WrightStudio - stock.adobe.com
Wie Sie VPN-Sicherheitsprobleme in der Cloud entschärfen
VPN-Sicherheitsprobleme in der Cloud sind keine Seltenheit, lassen sich aber mit ein paar einfachen Maßnahmen leicht vermeiden. Experte Dejan Lukan erklärt, wie.
Ein virtuelles privates Netzwerk (VPN) ermöglicht es, verschiedene private Netzwerke über ein öffentliches Netzwerk zu verbinden. Da die Kommunikation zwischen VPN-Endpunkten über ein öffentliches Netzwerk läuft, muss sie ordnungsgemäß gesichert werden, um Abhören zu verhindern.
Die Nutzung eines VPN-Dienstes bietet viele Vorteile. Einer davon ist die Möglichkeit, auf das interne Netzwerk des Unternehmens zuzugreifen, wenn man nicht im Büro ist- Oder es lassen sich zwei physisch verstreute interne Netzwerke zu einem einheitlichen internen Netzwerk verbinden. Darüber hinaus gibt es mehrere verfügbare Implementierungen von VPN-Protokollen,die am weitesten verbreiteten sind Internet Protocol Security (IPsec) und Transport Layer Security (SSL/TLS). Andere verfügbare Implementierungen sind DTLS, MPPE, SSTP und weitere.
Während VPNs diese Vorteile bieten, gibt es auch eine Reihe von ernsthaften Risiken, denen sich Unternehmen bewusst sein müssen. Dieser Artikel konzentriert sich darauf, wie man SSL-VPN-Sicherheitsprobleme entschärfen kann.
So prüfen Sie die VPN-Sicherheit
Je nachdem, welche Art von VPN bei einem Penetrationstest überprüft wird, sind unterschiedliche Vorgehensweisen zu beachten. Unabhängig von der Art des VPNs gehören zu den grundlegenden Schritten eines Pen-Tests:
-
Erkundung: Ermitteln des verwendeten VPN-Typs und des Ports, auf dem der VPN-Dämon horcht. Dies kann mit einem Port-Scan-Tool wie Nmap erfolgen. Je nach VPN-Typ kann der Dienst auf dem UDP-Port 500 (IPSec), dem TCP-Port 1723, dem TCP-Port 443 (SSL VPN), dem UDP-Port 1194 (OpenVPN) oder einem anderen Nicht-Standard-Port lauschen.
-
Auswertung: Nachdem Sie erfolgreich identifiziert haben, mit welchem Port das VPN verbunden ist, erstellen Sie einen Fingerabdruck, um den genauen Hersteller und die Version des Dämons zu bestimmen. Das können Sie mit dem Tool ike-scan erledigen. Prüfen Sie dann, ob es für den Hersteller eine bestehende CVE-Schwachstelle gibt, die mit einem vorhandenen Exploit als Teil des Metasploit-Frameworks ausgenutzt werden kann, oder schreiben Sie einen neuen Exploit.
-
Authentifizierung: Der Dämon, der auf eingehende Verbindungen wartet, muss die vom Client vorgelegten Anmeldeinformationen ordnungsgemäß überprüfen. Verlassen Sie sich nicht nur auf den vom Client verwendeten Benutzernamen und das Passwort, sondern verwenden Sie Zertifikate, die die allgemeine Sicherheit des VPN-Dienstes erhöhen. Es sollte auch eine angemessene Passwortrichtlinie vorhanden sein, die sicherstellt, dass starke Passwörter zusammen mit Zertifikaten verwendet werden, um Brute-Force-Angriffe zu erschweren.
Härten der VPN-Sicherheit zur Vermeidung von Problemen
Um die OpenVPN-Sicherheit zu härten, bearbeiten Sie seine Konfigurationsdatei. Diese wird normalerweise mit der Kommandozeilenoption --config an den OpenVPN-Daemon übergeben. Wenn Sie den Befehl ps -ef verwenden und die OpenVPN-Prozesse mit grep durchsuchen, können Sie sehen, wo sich die Konfigurationsdatei befindet und sie entsprechend anzeigen.
Der Autor hat hier bei Infosec einen ergänzenden Artikel veröffentlicht.
