IPsec gibt Lauschern keine Chance

19.07.2005

Der IKE-Config-Mode als weitere Protokollerweiterung ermöglicht die dynamische Zuteilung einer virtuellen IP-Adresse aus dem internen Adressbereich (private IP) eines Unternehmens an den Client. Darüber hinaus können dem Client auch Domain- und Serverdaten für DNS und WINS (Windows Internet Name Server) gesichert zugewiesen werden.

Probleme beim Remote Access treten dann auf, wenn ein PC über Netzwerkkomponenten mit Adressumsetzung (Network Address Translation, NAT) Datenverbindungen aufbauen möchte. Nach der IKE-Aushandlung überfordern die verschlüsselten und signierten Datenpakete der Encryption Security Payload (ESP) jedes zwischengeschaltete NAT-System, weil diese keine Ports benutzen. Etliche Netzwerkkomponenten mit NAT haben daher eine "IPsec Passthru"-Option, die aber nur ein festgelegtes Endgerät hinter der NAT-Linie mit den durchgereichten ESP-Frames versorgen kann. Die Protokollerweiterung NAT Traversal (NAT-T) im VPN-Client und VPN-Gateway sorgt hier für Abhilfe.

Zusammen mit dem Protokoll Dead Peer Detection (DPD) lässt sich jede Netzwerktopologie überlagern - eine wichtige Voraussetzung im Umfeld von Remote-Access- und Site-to-Site-VPN. Die DPD-Funktion optimiert das Ressourcen-Management der Tunnel in einem zentralen Gateway. Sie gewährleistet einen kontinuierlichen Verbindungs-Check zur Gegenstelle und leistet einen automatischen Wiederaufbau bei ungewolltem Verbindungsabbruch.

Sicherheitsanforderungen an den VPN-Client

IPsec-Tunnel schützen die VPN-Verbindung auf dem Weg durch unsichere Netze. Um neben der Daten- auch Zugangssicherheit zu garantieren, gilt es den von außen zugreifenden PC und letztlich das Firmennetz gegen jedwede Attacken abzuschotten. Gefahr droht immer dann, wenn ein mobiler Teleworker neben der VPN-Verbindung zur Firmenzentrale gleichzeitig eine direkte ungeschützte Verbindung zum Internet oder eine zweite VPN-Verbindung zu einem alternativen VPN-Gateway unterhält (so genanntes Split-Tunnelling). In derartigen Fällen gilt es zu verhindern, dass sich ein Angreifer über den Umweg des Endgeräts durch den VPN-Tunnel Zugriff auf das Firmennetz verschafft.

Inhalt dieses Artikels

Weitere Hersteller zum Thema: Gobierno de Canarias, VisuMotion GmbH, Landesentwicklungsgesellschaft, data-complex GmbH, Linux Information Systems AG

weitere Hersteller zum Thema in unserer Herstellerwelt

Leserkommentare

(0 Beiträge),

Kommentieren

Mehr zum Thema

SECURITY: CW-REDAKTEURE EMPFEHLEN

Auftrags-Hacker Sebastian Schreiber, Profi-Hacker und Geschäftsführer der SySS GmbH: "Ein sicherer Bezahlprozess ist nicht alltagstauglich".
weiter

Zehn Tipps für Code Review Schlüsselfertige Tools für Code Reviews gibt es nicht. Wer sichere Anwendungen entwickeln will, sollte zehn Best Practices beachten.
weiter

Smartphone-Daten schützen Mit Hilfe des "Certgate Protector"können Firmen die Daten auf Windows-Mobile-Geräten schützen und Funktionen ab- oder zuschalten.
weiter

Das verkannte IT-Risiko Viele Unternehmen wissen um die Gefahr von Spionage und Datenklau. Doch die meisten sehen sich selbst nicht davon betroffen.
weiter

Die schwarze Liste Lernen Sie die Maschen hinter scheinbar kostenlosen Websites, lukrativen Jobangeboten oder Kleinanzeigen kennen, um nicht darauf hereinzufallen.
weiter

MEHR ZUM THEMA SECURITY

Whitepaper
Top geklickt

Security-Expertenrat

Web-Anwendungen absichern

Hacker greifen immer häufiger auf firmeninterne Systeme zu. Das COMPUTERWOCHE-Special "Wege zur sicheren Web-Anwendung" zeigt, worin die schwerwiegendsten Programmierlücken in Web-Applikationen bestehen. Außerdem beschreibt es Tools, die bei der Suche nach Schwachstellen in Web-Anwendungen helfen.

zum kostenlosen Special

10projects: Security

KOSTENLOSE NEWSLETTER VON COMPUTERWOCHE