Empfehlungen: Die NSA möchte, dass wir sicher im Homeoffice arbeiten

Die National Security Agency gibt Tipps, wie man IPsec- und VPN-Verbindungen absichern sollte.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 171 Beiträge

(Bild: Pheelings media / Shutterstock.com)

Von

Über das Internet Protocol Security (IPsec) oder einen Virtual-Private-Network-Tunnel (VPN) baut man beispielsweise aus dem Homeoffice gesicherte Verbindungen ins Büro auf. Gerade in Corona-Zeiten passiert das weltweit tagtäglich. Doch oft sind die Verbindungen nicht optimal konfiguriert und die Sicherheit ist nicht gewährleistet. Nun hat der US-Geheimdienst NSA (National Security Agency) Empfehlungen zur Absicherung von IPsec und VPN veröffentlicht.

In einem Beitrag schildert der Geheimdienst die generellen Verwundbarkeiten der beiden Verbindungsarten und gibt Konfigurationstipps für einen sicheren Betrieb. Da VPN-Gateways direkt aus dem Internet erreichbar sind, bieten sie eine willkommene Angriffsfläche.

Admins sollten sicherstellen, dass ausschließlich berechtigte Geräte die Verbindung nutzen dürfen. Das können sie beispielsweise über das Anlegen von Filtern von IP-Adressen und Port-Regeln festlegen. An dieser Position kann auch eine Monitor-Lösung in Form eines Intrusion Prevention Systems (IPS) helfen den Überblick zu wahren und gegebenenfalls einzugreifen.

Wichtig ist auch, die Standardeinstellungen eines VPN-Gateways anzupassen. Es gibt immer wieder Fälle, wo Admins bekannte Standard-Passwörter nicht ändern und Angreifer so ein besonders leichtes Spiel haben. Außerdem sollten Admins sicherstellen, dass ausschließlich als derzeit sicher geltende Verfahren zum Schlüsselaustausch und bei der Verschlüsselung zum Einsatz kommen.

Das sind für den Schlüsselaustausch beispielsweise Diffie-Hellman und die Verschlüsselung auf Basis elliptischer Kurven. Ein Paper listet von der NSA zertifizierte Verfahren auf. Der Hintergrundartikel von heise Security "Kryptographie in der IT – Empfehlungen zu Verschlüsslung und Verfahren" gibt tiefere Einblicke in solche Verfahren.

Es sollte sichergestellt sein, dass Gateways und Clients auf ein sicheres Verschlüsselungsverfahren abgestimmt sind. Als unsicher geltende Cipher Suites sollten Admins aus Sicherheitsgründen komplett deaktivieren. Ansonsten könnten Angreifer unter Umständen über Downgrade-Attacken den Einsatz eines als unsicher geltenden Verfahrens erzwingen. Das sollten Admins regelmäßig überprüfen. Andernfalls könnten sich Angreifer nach erfolgreichen Downgrade-Attacken als Man-in-the-Middle in Verbindungen einklinken und mitlesen.

Auch wenn es selbstverständlich sein sollte, erinnert die NSA Admins daran, Hard- und Software für den Aufbau von Verbindungen von außen noch innen auf dem aktuellen Stand zu halten und Sicherheitsupdates zeitnah zu installieren.

Erst im Januar gab es beispielsweise Attacken auf eine kritische Sicherheitslücke (CVE-2020-11510) in VPN-Server mit Pulse Connect Secure. Davon waren auch VPN-Server in Deutschland betroffen.

Lesen Sie dazu auch:

(des)