Sicherheit und Best Practices
Ein VPN ist kein Selbstzweck – es ist ein sicherer Tunnel durch ein potenziell unsicheres Netzwerk (meist das Internet).
Doch: Wenn dieser Tunnel falsch konfiguriert ist, wird er selbst zur Schwachstelle.
Ein unsicheres VPN kann Angreifern Zugriff auf das gesamte Unternehmensnetz ermöglichen.
Deshalb ist VPN-Sicherheit ein zentrales Prüfungsthema und Pflichtthema in jedem Audit.
1. Angriffsflächen eines VPNs
| Angriffspunkt | Beschreibung | Beispiel |
|---|---|---|
| Schwache Authentifizierung | Einfache Passwörter oder geteilte PSKs | „123456“ als PSK in IPsec |
| Abgelaufene Zertifikate | Kein regelmäßiger Austausch von Zertifikaten | TLS handshake failure |
| Unsichere Protokolle | Alte Protokolle wie PPTP, L2TP ohne IPsec | MS-CHAPv2 leicht zu knacken |
| Fehlende Zugriffskontrolle | VPN-Nutzer sehen zu viele Netze | Remote-User kann alle VLANs erreichen |
| DNS-Leaks / Split-Tunnel | Datenverkehr läuft teilweise unverschlüsselt | Lokale DNS löst Firmendomains auf |
| Veraltete Software | Keine Updates / Sicherheitslücken | CVE in OpenSSL oder IKE-Daemon |
2. Grundprinzipien sicherer VPNs
Least Privilege:
VPN-Benutzer dürfen nur die Ressourcen sehen, die sie wirklich brauchen.Starke Authentifizierung:
→ Zertifikate, Tokens oder MFA statt einfacher Kennwörter.Aktuelle Protokolle & Ciphers:
→ TLS 1.3, AES-256, SHA-2, DH-Group ≥ 14.Regelmäßige Schlüsselrotation:
→ PSK oder Zertifikate regelmäßig neu generieren.Logging & Monitoring:
→ Erfolgreiche und fehlgeschlagene Anmeldungen protokollieren.
3. Beispiel: Sichere OpenVPN-Konfiguration
So sollte eine sichere server.conf aussehen (gekürzt):
port 1194
proto udp
dev tun
tls-version-min 1.3
cipher AES-256-GCM
auth SHA256
verify-client-cert require
remote-cert-tls client
user nobody
group nogroup
persist-key
persist-tun
keepalive 10 120
explicit-exit-notify 1
Erklärung:
tls-version-min 1.3erzwingt modernste Verschlüsselungverify-client-cert requiresorgt dafür, dass nur Clients mit gültigem Zertifikat rein dürfenuser nobody/group nogroupverhindert Root-Rechte für den OpenVPN-Prozess
4. Multifaktor-Authentifizierung (MFA)
Ein starkes VPN nutzt mindestens zwei Faktoren:
| Faktor | Beispiel |
|---|---|
| Wissen | Passwort / Zertifikat |
| Besitz | Token-App (z. B. FortiToken, Authy, Google Authenticator) |
| Biometrie | Fingerabdruck, Gesichtserkennung |
Beispiel für OpenVPN mit Google Authenticator:
sudo apt install libpam-google-authenticator
sudo nano /etc/pam.d/openvpn
Einfügen:
auth required pam_google_authenticator.so
Und in /etc/openvpn/server.conf:
plugin /usr/lib/openvpn/openvpn-plugin-auth-pam.so openvpn
Beim Verbindungsaufbau muss der Benutzer dann Passwort + 6-stelligen Code eingeben.
5. Netzwerksegmentierung
VPN-Benutzer sollten nicht ins gesamte LAN gelangen.
Stattdessen:
eigenes VLAN (z. B.
VLAN50-VPN-Clients)eigene IP-Range (
10.8.0.0/24)Firewallregeln nach Prinzip:
Allow → spezifische Server,Deny → Rest.
Beispiel:
config firewall policy
edit 10
set srcintf "ssl.root"
set dstintf "lan"
set srcaddr "SSLVPN_TUNNEL_ADDR1"
set dstaddr "WebServer"
set action accept
end
6. Wartung und Überwachung
| Aufgabe | Intervall | Werkzeug |
|---|---|---|
| Zertifikate prüfen | monatlich | openssl x509 -in cert.crt -noout -enddate |
| Logs auswerten | täglich | journalctl -u openvpn / FortiAnalyzer |
| Software-Updates | regelmäßig | apt upgrade, firmware upgrade |
| Benutzerkonten prüfen | quartalsweise | AD-Sync, Offboarding |
Übersicht: VPN-Sicherheitsmaßnahmen
Klicke auf eine Kategorie, um empfohlene Maßnahmen anzuzeigen.
Kategorie
Wähle oben eine Kategorie.
Empfehlungen
Hier erscheinen die Best Practices.