VPN Client Management (Re: [linux-l] Erste Erfahrungen mit OpenVPN)

Schlomo Schapiro belug at schlomo.schapiro.org
Fr Jul 16 11:00:13 CEST 2004 

Hallo,

<reply auch an die anderen mails ..., freut mich mal eine "sinnvolle" 
Diskussion anregen zu koennen, den Antworten nach zu schliessen>

<Ich rede, realitaetsbezogen, primaer von Windows CLients. Bei Linux 
Clients gibts da eh kein Problem>

Ein VPN bohrt ein grosses Loch in die Sicherheit des Firmen-Netzwerkes, da 
ja der entfernte PC nicht wirklich unter Kontrolle des Admins steht und 
daher ein sehr grosses Sicherheitsrisiko darstellt. Eine besondere Form 
davon ist die Befuerchtung, dass der VPN Client feindlich uebernommen 
wurde (z.B. duch einen Bot oder Wurm) und dann bei der Verbindung des 
Clients in das interne Netz dieser "Feind" leicht eindringen kann und 
dabei alle Sicherheitsmassnahmen umgehen. Im schlimmsten Fall kann der 
Client auch noch aus dem Internet fergesteuert werden und dadurch dem 
Angreifer den Zugang in das interne Netz gestatten. Bei vielen VPN 
Systemen ist ja nichtmal ein Passwort noetig, da es per Zertifikat oder 
per Dial-Up Netzwerk geht und dann das Passwort schon gespeichert ist (die 
meisten "User" tun das so ...), so dass der Angreifer sich dann sogar ganz 
ohne den User mit dem Firmennetz verbinden kann.

Aus diesen Gruenden sollte man in der Tat VPN Client mit AntiVirus und 
Firewall kombinieren, denn
* Der AntiVirus garantiert, dass zumindest kein bekannter Schaedling auf 
dem Client aktiv ist. Dazu wird auch ein Update der Signaturen erzwungen.
* Der Firewall garantiert, dass waehrend der VPN Sitzung keine 
"zweibeinige Kommunikation" stattfindet, sprich dass der Client nicht 
gleichzeitig mit dem geschuetzten Netz und dem Internet (am Tunnel vorbei) 
reden kann. Das verhindert eine etwaige Fersteuerung des Clients und 
generell die Kommunikation aus dem Internet mit dem LAN ueber den Client.

Das hat alles ueberhaupt nichts mit Open Source / Kommerzsoftware zu tun 
sondern mit Sicherheitsstrategie. 

Bei vielen kommerziellen VPNs kann man nun genau diese Dinge zentral 
steuern, so dass der VPN Server die Verbindung nur dann freischaltet, wenn 
er ueberzeugt ist, dass beim Client alles OK ist. Dies erhoeht die 
Sicherheit der VPN Verbindung, da man dann die Client Verwaltung 
automatisiert hat und nicht dem guten Willen oder den Faehigkeiten der VPN 
Mitarbeiter trauen muss (bekanntlich ist jede Kette nur so stark wie ihr 
schwaechstes Glied).

Da ich gerne die proprietaeren PVN Systeme (z.B. Novell Border Manager 
VPN) durch eine plattformunabhaengige OS Loesung ersetzen wuerde, muss ich 
natuerlich auch fuer Windows Clients diese Problem loesen.

Daher meine Frage, wie kann ich die Aktivierung von z.B. OpenVPN mit dem 
Antivirus und dem Firewall kombinieren um die Sicherheitsanforderungen 
meiner Firma zu erfuellen ? Ohne dass wird es bei uns keine Abloesung 
geben, denn die Angst vor einem Einfall durch einen offenen VPN Client ist 
dazu (m.E. sogar berechtigterweise) viel zu gross.

Schlomo

On Wed, 14 Jul 2004, Jan-Benedict Glaw wrote:
> 
> *Kopfkratz* Was hat VPN mit Firewall zu tun? Ach ja, man kann's
> verknotet verkaufen und auf'n Karton schreiben, daß das ein Feature
> ist...
> 

-- 
Regards,
Schlomo

Mehr Informationen über die Mailingliste linux-l