M 4.224 Integration von VPN-Komponenten in ein Sicherheitsgateway

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Für die Sicherheit eines VPNs ist die Integration der VPN-Endpunkte in die Sicherheitsgateways essentiell. Die optimale Platzierung der VPN-Komponenten ist dabei abhängig von mehreren Faktoren:

Die bekanntesten Protokolle zum Aufbau von VPNs sind IPSec, TLS/SSL, PPTP und L2TP. Daher werden im Folgenden solche VPNs betrachtet. Die hier dargestellten Empfehlungen lassen sich jedoch auch auf die meisten anderen Verfahren übertragen. Die Entscheidung für ein bestimmtes Verfahren hängt von der jeweiligen Anwendung und vom Einsatzgebiet ab. Es kann durchaus zweckmäßig sein, dass eine Institution mehrere VPNs mit unterschiedlichen VPN-Protokollen und Kryptoverfahren betreibt.

Die Entscheidung, welche Verfahren eingesetzt und wie die einzelnen VPN-Komponenten angeordnet werden sollen, ist zu dokumentieren.

VPNs mittels IPSec oder TLS/SSL

Der Ort der Integration des VPN-Gateways relativ zum Paketfilter des Sicherheitsgateways hängt davon ab, wie viele Schnittstellen dem VPN-Gateway zur Verfügung stehen.

Platzierung einer VPN-Komponente mit einer Schnittstelle

Abbildung 1: Platzierung einer VPN-Komponente mit einer Schnittstelle

Platzierung einer VPN-Komponente mit zwei Schnittstellen

Abbildung 2: Platzierung einer VPN-Komponente mit zwei Schnittstellen

VPNs mittels Layer-2-Protokollen

Layer-2-VPNs können beispielsweise mit Hilfe der Protokolle PPTP (Point to Point Tunneling Protocol) und L2TP (Layer 2 Tunneling Protocol) realisiert werden. Sie werden häufig verwendet, um VPNs über öffentliche Telekommunikationsnetze, beispielsweise GSM oder ISDN, aufzubauen. Zur Netztrennung sollte auch für Layer-2-VPNs ein ALG zwischen dem LAN und der VPN-Anbindung verwendet werden.

Bei der Anbindung verschiedener Nutzergruppen mit verschiedenen Rechten sollte jeder Nutzergruppe ein eigener Schlüsselkreis zugeordnet werden, um die Vertraulichkeit der übertragenen Daten zwischen den Nutzergruppen sicherzustellen.

Prüffragen: