Einbruch ins VPN

Die IP-Erweiterung IPSec gilt als die sicherste VPN-Technik. Doch auch sie hat ihre Schwachstellen, die sich mit speziellen Tools finden und ausnutzen lassen. Umsichtige Administratoren testen deshalb ihr eigenes Netz -- bevor es die Einbrecher tun.

In Pocket speichern vorlesen Druckansicht
Lesezeit: 11 Min.
Von
  • Michael Thumann
Inhaltsverzeichnis

Virtuelle Private Netze (VPNs) bieten ein hohes Einsparpotenzial, indem sie statt teurer Standleitungen das Internet als Transportnetz benutzen. Die Vertraulichkeit der über öffentliche Netze gesendeten Daten gewährleisten dabei moderne Verschlüsselungs- und Authentifizierungsverfahren [1]. Das wichtigste Protokoll für die Implementierung von VPNs ist mittlerweile IPSec, allerdings ist es auch das komplexeste. Mit Hilfe von IPSec lassen sich nicht nur komplette Unternehmensnetzwerke über das Internet koppeln, auch mobile Benutzer können sich darüber mit dem Mail- und Datenbank-Server in der Firma verbinden.

Diese Komplexität kann durchaus selbst zum Sicherheitsrisiko werden. Zur fehlerfreien Konfiguration von IPSec-basierten VPNs ist Know-how und Erfahrung notwendig - zwei Voraussetzungen, die erschreckend viele Administratoren nicht in ausreichendem Maße besitzen. In Kombination mit laschen Default-Einstellungen vieler Geräte beziehungsweise Programme führt das oft zu vermeidbaren Schwachstellen, die gefährliche Angriffspunkte für Hacker schaffen.

Da die VPN-Verschlüsselung selbst kaum zu knacken ist, bieten die Endpunkte den besten Ansatzpunkt für einen Einbruch in ein VPN. Hierzu zählen sowohl die VPN-Gateways - die zentralen Einwahlpunkte des Unternehmens - als auch die VPN-Clients mobiler Benutzer, etwa Notebooks.

Häufigstes Ziel eines Hackers ist in der Regel das Notebook, angefangen vom Diebstahl bis zum Einbruch über Sicherheitslücken im Betriebssystem oder darauf laufenden Applikationen. Funknetze in Hotels und auf Flughäfen bieten Hackern dabei einen vielversprechenden Ansatzpunkt, da gerade dort die Wahrscheinlichkeit sehr groß ist, auf Teilnehmer zu treffen, die mal eben zum Datenaustausch einen VPN-Tunnel in ihre Firma aufbauen.

Zwar bieten die meisten Hersteller von VPN-Lösungen spezielle Clientsoftware mit integrierter Firewall an, um Zugriffe auf den Rechner abzuwehren, aber nicht alle haben die Software auch installiert und aktiviert. Der gerade aufgebaute VPN-Zugang bietet dem Angreifer die Möglichkeit, über das gehackte Endgerät weiter in das Unternehmensnetzwerk vorzudringen und damit Zugriff auf vertrauliche Informationen zu erhalten -- falls er die nicht sogar bereits auf der lokalen Festplatte gefunden hat.

Aber auch das Firmen-Gateway bietet unter Umständen Ansatzpunkte für Angriffe. Und anders als die mobilen Endgeräte ist es notwendigerweise ständig übers Internet erreichbar und damit Angriffen direkt ausgesetzt.