Independent Competence Platform
for Integrated Security in Switzerland.

01.10.2017
by: Georg Pölloth, NCP engineering GmbH

VPN und intelligente Firewall

Wie kann durch massgeschneiderte Firewall-Optionen und VPN ein optimales Sicherheitsniveau erreicht werden?

Ein VPN-Tunnel schützt die Datenpakete zwischen Client und Gateway, die firmeninternen Ressourcen sind damit sicher. Der Zugriff auf das Endgerät durch Dritte muss jedoch gesondert abgesichert werden. Intelligente Firewalls, die nahtlos mit dem VPN-Client interagieren, fangen die Standardsituationen ab und stellen einen gefahrlosen und bequemen Internetzugang für die Anwender sicher.

Für Endgeräte im geschäftlichen Einsatz gehören Virtual Private Networks (VPN) heute zur Standardausstattung. Egal ob das Unternehmen durch Compliance-Vorgaben dazu verpflichtet ist oder nicht, den erweiterten Informationskanal zwischen LAN und Endgerät abzusichern gehört inzwischen zu den Grundpfeilern der IT-Sicherheit. Wenn für die Verschlüsselung und Schlüsselaustauschmechanismen die Algorithmen AES 128 Bit, SHA2 256 Bit und Diffie Hellman Group 14 oder höherwertig verwendet werden, besteht keine Gefahr, dass Dritte den Schutz aufbrechen können.

Heute sollten auch eine starke Authentisierung mittels Zertifikat sowie eine weitere 2-Faktor-Authentisierung eingesetzt werden. Unter der Voraussetzung, dass die genannten Algorithmen und Verfahren korrekt im VPN-Client umgesetzt wurden, ist man in Bezug auf die grundsätzliche Verschlüsselung und Authentifizierung für den Datenaustausch mit dem Unternehmen auf einem sicheren und aktuellen Stand.

VPN-Lösungen sind in der Regel so benutzerfreundlich, dass die Arbeit damit problemlos und ohne Lernaufwand erfolgen kann. Sobald sich der Anwender authentifiziert hat, wird der verschlüsselte Tunnel aufgebaut und die übertragenen Daten sind geschützt. Nicht ganz so glatt läuft der VPN-Einsatz allerdings, wenn der Netzzugang öffentlich ist, beispielsweise bei einem HotSpot oder im Guest-LAN eines Kunden. Wenn das Endgerät die Verbindung zu einem solchen Netz aufnimmt, ist es von aussen angreifbar. In der Regel soll eine Firewall dann den Zugriff durch Unbefugte blocken. Allerdings müssen die Firewall-Regeln die Authentifizierungsanfrage des WLAN-HotSpots gestatten, während der Scan eines Angreifers im gleichen Netz abgewehrt werden soll.

Der Anwender kann diese Regeln normalerweise nicht selbst auswählen, oft ist dies auch von der IT-Abteilung nicht erwünscht und wird administrativ unterbunden. Es gibt allerdings technische Hilfsmittel, die der Endpoint-Firewall die Informationen liefern, damit das Regelwerk je nach Einsatzsituation automatisch und sicher angepasst wird.

Freundliche Botschaften aus dem Netz
Wenn sich ein Endgerät mit einem Netz verbindet, weiß es zunächst nicht, ob das Netz privat oder öffentlich, sicher oder unsicher ist. Windows-Nutzer erhalten die Abfrage des Betriebssystems, wie sie das Netz einordnen möchten. Häufig ist eine solche Einstufung durch den Anwender nicht möglich, weil er es schlichtweg nicht beurteilen kann. Die Firewall sollte daher in der Lage sein, die entsprechenden Regeln und damit den Schutzbedarf selbst zu bestimmen.

Eine Möglichkeit hierfür bietet die sogenannte „Friendly Net-Erkennung“. Dabei bestätigt eine Instanz im Netz der eigenen Organisation dasselbe als sicher. Die Firewall kann daraufhin ein anderes Regelwerk anwenden und beispielsweise Kommunikation ohne VPN erlauben sowie administrative Ports für Wartung, Updates und Patches öffnen.

Bei der NCP-Lösung übernimmt ein eigener Server diese Aufgabe. Weil die Friendly Net-Erkennung Auswirkungen auf das Sicherheitsniveau des Clients hat, ist es wichtig, dass sich der Server über eine starke Authentifizierung ausweist. Eine einfache Erkennung des heimischen Netzwerks über IP-Daten wäre zwar auch möglich, aber sehr leicht durch Spoofing zu umgehen.

Um diesem Problem entgegenzuwirken, stellt NCP einen Friendly Net Detection Server (FND) für die Plattformen Windows und Linux zur Verfügung. Die Netzwerkadresse des FND-Servers ist dem NCP Client bekannt, nach der ersten Kontaktaufnahme muss sich der FND-Server mittels Zertifikat am NCP Secure Enterprise Client authentisieren. Stimmen die Daten überein, nutzt der VPN-Client ein anderes Firewall-Regelwerk, das für den Betrieb innerhalb des Firmennetzes optimal geeignet ist. Ein möglicherweise schon aufgebauter VPN-Tunnel wird automatisch abgebaut. Sobald der Client einen Wechsel des Netzwerks erkennt, wird das Regelwerk wieder auf das für potenziell unsichere Netze umgestellt.

Komfortable Sicherheit unterwegs
HotSpots sind vor allem an belebten Knotenpunkten wie Bahnhöfen oder Flughäfen eine günstige Möglichkeit, um schnell und preiswert online zu gehen. Dagegen spricht auch nichts, wenn die übertragenen Daten durch ein VPN geschützt sind. Allerdings ist die initiale Anmeldung am HotSpot nicht mit verschlüsselten Daten möglich. Der Nutzer muss sich zunächst auf einer Webseite des HotSpot-Betreibers anmelden und dafür am VPN-Tunnel vorbei kommunizieren. Hierfür einfach die Firewall zu deaktivieren ist natürlich keine gute Idee, sofern es dem Anwender überhaupt erlaubt und möglich ist. Sinnvoller und vor allem sicherer lässt sich das Problem durch eine spezielle Funktion des VPN-Clients lösen.

NCP nutzt beispielsweise eine HotSpot-Erkennung. Sie informiert den Anwender zunächst, dass ein potenzieller WLAN-HotSpot vorhanden ist. Nachdem der Nutzer den gewünschten HotSpot ausgewählt hat, baut der Client eine unverschlüsselte Verbindung mit dem Access Point auf und startet einen funktionseingeschränkten Web-Browser, der nur die Eingabe der Anmeldedaten zulässt. Er besitzt keine Adressleiste, sodass keine fremden URLs angewählt werden können.

Die Firewall gestattet in dieser Situation nur dem Prozess dieses Web-Browsers die Kommunikation.
Ab einer bestehenden WLAN-Verbindung prüft der VPN-Client periodisch im Hintergrund, ob
eine Internetverbindung besteht. Sobald diese zustande kommt, wird der Web-Browser geschlossen und die Kommunikation des zugehörigen Prozesses von der Firewall gesperrt. Nun baut der Client den VPN-Tunnel auf und lässt keine unverschlüsselte Kommunikation mehr zu.

Produktiv im Home-Office arbeiten
Ganz anders stellt sich die Situation im Home-Office dar. Hier handelt es sich zwar nicht um das Firmennetz, trotzdem soll der Anwender mehr Rechte und Möglichkeiten haben als in einem komplett fremden Netz. So ist Drucken und Scannen auf einem Netzwerkdrucker beispielsweise eine valide Anforderung, die normalerweise durch die Firewall außerhalb des Firmennetzes unterbunden wird. Auch hier liessen sich die entsprechenden Regeln deaktivieren, doch für die meisten Anwender ist das technisch zu komplex und auch nicht im Sinne des Administrators. Würde der Mitarbeiter im Anschluss vergessen die Regeln wieder zu aktivieren, wäre der Client beim nächsten Kontakt mit einem fremden Netz ungeschützt.

VPN-Clients können diese Anforderung durch ein eigenes Firewall-Regelwerk für das Home-Office umsetzen. So lässt es der NCP Secure Enterprise Client zu, eine Home Zone zu definieren, in der die Nutzer bestimmte Dienste freigeben können. Weil individuelle Arbeitsumgebungen schlecht durch generische Regeln abgebildet werden können, ist der vom Anwenderrechner ausgehende Datenverkehr ausschliesslich für Endgeräte im lokalen Netz zugelassen.

Die Stateful Inspection Engine der Firewall prüft, ob eine Session innerhalb des LAN terminiert wird, sodass Verbindungen zu einem Netzwerkdrucker problemlos möglich sind. Datenpakete, die ein Ziel ausserhalb des LAN haben, werden automatisch über den VPN-Tunnel geleitet. Eine VoIP-Verbindung z.B. landet auf diesem Weg selbstständig beim SIP-Gateway im Firmen-LAN.

Wenn der Anwender sein Home-Office verlässt, deaktiviert die Firewall die verwendeten Home Zone-Regeln im VPN-Client bis der Anwender später wieder im Home-Office arbeitet. Die Erkennung der Home Zone geschieht im VPN-Client automatisch anhand der MAC-Adresse des Default-Gateways – also in der Regel des Internet-Routers – solange, bis die Home Zone durch den Anwender wieder verlassen oder deaktiviert wird.

Gesamtbild im Auge behalten
Der Schutz der Endpoints ist in Zeiten immer aggressiverer Angriffe wichtiger denn je. Cyberkriminelle widmen sich vermehrt weicheren Zielen, wenn der Perimeter des Unternehmens zu gut geschützt ist. Ein Firmen-Notebook, das über einen öffentlichen WLAN-HotSpot eine Verbindung zum Internet aufbauen will, könnte dem Angreifer alles bieten, was er für eine erfolgreiche Attacke braucht. Umso wichtiger ist es, die Situationen, in denen ein Client sein Schutzniveau senken muss, durch möglichst automatisierte und für den Anwender transparente Massnahmen zu sichern. Wenn solche Konfigurationsaufgaben idealerweise völlig unabhängig vom verwendeten Betriebssystem des Endgeräts zentral verwaltet werden können, macht es den Vorgang auch für die IT-Abteilung effizient und effektiv.
Quelle: NCP engineering GmbH
NCP auf Security-Finder Schweiz


Security-Finder Schweiz: Newsletter