SecCore Essentials - Secure Remoting

Haftungsausschluss: Dieser Beitrag dient ausschließlich Bildungs- und Informationszwecken. Die hier gezeigten Informationen und Angriffe dürfen niemals für illegale Zwecke oder auf Systemen, für die keine explizite Erlaubnis eingeräumt wurde, verwendet werden. Solche Handlungen können gegen geltende Gesetze verstoßen und schwerwiegende rechtliche Konsequenzen nach sich ziehen.

Zusammenfassung

Dieser Beitrag fasst wesentliche Security-Hardening-Maßnahmen für den sicheren Fernzugriff auf Unternehmensnetzwerke zusammen. Dieses SecCore Essential ist implementiert, wenn die folgenden Punkte zutreffen:

Es werden ausschliesslich moderne, als sicher geltende VPN-Protokolle eingesetzt (z.B. WireGuard oder IKEv2/IPsec).
Für den VPN-Zugang ist eine starke Authentifizierung mit Multi-Faktor-Authentifizierung (MFA) verpflichtend.
Administrative Interfaces und Management-Oberflächen sind ausschliesslich über das VPN erreichbar.
Der VPN-Zugang ist segmentiert, sodass Benutzer nur auf die für sie relevanten Netzwerkbereiche zugreifen können.

Einleitung

Der Fernzugriff auf Unternehmensnetzwerke ist in der modernen Arbeitswelt unverzichtbar. Homeoffice, verteilte Teams und die Verwaltung von Infrastruktur über das Internet machen sichere Remote-Verbindungen zu einer zentralen Anforderung. Gleichzeitig sind VPN-Zugänge ein bevorzugtes Ziel von Angreifern: Ein kompromittierter VPN-Zugang kann einem Angreifer direkten Zugriff auf das interne Netzwerk verschaffen und damit die gesamte Sicherheitsarchitektur untergraben.

Häufig anzutreffende Schwachstellen sind veraltete VPN-Protokolle mit bekannten kryptografischen Schwächen, fehlende oder schwache Authentifizierung, öffentlich erreichbare Administrationsinterfaces sowie ein fehlender segmentierter Zugriff nach dem Verbindungsaufbau. Dieser Beitrag zeigt die wichtigsten Maßnahmen, um den Fernzugriff nachhaltig abzusichern.

Häufige Angriffsvektoren

Die folgenden Abschnitte beschreiben verschiedene Angriffsvektoren, die im Zusammenhang mit unsicheren Fernzugriffslösungen stehen.

Veraltete und unsichere VPN-Protokolle

Ältere VPN-Protokolle wie PPTP¹ oder L2TP/IPsec² mit Pre-Shared Keys weisen bekannte kryptografische Schwächen auf, die von Angreifern ausgenutzt werden können. PPTP verwendet beispielsweise das MS-CHAPv2-Authentifizierungsverfahren, das seit Jahren als unsicher gilt und deren Hashes effizient in Klartext umgewandelt werden können. Auch ältere IPsec-Konfigurationen mit schwachen Verschlüsselungs- oder Hashalgorithmen (z.B. DES, MD5) bieten keinen ausreichenden Schutz mehr.

Angreifer, die sich in einer Man-in-the-Middle-Position befinden oder den verschlüsselten Datenverkehr aufzeichnen, können bei Einsatz solcher Protokolle den VPN-Tunnel entschlüsseln und Zugangsdaten sowie übertragene Daten im Klartext mitlesen.

Schwache Authentifizierung

Ein VPN-Zugang, der ausschliesslich über Benutzername und Passwort geschützt ist, stellt ein erhebliches Risiko dar. Zugangsdaten können durch Phishing, Credential Stuffing oder Brute-Force-Angriffe kompromittiert werden. Besonders kritisch wird es, wenn gestohlene Zugangsdaten aus anderen Datenlecks wiederverwendet werden, da viele Benutzer identische Passwörter für verschiedene Dienste nutzen.

Ohne einen zweiten Authentifizierungsfaktor reichen kompromittierte Zugangsdaten aus, um vollständigen VPN-Zugriff zu erhalten. Öffentlich zugängliche Datenbanken wie Have I Been Pwned³ zeigen regelmässig, wie weit verbreitet das Problem kompromittierter Zugangsdaten ist.

Öffentlich erreichbare Administrationsinterfaces

Webbasierte Management-Oberflächen von Firewalls, Switches, Hypervisor oder anderen Infrastrukturkomponenten, die direkt über das Internet erreichbar sind, stellen ebenfalls ein Sicherheitsrisiko dar. Angreifer scannen systematisch nach solchen Interfaces, beispielsweise über Dienste wie Shodan⁴ oder Censys⁵, und nutzen bekannte Schwachstellen oder Standardzugangsdaten, um sich unbefugt Zugang zu verschaffen.

Selbst wenn die verwendeten Zugangsdaten stark sind, erhöht die öffentliche Erreichbarkeit die Angriffsfläche massiv. Exploits für Zero-Day-Schwachstellen in populären Firewall- und VPN-Produkten werden regelmässig veröffentlicht und aktiv ausgenutzt, wie beispielsweise bei den kritischen Schwachstellen in Fortinet FortiOS⁶, Ivanti Connect Secure⁷ oder Palo Alto PAN-OS⁸.

Fehlende Netzwerksegmentierung nach VPN-Aufbau

In vielen Unternehmen gewährt ein erfolgreicher VPN-Verbindungsaufbau nahezu uneingeschränkten Zugriff auf das gesamte interne Netzwerk. Wird ein einzelnes VPN-Konto kompromittiert, kann sich der Angreifer lateral im Netzwerk bewegen, weitere Systeme kompromittieren und zu kritischen Systemen vordringen.

Dieses Problem wird zusätzlich verschärft, wenn externe Dienstleister oder Partner über denselben VPN-Zugang wie interne Mitarbeitende angebunden sind und dabei Zugriff auf weit mehr Systeme erhalten als für ihre Tätigkeit erforderlich wäre.

Angriffsszenario

Der folgende Abschnitt zeigt, wie ein Angreifer ein ungeschütztes VPN-Portal und unzureichend abgesicherte VPN-Konfiguration ausnutzen kann, um Zugriff auf das interne Netzwerk zu erhalten. Durch einen externen Netzwerkscan, wurde ein öffentlich erreichbares VPN-Portal unter demo.lab.local:8080 gefunden: Vergessenes Loginportal Daraufhin wurden Onlineportale wie DeHashed⁹ nach bekannten Dataleaks und veröffentlichten Zugangsdaten durchsucht: Gefundene Dataleaks Da keine Multi-Faktor-Authentifizierung konfiguriert ist, reichen die gestohlenen Zugangsdaten aus, um Zugriff auf das Portal zu erhalten und die VPN-Konfiguration herunterzuladen: Loginportal nach einem Login Da nach dem VPN-Verbindungsaufbau festgestellt wurde, dass keine Netzwerksegmentierung vorhanden ist, konnte das komplette interne Netzwerk gescannt und auf weitere Schwachstellen untersucht werden.

Gegenmaßnahmen

Um den Fernzugriff nachhaltig abzusichern, sind Maßnahmen in den Bereichen Protokollwahl, Authentifizierung, Zugangsbeschränkung und Netzwerksegmentierung erforderlich.

Moderne VPN-Protokolle einsetzen

Die Wahl eines sicheren VPN-Protokolls, wie WireGuard, IKEv2/IPsec oder OpenVPN, ist die Grundlage für einen geschützten Fernzugriff. Dabei sollte unbedingt darauf geachtet werden, dass keine veraltenen Protokolle unterstützt werden. Protokolle wie PPTP oder L2TP ohne starke IPsec-Konfiguration sollten vollständig deaktiviert und durch moderne Alternativen ersetzt werden. Die Konfiguration der eingesetzten Protokolle sollte regelmässig überprüft und an aktuelle Empfehlungen angepasst werden.

Starke Authentifizierung verpflichtend machen

Der VPN-Zugang muss durch eine starke Authentifizierung geschützt werden. Folgende Maßnahmen sind essenziell:

Multi-Faktor-Authentifizierung (MFA): Neben dem Passwort sollte ein zweiter Faktor erforderlich sein, idealerweise ein hardwarebasierter FIDO2-Token (z.B. YubiKey) oder ein TOTP-basierter Authenticator. SMS als zweiter Faktor sollte aufgrund bekannter Schwächen (SIM-Swapping¹⁰) vermieden werden.
Zertifikatsbasierte Authentifizierung: In Kombination mit einer internen Public Key Infrastructure (PKI) kann die Authentifizierung über Client-Zertifikate eine besonders starke Absicherung bieten. Gleichzeitig wird die Angriffsfläche für Credential-basierte Angriffe eliminiert.
Integration mit Identity Providern: Die Anbindung des VPN-Zugangs an einen zentralen Identity Provider (z.B. über RADIUS oder SAML) ermöglicht die zentrale Verwaltung von Zugriffsrechten, die Durchsetzung von Passwortrichtlinien und eine einheitliche Protokollierung von Anmeldevorgängen.
Automatische Sperrung: Nach einer definierten Anzahl fehlgeschlagener Anmeldeversuche sollte das Konto temporär gesperrt werden, um Brute-Force-Angriffe zu erschweren.

Administrationsinterfaces hinter das VPN legen

Management-Oberflächen und Administrationsinterfaces dürfen nicht direkt über das Internet erreichbar sein. Folgende Prinzipien sollten dabei umgesetzt werden:

Weboberflächen von Firewalls, Switches, Hypervisors, Storage-Systemen und anderen Infrastrukturkomponenten dürfen ausschließlich über das VPN oder ein dediziertes Management-Netz erreichbar sein.
SSH-Zugänge zu Servern und Netzwerkgeräten sollten auf interne IP-Adressen beschränkt werden.
Der Zugriff auf Administrationsinterfaces sollte zusätzlich durch IP-basierte Zugriffsbeschränkungen (Allowlisting) abgesichert werden, sodass selbst aus dem VPN nur bestimmte Quell-IP-Adressen zugreifen können.
Die öffentliche Erreichbarkeit der eigenen Infrastruktur sollte regelmässig mithilfe von Diensten wie Shodan⁴, Censys⁵ und Penetration Tests überprüft werden.

VPN-Zugang segmentieren

Ein erfolgreicher VPN-Verbindungsaufbau sollte nicht automatisch Zugriff auf das gesamte Netzwerk gewähren. Stattdessen sollte der Zugriff nach dem Prinzip der minimalen Rechte (Least Privilege) segmentiert werden:

Rollenbasierte Zugriffskontrolle (RBAC): Verschiedene Benutzergruppen (z.B. Mitarbeitende, Administratoren, externe Dienstleister) erhalten über unterschiedliche VPN-Profile Zugriff auf jeweils nur die für sie relevanten Netzwerksegmente.
Mikrosegmentierung: Innerhalb des VPN-Zugangs wird der Zugriff auf einzelne Systeme oder Dienste granular gesteuert. Mitarbeitende im Homeoffice benötigen beispielsweise Zugriff auf den Fileserver und die interne Webanwendung, aber nicht auf Datenbank- oder Managementsysteme.
Dedizierte VPN-Zugänge für Dritte: Externe Partner und Dienstleister sollten über separate VPN-Profile angebunden werden, die ausschließlich Zugriff auf die für die Zusammenarbeit notwendigen Systeme gewähren.
Dynamische Zugriffskontrolle: Moderne Lösungen im Bereich Zero Trust Network Access¹¹ (ZTNA) erlauben eine kontextbasierte Zugriffsentscheidung, die Faktoren wie Gerätezustand, Standort und Benutzeridentität in Echtzeit berücksichtigt.

Monitoring und Protokollierung

Ergänzend zu den oben genannten Maßnahmen sollte der VPN-Zugang umfassend protokolliert und überwacht werden:

Alle Anmeldevorgänge (erfolgreich und fehlgeschlagen) sollten zentral protokolliert werden.
Auffällige Muster wie Anmeldungen aus ungewöhnlichen Regionen, gleichzeitige Verbindungen desselben Kontos oder Verbindungsversuche ausserhalb der Arbeitszeiten sollten automatisierte Alarme auslösen.
Regelmässige Auswertungen der VPN-Nutzung helfen, ungenutzte Konten zu identifizieren und zu deaktivieren.

https://docs.microsoft.com/en-us/troubleshoot/windows-server/networking/pptp-overview

https://datatracker.ietf.org/doc/html/rfc3193

https://haveibeenpwned.com

⁴

https://www.shodan.io

⁵

https://censys.io

⁶

https://nvd.nist.gov/vuln/detail/CVE-2024-21762

⁷

https://nvd.nist.gov/vuln/detail/CVE-2024-21887

⁸