Bundesamt für Sicherheit in der Informationstechnik

M 4.321 Sicherer Betrieb eines VPNs

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

VPNs sind aufgrund der übertragenen Daten attraktive Ziele für Angreifer und müssen daher sicher betrieben werden. Voraussetzungen hierfür sind die sichere Installation (M 4.319 Sichere Installation von VPN-Endgeräten ) und Konfiguration der beteiligten Hard- und Softwarekomponenten (M 4.320 Sichere Konfiguration eines VPNs ). Zusätzlich müssen alle organisatorischen Abläufe definiert und umgesetzt worden sein (z. B. Meldewege und Zuständigkeiten). Hierfür sind die in Maßnahme M 2.418 Erstellung einer Sicherheitsrichtlinie zur VPN-Nutzung gegebenen Empfehlungen zu beachten.

Immer häufiger ist es erforderlich, dass die VPN-Verbindungen von Institutionen kontinuierlich stabil betriebsbereit sind. In vielen Institutionen müssen sie sogar rund um die Uhr verfügbar sein (24/7-Betrieb). Für den reibungslosen Ablauf des VPN-Betriebs muss daher ein Betriebskonzept erstellt und auch ein entsprechendes Notfallkonzept ausgearbeitet werden (siehe M 6.109 Notfallplan für den Ausfall eines VPNs ). Bei der Erstellung eines Betriebskonzepts müssen insbesondere die folgenden Aspekte beachtet werden.

Monitoring

Hierbei wird Monitoring im Sinne von Qualitätsmangement verstanden. So muss die Dienstequalität eines VPNs laufend gemessen werden. Die gewonnenen Daten sollten zu Managementreports zusammengefasst und regelmäßig (beispielsweise monatlich oder quartalsweise) dem IT-Management vorgelegt werden. Die gemessenen Kennwerte dienen der laufenden Feinabstimmung von Dienstgüte und Bandbreitenverteilung im VPN. Auf diese Weise können Engpässe sowie Soft- oder Hardwareprobleme frühzeitig erkannt werden. Hierbei muss auch überlegt werden, ob die VPN-Verfügbarkeit durch entsprechende SLAs (Service Level Agreements) oder OLAs (Operational Level Agreements) abgesichert werden muss. Unabhängig von den regelmäßigen Berichten müssen plötzlich auftretende Auffälligkeiten umgehend gemeldet werden, damit Probleme zeitnah behoben werden kann.

Überwachungskonzept

Im Gegensatz zum erwähnten Monitoring der Dienstequalität steht beim Überwachungskonzept die Sicherheit des VPNs im Vordergrund. Die gewonnenen Protokolldaten müssen gemäß der Sicherheitsrichtlinie (z. B. Zugriffsbeschränkungen) überprüft, ausgewertet und gegebenenfalls aus rechtlichen Gründen archiviert werden.

Die im Rahmen der Überwachung gewonnenen Informationen sollten regelmäßig durch einen sachkundigen Administrator überprüft werden. Durch den zusätzlichen Einsatz von spezieller Software zur Auswertung der Protokolldaten kann das bestmögliche Ergebnis erzielt werden. Wichtig ist, dass die Bestimmungen des Datenschutzes eingehalten werden (siehe auch M 2.110 Datenschutzaspekte bei der Protokollierung ).

Alarmierung

Ein Alarmierungskonzept muss dafür sorgen, dass bei Entdeckung einer kritischen Situation die verantwortlichen Personen unverzüglich informiert werden. Dabei müssen vorher festgelegte Maßnahmen ergriffen und die Vorfälle entsprechend dokumentiert werden (siehe Baustein B 1.8 Behandlung von Sicherheitsvorfällen ). Zur Behebung von Ausfällen kann anschließend das mit Hilfe von M 6.109 Notfallplan für den Ausfall eines VPNs erstellte Notfallkonzept angewandt werden.

Wartung

Wartungsarbeiten an einem VPN sollten möglichst nicht im Echtbetrieb durchgeführt werden, also solange Benutzer darauf zugreifen können. Bei der Durchführung von Wartungsarbeiten muss immer sorgfältig vorgegangen werden. Für die Durchführung von Wartungsarbeiten oder Änderungen an den Systemen müssen die entsprechenden Verantwortlichkeiten im Vorhinein festgelegt werden.

Für Wartungen und Änderungen müssen Wartungsfenster definiert und in den Arbeitsablauf eingeplant werden. Art, Umfang, Zeitpunkt und Dauer von Wartungsarbeiten müssen rechtzeitig angekündigt werden, ebenso welche Dienste und Services betroffen sind. Im Anschluss an jede Wartung oder Änderung müssen die vorgenommenen Modifikationen dokumentiert und kontrolliert werden.

Autorisierung bei Remote Access-VPNs

Remote-Access-VPNs zeichnen sich oft dadurch aus, dass sich nicht nur wenige, sondern viele VPN-Gegenstellen im VPN einwählen müssen. In der Regel sind dies Benutzer, deren Passwörter sich regelmäßig ändern können.

Damit eine geregelte Benutzer-Authentisierung (z. B. via RADIUS, TACACS, TACACS+) beim Fernzugriff möglich ist, muss die Konsistenz der Authentisierungsdaten sichergestellt sein. Dies kann durch zentrale Verwaltung der Daten (Authentisierungsserver) oder durch periodischen Abgleich geschehen.

Einwahl über Wählverbindungen bei Remote Access-VPNs

Je nachdem, welche VPN-Varianten eingesetzt werden, kann die Einwahl auch über Datennetze oder Wählverbindungen, wie ISDN oder GSM, erfolgen. Bei Wählverbindungen sind besondere Vorkehrungen zu ergreifen:

  • Für jede Verbindungsaufnahme ist immer eine Benutzer-Authentisierung über den gewählten Mechanismus durchzuführen. Insbesondere ist die alleinige Nutzung des CLIP -Mechanismus (Rufnummernübertragung) zur Authentisierung nicht ausreichend.
  • Für jede Verbindung sollte die Absicherung der Kommunikation durch eines der im VPN-Sicherheitskonzept erlaubten Verfahren erzwungen werden, damit die übertragenen Daten ausreichend geschützt sind.
  • Die durch die Zugangstechnik zur Verfügung gestellten zusätzlichen Sicherheitsmechanismen (Nutzung der Rufnummernübertragung, Rückruf einer voreingestellten Telefonnummer für nicht mobile oder über Mobiltelefon angebundene VPN-Clients) sollten genutzt werden.
  • Die Anbindung eines tragbaren IT-Systems an ein LAN kann über ein Mobilfunk-Netz wie GSM realisiert werden (siehe auch M 5.81 Sichere Datenübertragung über Mobiltelefone ). Bei der Nutzung von VPN über Mobiltelefon-Netze ist zu beachten, dass sich der CLIP-Mechanismus (Rufnummernübertragung) in der Regel nur als zusätzliches Authentisierungsmerkmal eignet, da das über die Rufnummer identifizierte Mobiltelefon sehr leicht entwendet werden kann.
  • Bei der Einwahl über ein WLAN müssen zusätzlich die Empfehlungen aus dem Baustein B 4.6 WLAN berücksichtigt werden.

Schulung und Sensibilisierung

Den Benutzern eines VPNs müssen in die Benutzung von Sicherheitsmechanismen des VPNs eingewiesen werden. Dazu sollte ihnen zunächst ein Überblick über typische VPN-Gefährdungen und erforderliche Schutzmaßnahmen gegeben werden. Aber auch die Administratoren und Mitglieder des Störungsbearbeitungsteams müssen angemessen in die Benutzung von Sicherheitslösungen der VPNs eingeführt werden. Generelle Hinweise hierfür finden sich in M 2.198 Sensibilisierung der Mitarbeiter für Informationssicherheit .

Clients für Remote-Access-VPNs

Sehr oft wird gewünscht, dass sich einzelne Benutzer über unsichere Netze in das LAN eines Unternehmens oder einer Behörde einwählen können. Beispiele hierfür sind Telearbeiter oder Benutzer, die sich über ein öffentliches WLAN oder von einem mobilen Telefon einwählen. Hierbei werden typischerweise Standard-IT-Systeme benutzt, auf denen eine Applikation für die Einwahl in ein Remote-Access-VPN installiert wird.

Da VPN-Clients für den Fernzugriff oft in nicht vollständig kontrollierten Umgebungen betrieben werden, müssen für diesen Fall spezielle Mechanismen, Verfahren und Maßnahmen zum Einsatz kommen, die den Schutz des Clients gewährleisten können. Insbesondere mobile VPN-Clients sind hier einer besonderen Gefahr ausgesetzt, da diese physikalisch besonders leicht anzugreifen sind (z. B. Diebstahl, Manipulation). Ist ein VPN-Client kompromittiert, besteht die Gefahr, dass dadurch auch die Sicherheit des LANs beeinträchtigt wird.

Für den sicheren Betrieb von mobilen VPN-Clients sind daher neben den Empfehlungen der Maßnahme M 5.122 Sicherer Anschluss von Laptops an lokale Netze folgende Aspekte zu berücksichtigen:

  • Da mobile VPN-Clients größeren Risiken ausgesetzt sind als stationäre, sollten diese durch zusätzliche Maßnahmen gesichert werden. Hierzu bietet sich eine Festplattenverschlüsselung an, um sicherzustellen, dass von abhanden gekommenen Geräten weder Daten ausgelesen noch unbefugt eine VPN-Verbindung aufgebaut werden kann.
  • Insbesondere beim VPN-Zugriff über Internetverbindungen ist die Installation von Computer-Viren-Schutzprogrammen auf allen RAS-Clients notwendig (siehe auch Baustein B 1.6 Schutz vor Schadprogrammen ).
  • Auch mobile VPN-Clients sollten in das Systemmanagement einbezogen werden, soweit dies möglich ist. Dies erlaubt einerseits die Überwachung der Clients im Rahmen der Aufrechterhaltung des laufenden Betriebes. Andererseits können so einfach Software-Updates (Viren-Datenbanken, Anwendungsprogramme) auf geregeltem Weg eingespielt werden. Entfernte Rechner stellen jedoch erhöhte Anforderungen an das Systemmanagement, da diese nicht permanent mit dem Netz verbunden sind, so dass die Rechner regelmäßig auf (unzulässige) Konfigurationsveränderungen untersucht werden müssen.
    Es ist dabei zu beachten, dass diese Erfassung der Informationen den VPN-Client belastet und die Daten über die VPN-Verbindung übertragen werden müssen. Bei VPN-Verbindungen mit geringer Bandbreite (z. B. über Mobiltelefon) kann dies zu nicht akzeptablen Antwortzeiten für den Benutzer führen.

Kommunikationsverbindungen

Für den sicheren Betrieb eines VPNs ist eine Verschlüsselung für alle übertragenen Daten erforderlich. Des Weiteren muss die Authentizität und Integrität der übertragenen Daten zweifelsfrei sichergestellt werden können. Dies kann beispielsweise durch die in Maßnahme M 5.148 Sichere Anbindung eines externen Netzes mit OpenVPN oder die in Maßnahme M 5.149 Sichere Anbindung eines externen Netzes mit IPSec beschriebenen Verfahren gewährleistet werden.

Trusted VPNs

Nur selten werden VPNs über Netzinfrastrukturen betrieben, die unter der eigenen Kontrolle stehen. Häufig werden VPNs genutzt, um eine sichere Verbindung über fremde Netze, wie dem Internet oder einer exklusiv genutzten Leitung von einem Fremdanbieter, zu realisieren. Besonders im letzteren Fall muss die Anbindung im Allgemeinen, die Qualität der Anbindung und die Einhaltung der Sicherheitsaspekte, die bei der Auswahl festgelegt wurden (siehe M 2.420 Auswahl eines Trusted-VPN-Dienstleisters ), beobachtet werden.

Prüffragen:

  • Für Hochverfügbarkeit: Existiert ein Betriebskonzept zur Sicherstellung des VPN -Betriebs?

  • Ist sichergestellt, dass Qualitätsmängel der VPN -Verbindungen (durch Monitoring) frühzeitig erkannt werden?

  • Werden die anfallenden Protokolldaten regelmäßig überprüft und durch fachkundiges Personal ausgewertet?

  • Werden bei der Überwachung des VPN die Bestimmungen des Datenschutzes eingehalten?

  • Sind systematische Vorgehensweisen für Wartung, Änderungen und Revisionen von VPN -Komponenten festgelegt?

  • Ist festgelegt, wie mit Fehlern und Störungen des VPN umgegangen wird?

  • Ist sichergestellt, dass bei kritischen Situationen bei der VPN -Nutzung unverzüglich die zuständigen Personen informiert werden?

  • Sind die VPN -Benutzer und -Administratoren hinreichend geschult und für die relevanten VPN -Sicherheitsaspekte sensibilisiert?

Stand: 13. EL Stand 2013