Ratgeber - Sicherer Netzzugang mit VPN-Technologie

Sicherheit am Endpunkt des VPN-Tunnels

Zu den zentralen Elementen eines VPN zählen zudem die Sicherheitsmechanismen von der Authentifizierung über die Tunneltopologie und die Verschlüsselung bis hin zur Schlüsselverwaltung. Aufgaben, die ebenfalls in die Zuständigkeit eines VPN-Management-Servers fallen. Allerdings ist dabei zu beachten, dass bei VPN-Verbindungen nicht nur die Übertragungsstrecke zu sichern ist, sondern auch das jeweilige Endgerät. Was heute unter Begriffen wie "Network Admission Control" (NAC), "Network Access Protection" (NAP) oder "Endpoint Security" vor allem von den Marketing-Abteilungen der Netzwerk- und Sicherheitsanbieter hoch gehandelt wird, ist im VPN-Bereich eigentlich ein alter Hut. Jedenfalls insofern, als ein unsicherer Client (als der eine Endpunkt des VPN-Tunnels) nicht in Frage kommen darf und kann. Denn wenn ein Endpunkt - in diesem Fall der Client-Rechner - infiltriert werden konnte, dann »tunnelt« sich der Angreifer unerkannt in das Unternehmensnetz.

Vom zentralen Management-Server sollte deshalb auf alle Clients - ganz gleich ob Notebook, Bürorechner oder Smartphone - eine Personal Firewall aufgespielt werden, die an das jeweilige Endgerät angepasst ist. Darauf sind Regelwerke für Ports, IP-Adressen und Applikationen definierbar. Neben der richtigen Einstellung der Firewall müssen die Endpunkte auch darauf hin geprüft werden, ob beispielsweise die neueste Version eines Virenschutzprogramms installiert und alle Patches aufgespielt sind. Alle Prüfungen des zentralen Management-Servers sind dabei so zu gestalten, dass sie der Nutzer nicht umgehen kann. Sämtliche Nutzer, die diese Kriterien nicht mit Bravour erfüllen, müssen vom Unternehmensnetz ausgeschlossen bleiben beziehungsweise erst einmal in einer Quarantäne-Zone landen.

Weiter sollte das Sicherheits-Management in der Lage sein, zwischen sicheren und unsicheren Netzen zu unterscheiden und die jeweiligen Zugriffsziele auf die Sicherheitsqualität der Übertragungsstrecke abzustimmen. Last, but not least muss ein zentrales VPN-Management auch alle gängigen Formen der Nutzerauthentifizierung verarbeiten. Die Palette reicht von Einmal-Passwort-Tokens über digitale Zertifikate (mit und ohne Smartcard) bis hin zu biometrischen Eingabeverfahren.