vege - stock.adobe.com
Welche Alternativen können Unternehmen statt VPNs einsetzen?
Virtual Private Networks sorgen für eine sichere Kommunikation übers Internet. Sobald Security-Probleme bei VPNs auftauchen, stellt sich die Frage nach möglichen Alternativen.
In VPN-Lösungen von bekannten Anbietern wie Cisco und Pulse Secure wurden vor einiger Zeit gefährliche Lücken gefunden, die zu Angriffen aus der Ferne und MITM-Attacken (Man in the Middle) führen können. Sollten Unternehmen in Anbetracht dieser Schwachstellen besser komplett auf Virtual Private Networks verzichten? Falls ja, welche Alternativen zu VPNs gibt es überhaupt?
Die in PULSE 5.3R4.2 and PULSE 5.2R9 gefundenen Sicherheitslücken bei der Validierung von SSL-Zertifikaten (Secure Sockets Layer) wurden nach Angaben von Pulse Secure LLC zwar mittlerweile geschlossen. Laut kb.cert.org (Stand Februar 2018) sollte die Linux Pulse Secure Client GUI jedoch trotzdem nicht in unsicheren Netzen wie dem Internet genutzt werden.
Cisco hat im Februar 2018 ebenfalls in einem Security Advisory mitgeteilt, dass die so genannte Webvpn-Schwachstelle in der Software für die Cisco Adaptive Security Appliance behoben wurde. Das Advisory ging jedoch nicht auf die Frage ein, ob Webvpn noch über ein unsicheres Netzwerk genutzt werden sollte.
Öffentlich zugängliche VPN-Zugänge sind so weit verbreitet, dass ein Angreifer sie heutzutage leicht über entsprechende Suchmaschinen finden kann. Auch mit Hilfe von lassen sich öffentliche Zertifikate leicht aufspüren, die von einer Certificate Authority (CA) ausgegeben wurden.
Zusätzlich zu den genannten Schwachstellen in VPN-Lösungen, gibt es weitere Probleme, mit denen sich Unternehmen auseinandersetzen sollten. So sollten keine VPNs mehr genutzt werden, wenn eine Webseite des VPN-Anbieters eine negative Bewertung von SecurityHeaders.io erhalten hat, weil nicht die richtigen HTTPS-Header verwendet wurden. Das bedeutet im Umkehrschluss aber nicht automatisch, wenn eine Webseite eine positive Bewertung erhalten hat, dass die VPN-Lösung dieses Anbieters auch gegen Remote Code Execution oder MITM-Angriffe geschützt ist.
Unternehmen, die nach Alternativen für ihre bislang eingesetzten VPN-Lösungen suchen, sollten sich mit privaten physischen Netzen sowie dem Whitelisting von Applikationen beschäftigen. Private physische Netzwerke sind Verbindungen zwischen mehreren Geräten, die nicht virtuell, sondern physisch bestehen. Das Netzwerk befindet sich also auf einem rein physischen Layer, auf dem keine virtuellen Schnittstellen verwendet werden. Die Größe eines solchen Netzwerks wird allerdings durch die realen Komponenten begrenzt, die zum Transfer der Daten eingesetzt werden. Und damit kann dies nur in begrenzten Fällen eine Alternative sein.
Whitelisting von Applikationen
Auf der anderen Seite lässt sich Whitelisting nutzen, um nur noch Zugriffe durch freigegebene Anwendungen zuzulassen. Versuchte Änderungen an Dateien durch Hacker lassen sich so effektiv verhindern. Lösungen aus diesem Bereich wie zum Beispiel AppLocker für Windows 10 sind teilweise kostenlos oder auch als kommerzielle Produkte für Unternehmen erhältlich. In großen internationalen Firmen sind die Listen mit erlaubten Anwendungen jedoch nur schwer zu erstellen und zu managen. Wenn diese Verzeichnisse aber nicht fehlerfrei sind, können Angreifer immer noch Man-in-the-Middle-Attacken starten.
Weitere Alternativen zu VPN-Lösungen sind BeyondCorp von Google und Access von Cloudflare. Beide nutzen einen Reverse-Proxy-Ansatz. Anstelle herkömmlicher VPN-Clients setzen sie auf Verbindungen, bei denen die Endgeräte durch ihre Plattformen authentifiziert und die übertragenen Daten durch HTTPS geschützt werden. Und auch Zscaler Private Access positioniert sich als Alternative zu VPN.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!