“Freunde lassen Freunde kein VPN verwenden”

“Freunde lassen Freunde kein VPN verwenden”. Ich habe diese Behauptung in einem Blogbeitrag von Matthew Sullivan (dem ich alle kreativen Credits gebe) gelesen und meine Aufmerksamkeit war gewonnen. In diesem Blogbeitrag werden wir diskutieren, warum klassische VPN-Lösungen (Virtual Private Network) für Unternehmen nicht mehr “gut genug” sind, um Remote-Arbeit und Telearbeit zu ermöglichen.

Der Klarheit halber sei gesagt, dass wir, wenn wir von VPN sprechen, ausdrücklich nicht von P2P-verwalteten VPN-Verbindungen zur Überbrückung von zwei Standorten oder von kommerziellen VPN-Diensten sprechen (von denen angenommen wird, dass sie ein privateres und sichereres Surfen im Internet ermöglichen).

VPN – Virtual Private Network – geht auf die neunziger Jahre zurück. Im Jahr 1996 “erfand” der Microsoft-Mitarbeiter Gurdeep Singh-Pall das PPTP (Point-to-Point Tunneling Protocol). Es bot eine Methode zur Implementierung virtueller privater Netzwerke und einer sicheren Internetverbindung. Im Jahr 1996 zählte die damalige Welt 36 Mio. Internetbenutzer (Quelle). Zwei Drittel davon waren in den USA ansässig. Es gab erstaunliche 100.000 Websites, Netscape war der Browser der Wahl, und mit 33,8 Kbps konnten die Benutzer mit Lichtgeschwindigkeit im Internet surfen. VPN war zu dieser Zeit das geeignete Werkzeug. Natürlich haben sich die Zeiten geändert.

Die typischen Sicherheitsprobleme bei Unternehmens-VPN

– Wenn Sie einmal drin sind, sind Sie wirklich “drin”.

Laut einer IDC-Analyse stammen mehr als 40% der Sicherheitsverletzungen von autorisierten Nutzern wie Auftragnehmern, Verkäufern und Angestellten. Dies bedeutet, dass VPNs in der Regel nicht über die granularen Kontrollen verfügen, die für die Zuweisung von Benutzern mit bestimmten Rechten erforderlich sind. Sobald ein Remote-Benutzer durch ein VPN authentifiziert ist, gilt dieser Benutzer als vertrauenswürdig und erhält Zugriff auf alles im Unternehmensnetzwerk. Dies macht das Unternehmensnetzwerk und seine Ressourcen ziemlich anfällig und offen für Angriffe oder Datenlecks.

Die VPN-Benutzerzugriffsverwaltung ist nicht nur mit dem Active Directory (AD), sondern auch mit den Gerätezertifikaten verknüpft. Das bedeutet, dass beim Ausscheiden eines Mitarbeiters aus dem Unternehmen sein Gerätezertifikat widerrufen werden muss – wie Sie sich denken können, wird das leider oft vergessen.

– Notwendigkeit, immer die letzte Version auszuführen

VPN-Plattformen sind ziemlich beliebt. Auch bei Hackern. Keine Plattform kann von absoluter Sicherheit profitieren, und das gilt sicherlich auch für VPN-Plattformen. Allein im vergangenen Jahr sind viele der beliebtesten und am häufigsten verwendeten VPN-Plattformen im Kern (und nur am Endpunkt) durchbrochen worden. In einigen Fällen dauerte es Wochen, bis die Hersteller einen Sicherheitspatch zur Verfügung stellten, der die Lücke schloss. Im Folgenden ist nur eine kleine Liste der jüngsten Sicherheitslücken pro Plattform aufgeführt:

• Palo Alto Netzwerksicherheitsberatung PAN-SA-2019-0020, in Bezug auf CVE-2019-1579;
• FortiGuard Sicherheitsberatung FG-IR-18-389, in Bezug auf CVE-2018-13382; FG-IR-18-388 in Bezug auf CVE-2018-13383; FG-IR-18-384, in Bezug auf CVE-2018-13379;
• Pulse Secure Sicherheitsberatung SA44101, in Bezug auf CVE-2019-11510, CVE-2019-11508, CVE-2019-11540, CVE-2019-11543, CVE-2019-11541, CVE-2019-11542, CVE-2019-11539, CVE-2019-11538, CVE-2019-11509, CVE-2019-11507.
• Citrix Sicherheitsberatung CTX267027, in Bezug auf CVE-2019-19781.

Die Botschaft ist klar, vor allem, wenn man bedenkt, dass es leicht zu erkennen ist, welche VPN-Technologie von wem verwendet wird: immer die neueste Version laufen lassen, immer alle Sicherheits-Patches anwenden, und zwar sofort. Um ehrlich zu sein, sollte dies heutzutage ein Standardverfahren für jede Softwarelösung sein.

– Einfach Login/Passwort eingeben

Die Multi-Faktor-Authentifizierung ist das absolute Minimum, das Benutzer zur Authentifizierung mit VPN benötigen. Leider ist sie in vielen Organisationen noch immer keine Standardeinstellung… und das ist so, als würde man die Tür zu Ihrem Haus weit offen lassen. Viele Benutzerkennwörter wurden bereits gehackt und werden in Datenbanken im Darkweb gesammelt (ehrlich gesagt, sogar ich kann sie finden). Mehr noch, indem sie einfach “123456” als Passwort verwenden, haben Hacker bereits eine erstaunliche Chance, hineinzukommen. Der Vollständigkeit halber sei angemerkt, dass die häufigsten Passwörter laut SplashData im Jahr 2019 folgende waren

• • • 123456
    • 123456789
    • qwerty
    • Kennwort
    • 1234567
    • 12345678
    • 12345
    • iloveyou
    • 111111
    • 123123

Und wenn Sie die Benutzer zwingen, mindestens eine Zahl und einen Buchstaben in einem Passwort zu haben, dann ist #11 in der Liste ‘abc123’. Kein Wunder, dass eine Studie von Microsoft herausfand, dass die Verwendung von MFA in 99,9% der Fälle Kontoübernahmeangriffe blockiert. Fazit: Verwenden Sie MFA. Immer. Das ist ein absolutes Minimum.

– Kompromittierte Geräte

Endbenutzer müssen die VPN-Verbindung über einen VPN-Client auf ihrem Gerät – in der Regel ein Laptop – aktivieren. Sobald die Verbindung zwischen dem Gerät und dem Unternehmensnetzwerk hergestellt ist, sind die Tore nach Walhalla in der Regel offen. Selbst wenn diese Authentifizierung mit zusätzlicher Sicherheit wie MFA erfolgt. Das bedeutet: Wenn das Gerät, auf dem der VPN-Client läuft, mit Malware infiziert ist, kann das Öffnen einer VPN-Verbindung auch dazu führen, dass die Malware den Weg in Ihr Firmennetzwerk findet.

Das ist der Grund, warum Sie VPN nur auf Geräten aktivieren möchten, die sich im Besitz des Unternehmens befinden und verwaltet werden. Die IT-Abteilung muss die optimale Kontrolle über das Gerät haben, sicher sein, dass es mit der neuesten Betriebssystemversion und den neuesten Patches läuft, über einen aktiven Anti-Malware-Service verfügt usw. Aus genau diesen Gründen ist die Ausführung von VPN auf Geräten, die im Besitz von Benutzern sind, aus Sicherheitssicht ein absolutes Tabu.

Darüber hinaus stellt die Tatsache, dass sich wahrscheinlich – wahrscheinlich – vertrauliche Daten auf dem Endbenutzergerät befinden, ein Sicherheitsrisiko als solches dar. Auch für verwaltete Geräte.

Die Flexibilität und UX-Seite von VPN

Die Idee von VPN ist die Erweiterung eines Geräts in einem Heimnetzwerk (zum Beispiel) in das Firmennetzwerk. Im Grunde genommen verhalten Sie sich so, als ob das Gerät im LAN laufen würde. Dies hat einige Konsequenzen;

Benutzer können in der Regel alle lokale Software und Dateien verwenden, die auf dem Gerät selbst laufen.

beim Zugriff auf Vermögenswerte im Unternehmensnetzwerk werden diese vollständig heruntergeladen (oder hochgeladen); wenn beispielsweise die Arbeit an einer Datenbankdatei auf einem gemeinsam genutzten Laufwerk erledigt wird, wird die Datei ständig herunter- und hochgeladen

Durch die Verwendung von Split-Tunneling kann der Verkehr (wie YouTube und Social Media) über den öffentlichen Internetzugang statt über das VPN geleitet werden. Dies ist jedoch offensichtlich mit anderen Sicherheitsrisiken verbunden. Die Alternative besteht darin, den gesamten Datenverkehr durch das Firmen-VPN zu leiten, was eine Belastung der VPN-Kapazität darstellen kann.

Fazit: VPN bietet den Benutzern (wenn sie einen verwalteten Laptop haben) ihre bekannte Büroerfahrung. Dies geht jedoch zu Lasten der Kapazität.

– Jedes Gerät

Wie Sie herausgefunden haben, ist es aus Sicherheitssicht nur ratsam, VPN auf Geräten zu aktivieren, die Sie vollständig verwalten. Um dies jedoch zu erweitern, sind die meisten VPN-Clients für Unternehmen nicht auf allen Geräten und Betriebssystemen verfügbar (z.B. MacOS-Geräte, Chromebooks, Raspberry Pi, Android-Tabletts, …). Dies schränkt Ihre Freiheitsgrade und die Ihrer Benutzer ernsthaft ein.

– Kapazität

Wie oben beschrieben, müssen VPN-Plattformen in der Regel eine große Download- und Upload-Kapazität absorbieren. Diese Plattformen werden selten so skaliert, dass 100% der Benutzer gleichzeitig aus der Ferne arbeiten können. Folglich sind Kapazitäts- und damit verbundene Leistungsprobleme häufiger als selten.

Bei Awingu gehen wir die Dinge anders an

Awingu ist ein browserbasierter Unified Workspace. Er stellt RDP-basierte Anwendungen und Desktops in HTML5 auf jedem Browser zur Verfügung. Er aggregiert auch Dateiserver, Intranets, Webanwendungen, SaaS, … zusammen hinter einer einzigen Glasscheibe mit Single Sign-On. Werfen Sie einen Blick auf die Architektur und die Funktionen von Awingu, um mehr darüber zu erfahren.

– Awingu hat die minimalen Sicherheitsschichten eingebaut

Awingu ermöglicht ein Mindestmaß an IT-Sicherheit für seine Benutzer. Awingu wird in der Regel auf einem RDS (Terminal Server) und einem RDP-Zugang eingesetzt. Sie können dieses Dokument so interpretieren, dass es einen Überblick darüber gibt, welche Sicherheitsstufen Awingu zusätzlich zu “normalen” RDP/RDS ermöglicht.

• • • Multi-Faktor-Authentifizierung: Awingu wird mit einer integrierten MFA-Lösung geliefert und kann (falls erforderlich) Ihre aktuelle Authentifizierungsmethode problemlos integrieren. Durch das Hinzufügen von MFA minimieren Sie das Risiko von “Brute-Force-Angriffen”. Die in Awingu integrierte MFA unterstützt die Verwendung von One-Time-Token (HOTP) und zeitbasierten Token (TOTP). Awingu integriert auch DUO Security, Azure MFA, SMS-Passcode oder Radius-basierte Dienste.
    • Verschlüsselung über HTTPS: zwischen dem Endbenutzer (Browser) und der virtuellen Appliance von Awingu begünstigt und ermöglicht Awingu die Verschlüsselung über HTTPS. Awingu erlaubt die Verwendung von eigenen SSL-Zertifikaten (oder SSL-Proxy). Darüber hinaus verfügt Awingu über eine integrierte Integration mit Let’s Encrypt, die automatisch ein einzigartiges SSL-Zertifikat generiert und sich um dessen Erneuerung kümmert.
    • Nur Port 443: Bei korrekter Einrichtung benötigt Awingu nur Port 443, um für Endbenutzer-Clients verfügbar zu sein.
    • Umfassende Nutzungskontrolle: Awingu wird mit einem umfangreichen Nutzungsprotokoll geliefert. Die Nutzungsprüfung verfolgt, welche Anwendungssitzungen Benutzer öffnen (oder schließen) und wann und wo (von welcher IP-Adresse aus) sie dies tun. Es wird auch verfolgt, welche Dateien geöffnet, gelöscht, gemeinsam genutzt usw. werden. Das Audit-Protokoll ist über das Awingu-Dashboard (Admin) verfügbar, und es können benutzerdefinierte Berichte extrahiert werden.
    • Erkennung von Anomalien: Informieren Sie sich über Unregelmäßigkeiten in Ihrer Umgebung, wie z.B. jemand, der sich zu oft mit einem falschen Passwort einloggt oder jemand, der versucht, sich aus dem Ausland einzuloggen. Diese Informationen sind über das Awingu-Dashboard (nur Admin) verfügbar.
    • HTML-Iso-RDP: RDP ist bekannt dafür, dass es zahlreiche Exploits aufweist, insbesondere wenn ältere und nicht gepatchte Versionen ausgeführt werden. HTML minimiert den für RDP spezifischen “Bedrohungsvektor” (z.B. Bluekeep, NotPetya).
    • Granulare Nutzungskontrollen: Für jeden Benutzer (Gruppe) können spezifische Rechte vergeben werden; z.B. Verhinderung der Nutzung des virtuellen Druckers (d.h. kein Drucken zu Hause), Verhinderung des Herunterladens (oder Hochladens) von Dateien auf den und vom lokalen Desktop, Verhinderung der gemeinsamen Nutzung von Awingu-Anwendungssitzungen, Verhinderung der gemeinsamen Nutzung von Awingu-Dateien usw.
    • Aufzeichnung der Sitzung: Awingu kann die automatische Aufzeichnung von bestimmten Anwendungen oder Benutzern aktivieren (Hinweis: ausgeschlossen für Awingu Reverse-Proxy-Sitzungen). Der Endbenutzer erhält vor dem Start seiner Awingu-Anwendung/des Desktops eine Warnung vor der Aufzeichnung und muss diese “akzeptieren”.
    • Keine lokalen Daten: Alle Anwendungen, Dateien, gehosteten Desktops usw. laufen im Browser in HTML5. Es gibt keinen Footprint auf dem Gerät (vgl. granulare Nutzungskontrollen), und es werden nur Bildschirm-‘Bilder’ freigegeben.

– Awingu ermöglicht bessere UX

Mit Awingu können Benutzer jedes Gerät, auch ihr eigenes privates Gerät, mitnehmen und ihre Arbeit erledigen. Es kann ein Windows 7-Gerät, ein MacBook oder ein Tablet sein. Es ist eine einfache und konsistente Erfahrung.