🖥️ Veni. Vidi. sudo rm -rf / vici.

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Zuletzt angesehen: • linux_grundlagen
it-themen:grundlagen:netzwerkdienste:vpn_sicherheit

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Ăśberarbeitung
Nächste Überarbeitung		Vorhergehende Überarbeitung
it-themen:grundlagen:netzwerkdienste:vpn_sicherheit [04.12.2025 14:45] – [IPSec (klassisch, oft in Firmen & Routern)] larsit-themen:grundlagen:netzwerkdienste:vpn_sicherheit [04.12.2025 14:49] (aktuell) – [Zusammenfassung] lars
Zeile 103: Zeile 103:
  
 Risiko: Risiko:
-  * Angreifer kann durch lokales Netzwerk ins VPN springen  Â +  * Angreifer kann durch lokales Netzwerk ins VPN springen 
-  * besonders gefährlich bei Home-Office  +  * besonders gefährlich bei Home-Office
  
 ===== c) Falsche Firewallregeln ===== ===== c) Falsche Firewallregeln =====
  
 Beispiele: Beispiele:
-  * VPN-Clients können sich gegenseitig sehen  Â +  * VPN-Clients können sich gegenseitig sehen 
-  * ungewollter Zugriff auf Server  Â +  * ungewollter Zugriff auf Server 
-  * IPv6-Traffic nicht gefiltert  +  * IPv6-Traffic nicht gefiltert
   * kein DNS-Filter aktiv   * kein DNS-Filter aktiv
  
 ===== d) Schwache Authentifizierung ===== ===== d) Schwache Authentifizierung =====
  
-  * nur Passwort ohne MFA  Â +  * nur Passwort ohne MFA 
-  * geteilte VPN-Keys  Â +  * geteilte VPN-Keys 
-  * altes TLS (OpenVPN)  +  * altes TLS (OpenVPN)
  
 ===== e) Unsichere Protokolle ===== ===== e) Unsichere Protokolle =====
Zeile 129: Zeile 129:
  
 ===== FĂĽr WireGuard ===== ===== FĂĽr WireGuard =====
-  * nur UDP 51820 öffnen  Â +  * nur UDP 51820 öffnen 
-  * kein Verkehr zwischen Clients (Client-Isolation)  Â +  * kein Verkehr zwischen Clients (Client-Isolation) 
-  * Regeln pro Peer definieren („AllowedIPs“)  Â +  * Regeln pro Peer definieren („AllowedIPs“) 
-  * Logging aktivieren  +  * Logging aktivieren
  
 ===== FĂĽr OpenVPN ===== ===== FĂĽr OpenVPN =====
-  * Port 1194/udp (oder TCP fĂĽr Fallback)  Â +  * Port 1194/udp (oder TCP fĂĽr Fallback) 
-  * restriktives Client-to-Client-Routing  Â +  * restriktives Client-to-Client-Routing 
-  * TLS ≥ 1.2  Â +  * TLS ≥ 1.2 
-  * keine schwachen Cipher-Suites  +  * keine schwachen Cipher-Suites
  
 ===== FĂĽr IPSec ===== ===== FĂĽr IPSec =====
-  * ESP-Protokoll erlauben  Â +  * ESP-Protokoll erlauben 
-  * UDP 500 & 4500 öffnen  Â +  * UDP 500 & 4500 öffnen 
-  * NAT-Traversal beachten  +  * NAT-Traversal beachten 
  
 --- ---
Zeile 153: Zeile 154:
  
 Vorteile: Vorteile:
-  * weniger Last auf VPN-Server  Â +  * weniger Last auf VPN-Server 
-  * schnelleres Internet  +  * schnelleres Internet
  
 Nachteile: Nachteile:
-  * UNSICHERER: parallele Nutzung von zwei Netzen  Â +  * UNSICHERER: parallele Nutzung von zwei Netzen 
-  * gefährlich bei infizierten Heimnetzen  +  * gefährlich bei infizierten Heimnetzen
  
 ===== Split-Tunnel: AUS (Full Tunnel) ===== ===== Split-Tunnel: AUS (Full Tunnel) =====
Zeile 164: Zeile 165:
  
 Vorteile: Vorteile:
-  * höchste Sicherheit  Â +  * höchste Sicherheit 
-  * volle Kontrolle ĂĽber DNS/Traffic  Â +  * volle Kontrolle ĂĽber DNS/Traffic 
-  * perfekt fĂĽr Zero Trust  +  * perfekt fĂĽr Zero Trust
  
 Nachteile: Nachteile:
-  * mehr Last auf VPN-Gateway  +  * mehr Last auf VPN-Gateway
  
 Empfehlung: Empfehlung:
-→ privat egal,  +→ privat egal,
 â†’ beruflich (Unternehmen) **kein Split-Tunnel**. â†’ beruflich (Unternehmen) **kein Split-Tunnel**.
 +
  
 --- ---
Zeile 194: Zeile 196:
 Ăśberwachen: Ăśberwachen:
  
-  * Verbindungsversuche  Â +  * Verbindungsversuche 
-  * fehlgeschlagene Logins  Â +  * fehlgeschlagene Logins 
-  * ungewöhnliche Geo-IP  Â +  * ungewöhnliche Geo-IP 
-  * Geräte mit altem Client  Â +  * Geräte mit altem Client 
-  * hohe DatenĂĽbertragung (Data Exfiltration)  +  * hohe DatenĂĽbertragung (Data Exfiltration)
  
 Tools: Tools:
-  * Grafana → VPN-Statistiken  Â +  * Grafana → VPN-Statistiken 
-  * Suricata → VPN-Traffic analysieren  Â +  * Suricata → VPN-Traffic analysieren 
-  * CrowdSec → Angreifer blocken  +  * CrowdSec → Angreifer blocken 
  
 --- ---
Zeile 209: Zeile 212:
 ====== 8. Best Practices fĂĽr sicheres VPN ====== ====== 8. Best Practices fĂĽr sicheres VPN ======
  
-  * WireGuard bevorzugen  Â +  * WireGuard bevorzugen 
-  * kein PPTP  Â +  * kein PPTP 
-  * starke SchlĂĽssel, keine schwachen Ciphers  Â +  * starke SchlĂĽssel, keine schwachen Ciphers 
-  * Full-Tunnel fĂĽr Firmen  Â +  * Full-Tunnel fĂĽr Firmen 
-  * kein Client-to-Client Verkehr  Â +  * kein Client-to-Client Verkehr 
-  * Logging aktiv  Â +  * Logging aktiv 
-  * MFA fĂĽr Benutzer  Â +  * MFA fĂĽr Benutzer 
-  * kurze ZertifikatsgĂĽltigkeit  Â +  * kurze ZertifikatsgĂĽltigkeit 
-  * IPv6 im VPN richtig filtern  Â +  * IPv6 im VPN richtig filtern 
-  * DNS im Tunnel erzwingen (kein Leaking)  Â +  * DNS im Tunnel erzwingen (kein Leaking) 
-  * Updates fĂĽr Server & Client  +  * Updates fĂĽr Server & Client 
  
 --- ---
Zeile 225: Zeile 229:
 ====== Zusammenfassung ====== ====== Zusammenfassung ======
  
-  * WireGuard = modern & sicher  Â +  * WireGuard = modern & sicher 
-  * OpenVPN = flexibel & bewährt  Â +  * OpenVPN = flexibel & bewährt 
-  * IPSec = ideal fĂĽr Standortvernetzung  Â +  * IPSec = ideal fĂĽr Standortvernetzung 
-  * Split-Tunneling kann extrem gefährlich sein  Â +  * Split-Tunneling kann extrem gefährlich sein 
-  * Firewalls mĂĽssen restriktiv sein  Â +  * Firewalls mĂĽssen restriktiv sein 
-  * MFA & starke SchlĂĽssel sind Pflicht  Â +  * MFA & starke SchlĂĽssel sind Pflicht 
-  * Logging & Monitoring unverzichtbar  Â +  * Logging & Monitoring unverzichtbar 
-  * VPNs schĂĽtzen nur, wenn Endgeräte sauber sind  +  * VPNs schĂĽtzen nur, wenn Endgeräte sauber sind
it-themen/grundlagen/netzwerkdienste/vpn_sicherheit.1764855905.txt.gz · Zuletzt geändert: von lars