Bundesamt für Sicherheit in der Informationstechnik

Virtual Private Network (ISi-VPN)

VPNs werden u. a. benutzt um Außendienstmitarbeitern einen verschlüsselten Zugriff auf Daten im internen Netz zu gewähren oder auch um zwei Standorte sicher miteinander zu verbinden.

Bei der Nutzung eines VPN muss notwendigerweise ein Kommunikationskanal in das interne Netz geöffnet werden, der ggf. von einem Angreifer missbraucht werden kann und den es gut zu schützen gilt. Auch wenn die vorgestellten Verfahren als sicher gelten, liegt in der konkreten Umsetzung (Konfiguration) und Handhabung (v. a. bei der Nutzerauthentisierung) ein Risiko, dem größte Aufmerksamkeit gezollt werden muss.

In den meisten Fällen dient das Internet als Transportmedium. Da das Internet als unsicher betrachtet werden muss, sind Sicherungsmaßnahmen zu treffen die gewährleisten, dass sich Unbefugte keinen Zugang zum internen Netz verschaffen (Authentisierung) und die Daten auf dem Weg durch das Internet nicht mitgelesen werden können (Verschlüsselung).

Zur sicheren Authentisierung des VPN-Nutzers gibt es unterschiedliche Verfahren. Sie können auf folgenden Faktoren basieren: Wissen, Besitz und biometrische Merkmale. Empfohlen wird eine 2-Faktor-Authentisierung bei der zwei der drei Faktoren verwendet werden. Am gebräuchlichsten ist die Nutzung der Faktoren Wissen und Besitz. Der Authentisierungsschlüssel wird hierbei in einer Hardware – z. B. Chipkarte – gespeichert (Faktor Besitz) die nur durch Eingabe einer PIN eingesetzt werden kann (Faktor Wissen). Je nach Sicherheitsanforderungen kann der Schlüssel auch auf dem Client (z. B. Notebook) bzw. dem VPN-Server im Netz der Organisation gespeichert sein. Alternativ kann die Nutzung einer Public-Key-Infrastruktur (PKI) empfohlen werden, die auf digitale Signaturen und asymmetrischen Kryptografieverfahren basiert. Die Gültigkeit der Signaturen wird über eine anerkannte Zertifizierungsstelle (CA – Certificate Authority) überprüft. Die Länge des Schlüssels bzw. der Signatur korreliert mit der Sicherheit des verwendeten Kryptoverfahrens.

Für die Verschlüsselung der Daten auf dem Weg durch das Internet existieren verschiedene Kryptoalgorithmen, die nach dem momentanen Stand mit entsprechenden Schlüssellängen als sicher gelten (z. B. AES). Ältere Verfahren (wie z. B. DES) bieten keinen ausreichenden Schutz mehr, da sie mit entsprechendem Aufwand entschlüsselt werden können.

Zum Aufbau des VPN stehen verschiedene Verfahren zur Wahl, die sichere Authentisierungsmethoden und Verschlüsselungsverfahren bieten. Am weitesten verbreitet sind die Protokolle IPSec (Internet Protocol Security), L2TP over IPSec (Layer-2-Tunneling-Protocol) und SSL (Secure Socket Layer). Der konkrete Einsatzzweck legt die Auswahl des geeigneten Protokolls fest. Dies ist im Folgenden und in der zu Grunde liegenden Studie weiter ausgeführt.

ISi-Dokumente

Weitere Informationen

Wie ein VPN in ein Sicherheits-Gateway eingebunden wird, ist in der nachfolgenden Studie beschrieben:

Eine besonders sichere Lösung ist im SINA-Projekt realisiert. Nähere Informationen rund um diese "Sichere Inter-Netzwerk Architektur (SINA)" finden Sie hier:

IT-Grundschutz

Mit den IT-Grundschutz-Katalogen stellt das BSI in Form von Bausteinen zu verschiedenen Themen Zusammenstellungen von Gefährdungen und Maßnahmen zur Verfügung. Nachfolgend werden exemplarisch einige dieser Gefährdungen und Maßnahmen herausgegriffen, die einen besonderen Bezug zum betrachteten Thema haben. Eine umfassende Grundsicherung nach IT-Grundschutz eines IT-Verbunds kann jedoch nur erreicht werden, wenn die im BSI-Standard 100-2 beschriebene IT-Grundschutz-Vorgehensweise insgesamt angewendet wird.
Der Baustein VPN (B 4.4) befasst sich mit den themenrelevanten Gefährdungen und Maßnahmen.

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK