererseits fälschlich vergebene Zugriffsrechte nicht missbraucht werden können.

Remote-Zugriff

Aktive Netzkomponenten bieten aus Wartungsgründen in der Regel die Möglichkeit eines Remote-Zugriffs. Remote-Zugriffe für die Administration dürfen nur erlaubt werden, wenn gewährleistet ist, dass Benutzername und Passwort nicht im Klartext übertragen werden (wie beispielsweise bei Telnet). Besteht die Möglichkeit einer lokalen Konfiguration, so sollte diese vorgezogen und der Remote-Zugriff deaktiviert werden.

Login-Banner

Bei der Anmeldung an VPN-Komponenten wird oft eine relativ ausführliche Anmelde-Nachricht angezeigt. In dieser Login-Nachricht können Informationen (beispielsweise Modell- oder Versionsnummer und Software-Version) enthalten sein, die einem potentiellen Angreifer von Nutzen sein können. Sofern möglich muss die Standard-Login-Nachricht durch eine angepasste Version ersetzt werden, die diese Informationen nicht mehr enthält. Die Modell- und Versionsnummer des Geräts und die Version des Betriebssystems sollte aus Sicherheitsgründen unter keinen Umständen vom Login-Banner verraten werden.

Schnittstellen

Nicht genutzte Schnittstellen von VPN-Komponenten sind häufig standardmäßig nicht deaktiviert. Im Zuge der Erstinstallation und Konfiguration müssen diese daher deaktiviert werden, um die gebotene Angriffsfläche zu verkleinern.

Protokollierung

VPN-Komponenten bieten in der Regel Möglichkeiten der Protokollierung, welche auf jeden Fall aktiviert und sorgfältig eingerichtet werden müssen. Die Auswertung dieser Informationen ermöglicht es, die korrekte Funktion des Geräts zu beurteilen und Angriffsversuche zu erkennen. Mit Hilfe der Protokollierungsinformationen kann oft auch die Art eines Angriffsversuches nachvollzogen und die Konfiguration entsprechend angepasst werden. Die Protokollfunktionen müssen sorgfältig konfiguriert werden, da nur bei einer sinnvollen Filterung aus der Vielzahl von Informationen die relevanten Daten extrahiert werden können.

Neben einer geeigneten Speicherung der Informationen muss für eine möglichst zeitnahe Auswertung der gewonnenen Daten gesorgt werden (siehe M 4.321 Sicherer Betrieb eines VPNs ). Entsprechende Bestimmungen des Datenschutzes sind zu beachten.

Dokumentation

Es sollte dokumentiert werden, welche Einstellungen der VPN-Komponenten im Rahmen der Grundkonfiguration überprüft, sowie ob und gegebenenfalls wie sie geändert wurden. Die Dokumentation muss so beschaffen sein, dass im Notfall auch eine andere Person als der eigentliche Administrator ohne vorherige Kenntnis des Systems nachvollziehen kann, was getan wurde. Bei einem Ausfall sollte es möglich sein, alleine mit Hilfe der Dokumentation das System wiederherzustellen. Hierbei sollte auch die in M 4.78 Sorgfältige Durchführung von Konfigurationsänderungen erläuterte Vorgehensweise beachtet werden.

Standortbasierte Authentisierung

Eine Authentisierung für ein Site-to-Site- oder End-to-Site-VPN kann nicht nur nutzer-, sondern auch standortbasiert erfolgen. Eine eindeutige Identifizierung der jeweiligen Gegenstelle muss dabei gewährleistet werden können. Dies setzt voraus, dass bereits behörden- bzw. unternehmensweit eine zentrale Standortverwaltung existiert. Das VPN baut lediglich auf dieser auf. Für Remote-Access-Zugänge in das interne Netz einer Institution sei hierbei auf die Maßnahme M 4.113 Nutzung eines Authentisierungsservers bei Remote-Access-VPNs hingewiesen.

Änderungsmanagement

Änderungen an der VPN-Systemkonfiguration sollten einem organisatorischen Prozess unterliegen, der sicherstellt, dass das VPN nur mit geprüften Konfigurationen aktiviert wird. Alle Änderungen sollten dokumentiert und genehmigt sein.

Hinweis: Das Hinzufügen oder Löschen von VPN-Benutzerkennungen erfordert in der Regel keine Änderung der VPN-Systemkonfiguration, da diese Änderungen oft durch die Benutzerverwaltung des Betriebssystems oder eines Authentisierungsservers (z. B. RADIUS, TACACS+) erfolgen.

Regelmäßige Prüfung der VPN-Konfiguration

Die Konfiguration aller VPN-Komponenten sollte regelmäßig überprüft werden. Dabei ist sicherzustellen, dass alle Vorgaben der VPN-Sicherheitsrichtlinie umgesetzt sind und die Einstellungen keine Schwachstellen aufweisen.

Bei der VPN-Konfiguration handelt es sich um die eigentliche Realisierung der VPN-Sicherheitsrichtline. Es müssen alle dort festgelegten Sicherheitsanforderungen an das VPN entsprechend umgesetzt werden. Die hier angeführten Themenbereiche sind im Rahmen der VPN-Systemplanung und des VPN-Betriebes zu konkretisieren, zu erweitern und anzupassen. Grundsätzlich ist die Konfiguration der beteiligten Komponenten jedoch immer von lokalen Gegebenheiten oder Anforderungen abhängig. Eine allgemein gültige Anleitung kann nicht gegeben werden, da die beteiligten Komponenten im unternehmensspezifischen Kontext betrachtet werden müssen.

Prüffragen:

  • Wurden die Grundeinstellungen aller VPN -Komponenten überprüft und entsprechend den Vorgaben der Sicherheitsrichtlinie angepasst?

  • Wurden die Standardpasswörter aller VPN -Komponenten durch eigene, ausreichend komplexe Passwörter ersetzt?

  • Werden die Sicherheitsmechanismen, die vom VPN -Server angeboten werden und im vorliegenden Einsatzszenario sinnvoll sind, auch aktiviert und genutzt?

  • Wird die Korrektheit der Sicherheitseinstellungen für den VPN -Server regelmäßig überprüft?

  • Ist sichergestellt, dass VPN -Server und VPN -Clients konsistent konfiguriert werden?

  • Ist technisch oder organisatorisch sichergestellt, dass Benutzer-Passwörter für den VPN -Zugang nicht gespeichert werden?

  • Sind die Routing-Einstellungen der Netzkoppelelemente, die für das VPN verwendet werden, restriktiv konfiguriert?

  • Sind alle mobilen VPN -Clients so konfiguriert, dass der gesamte Datenverkehr nur über die VPN -Verbindung transportiert wird?

  • Sind alle eventuell vorhandenen Testzugänge und -konten auf den VPN -Komponenten entfernt?

  • Falls für die Administration ein Fernzugriff erforderlich ist: Ist sichergestellt, dass Benutzername und Passwort nicht im Klartext übertragen werden?

  • Falls die Login-Meldung angepasst werden kann: Ist die Login-Meldung so definiert, dass die Modell- und Versionsnummer des Gerätes sowie die Version des Betriebssystems nicht angezeigt werden?

  • Sind alle nicht genutzten Schnittstellen der VPN -Komponenten deaktiviert?

  • Ist die Protokollierung im VPN aktiviert und geeignet konfiguriert?

  • Ist das VPN -System so dokumentiert, dass notfalls auch fachkundige Dritte das System neu aufbauen können?

  • Werden alle Änderungen an der VPN -Konfiguration genehmigt, geprüft und dokumentiert?

Stand: 13. EL Stand 2013