Was Ihre VPN-Implementierung mindestens können muss

Wir zeigen, welche Funktionen eine VPN-Lösung haben muss und welche Konfigurationseinstellungen Sie für maximale Sicherheit wählen sollten.

Dieser Artikel behandelt

Netzwerk-Sicherheits-Tools

Bestimmte VPN-Implementierungen können speziell für Fernzugriffs-Netzwerke bessere Sicherheit bieten. Es ist wichtig...

zu beachten, dass die Produkte unterschiedlicher Anbieter eine Vielzahl von Besonderheiten besitzen.

Stellen Sie sicher, dass starke Verschlüsselungs-Einstellungen verwendet werden. Alle VPN-Produkte ermöglichen die Konfiguration der verwendeten Verschlüsselungs-Chiffre-Suiten. Für IPSec-Implementierungen wird dies wahrscheinlich 3DES (Data Encryption Standard) oder Advanced Encryption Standard (AES) sein. SSL-VPNs haben dagegen viel mehr Möglichkeiten, einschließlich Stream-Chiffren wie RC4. IPSec macht dies einfacher, weil der Client für bessere Kompatibilität vorkonfiguriert ist und deshalb einen bestimmten Algorithmus verwendet. SSL-VPNs auf der anderen Seite müssen Browser-Chiffre-Unterstützung berücksichtigen. Durch die Verbreitung von Schwachstellen bei SSL und Transport Layer Security (TLS), vor allem die jüngeren BEAST- und CRIME-Angriffe, ist die Verwendung von starken Chiffren wie TLS 1.2 zu empfehlen. Es sollte hierbei aber die Browser-Kompatibilität überprüft werden. Für Integritäts-Hashing ist der Secure Hash Algorithm (SHA)-1 besser als MD5. Die Schlüssellänge sollte ausreichend sein, mit einem Minimum von 256-Bit- (AES) oder 168-Bit-Schlüssel (3DES). 1024-Bit-Schlüssel für Schlüsselaustauschalgorithmen (wie RSA) und 512-Bit-Hash-Algorithmen (wie für SHA-1) sind anzuraten.

Bewerten Sie die Endpunkt-Sicherheitsrichtlinien. Die verschiedene Hersteller bieten eine Vielzahl von Endpunkt-Sicherheitsrichtlinien, einschließlich Betriebssystem- und Browser-Tests, Anti-Malware-Checks, Löschen von Browser-Cache und Cookies beim Abmelden sowie clientseitige Multifaktor-Prüfung (Smartcards, USB-Token, etc.). Standort-zu-Standort-VPNs bieten diese Art von Policies nicht.

Setzen Sie Sitzungs-Zeitlimits. Alle VPN-Implementierungen ermöglichen Session Timeouts. Sie sollten für so kurze Zeit konfiguriert sein, wie Sie es gerade noch bequem finden. Abhängig von den Geschäftsanforderungen, sind 10 bis 15 Minuten der Inaktivität in der Regel ausreichend. SSL-VPNs unterstützen meistens auch das automatische Schließen des Browser-Fensters.

Sorgen Sie dafür, dass sichere IPsec-Einstellungen verwendet werden. IPsec hat eine große Anzahl von Konfigurationsoptionen. Viele Organisationen, stellen aber Bequemlichkeit und Einfachheit über Sicherheit, ohne es zu merken. Zum Beispiel nutzen viele IPsec-Implementierungen ein „gemeinsames Geheimnis“ (Shared Secret), das von VPN-Gateways bekannt ist. Das Shared Secret muss in der Authentifizierungs-Konfiguration enthalten sein. Die Verwendung eines anderen Shared Secret für jede Seite ist vorzuziehen und nicht schwierig einzurichten. Der Einsatz von Zertifikaten, die von einer internen Zertifizierungsstelle bereitgestellt werden, ist etwas mehr Arbeit, aber deutlich sicherer.

Darüber hinaus ist das Internet Key Exchange-Protokoll, das zum Aufbau einer IPSec-Sicherheitszuordnung verwendet wird, oft im Aggressive Mode für Komfort und Leistung konfiguriert. Dies ist aber eine schwache Austauschmethode und stattdessen sollte der Main Mode verwendet werden.

Nutzen Sie starke Multifaktor-Authentifizierung. Alle VPNs sollten speziell für Fernzugriff-Konfigurationen irgendeine Form von Multifaktor-Authentifizierung unterstützen, die jedoch kritisch zu implementieren ist. Clientseitige Zertifikate und Smartcards sowie Zweifaktor-Token und Einmal-Passwörter für mobile Geräte gehören zu den beliebtesten Optionen. Wirklich alles ist besser als nur Benutzernamen und Passwörter.

Patchen und die Appliance oder Software updaten. Sämtliche VPN-Software und Appliances müssen gelegentlich aktualisiert werden. Stellen Sie sicher, dass diese Systeme in ihre bestehende Vulnerability-Management-Strategie integriert sind. So vermeiden Sie, dass sie Sicherheitslücken ausgesetzt sind oder Verfügbarkeitsprobleme haben.

Fazit

Dies sind natürlich nur Startpunkte, denn das Erstellen von Zugriffskontrollen für bestimmte Anwendungen und Benutzer benötigt viel mehr Planung. Einige VPNs unterstützen den Zugriff auf virtuelle Desktop-Infrastrukturen und andere interne Ressourcen. Damit vereinfachen und erleichtern sie die sichere Verbindung von Remote-Clients. Da die Anbieter unterschiedliche Konfigurationsmöglichkeiten bieten, ist es wichtig, alle verfügbaren Sicherheitseinstellungen zu verstehen. So können Sie diejenigen wählen, die die beste Balance zwischen Leistung, Benutzerfreundlichkeit und Sicherheit ermöglichen.

Artikel wurde zuletzt im August 2014 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Best Practice: Netzwerk-Sicherheit und -Tools

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchDataCenter.de

SearchEnterpriseSoftware.de

Close