Endpoint Security näher betrachtet: VPN

By 30. September 2021IT Security Blog
Netzwerkschutz

Endpoint Security VPN. Der Begriff ist in aller Munde. Was verbirgt sich jedoch hinter diesem Begriff?

Alten Hasen ist VPN als „Erweiterung“ des Firmennetzwerkes im Gedächtnis. Über die VPN-Leitung wird der externe PC zu einem Gerät, das sich im Firmennetzwerk befindet. Dazu wird eine gesicherte Verbindung zur Firewall des Firmenwetzwerkes aufgebaut. Bis dahin ist der Datenverkehr verschlüsselt. Die Computer hinter der Firewall, im Firmennetzwerk, sind dann so erreichbar, wie sie das Gerät direkt im Firmennetzwerk ebenfalls sehen würde.

Jeder Firewall-Hersteller hatte dazu in der Regel seine eigene, an die Firewall geknüpfte Lösung. Viele waren weniger bequem. Speziell bei schlechten Verbindungen musste man oft einen Client neustarten, um die VPN-Verbindung nach Internetstörung wiederaufzubauen. Mit dem zunehmenden Einsatz von mobilem Internet sind diese Störungen Programm, etwa wenn man im Zug von einer Funkzelle zur nächsten fährt und neue Verbindungsdaten bekommt.

Ferner wurden die Anforderungen an einen VPN-Client für alle Firewalls wichtiger. Doch wie soll das gehen? Die klassische VPN-Verbindung baut meist auf SSL-Protokollen auf. Siehe zu Details auch weiter unten den Exkurs „VPN-Varianten“.

Selektive oder vollständige Umleitung

Es gibt aber auch noch weitere Gesichtspunkte. Wenn ich das mobile Gerät als eines „hinter der Firewall“ ansehe, muss aller Internetverkehr über VPN an die Firmen-Firewall und von dort ins Internet, und die Rückgabewerte über VPN zum mobilen Gerät. Dieser Ansatz greift tief in die Kommunikationsstruktur der Geräte ein. Da in der „normalen“ Arbeit immer mehr Internetzugriffe gebraucht werden, neben den klassischen Rechercheanfragen, sind in der Regel Clouddienste die Produzenten von Datenverkehr. Warum also allen Internetverkehr über die Firmenfirewall laufen lassen? Die Anforderungen an die Bandbreite einer mittleren bis großen Firma sind da enorm. Andererseits, wenn der Internetverkehr nicht komplett über die Firmen-Firewall läuft, kann diese das Gerät nicht schützen. Der Verkehr, der direkt ins Internet geht, ist dann nicht mehr geschützt. Zumindest nicht so umfänglich, wie das gute Firewalls inzwischen können.

Eine mögliche Lösung sind die „VPN-Module“, die heute teils in Virenschutzprogrammen enthalten sind, zum Teil aber auch als eigenständige Software gekauft werden können. Faktisch wird damit der Internetverkehr verschlüsselt auf einen Server des Anbieters geleitet, dort geprüft und der unbedenkliche Datenverkehr dann ungeschützt und unverschlüsselt ins Internet gelassen. Diesen VPN-Ansatz kann man auch als cloudbasierte Firewall beschreiben. Der Verkehr wird an diesem Zielpunkt von dem Service so behandelt, wie es eine klassische Firewall auch tun würde. Zumindest hinsichtlich der Basiskonfiguration. Eine klassische Firewall hat auch noch Konfigurationen für den Zugriff auf dedizierte Geräte, etwa soll ein Mitarbeiter X auf den Server Y zugreifen, aber nicht den Drucker Z benutzen dürfen.

Maßgeschneidert und sicherer

Einige Lösungen wie ViPNet gehen dann einen Schritt weiter und verschlüsseln den Verkehr zwischen zwei Endpunkten. Da werden dann Zugriffsregeln, eine Zugriffsmatrix erstellt, die für jedes Geräte einzeln festlegt, mit welchem anderen in dieser Sicherheitsblase kommuniziert werden darf. Da man schlecht etwa auf einen Drucker eine solche spezielle Software einspielen kann, muss man da auch mit gewissen Tunneltechniken arbeiten.

Das Gerät, welches mit VPN ins Firmennetzwerk zugreifen will, muss als Endpoint Security eine VPN-Komponente haben. Was das dann für ein VPN ist und wie man das ausgestaltet, ist nicht immer gleich ersichtlich. VPN-Lösungen, die an Endkunden Sicherheit kommunizieren, bilden eine andere Lösungsgruppe, als die VPN-Lösungen, die ein Firmennetzwerk bilden. Aber die grundlegenden Virenschutzfunktionen der Endpoint-Security müssen immer die Grundlage für ein sicheres Arbeiten bieten.


Exkurs: VPN-Varianten

SSL-VPN (Secure Sockets Layer Virtual Private Network): Einfache Variante, Browser-basiert; keine Installation spezieller Client-Software auf dem Computer des Endnutzers erforderlich. Der Datenverkehr zwischen dem Web-Browser und dem SSL-VPN-Gerät wird mithilfe des SSL-Protokolls oder seines Nachfolgers verschlüsselt, dem Protokoll Transport Layer Security (TLS).

NordVPN: Tunnel-Endpunkte über Server etwa in Panama und der Schweiz. Services wie NORDVPN gehen auch in Richtung Anonymisierung und dienen etwa dazu, GeoIP-Blockaden beispielsweise von Streaming-Anbietern zu umgehen.

OpenVPN: Sehr weit verbreitete VPN-Lösung. Nutzt SSL/TLS zur Verschlüsselung, die verwendeten Ports lassen sich beliebig konfigurieren. Steht für praktisch alle Betriebssysteme zur Verfügung. Kostenlose OpenSource Client- und Server-Lösung. Die Firma OpenVPN bietet zudem zahlungspflichtige Angebote für die Server-seitige Lösung, wodurch die Administration vereinfacht wird.

PPTP: Das Point-to-Point Tunneling Protocol wurde von Microsoft für die unternehmensinterne Verwendung entwickelt. Es hält modernen Anforderungen an sichere Verschlüsslung und Authentifizierung jedoch nicht Stand und sollte daher nicht mehr genutzt werden.

L2TP respektive L2TP/IPsec: Ein VPN-Protokoll ohne Verschlüsselung, weshalb es faktisch nur in Kombination mit IPsec genutzt wird. Alter, aber sicherer und allseits anerkannter Standard. Oftmals Fallback-Lösung in proprietären VPN-Lösungen zur Anbindung von Clients ohne eigene VPN-Anwendung von dem Anbieter. Relativ empfindlich gegenüber IP-Adress-Wechsel der Gegenstellen.

SSTP: Ein neueres proprietäres VPN-Protokoll von Microsoft. Zeigt Ähnlichkeiten mit SSL-VPN/OpenVPN, es nutzt https-Verbindungen auf Port 443 (somit SSL/TLS) zur Verschlüsselung.

IKEv2: Ebenfalls mit IPsec verknüpftes VPN-Protokoll. Weniger empfindlich gegen IP-Adresswechsel, daher besser für mobile Endgeräte geeignet als L2TP/IPsec.