Bundesamt für Sicherheit in der Informationstechnik

M 5.148 Sichere Anbindung eines externen Netzes mit OpenVPN

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Wenn Daten über gemietete Leitungen oder öffentliche Netze, die nicht der Kontrolle der Institution unterstehen, übertragen werden, so müssen diese angemessen geschützt werden. Geschieht dies nicht, könnten die übertragenen Daten abgehört bzw. manipuliert werden. Unter Umständen hat ein Angreifer sogar die Möglichkeit, sich als berechtigter Kommunikationspartner auszugeben oder könnte die VPN-Endpunkte manipulieren. OpenVPN ist eine freie Software unter der GNU GPL (General Public License), welche die Herstellung Virtueller Privater Netze (VPN) über verschlüsselte TLS/SSL-Verbindungen ermöglicht. Grundsätzlich eignet sich OpenVPN für den Aufbau von Site-to-Site-VPNs, End-to-End-VPNs und Remote-Access-VPNs.

OpenVPN greift zur Verschlüsselung auf die Bibliotheken des Programms OpenSSL zu und verwendet wahlweise UDP oder TCP als Transportprotokoll. Der Einsatz von TLS/SSL als Tunnel-Protokoll erlaubt es im Gegensatz zu IPSec nicht, die Informationen in den IP-Headern der Datenpakete zu schützen. Ein Vorteil ist jedoch, dass es bei TLS/SSL nicht die Fülle der auf beiden Seiten abzustimmenden Konfigurationsparameter wie bei IPSec gibt.

Sicherer Einsatz von OpenVPN

Da OpenVPN auf TLS/SSL basiert, sind die in M 5.66 Clientseitige Verwendung von SSL/TLS gegebenen Empfehlungen zu beachten. Für den sicheren Einsatz von OpenVPN sollte das zugrunde liegende Betriebssystem entsprechend abgesichert und gehärtet werden (z. B. nur unbedingt erforderliche Programmpakete installieren). Die für den Betrieb von OpenVPN benötigten kryptographischen Schlüssel müssen sicher erzeugt, zwischen den Kommunikationspartnern ausgetauscht und verwaltet werden. Weiterhin müssen sichere Authentisierungs und Verschlüsselungsverfahren mit ausreichender Schlüssellänge verwendet werden. Vertiefende Informationen zur Auswahl von Verschlüsselungs- und Authentisierungsverfahren sind in Maßnahme M 2.164 Auswahl eines geeigneten kryptographischen Verfahrens zu finden.

Eine zertifikatsbasierte Authentisierung ist die sicherste Form der Anmeldung. Hierbei besitzen die VPN-Komponenten (z. B. Server und Server beziehungsweise Server und Client) jeweils private und öffentliche Schlüssel. Bei der Verwendung von Zertifikaten muss während des Authentisierungsvorgangs der Status des Zertifikats bei einer PKI überprüft werden. Hierbei muss gewährleistet werden, dass der OpenVPN-Server, nur Verbindungen zulässt, die von einer ihm bekannten Zertifizierungsstelle signiert wurden. Zur Erhöhung der Sicherheit sollte überlegt werden, die Zertifikate der VPN-Benutzer auf eine Chipkarte oder einen anderen sicheren Token auszulagern.

Für die VPN-Server ist es insbesondere wichtig, dass ausschließlich die erforderlichen Dienste auf der äußeren Netzschnittstelle aus dem nicht-vertrauenswürdigen Netz erreichbar sind. Verbindungen dürfen lediglich zu den notwendigen Systemen und Diensten erlaubt werden und außer den erforderlichen Diensten dürfen auf einem VPN-Server keine weiteren aktiv sein.

Um VPN-Server vor Angriffen zu schützen, müssen diese gemäß M 4.224 Integration von VPN-Komponenten in ein Sicherheitsgateway in die Sicherheitsinfrastruktur eingegliedert werden.

Funktionstest des VPNs

Wie in Maßnahme M 4.319 Sichere Installation von VPN-Endgeräten beschrieben, muss jedes VPN vor dem Einsatz im Echtbetrieb entsprechend auf korrekte Funktion (vor allem der Sicherheitsmechanismen) geprüft werden. Dies sollte in einer separaten Testumgebung erfolgen, da es andernfalls nicht auszuschließen ist, dass Daten aus der Produktivumgebung ungeschützt über das Internet gesendet werden. Für den Fall, dass das VPN nicht wie gewünscht funktioniert, bietet die Dokumentation von OpenVPN umfangreiche Hilfestellung.

Prüffragen:

  • Ist das IT -System, auf dem OpenVPN betrieben wird, abgesichert und gehärtet?

  • Werden beim OpenVPN-Einsatz sichere Authentisierungs und Verschlüsselungsverfahren mit ausreichender Schlüssellänge verwendet?

  • Erfüllt das beim OpenVPN-Einsatz gewählte Verfahren zum Schlüsselaustausch die Sicherheitsanforderungen?

  • Ist sichergestellt, dass VPN -Verbindungen beim OpenVPN-Einsatz nur zwischen den hierfür vorgesehenen IT -Systemen und Diensten aufgebaut werden können?

Stand: 13. EL Stand 2013