Sicher und doch verwaltbar

Der Aufbau einer sicheren und funktionsfähigen VPN-Architektur erfordert die Berücksichtigung mehrerer Faktoren. Einerseits kann nur eine umfassende Sicherheitsstrategie einen wirksamen Schutz vor ungewolltem Zugriff bieten. Andererseits sollte dabei die Administrierbarkeit nicht außer Acht gelassen werden.

Von: Richard Hellmeier

Die Zunahme von VPN-Lösungen zur weltweiten Anbindung von externen Mitarbeitern und Filialen an das Unternehmensnetzwerk ist in erster Linie auf den Kostenvorteil gegenüber Standleitungen zurückzuführen. Diese Entwicklung wurde auch durch die Etablierung des Übertragungsprotokolls IPSec (Internet Protocol Security) als Standard begünstigt. Die von der IETF (International Engineering Task Force) entwickelte Protokollsuite besteht aus einer Sammlung von Sicherheitsprotokollen, die eine TCP/IP-Verbindung authentifizieren, die Vertraulichkeit der Informationen garantieren und die Integrität der ausgetauschten Daten gewährleisten. IPSec hat sich auch deshalb durchgesetzt, weil es die Datenpakete zuerst komprimiert und dann verschlüsselt. Das führt zu einer enormen Beschleunigung der Übertragung. Außerdem erfolgt der Datenaustausch bei IPSec auf der Netzwerkschicht (Layer 3), das heißt, das Protokoll kann unabhängig von den Applikationen, die im Netzwerk laufen, implementiert werden.

Viele Sicherheitshersteller wie Symantec, Nokia, Sonicwall oder Check Point bieten inzwischen VPN-Lösungen auf IPSec-Basis für alle Bereiche und Anforderungen: von kleinen Firmen und Home Offices über mittelständische Betriebe bis hin zu Großkonzernen mit weltweiten Filialnetzen. Doch nicht alle VPN-Architekturen bieten den gleichen Standard bezüglich Sicherheit und Administrierbarkeit. Unterschiede bestehen vor allem beim Schutz der Clients, beim Management der gesamten VPN-Architektur sowie bei der Wahl der adäquaten Verschlüsselungstechnik.

Der Schutz der Client-Desktops, von denen sich Mitarbeiter von außen in ein Unternehmensnetz einwählen, ist wichtig, weil sie zum Sicherheitsrisiko werden können. Da die VPN-Verbindung selbst als sehr sicher gilt, würde ein Hacker eher versuchen, über die Internetverbindung des externen Mitarbeiters in das System einzudringen. Schwachstellen im Browser etwa sind ein beliebtes Angriffsziel. Darüber kann der Eindringling die gesamte Festplatte ausspähen und im schlimmsten Fall die VPN-Verbindung seines Opfers benutzen, um sich so Zutritt zum Unternehmensnetzwerk zu verschaffen.

Um dieses Risiko auszuschalten, sollten man beim Aufbau von VPN-Netzwerken alle externen Client-Desktops mit Personal Firewalls ausstatten. Check Point beispielsweise liefert gegen einen Aufpreis Personal Firewalls mit. Andere Hersteller greifen auf die Produkte von Drittherstellern zurück, weil sich die eigenen diesbezüglichen Lösungen nicht komplett in die VPN-Struktur integrieren lassen.

Damit entstehen unter Umständen Probleme bei der Administrierbarkeit der installierten Personal Firewalls. Für den Administrator ist es auf jeden Fall von Vorteil, wenn die persönliche Firewall eines Client-Desktops zentral wie eine komplette Firewall administriert werden kann. Bislang bietet jedoch nur Check Point diese Möglichkeit. Die Regeln werden zentral vergeben, verteilt und kontrolliert. Wenn sich der externe User beim VPN-Gateway anmeldet, werden die neuen Policies automatisch geladen.

Die Sicherheit der Client-Desktops wird durch die Verwendung eines Intrusion-Detection-Systems (ID-System) erhöht, weil Angriffe von außen sofort erkannt werden. Eine gute Kombination zwischen Personal Firewall und ID-System bietet Internet Security Systems (ISS). Allerdings verwendet ISS derzeit eine eigene Konsole, die sich bis dato noch nicht mit Firewall-Konsolen anderer Hersteller integrieren lässt.

Beim Einrichten einer VPN-Architektur sollte ebenfalls darauf geachtet werden, dass die externen Mitarbeiter die für ihre Arbeit relevanten Applikationen im Unternehmensnetzwerk benutzen können. Bestimmte Anwendungen lassen externe User nicht zu, wenn ihre IP-Adressen nicht im erlaubten Adressbereich liegen. Das Problem tritt dann auf, wenn Firmen Tunneling über NAT (Network Address Translation) verwenden.

IPSec ordnet jedem Anwender eine eindeutige öffentliche IP-Adresse zu. Da die Anzahl dieser Adressen begrenzt ist, wenden viele Unternehmen das NAT-Verfahren an, um allen Rechnern im eigenen Netzwerk eine einheitliche öffentliche IP-Adresse zuzuweisen. Dadurch sind die internen IP-Adressen von außen nicht sichtbar. Allerdings hat das NAT-Verfahren den Nachteil, dass IP-Adressen überschrieben werden. Wenn beispielsweise ein externer Mitarbeiter sich via VPN in das Unternehmenssystem einloggt und zu Hause einen Router mit NAT-Funktionalität oder einen ähnlichen NAT-Dienst verwendet, wird gleichzeitig eine öffentliche IP-Adresse übertragen, die nicht im erlaubten IP-Adressbereich liegt.

Dieses Problem lässt sich umgehen, wenn das VPN-System die Möglichkeit bietet, dem externen Mitarbeiter eine virtuelle interne IP-Adresse zuzuteilen. So wirkt er nach dem Einloggen wie ein lokaler Mitarbeiter und hat Zugriff auf alle Applikationen. Da Firmen aus Kostengründen ihre Außenstellen immer öfter an Provider mit dynamischer Adressvergabe anschließen, ist es darüber hinaus von Vorteil, wenn die VPN-Lösung Site-to-Site-Verbindungen mit dynamischer Gegenstelle unterstützt.

Eine wichtige Rolle beim Aufbau eines VPN-Systems spielt letztlich auch die Verschlüsselung des Datenverkehrs. IPSec verwendet dafür das IKE-Protokoll (Internet Key Exchange), das den Schlüsselaustausch aushandelt und für Verschlüsselung und Authentifizierung der Gegenstellen zuständig ist. Selbst wenn die meisten Anbieter den IKE-Standard unterstützen, bestehen oft kleine, herstellertypische Abweichungen bei dessen Implementierung. Daher sollten bestimmte Kombinationen von VPN-Clients und -Server vorher ausgetestet werden. Dies schließt bereits im Vorfeld Probleme bei der Installation aus.

Steht die Verbindung zwischen VPN-Client und -Server, empfiehlt es sich, keine klassischen Benutzernamen und statischen Kennwörter zu wählen, weil sich diese leicht in Erfahrung bringen lassen, sei es durch Späh-Tools auf dem Client, Sniffer im Netzwerk oder durch einfaches Abschauen. Sicherer ist dagegen die Nutzung von digitalen Zertifikaten auf der Basis einer PKI-Infrastruktur. Allerdings fehlen für den unternehmensübergreifenden Einsatz teilweise noch die technischen und juristischen Grundlagen. Eine weitere Option ist die Nutzung biometrischer Verfahren. Da diese Technologien noch neu sind, bleibt aber teilweise ein Restrisiko bestehen.