:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/2b/8b2b54e445a1feb1e0c7e80adaa0f064/0112150345.jpeg "Im Security-Talk besprechen wir weit mehr als Pleiten, Pech und Patches. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/b1/19/b119dde55e2269c94ef94a6d1d0a291e/0114244104.jpeg "Der Erfolg eines Bug Bounty Programms hängt weitgehend von der Organisation der Zusammenarbeit mit den Forschenden ab. (Bild: Tobias - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/2b/d52bab1274ffd2ebf852bc5151087ce2/0114319310.jpeg "Schweden erlebte im Zusammenhang mit seiner NATO-Bewerbung im Mai einen DDoS-Angriff, der in 500 Gbit/s gipfelte. (Bild: metamorworks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ca/c2/cac291e0070a2c8ed93aa4c2b15ced0c/0114113039.jpeg ""Daten sichern mit Daten - Die Zukunft der Cybersicherheit", ein Interview von Oliver Schonschek, Insider Research, mit Matthias Canisius von SentinelOne. (Bild: Vogel IT-Medien / SentinelOne / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/8a/c9/8ac992219c3dea0e3a61db00f9cf4a94/0114320983.jpeg "Bundesinnenministerin Nancy Faeser (SPD) möchte unabhängig vom Spionage-Thema auch eine zu große Abhängigkeit von chinesischen 5G-Komponenten verhindern. (Bild: Artinun - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/2a/c82a7e10b02b1679f7eacdc8fa1dafec/0113847105.jpeg "Rubrik setzt bei „AI-Powered Cyber Recovery“ unter anderem auf generative KI. (Bild: Rubrik)")
:quality(80)/p7i.vogel.de/wcms/12/58/12582dfe400f011eb34437a6a7510c94/0114247209.jpeg "Cyberkriminelle nutzen immer häufiger verschlüsselten Datenverkehr um Unternehmen anzugreifen. Gigamons Precryption-Technologie deckt bisher verborgene Bedrohungen auf, einschließlich Lateral Movement, Malware-Verteilung und Datenexfiltration in virtuellen, Cloud- und Container-Anwendungen. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/4d/df4dddc448214d8fcc5545d729fc566d/0114322223.jpeg "Digitale Identitäten können den Zugang in die digitale Welt erleichtern und auch Gegenstände identifizierbar machen. (Bild: vegefox.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/85/a585575bd16dcca383fb99f047ac6b97/0114320278.jpeg "Organisationen aller Art müssen sicherstellen, dass sie auf Security-Bedrohungen angemessen vorbereitet sind. (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
IP-Insider fragt nach – VPN-Experte Rainer Enders antwortet Wird ein IPsec-VPN bei falscher Konfiguration zum Sicherheitsrisiko?
Beim Einsatz eines Virtual Private Networks ist die Sicherheit der Verbindung entscheidend. Ob diese Sicherheit durch eine falsche Client-Konfiguration gefährdet werden kann, wie sich eine optimale VPN-Konfiguration sicherstellen lässt und welche Sicherheitslöcher IPsec und SSL lauern, erläutert VPN-Experte Rainer Enders im Gespräch mit IP-Insider.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/5e/4d/5e4d4b19a3c54/moxa-logo.jpg "Moxa_Logo.jpg (Moxa Europe GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
IP-Insider: Herr Enders, kann man einen VPN Client versehentlich falsch konfigurieren und dadurch die Sicherheit des VPNs gefährden und, wie kann man eine geeignete VPN Client Konfiguration sicherstellen?
Rainer Enders: Die gute Nachricht ist, dass ein VPN fast vollständig binär funktioniert. Das heißt, entweder wird eine sichere Verbindung hergestellt oder gar keine. Kann keine sichere Verbindung hergestellt werden, gibt es auch keinen Traffic zu gesicherten Ressourcen, was wenig Raum für Sicherheitslücken lässt.
Sicherheitslücken entstehen allerdings auf subtilere Art und Weise. Dabei gehe ich hier aber nur auf IPsec-VPNs ein, die aktuell sicherste VPN-Technologie. Denn im Zusammenhang mit SSL-VPNs stellen sich ganz andere Herausforderungen insbesondere in Verbindung beim Einsatz mit Web-Browsern.
Trotz der vermeintlichen Auffassung, dass SSL-VPNs clientlos seien, ist der Web-Browser hier eine wichtige und kritische Komponente. Die Bequemlichkeit, die durch die weite Verbreitung der Web-Browser entsteht, hat große Auswirkungen auf die Sicherheit in Bezug auf Art und Ort des Browsereinsatzes und kann zu gravierenden Sicherheitslücken führen. Diese Zusammenhänge hat NCP in seinem Whitepaper "Debunking the Myths of SSL VPN [PDF, ca. 1 MB]" detailliert ausgeführt.
Also zurück zum klassischen, client-basierten VPN. Bei jeder VPN Verbindung gibt es zwei Seiten: den VPN-Client und die Gegenstelle am VPN-Gateway. Eine mögliche Fehlkonfiguration am VPN-Client, die Sicherheitsprobleme hervorrufen kann, ist die Manipulation von Phase-1- und/oder Phase-2-Vorschlägen zu den Authentisierungs- und Verschlüsselungsalgorithmen der IPsec-Verbindung.
Wenn beispielsweise der Client laut Konfiguration mit AES128 verschlüsselt, der Nutzer aber den Algorithmus auf DES setzt, dann reduziert sich die gesamte Sicherheit erheblich, da DES eine deutlich schwächere Verschlüsselung und dadurch stärker gefährdet ist. Ein vom Client initiiertes Umschalten von AES128 auf DES bedingt natürlich, dass das Gateway DES als validen Sicherheitsparameter anerkennen muss. Ist dies nicht der Fall, kann bereits das Gateway eine gewisse Kontrolle ausüben und veraltete Sicherheitsprotokolle ablehnen.
Eine andere, subtilere Sicherheitslücke kann entstehen, wenn Nutzer willkürlich VPN-Client-Parameter ändern, wie beispielsweise den Preshared Key. Üblicherweise weiß der Nutzer diesen Wert nicht und nach einer Änderung kann der Client keine VPN-Verbindung mehr aufbauen. Damit der Client wieder funktioniert, versucht der Nutzer in dieser Situation den richtigen Parameterwert zu erhalten. Während der Übertragung dieses wichtigen Sicherheitsparameters können Sicherheitslücken entstehen, wenn der Schlüssel beispielsweise per E-Mail verschickt wird und das womöglich noch an den öffentlichen Yahoo, Gmail oder Hotmail Account des Nutzers, oder der Schlüssel bei einem Telefongespräch mitgehört wird.
Enthält der VPN-Client andere für die Sicherheit relevante Funktionen, wie beispielsweise eine Client-Firewall, wird es noch brenzliger. Ändert der Nutzer wichtige Firewall-Regeln, die aufgestellt wurden, um das Endgerät zu schützen, entstehen weitere beträchtliche Sicherheitslücken.
Ein vorkonfigurierter VPN-Client mit einer gesperrten Konfiguration kann diese Probleme vermeiden, denn die Konfigurationssperre verhindert unberechtigte Änderungen. Werden die VPN-Clients vollständig gemanagt, kann der Administrator Konfigurationen im laufenden Betrieb verändern oder zurücknehmen. Durch das Management System werden zudem identische und gültige Konfigurationen zuverlässig an die VPN-Clients weitergegeben, wodurch Fehlkonfigurationen von vorneherein vermieden werden.
Über den Experten
Rainer Enders ist technischer Leiter der NCP Engineering in Nordamerika, einer Niederlassung der deutschen Firma NCP Engineering GmbH, welche Lösungen für sicheren Remote Access VPN entwickelt.
Enders arbeitet seit 20 Jahren in der Netzwerk- und Sicherheitsindustrie und hatdarüber hinaus Erfahrung in Testautomatisierung, Qualitätssicherung sowie Test und Verifikation von komplexen Netzwerk- und Systemarchitekturen.
Bevor Rainer Enders 2010 zu NCP wechselte, war er Geschäftsführer seiner eigenen Consultingfirma, Rainer Enders Consulting Enterprises, die sich auf Computer-Netzwerksicherheit und Storage Netzwerke spezialisiert hatte. Davor besetzte er verschiedenste technische Posten bei Identity Engines, NeoScale Systems, Yipes Enterprise Services und Ericsson.
(ID:36617690)
:quality(80)/p7i.vogel.de/wcms/f7/6b/f76bad138fe92b08347abc030ba9b460/0104986873.jpeg "Die gewählte VPN-Lösung bestimmt, wie hoch das Maß an Privatsphäre und Sicherheit ausfällt. (Bild: © – WrightStudio – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/90/78/9078279d8845973a054aee643d1e75c0/0104863112.jpeg "NCP Windows-Clients ab Version 13.0 unterstützen stärkere Verschlüsselungsalgorithmen im WLAN. (Bild: NCP)")