Über das Internet Protocol Security (IPsec) oder einen Virtual-Private-Network-Tunnel (VPN) baut man beispielsweise aus dem Homeoffice gesicherte Verbindungen ins Büro auf. Gerade in Corona-Zeiten passiert das weltweit tagtäglich.
Firmen-Administratoren sollen sicherstellen, dass ausschließlich berechtigte Geräte die Verbindung nutzen dürfen. Das können sie beispielsweise über das Anlegen von Filtern von IP-Adressen und Port-Regeln festlegen. An dieser Position kann auch eine Monitor-Lösung in Form eines Intrusion Prevention Systems (IPS, Firewall) helfen den Überblick zu wahren und gegebenenfalls einzugreifen.
Unter dem Link…
…hat die NSA ein Merkblatt zu dem Thema veröffentlicht!
Viele Organisationen nutzen derzeit IP Security (IPsec) Virtual Private Networks (VPNs), um entfernte Standorte zu verbinden und Telearbeitsfähigkeiten zu ermöglichen. Diese Verbindungen verwenden Kryptographie zum Schutz sensibler Informationen, die nicht vertrauenswürdige Netzwerke. Um diesen Datenverkehr zu schützen und die Vertraulichkeit der Daten zu gewährleisten, ist es entscheidend, dass diese VPNs starke Kryptographie verwenden. Der Leitfaden identifiziert häufige VPN-Fehlkonfigurationen und Schwachstellen.
Die Aufrechterhaltung eines sicheren VPN-Tunnels kann komplex sein und erfordert regelmäßige Wartung. Um ein sicheres VPN aufrechtzuerhalten, müssen Netzwerk-Administratoren die folgenden Aufgaben regelmäßig durchführen:
- Reduzieren der Angriffsfläche für VPN-Gateways
- Verifizieren Sie, dass die kryptographischen Algorithmen mit dem Committee on National Security - Systems Policy (CNSSP) 15 konform sind
- Vermeiden Sie die Verwendung von Standard-VPN-Einstellungen
- Nicht verwendete oder nicht konforme Kryptographie-Suites entfernen
- Herstellerseitige Updates (d.h. Patches) für VPN-Gateways und Clients anwenden
Reduzieren sie die Angriffsfläche für VPN-Gateways!!
VPN-Gateways tendieren dazu, direkt vom Internet aus zugänglich zu sein und sind anfällig für Netzwerk-Scanning, Brute-Force-Angriffe und Zero-Day-Schwachstellen. Um viele dieser Schwachstellen abzuschwächen, sollten Netzwerkadministratoren strikte Verkehrsregeln einführen.
Filterregeln, um die Ports, Protokolle und IP-Adressen des Netzwerkverkehrs auf VPN-Geräte zu beschränken. Wenn der Verkehr nicht gefiltert werden kann, um
eine bestimmte IP-Adresse, empfiehlt die NSA ein Intrusion Prevention System (IPS) vor dem VPN-Gateway, zur Überwachung auf unerwünschten IPsec-Verkehr! Inspizieren Sie die Verhandlungen über IPsec-Sitzungen.
Überprüfen sie, ob nur CNSSP 15-konforme Algorithmen verwendet werden!!
Alle IPsec-VPN-Konfigurationen erfordern mindestens zwei Elemente: (1) die Internet Security Association und die Schlüsselverwaltung Protokoll- (ISAKMP) oder Internet-Schlüsselaustausch- (IKE) Richtlinie; und (2) die IPsec-Richtlinie. Wenn die Kryptographie auf einer dieser beiden
Richtlinien so konfiguriert ist, dass veraltete kryptografische Algorithmen zugelassen werden, ist das gesamte VPN gefährdet und die Vertraulichkeit der Daten kann verloren gehen. Anhang B von CNSSP 15 enthält Hinweise zur Verwendung starker Kryptographie. Im Zuge der Weiterentwicklung der Rechenumgebungen und neue Schwächen, die in den Algorithmen identifiziert werden, sollten sich Administratoren auf kryptographische Agilität vorbereiten: periodisch
prüfen Sie die CNSSP- und NIST-Richtlinien für die neuesten kryptografischen Anforderungen, Standards und Empfehlungen.
Bei der Konfiguration von ISAKMP/IKE unterstützen viele Anbieter mehrere mögliche ISAKMP/IKE-Richtlinien. Das Gerät wählt dann die Richtlinie mit der stärksten Übereinstimmung zwischen dem entfernten und dem lokalen Ende des VPN. Einige Anbieter tun dies durch Prioritätsnummern und andere durch explizite Auswahl. Die NSA empfiehlt, nur solche Richtlinien zu konfigurieren, die ein Mindestmaß an Sicherheit bereitstellen und die Beseitigung aller veralteten Richtlinien. Wenn Prioritätsnummern verwendet werden, sollte auch die stärkste ISAKMP/IKE Policy
die höchste Priorität haben. Viele Anbieter unterstützen auch die Konfiguration mehrerer IPsec-Richtlinien; allerdings sind diese Richtlinien normalerweise explizit für ein bestimmtes VPN konfiguriert. Die NSA empfiehlt die Verwendung der stärksten Kryptographie-Suites, die vom Netzwerkgerät unterstützt werden.
Der beste Weg, um zu überprüfen, ob vorhandene VPN-Konfigurationen genehmigte kryptografische Algorithmen verwenden, ist die Überprüfung der derzeitigen Sicherheitsmechanismen ISAKMP/IKE und IPsec (SAs). Die NSA empfiehlt die Verwendung dieses Ansatzes bei der Überprüfung von
ISAKMP/IKE- und IPsec-Konfigurationen, weil es die genauen Kryptographie-Einstellungen anzeigt, die ausgehandelt wurden.
Andernfalls könnten Administratoren Verbindungen entgehen, wenn ein Gerät einen nicht konformen Algorithmus auswählt, der von einem Gerät übrig geblieben ist, aus einer früheren VPN-Konfiguration.
Wenn SAs mit nicht konformen Algorithmen identifiziert werden, sollten Administratoren sofort untersuchen, warum das VPN einen niedrigeren Kryptographiestandard benutzt und entsprechende Konfigurationsänderungen vornehmen.
Außerdem empfiehlt die NSA bei der Verwendung von Pre-Shared Keys für die VPN-Authentifizierung, dass alle Schlüssel ersetzt werden, da sie kompromittiert werden könnten.
Vermeiden sie die Verwendung von Standard-VPN-Einstellungen!!
Aufgrund der Komplexität der Einrichtung eines VPN bieten viele Anbieter Standardkonfigurationen, automatisierte Konfigurations-Skripte oder Assistenten für die grafische Benutzeroberfläche, um die Einrichtung von VPNs zu erleichtern. Diese Tools kümmern sich um die Einrichtung der
verschiedene Aspekte eines VPN, um ISAKMP/IKE- und IPsec-Richtlinien einzubeziehen. Viele nutzen jedoch eine breite Palette von Kryptographie-Tools, um die Kompatibilität mit der entfernten Seite eines VPN zu gewährleisten. Die NSA empfiehlt, diese Werkzeuge zu vermeiden, da sie
unerwünschte Kryptographie-Suiten erlauben könnten. Wenn diese Tools verwendet werden, evaluieren sie unbedingt alle Konfigurationseinstellungen, die das Tool bereitgestellt hat.
Administratoren sollten dann alle nicht konformen ISAKMP/IKE- und IPsec-Richtlinien entfernen. Als bewährte Vorgehensweise sollten Administratoren keine Standardeinstellungen verwenden und sicherstellen, dass alle ISAKMP/IKE- und IPsec-Richtlinien explizit für die CNSSP 15-konforme Algorithmen geeignet sind.
Nicht verwendete oder nicht konforme Kryptographie-Suites entfernen!!
Es ist sehr üblich, dass Anbieter standardmäßig zusätzliche ISAKMP/IKE- und IPsec-Richtlinien einbauen. Diese zusätzlichen Richtlinien können nicht konforme kryptographische Algorithmen enthalten. Zusätzliche ISAKMP/IKE- und IPsec-Richtlinien als akzeptable Richtlinien einzusetzen schafft eine Anfälligkeit für Herabstufungsangriffe. Bei Downgrade-Angriffen benutzt ein böswilliger Benutzer oder Man-in-the-Middle, nur veraltete Kryptographiesuiten und zwingt die VPN-Endpunkte, nicht konforme Kryptographieschlüssel auszuhandeln. Auf diese Weise wird das verschlüsselte VPN anfällig für eine Entschlüsselung. Überprüfen sie, dass nur ISAKMP/IKE- und IPsec-Richtlinien konform sind und das alle nicht verwendeten oder nicht konformen Richtlinien explizit aus der Konfiguration entfernt werden. Die NSA empfiehlt auch die regelmäßige Validierung, dass nur konforme Richtlinien für die Verwendung automatisierter Werkzeuge konfiguriert werden.
Grafische Oberflächen-Tools oder Benutzerfehler könnten diese nicht konformen Richtlinien wieder einführen.
Vom Hersteller bereitgestellte Updates anwenden!!
Nachdem sichergestellt wurde, dass alle Konfigurationseinstellungen konforme Kryptographie-Suites verwenden und alle nicht konformen Suiten entfernt wurden, sollte man ein robustes Patch-Verwaltungsverfahren implementieren. In den letzten Jahren wurden mehrere Schwachstellen
im Zusammenhang mit IPsec-VPNs veröffentlicht. Viele dieser Schwachstellen lassen sich nur durch die routinemäßige Anwendung, der von den Herstellern zur Verfügung gestellten
Patches für VPN-Gateways und -Clients, wieder schließen. Viele Anbieter von Netzwerkausrüstung ermöglichen es Kunden, sich für Benachrichtigungs-Systeme anzumelden, um neue Sicherheitswarnungen zu erhalten. Diese Benachrichtigungen sind eine ausgezeichnete Möglichkeit, über relevante Patches, die außerhalb des Zyklus liegen, auf dem Laufenden zu bleiben.
Schützen sie das Wesentliche!!
VPNs sind für die Ermöglichung des Fernzugriffs und die sichere Verbindung von entfernten Standorten unerlässlich, jedoch ohne ordnungsgemäße Konfiguration, Patch-Verwaltung und -Härtung sind VPNs anfällig für Angriffe. Um sicherzustellen, dass die Vertraulichkeit und Integrität eines VPN geschützt ist, reduzieren Sie die Angriffsfläche für VPN-Gateways! Verwenden sie immer CNSSP 15 konforme Kryptographie-Suites, vermeiden Sie die Verwendung der Hersteller-Vorgaben, Deaktivierung aller anderen Kryptographie-Werkzeuge und rechtzeitige Anwendung von Patches und Upgrades!