M 4.319 Sichere Installation von VPN-Endgeräten

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Mit dem Aufbau eines VPNs kann begonnen werden, sobald die erforderlichen Komponenten dafür beschafft worden sind (siehe M 2.419 Geeignete Auswahl von VPN-Produkten). Grundvoraussetzung für den sicheren VPN-Betrieb ist, dass die Installation und Konfiguration aller Komponenten gewissenhaft erfolgt und sich mit den gewählten VPN-Produkten auch tatsächlich die geforderten Sicherheitsfunktionen umsetzen lassen.

Zusätzlich muss die Sicherheit der IT-Systeme gewährleistet werden, auf denen die VPN-Komponenten eingesetzt werden. Dies betrifft besonders IT-Systeme, auf denen ein Standard-Betriebssystem installiert ist und das als VPN-Endpunkt betrieben wird (Beispiel: Linux-System mit VPN-Unterstützung). Daher sind zunächst die generellen Sicherheitsmaßnahmen für jedes dieser Betriebssysteme umzusetzen, wie sie in den jeweiligen Bausteinen der IT-Grundschutz-Kataloge beschrieben werden. Es gibt auch VPN-Komponenten, bei denen die Konfiguration der Plattform vom Hersteller vorgegeben ist und nicht geändert werden kann (VPN-Appliances). Der Einsatz solcher VPN-Geräte spart einerseits Zeit und es wird im Gegensatz zu einer individuellen Lösung weniger fachkundiges IT-Personal benötigt, z. B. für die Konfiguration des Betriebssystems. Andererseits muss beim Einsatz von Appliances den Vorgaben des Herstellers vertraut werden.

Im Rahmen der Installation eines VPNs sollten ebenfalls folgende Punkte betrachtet werden:

Ist die grundlegende Installation erfolgt, so kann mit der in Maßnahme M 4.320 Sichere Konfiguration eines VPNs ausgeführten Konfiguration begonnen werden. Diese muss das System in einen sicheren Betriebszustand überführen, damit anschließend der laufende Betrieb aufgenommen werden kann. Für den reibungslosen Betrieb des VPNs sind die in Maßnahme M 4.321 Sicherer Betrieb eines VPNs erwähnten Handlungsweisen essenziell. Die dabei gewonnenen Erkenntnisse und Korrekturmaßnahmen müssen angemessen dokumentiert und in das Feinkonzept eingearbeitet werden.

Beispiel:

Nachfolgend werden die wesentlichen Punkte bei der Installation eines VPN-Systems beispielhaft dargestellt. Da die jeweiligen Konfigurationen von Hersteller zu Hersteller differieren, wird nur ein Grundgerüst vorgestellt, welches keinen Anspruch auf Vollständigkeit erhebt.

Für einen Remote Access-VPN-Client sollten während der Installation folgende Punkte beachtet werden:

Für einen Remote Access-VPN-Server sollten folgende Punkte beachtet werden:

Prüffragen: