Linux Policy Routing zum sicheren Teilen von OpenVPN-Zugängen

Geteilte Privatsphäre

Über ein VPN greifen Mitarbeiter von unterwegs oder aus dem Home Office sicher auf sensible Daten innerhalb des Unternehmensnetzwerks zu. Ein Schwachpunkt dabei ist die Nutzung eines VPN-Zugangs durch mehrere Mitarbeiter. Dazu ist die Weitergabe der Credentials scheinbar unvermeidlich. Ein Sicherheitsrisiko, dass IT-Verantwortliche nicht gern in Kauf nehmen. Wie sich die mehrfache Nutzung eines VPN-Zugangs sicher realisieren lässt, zeigt dieser Artikel beispielhaft an einem VPN-Proxy mit OpenVPN.
Aus IT-Administrator 10/2015
Mit der heraufziehenden dunklen Jahreszeit beginnt auch wieder die Einbruchsaison. Mit dem Schutz vor digitalen Einbrechern befasst sich IT-Administrator in der ... (mehr)

VPN-Zugänge zum Internet erfreuen sich zunehmender Beliebtheit. Nicht nur Privatpersonen, auch Firmen nutzen die Zugänge zum Schutz von Privatsphäre, Geschäftsgeheimnissen und der eigenen IT-Infrastruktur. Die Enthüllungen der unzähligen Überwachungsmöglichkeiten im Internet haben einen großen Teil dazu beigetragen, dass Internetbenutzer eine akute Bedrohung für ihre Daten erkennen [1].

Kommerzielle VPN-Angebote ermöglichen den Zugang zum Internet über verschiedene Zugangspunkte. Diese sind über den gesamten Erdball auf unterschiedliche Länder verteilt. So lässt sich wählen, aus welchem Land die IP-Adresse stammt, die beim Surfen oder Video schauen sichtbar ist. Die Auswahl findet bei der Einwahl in das VPN-Netz statt, bei OpenVPN gibt es dann für jeden Endpunkt eine eigene Konfiguration. Die Authentifikation eines Benutzers erfolgt bei OpenVPN grundsätzlich über Benutzer-Zertifikate. Einige Anbieter konfigurieren den Zugang alternativ auch so, dass er mittels Benutzername/ Passwort-Kombination möglich ist.

Die gleichzeitige VPN-Nutzung durch unterschiedliche Mitarbeiter (so dies vom VPN-Anbieter erlaubt ist) erfordert in beiden Fällen die Weitergabe der Zertifikate oder des Passworts. Dies ist in den meisten Fällen nicht gewünscht und entzieht die Nutzung der Kontrolle des Administrators. Der Verlust von Zugangsdaten durch Mitarbeiter oder das Ausscheiden eines Kollegen macht eine Passwortänderung notwendig. Der Widerruf eines Client- Zertifikats ist darüber hinaus nicht bei allen VPN-Anbietern ohne weiteres möglich. Ein zusätzliches Problem: Eine VPN-Verbindung vom Mitarbeiter-Computer zum VPN-Anbieter verschlüsselt die Inhalte der Verbindung und verschleiert sie so auch vor unternehmensinternen Schutzmechanismen und Inhaltskontrollen.

Ein eigens eingerichteter OpenVPN-Server kann stellvertretend eine Verbindung zu allen Endpunkten des VPN-Dienstleisters herstellen und diese als Proxy den eigenen Mitarbeitern

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

Ähnliche Artikel

comments powered by Disqus

Datenschutzeinstellungen

Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Result

Ausgabe /2023

Themen

Cloud Computing Datenbanken IT-Management Linux Mobil Monitoring Netzwerk Open Source OpenStack Programmieren Security Storage Virtualisierung Web Windows
twitter facebook xing