VPN Client Management (Re: [linux-l] Erste Erfahrungen mit OpenVPN)
Schlomo Schapiro
belug at schlomo.schapiro.org
Fr Jul 16 11:00:13 CEST 2004
Hallo,
<reply auch an die anderen mails ..., freut mich mal eine "sinnvolle"
Diskussion anregen zu koennen, den Antworten nach zu schliessen>
<Ich rede, realitaetsbezogen, primaer von Windows CLients. Bei Linux
Clients gibts da eh kein Problem>
Ein VPN bohrt ein grosses Loch in die Sicherheit des Firmen-Netzwerkes, da
ja der entfernte PC nicht wirklich unter Kontrolle des Admins steht und
daher ein sehr grosses Sicherheitsrisiko darstellt. Eine besondere Form
davon ist die Befuerchtung, dass der VPN Client feindlich uebernommen
wurde (z.B. duch einen Bot oder Wurm) und dann bei der Verbindung des
Clients in das interne Netz dieser "Feind" leicht eindringen kann und
dabei alle Sicherheitsmassnahmen umgehen. Im schlimmsten Fall kann der
Client auch noch aus dem Internet fergesteuert werden und dadurch dem
Angreifer den Zugang in das interne Netz gestatten. Bei vielen VPN
Systemen ist ja nichtmal ein Passwort noetig, da es per Zertifikat oder
per Dial-Up Netzwerk geht und dann das Passwort schon gespeichert ist (die
meisten "User" tun das so ...), so dass der Angreifer sich dann sogar ganz
ohne den User mit dem Firmennetz verbinden kann.
Aus diesen Gruenden sollte man in der Tat VPN Client mit AntiVirus und
Firewall kombinieren, denn
* Der AntiVirus garantiert, dass zumindest kein bekannter Schaedling auf
dem Client aktiv ist. Dazu wird auch ein Update der Signaturen erzwungen.
* Der Firewall garantiert, dass waehrend der VPN Sitzung keine
"zweibeinige Kommunikation" stattfindet, sprich dass der Client nicht
gleichzeitig mit dem geschuetzten Netz und dem Internet (am Tunnel vorbei)
reden kann. Das verhindert eine etwaige Fersteuerung des Clients und
generell die Kommunikation aus dem Internet mit dem LAN ueber den Client.
Das hat alles ueberhaupt nichts mit Open Source / Kommerzsoftware zu tun
sondern mit Sicherheitsstrategie.
Bei vielen kommerziellen VPNs kann man nun genau diese Dinge zentral
steuern, so dass der VPN Server die Verbindung nur dann freischaltet, wenn
er ueberzeugt ist, dass beim Client alles OK ist. Dies erhoeht die
Sicherheit der VPN Verbindung, da man dann die Client Verwaltung
automatisiert hat und nicht dem guten Willen oder den Faehigkeiten der VPN
Mitarbeiter trauen muss (bekanntlich ist jede Kette nur so stark wie ihr
schwaechstes Glied).
Da ich gerne die proprietaeren PVN Systeme (z.B. Novell Border Manager
VPN) durch eine plattformunabhaengige OS Loesung ersetzen wuerde, muss ich
natuerlich auch fuer Windows Clients diese Problem loesen.
Daher meine Frage, wie kann ich die Aktivierung von z.B. OpenVPN mit dem
Antivirus und dem Firewall kombinieren um die Sicherheitsanforderungen
meiner Firma zu erfuellen ? Ohne dass wird es bei uns keine Abloesung
geben, denn die Angst vor einem Einfall durch einen offenen VPN Client ist
dazu (m.E. sogar berechtigterweise) viel zu gross.
Schlomo
On Wed, 14 Jul 2004, Jan-Benedict Glaw wrote:
>
> *Kopfkratz* Was hat VPN mit Firewall zu tun? Ach ja, man kann's
> verknotet verkaufen und auf'n Karton schreiben, daß das ein Feature
> ist...
>
--
Regards,
Schlomo
Mehr Informationen über die Mailingliste linux-l