Jede Kette ist immer nur so stark, wie das schwächste Glied. Auch in der IT-Sicherheit bewahrheitet sich diese alte Handwerksweisheit.

Uebliche VPN KonfigurationModell 1: Wie es die meisten haben, aber nicht sein sollte

Ich zeig mal eine typische VPN-Installation, wie ich sie bisher fast immer vorgefunden habe:

In der Zentrale (A) steht ein Professioneller Router (B), der den Datenverkehr (⋅⋅⋅⋅) ins Internet (i) Überwacht oder gar mittels Firewall (C) filtert (IDSContentfilter / DPI etc.).

Bis hier ist es sicher.

Dann kommt die Anbindung der Filiale (E) mittels VPN (  ) zumeist IPSec, hierbei werden die IP-Bereiche der beiden LANs dem Router der jeweiligen Gegenseite (B/D) durch den Tunnel geroutet (⋅⋅⋅⋅/⋅⋅⋅⋅).

Aber eben nur die, der gesamte andere Traffic der Filiale – also der ins Internet (⋅⋅⋅⋅) – geht direkt durch den Router zum jeweiligen Ziel.

Und jetzt kommt die Krux: in den meisten Filialen(E) stehen kleine Office-Router, die keine Firewall haben. Schadsoftware kann in ein System in der Filiale eindringen, und kommt ungehindert auch in das Netzwerk der Zentrale. Durch den Vertrauensstatus des VPN wird der VPN-Traffic nicht gefiltert, ein Angreifer kann nicht erkannt werden.

Klassischer Fall von Hintertür.

Erschreckend dabei ist, das das exakt die Methode ist, mit der die meissten IT-Dienstleister Filialen vernetzen. Die Telekom klassisch mit ihren gebradeten Lancom-Routern, verkauft wird so eine Konfiguration dann für teures Geld (meist „Lizenzgebühren für Tunnelzertifikate“ und ähnlicher Unfug), wert ist sie keinen Cent. Wenn dann ein Einbruch erfolgreich war, dann sind das genau die Leute, die sich rausreden.

Im übrigen lassen sich NACH einem Einbruch auch keinerlei Protokolle auslesen, mit denen irgendetwas nachvollzogen werden kann.

Klingt weit hergeholt? Tja, ich hab’s schon genau so erlebt, die Konfigurationen schon häufiger vorgefunden.

 


Die einfachste Lösung in dem Falle wäre, auch am Filial-Standort eine Firewall zu installieren, die die gleichen Sicherheitsmerkmale hat, wie in der Zentrale. Allerdings kosten professionelle Firewalls ein vielfaches von Einwahlroutern, die es zumeist vom Leitungsanbieter zum Netzanschluss gesponsert dazu gibt.