Linux Policy Routing zum sicheren Teilen von OpenVPN-Zugängen

Geteilte Privatsphäre

Über ein VPN greifen Mitarbeiter von unterwegs oder aus dem Home Office sicher auf sensible Daten innerhalb des Unternehmensnetzwerks zu. Ein Schwachpunkt dabei ist die Nutzung eines VPN-Zugangs durch mehrere Mitarbeiter. Dazu ist die Weitergabe der Credentials scheinbar unvermeidlich. Ein Sicherheitsrisiko, dass IT-Verantwortliche nicht gern in Kauf nehmen. Wie sich die mehrfache Nutzung eines VPN-Zugangs sicher realisieren lässt, zeigt dieser Artikel beispielhaft an einem VPN-Proxy mit OpenVPN.
Mit der heraufziehenden dunklen Jahreszeit beginnt auch wieder die Einbruchsaison. Mit dem Schutz vor digitalen Einbrechern befasst sich IT-Administrator in der ... (mehr)

VPN-Zugänge zum Internet erfreuen sich zunehmender Beliebtheit. Nicht nur Privatpersonen, auch Firmen nutzen die Zugänge zum Schutz von Privatsphäre, Geschäftsgeheimnissen und der eigenen IT-Infrastruktur. Die Enthüllungen der unzähligen Überwachungsmöglichkeiten im Internet haben einen großen Teil dazu beigetragen, dass Internetbenutzer eine akute Bedrohung für ihre Daten erkennen [1].

Kommerzielle VPN-Angebote ermöglichen den Zugang zum Internet über verschiedene Zugangspunkte. Diese sind über den gesamten Erdball auf unterschiedliche Länder verteilt. So lässt sich wählen, aus welchem Land die IP-Adresse stammt, die beim Surfen oder Video schauen sichtbar ist. Die Auswahl findet bei der Einwahl in das VPN-Netz statt, bei OpenVPN gibt es dann für jeden Endpunkt eine eigene Konfiguration. Die Authentifikation eines Benutzers erfolgt bei OpenVPN grundsätzlich über Benutzer-Zertifikate. Einige Anbieter konfigurieren den Zugang alternativ auch so, dass er mittels Benutzername/ Passwort-Kombination möglich ist.

Die gleichzeitige VPN-Nutzung durch unterschiedliche Mitarbeiter (so dies vom VPN-Anbieter erlaubt ist) erfordert in beiden Fällen die Weitergabe der Zertifikate oder des Passworts. Dies ist in den meisten Fällen nicht gewünscht und entzieht die Nutzung der Kontrolle des Administrators. Der Verlust von Zugangsdaten durch Mitarbeiter oder das Ausscheiden eines Kollegen macht eine Passwortänderung notwendig. Der Widerruf eines Client- Zertifikats ist darüber hinaus nicht bei allen VPN-Anbietern ohne weiteres möglich. Ein zusätzliches Problem: Eine VPN-Verbindung vom Mitarbeiter-Computer zum VPN-Anbieter verschlüsselt die Inhalte der Verbindung und verschleiert sie so auch vor unternehmensinternen Schutzmechanismen und Inhaltskontrollen.

Ein eigens eingerichteter OpenVPN-Server kann stellvertretend eine Verbindung zu allen Endpunkten des VPN-Dienstleisters herstellen und diese als Proxy den eigenen Mitarbeitern

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Support-Ende von SMBv1

Mit dem aktuellen Update für Windows 10 und Windows Server 2016 steht eine Änderung ins Haus, die gerade für Benutzer älterer Linux-Distributionen große Auswirkungen hat. Nachdem Microsoft es über viele Jahre schon angekündigt hat, entfernt der Konzern mit dem aktuellen Update-Release den Support für das SMB-Protokoll 1. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Linux-Backup

Welche Backup-Lösung setzen Sie für Linux im professionellen Umfeld ein?

  • keine
  • eigene Scripts
  • rsnapshot
  • rdiff-backup
  • Bacula
  • Bareos
  • Borg
  • Duplicity
  • Amanda
  • Burp
  • Clonezilla
  • Acronis
  • Arkeia
  • SEP sesam
  • Veeam
  • Redo Backup
  • Relax-and-Recover
  • andere kommerzielle Software
  • andere Open-Source-Software

Google+

Ausgabe /2018

Microsite