Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 4.224 Integration von Virtual Private Networks in ein Sicherheitsgateway - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 4.224 Integration von Virtual Private Networks in ein Sicherheitsgateway

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: Administrator

Virtual Private Networks (VPNs) werden häufig mittels IPSec oder SSL aufgebaut. Vor der Beschreibung der Realisierungsformen werden grundlegende Anforderungen an VPNs bzw. Schwachpunkte von VPNs beschrieben.

Anforderungen

Im Zusammenhang mit Sicherheitsgateways bietet sich der Tunnelmodus zum Betrieb eines VPNs an, da die VPN-Funktion von einem zentralen Gateway übernommen werden kann und keine Anpassungen der Rechner in den vertrauenswürdigen Netzen notwendig ist. Zudem sind bei Verwendung des Tunnelmodus in der Regel weniger Paketfilterregeln als beim Transportmodus notwendig (dies entfällt, falls je nach der gewählten Integrationsvariante der VPN-Verkehr keinen Paketfilter mehr passiert, siehe später).

Nach den allgemeinen Hinweisen zu VPNs werden im Folgenden Realisierungsformen von VPNs anhand von IPSec und SSL vorgestellt.

VPNs mittels IPSec

Vor und Nachteile von VPNs mittels IPSec stellen sich wie folgt dar:

 
Vorteile von VPNs mittels IPSec   Nachteile von VPNs mittels IPSec 

Bereitstellung ganzer Netze über eine zentrale VPN-Komponente möglich.

 

Integration einer Hardware-Komponente in das Sicherheitsgateway notwendig. Die Platzierung der VPN-Komponente ist im Einzelfall zu betrachten, da aufgrund der unterschiedlichsten Anwendungszusammenhänge keine allgemeingültigen oder grundlegenden Aussagen zur Platzierung möglich sind.

 

Einmalige Integration des VPN-Gateways an zentraler Stelle.

 

Ausfall des zentralen VPN-Gateways verursacht Komplettausfall des (VPN-) Netzwerks.

 

Tabelle: Vorteile und Nachteile von VPNs mittels IPSec

Im Zusammenhang mit VPNs muss zwischen einem Trusted-VPN und einem Secure-VPN unterschieden werden:

Der Ort der Integration des VPN-Gateways relativ zum Paketfilter des Sicherheitsgateways hängt davon ab, wie wenig vertrauenswürdig das externe Netz ist. Prinzipiell existieren dabei (auch dann, wenn nur ein einstufiges

Sicherheitsgateway bestehend aus einem Paketfilter eingesetzt wird) drei Möglichkeiten:

  1. Bei einem hohen Angriffspotenzial sollte das VPN-Gateway durch einen Paketfilter geschützt, also zwischen ALG und äußerem Paketfilter platziert werden.
    In diesem Fall wird einerseits das VPN-Gateway geschützt, andererseits ist es aber nicht mehr möglich, den eintreffenden Datenverkehr auf dem Paketfilter portabhängig zu filtern. Da der über das VPN kommende Verkehr ebenfalls aus einem vertrauenswürdigen Netz kommt, kann dieser Nachteil aber normalerweise in Kauf genommen werden.
Platzierung der VPN-Komponente hinter dem Paketfilter

Abbildung: Platzierung der VPN-Komponente "hinter" dem Paketfilter.

 
Vorteile   Nachteile 

Das VPN-Gateway (insbesondere der TCP/IP-Stack des VPN-Gateways) wird durch den Paketfilter geschützt.

 

Filterung durch den Paketfilter nur anhand der Informationen des IP-Headers möglich. Einige grundlegende Portfilterfunktionen können allerdings von einem ALG wahrgenommen werden.

 

Einfache Administration des Paketfilters, da nur die IP-Adresse des VPN-Gateways als Absenderadresse erscheint.

 

Der Paketfilter darf keine NAT vornehmen.

 

Tabelle: Vorteile und Nachteile von VPN-Gateways

  1. Ist die Angriffswahrscheinlichkeit auf das Sicherheitsgateway gering, weil das externe Netz "relativ vertrauenswürdig" ist, so kann das VPN-Gateway auch "vor" dem Paketfilter platziert werden:
Platzierung der VPN-Komponente vor dem Paketfilter

Abbildung: Platzierung der VPN-Komponente "vor" dem Paketfilter.

 
Vorteile   Nachteile 

Filterung anhand der Informationen des TCP-Headers möglich.

 

Kein Schutz des VPN-Gateways durch den Paketfilter. (Werden dedizierte VPN-Komponenten eingesetzt, ist ein Schutz durch einen Paketfilter in der Regel nicht notwendig.)

 

Möglichkeit zur NAT durch den Paketfilter.

 
 

VPN-Komponente kann durch einen externen Dienstleister betrieben werden.

 
 

Tabelle: Vorteile und Nachteile von VPN-Gateway vor dem Paketfilter

  1. Alternativ zur Platzierung vor dem äußeren Paketfilter kann das VPN-Gateway auch an eine weitere Netzschnittstelle des ALG angeschlossen werden. Ist das zur Übertragung der Daten genutzte Netz nur in sehr geringem Maße nicht vertrauenswürdig, kann eventuell sogar auf den Einsatz eines Paketfilters verzichtet werden. Ein konkreter Einsatzzweck hierfür ist beispielsweise die Kopplung zweier räumlich getrennter LANs, die über gemietete, nur von einem Nutzer bzw. Betreiber verwendete Leitungen verbunden werden sollen. In diesem Fall braucht die Verbindung nicht unbedingt durch einen Paketfilter vor Angriffen auf Dienste geschützt zu werden.

Platzierung der VPN-Komponente zwischen ALG und
vertrauenswürdigem Netz ohne Verwendung eines Paketfilters

Abbildung: Platzierung der VPN-Komponente zwischen ALG und vertrauenswürdigem Netz ohne Verwendung eines Paketfilters.

 
Vorteile   Nachteile 

Keine Einschränkungen der Paketfilterfunktionalität, da über den Paketfilter kein verschlüsseltes Protokoll geleitet wird.

 

Einsatz nur bei Verbindung zweier vertrauenswürdiger Netze.

 

Keine Einschränkungen der VPN-Funktionalität, da die VPN-Kommunikation nicht über einen Paketfilter geleitet wird.

 

 

Tabelle: Vorteile und Nachteile von VPN-Gateways zwischen ALG und vertrauenswürdigem Netz

Neben dem Aufbau von VPNs mittels IPSec können sichere Zugänge zu Anwendungen in vertrauenswürdigen Netzen auch mittel SSL-VPNs hergestellt werden. Diese werden im folgenden Abschnitt vorgestellt.

VPNs mittels SSL

Vor- und Nachteile von VPNs mittels SSL stellen sich wie folgt dar:

 
Vorteile von VPNs mittels SSL   Nachteile von VPNs mittels SSL 

Gezielte Bereitstellung einzelner Server für einzelne Nutzer möglich.

 

Evtl. hohe Performanceeinbußen auf dem Server, da der Server die Verschlüsselungsfunktion übernehmen muss (falls hierfür keine eigene Komponente verwendet wird).

 

Bereitstellung von Servern mit fast jedem ALG möglich.

 

Nicht web-basierte Anwendungen erfordern oftmals die Ausführung von ActiveX-Komponenten oder Java-Applets im Browser des Nutzers.

 

Einfache (aber auch eventuell unsichere) Integration in Web-Browser möglich.

 

Nicht web-basierte Anwendungen erfordern die Integration von SSL-Unterstützung auf dem Server, was aufgrund der Komplexität von SSL zur Fehladministration führen kann.

 

Für web-basierte Anwendungen sind keine Clients außer dem Browser notwendig.

 

Anpassung an neu eingeführte Applikationen/Protokolle notwendig.

 

Gegenüber IPSec feinere Abstimmung von Zugriffsregelungen möglich.

 
 

Tabelle: Vorteile und Nachteile von VPNs mittels SSL

Die Kommunikationsbeziehung zwischen Client und Server ist in Abbildung ersichtlich. Der SSL-verschlüsselte Datenverkehr sollte über jedes verfügbare ALG mittels generischer Proxies geleitet werden können.

Überblick über VPNs mit SSL

Abbildung: Überblick über VPNs mit SSL

Existieren dedizierte Sicherheitsproxies für eine mittels SSL bereitgestellte Anwendung, so kann deren Funktionalität zur Durchsetzung von Sicherheitsleitlinien genutzt werden, wenn die verschlüsselte Verbindung aufgebrochen, gefiltert und wieder verschlüsselt wird. Dieses Szenario stimmt - abgesehen vom Typ des verwendeten Sicherheitsproxies - mit dem Einsatz eines HTTPS-Proxies überein.

Überblick über VPNs mit SSL. Die Verbindung wird temporär zur
Kontrolle der übertragenen Daten entschlüsselt.

Abbildung: Überblick über VPNs mit SSL. Die Verbindung wird temporär zur Kontrolle der übertragenen Daten entschlüsselt.

Bei der Anbindung verschiedener Nutzergruppen mit verschiedenen Rechten sollte jeder Nutzergruppe ein eigener Schlüsselkreis zugeordnet werden, um die Vertraulichkeit der übertragenen Daten zwischen den Nutzergruppen sicherzustellen.

In der Regel bieten sich zur Erstellung eines VPN der Einsatz einer dedizierten Lösung eines Herstellers oder der Einsatz der Implementierung eines offenen Standards (z. B. FreeS/WAN bzw. IPSec) an. Die Vor- und Nachteile beider Lösungen sind im Folgenden beschrieben.

Proprietäre Lösungen

In der folgenden Tabelle werden Vor- und Nachteile von dedizierten Modulen zum Aufbau eines VPN vorgestellt:

 
Vorteile  Nachteile 

Geringer Installationsaufwand bis zur Inbetriebnahme, da die Produkte zur schnellen Inbetriebnahme entsprechend vorbereitet sind (oder im Einzelfall vom Hersteller entsprechend vorbereitet werden).

 

Möglicherweise Schwächen im Verschlüsselungsverfahren, wenn proprietäre Verschlüsselungsverfahren eingesetzt werden. Offengelegte Verschlüsselungsverfahren sind in der Regel den proprietären Verfahren vorzuziehen, da bei offengelegten Verfahren in der Regel mehr Teilnehmer an der Schwachstellenanalyse beteiligt sind.

 

Hoher Schutz vor Kompromittierung des Systems, da viele Funktionen in die Hardware integriert sind.

 

Softwarefunktionen sind durch Angriffe leichter zu kompromittieren. Programmierfehler bleiben unter Umständen lange unentdeckt, falls ein Produkt nur eine geringe Verbreitung besitzt. Bei wenig verbreiteten Produkten werden Hinweise zu Schwachstellen und Patches möglicherweise nicht von bekannten Medien publiziert, so dass das Auftreten von Sicherheitslücken unbekannt bleiben kann.

 

Evtl. höhere Geschwindigkeit, da dedizierte Produkte oft auf hohe Geschwindigkeit hin optimiert sind.

 

Aufgrund proprietärer Bauteile und der hohen Integration von Funktionen in Hardware resultieren geringe Erweiterungsmöglichkeiten.

 

Geringer Wartungsaufwand, falls das Produkt (vom Hersteller) ferngewartet werden kann und z. B. Patches automatisch über das Internet installiert werden können.

 
 

Tabelle: Vorteile und Nachteile von dedizierten Modulen

Offene Standards

In der folgenden Tabelle sind Vor- und Nachteile der Implementation eines offenen Standards am Beispiel von IPSec aufgelistet:

 
Vorteile   Nachteile 

Da IPSec-Implementierungen oft im Quelltext vorliegen, eine große Verbreitung und somit viele "Tester" besitzen, handelt es sich um eine vergleichsweise ausgereifte, fehlerarme Software.

 

Hoher Installations- und Wartungsaufwand, da der Rechner, auf dem IPSec betrieben werden soll, oftmals selbst installiert und gehärtet werden muss.

 

Das Verschlüsselungsverfahren wurde von einer großen Zahl an Entwicklern diskutiert und sollte somit als relativ sicher gelten.

 

Schwieriges Recovery bei Systemausfall, da selbst installierte Systeme hierfür keine Standardverfahren vorsehen. Ggf. muss ein Cold-Standby-System bereitgehalten werden.

 

Geringe Investitionskosten für Software, insbesondere falls VPNs zwischen einzelnen Rechnern (zwecks Ende-zu-Ende-Verschlüsselung) gebildet werden. In diesem Fall muss nicht für jeden Client kostenpflichtige, proprietäre Software beschafft werden.

 

Mögliche Inkompabilitäten beim Einsatz verschiedener Implementierungen von IPSec (wenn optionale Bestandteile der Spezifikation unterschiedlich ausgenutzt wurden).

 

Tabelle: Vorteile und Nachteile der Implementation eines offenen Standards am Beispiel von IPSec

Ergänzende Kontrollfragen: