Die Sicherheit virtueller privater Netzwerke (VPN) ist seit jeher wichtig und angesichts der aktuellen COVID-19-Pandemie nun zwingend erforderlich. Fernarbeit hat sich schnell zur neuen Normalität entwickelt und dementsprechend ist die Nachfrage nach VPN-Funktionen sprunghaft angestiegen. Leider – wenn auch nicht überraschend – haben gleichzeitig auch die Angriffe auf VPNs stark zugenommen. Um die Schwere der Lage zu unterstreichen, veröffentlichte die Cybersecurity and Infrastructure Security Agency (CISA) des US-Heimatschutzministeriums im März die Warnmeldung AA20-073A zur Enterprise-VPN-Sicherheit.
Im Wesentlichen erweitern VPNs den Netzwerkumfang des Unternehmens und ermöglichen Benutzern den Zugriff auf Applications von überall. Die Infrastruktur vor Ort ist effektiv nur noch „einen Hop“ (oder einen Klick) vom Benutzergerät entfernt. Ebenso besteht nur ein Katzensprung weit entferntes Sicherheitsrisiko für Unternehmensanlagen. Angreifer müssen möglicherweise nicht mehr auf komplexe Perimetersicherheitsebenen (Proxys, WAF, Angriffserkennung usw.) zurückgreifen, sondern eine einzige Schwachstelle oder eine unsichere Implementierung eines VPN kann Unternehmensressourcen und persönliche Informationen offenlegen.
In diesem Artikel konzentrieren wir uns auf einige der Schlüsselbereiche, die für die Bewertung der Sicherheit Ihres VPN entscheidend sind.
Benutzer initiieren normalerweise einen SSL-VPN-Tunnel von ihren Endpunktgeräten wie Desktops, Laptops und Mobilgeräten aus. Diese Endpunkte werden sowohl zu Einstiegspunkten als auch zu Hauptzielen für böswillige Akteure, die versuchen, sie als Angriffsvektoren zu verwenden. Daher ist es wichtig, dass Sie vor dem Einrichten eines VPN-Tunnels immer sicherstellen, dass ein Endpunkt sicher ist. Endpunktsicherheit ist ein strategischer Ansatz, um sicherzustellen, dass ein Client-Gerät kein Sicherheitsrisiko darstellt, bevor ihm eine Fernzugriff Zugriffsverbindung zum Netzwerk gewährt wird. Eine solche Strategie kann beispielsweise eine systematische Überprüfung des Client-Computerzertifikats und des Client-Typs und/oder der Version des Client-Browsers, eine Patch-Überprüfung der Anti-Spyware- und Antivirensoftware sowie die Kontrolle der Client-Firewall-Regeln umfassen.
Die Bewertung der Endpunkt-Sicherheitslage erfolgt im Allgemeinen beim Beginn der Sitzung, bevor ein VPN-Tunnel hergestellt wird. Sie kann jedoch auch regelmäßig während der VPN-Sitzung des Benutzers erfolgen. Durch die kontinuierliche Bewertung der Endpunkt-Sicherheitslage werden nachfolgende Risiken verringert, indem überprüft wird, dass die Endpunkte nach der Einrichtung des ersten VPN-Tunnels nicht kompromittiert wurden.
Bei der Authentifizierung wird die Identität des Benutzers überprüft, bevor ein VPN-Tunnel eingerichtet wird. Durch die Überprüfung der Anmeldeinformationen von Remote-Mitarbeitern wird sichergestellt, dass nur legitime Benutzer Zugriff auf interne Ressourcen und Applications haben.
Angesichts der zunehmenden Verwendung von Credential Stuffing und Account Takeover-Methoden (ATO) könnte ein Angreifer jedoch scheinbar im Besitz gültiger Benutzeranmeldeinformationen sein und die Einzelfaktor-Authentifizierung umgehen. Daher ist es wichtig, eine Multi-Faktor-Authentifizierung für Ihr VPN zu implementieren.
MFA erhöht die Sicherheit, indem Benutzer vor dem Aufbau eines VPN-Tunnels zwei oder mehr überprüfbare Authentifizierungsfaktoren angeben müssen. Dieser Ansatz ermöglicht es MFA, Branchenschätzungen zufolge 99,9 % der Account-Takeover-Angriffe (ATO) effektiv zu blockieren. Gängige Authentifizierungsfaktoren sind:
Nachdem ein Benutzer authentifiziert wurde, werten Autorisierungsrichtlinien den Berechtigungssatz des Benutzers aus, um spezifischen Zugriff auf interne Ressourcen und Applications zu gewähren und entsprechende Einschränkungen durchzusetzen. Der Zugriff wird über verschiedene Berechtigungsmodelle gewährt, beispielsweise über die rollenbasierte Zugriffskontrolle (RBAC). Durch die Implementierung zusätzlicher Sicherheitskontrollen wie ACLs während der Einrichtung des VPN-Tunnels können für VPN-Benutzer bestimmte Berechtigungen und Einstellungen erzwungen werden.
Die Verschlüsselung gewährleistet die Vertraulichkeit und Integrität der Daten, wenn Unternehmensdaten über gemeinsam genutzte oder öffentliche Netzwerke durch den VPN-Tunnel übertragen werden.
Um vertrauliche Daten offenzulegen, können böswillige Akteure versuchen, private Schlüssel zu stehlen, bekannte Schwachstellen in der kryptografischen Implementierung auszunutzen oder schwache kryptografische Parameter zu knacken.
Beim Konfigurieren eines SSL-VPN sollten Sie die Verwaltung des Schlüsselaustauschs und die Stärke kryptografischer Chiffren berücksichtigen. Versionen vor TLS1.3 enthalten bekannte Mängel in der Protokolldefinition und in deren Implementierung. Zu den weiteren Exploits zählen der Missbrauch der Client-Neuverhandlung und die Verwendung schwacher kryptografischer Grundelemente wie RC4-Stream- und Export-Grade-Chiffren.
Wenn die meisten oder alle Ihrer Mitarbeiter Remote-Mitarbeiter sind, ist die Verfügbarkeit Ihres VPN-Servers (manchmal auch als VPN-Konzentrator bezeichnet) für die Geschäftskontinuität ebenfalls von entscheidender Bedeutung. Umgekehrt können VPN-Server ein bevorzugtes Ziel für böswillige Akteure sein, die versuchen, Ihre VPN-Server mit zufällig verteilten automatisierten Anfragen zu überlasten und das VPN dadurch für legitime Benutzer unzugänglich zu machen.
Auf SSL-VPNs kann über eine IP-Adresse/URL zugegriffen werden (im Webbrowser oder in einem VPN-Client konfiguriert). Dadurch sind sie für dieselben DDoS-Angriffsmuster anfällig, die auch auf Webserver abzielen, wie etwa HTTP-Flood, SSL-Flood, SSL-Neuverhandlung, TCP-Blend-Angriffe usw.
Um die Geschäftskontinuität über Ihr VPN sicherzustellen, kann es daher wichtig sein, Ihr VPN so zu konfigurieren, dass es im Rahmen Ihrer umfassenderen Sicherheitsstrategie DDoS-Angriffe erkennt und abwehrt.
Weitere Ressourcen: