VPN-Knigge
Seite 6: Authentifizierung
Authentifizierung
Der sichere Betrieb von VPNs steht und fällt mit einer guten Authentifizierung. State-of-the-Art sind X.509v3-Zertifikate, in der die Kopplung eines öffentlichen Schlüssels an eine Identität durch eine Certification Authority (CA) beglaubigt ist. Vertraut man dieser CA, kann man sicherstellen, dass nur bekannte Identitäten Zugriff auf das VPN haben. Im Gegenzug können die Teilnehmer verifizieren, ob sie auch wirklich mit dem gewüschten VPN-Server eine Verbindung aufgenommen haben. Eine Identität kann sowohl eine Person als auch ein PC darstellen.
Der Einsatz von Zertifikaten bedeutet aber einen höheren Verwaltungsaufwand, da eine Public-Key-Infrastrukur (PKI) vonnöten ist, die Zertifikatsanträge bearbeitet, Zertifikate ausstellt und verteilt sowie Listen über ungültige beziehungsweise zurückgezogene Zertifikate führt und zur Verfügung stellt (Certificate Revocation List, CRL). Dazu ist nicht unbedingt ein externer Dienstleister erforderlich. Steht ein Windows 2003 Server zur Verfügung, so kann dessen leistungsfähige CA zum Ausstellen von Zertifikaten verwendet werden. Der Administrator kann eine eigene vollständige PKI aber auch mit kostenlosen Open-Source-Lösungen wie OpenCA aufbauen, die viele Schritte automatisiert durchführt.
Weniger automatisch, dafür einfacher in der Installation und Konfiguration sind Lösungen wie TinyCA, deren Zertifikatsverwaltung komplett über eine GUI bedient wird. OpenVPN liefert gleich seine eigene CA Easy-RSA mit. Mit simplen Skriptaufrufen erstellt der Nutzer ein CA-Zertifikat und unterschreibt damit Server- und Client-Schlüssel. Bei sehr vielen Teilnehmern kommen derart simple Lösungen aber schnell an ihre Grenzen.
VPN-Lösungen können zur Authentifizierung statt eines Zertifikates auch den unsignierten öffentlichen Schlüssel des Gegenübers nutzen. Der muss aber, ähnlich wie bei PSKs, vorher auf einem separaten Weg ausgetauscht werden. Auf den Einsatz von PSK sollte man am besten ganz verzichten oder wenigstens sehr schwer erratbare Passwörter wählen.
Zweiter Grenzposten
Einige Herstellerimplementierungen von IKE kennen von Haus aus nur die Geräte-Authentifizierung, die nicht besonders abgestuft ist. Um eine Authentifizierung auf Nutzerebene zu ermöglichen und die Schwächen des IKE Aggressive Modus beim Gebrauch von PSKs auszubessern, unterstützen einige Hersteller das XAUTH-Verfahren. Dabei wird IKE um eine Phase erweitert, in der Mechanismen wie RADIUS, SecurID und andere zum Einsatz kommen. Erst wenn beide Authentifizierungen erfolgreich waren, darf der Nutzer mit seinem PC ins VPN.
