it-themen:grundlagen:netzwerkdienste:vpn_sicherheit
Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
| Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende Überarbeitung | ||
| it-themen:grundlagen:netzwerkdienste:vpn_sicherheit [04.12.2025 14:45] – [c) Falsche Firewallregeln] lars | it-themen:grundlagen:netzwerkdienste:vpn_sicherheit [04.12.2025 14:49] (aktuell) – [Zusammenfassung] lars | ||
|---|---|---|---|
| Zeile 116: | Zeile 116: | ||
| ===== d) Schwache Authentifizierung ===== | ===== d) Schwache Authentifizierung ===== | ||
| - | * nur Passwort ohne MFA | + | * nur Passwort ohne MFA |
| - | * geteilte VPN-Keys | + | * geteilte VPN-Keys |
| - | * altes TLS (OpenVPN) | + | * altes TLS (OpenVPN) |
| ===== e) Unsichere Protokolle ===== | ===== e) Unsichere Protokolle ===== | ||
| Zeile 129: | Zeile 129: | ||
| ===== Für WireGuard ===== | ===== Für WireGuard ===== | ||
| - | * nur UDP 51820 öffnen | + | * nur UDP 51820 öffnen |
| - | * kein Verkehr zwischen Clients (Client-Isolation) | + | * kein Verkehr zwischen Clients (Client-Isolation) |
| - | * Regeln pro Peer definieren („AllowedIPs“) | + | * Regeln pro Peer definieren („AllowedIPs“) |
| - | * Logging aktivieren | + | * Logging aktivieren |
| ===== Für OpenVPN ===== | ===== Für OpenVPN ===== | ||
| - | * Port 1194/udp (oder TCP für Fallback) | + | * Port 1194/udp (oder TCP für Fallback) |
| - | * restriktives Client-to-Client-Routing | + | * restriktives Client-to-Client-Routing |
| - | * TLS ≥ 1.2 | + | * TLS ≥ 1.2 |
| - | * keine schwachen Cipher-Suites | + | * keine schwachen Cipher-Suites |
| ===== Für IPSec ===== | ===== Für IPSec ===== | ||
| - | * ESP-Protokoll erlauben | + | * ESP-Protokoll erlauben |
| - | * UDP 500 & 4500 öffnen | + | * UDP 500 & 4500 öffnen |
| - | * NAT-Traversal beachten | + | * NAT-Traversal beachten |
| --- | --- | ||
| Zeile 153: | Zeile 154: | ||
| Vorteile: | Vorteile: | ||
| - | * weniger Last auf VPN-Server | + | * weniger Last auf VPN-Server |
| - | * schnelleres Internet | + | * schnelleres Internet |
| Nachteile: | Nachteile: | ||
| - | * UNSICHERER: parallele Nutzung von zwei Netzen | + | * UNSICHERER: parallele Nutzung von zwei Netzen |
| - | * gefährlich bei infizierten Heimnetzen | + | * gefährlich bei infizierten Heimnetzen |
| ===== Split-Tunnel: | ===== Split-Tunnel: | ||
| Zeile 164: | Zeile 165: | ||
| Vorteile: | Vorteile: | ||
| - | * höchste Sicherheit | + | * höchste Sicherheit |
| - | * volle Kontrolle über DNS/ | + | * volle Kontrolle über DNS/ |
| - | * perfekt für Zero Trust | + | * perfekt für Zero Trust |
| Nachteile: | Nachteile: | ||
| - | * mehr Last auf VPN-Gateway | + | * mehr Last auf VPN-Gateway |
| Empfehlung: | Empfehlung: | ||
| - | → privat egal, | + | → privat egal, |
| → beruflich (Unternehmen) **kein Split-Tunnel**. | → beruflich (Unternehmen) **kein Split-Tunnel**. | ||
| + | |||
| --- | --- | ||
| Zeile 194: | Zeile 196: | ||
| Überwachen: | Überwachen: | ||
| - | * Verbindungsversuche | + | * Verbindungsversuche |
| - | * fehlgeschlagene Logins | + | * fehlgeschlagene Logins |
| - | * ungewöhnliche Geo-IP | + | * ungewöhnliche Geo-IP |
| - | * Geräte mit altem Client | + | * Geräte mit altem Client |
| - | * hohe Datenübertragung (Data Exfiltration) | + | * hohe Datenübertragung (Data Exfiltration) |
| Tools: | Tools: | ||
| - | * Grafana → VPN-Statistiken | + | * Grafana → VPN-Statistiken |
| - | * Suricata → VPN-Traffic analysieren | + | * Suricata → VPN-Traffic analysieren |
| - | * CrowdSec → Angreifer blocken | + | * CrowdSec → Angreifer blocken |
| --- | --- | ||
| Zeile 209: | Zeile 212: | ||
| ====== 8. Best Practices für sicheres VPN ====== | ====== 8. Best Practices für sicheres VPN ====== | ||
| - | * WireGuard bevorzugen | + | * WireGuard bevorzugen |
| - | * kein PPTP | + | * kein PPTP |
| - | * starke Schlüssel, keine schwachen Ciphers | + | * starke Schlüssel, keine schwachen Ciphers |
| - | * Full-Tunnel für Firmen | + | * Full-Tunnel für Firmen |
| - | * kein Client-to-Client Verkehr | + | * kein Client-to-Client Verkehr |
| - | * Logging aktiv | + | * Logging aktiv |
| - | * MFA für Benutzer | + | * MFA für Benutzer |
| - | * kurze Zertifikatsgültigkeit | + | * kurze Zertifikatsgültigkeit |
| - | * IPv6 im VPN richtig filtern | + | * IPv6 im VPN richtig filtern |
| - | * DNS im Tunnel erzwingen (kein Leaking) | + | * DNS im Tunnel erzwingen (kein Leaking) |
| - | * Updates für Server & Client | + | * Updates für Server & Client |
| --- | --- | ||
| Zeile 225: | Zeile 229: | ||
| ====== Zusammenfassung ====== | ====== Zusammenfassung ====== | ||
| - | * WireGuard = modern & sicher | + | * WireGuard = modern & sicher |
| - | * OpenVPN = flexibel & bewährt | + | * OpenVPN = flexibel & bewährt |
| - | * IPSec = ideal für Standortvernetzung | + | * IPSec = ideal für Standortvernetzung |
| - | * Split-Tunneling kann extrem gefährlich sein | + | * Split-Tunneling kann extrem gefährlich sein |
| - | * Firewalls müssen restriktiv sein | + | * Firewalls müssen restriktiv sein |
| - | * MFA & starke Schlüssel sind Pflicht | + | * MFA & starke Schlüssel sind Pflicht |
| - | * Logging & Monitoring unverzichtbar | + | * Logging & Monitoring unverzichtbar |
| - | * VPNs schützen nur, wenn Endgeräte sauber sind | + | * VPNs schützen nur, wenn Endgeräte sauber sind |
it-themen/grundlagen/netzwerkdienste/vpn_sicherheit.1764855937.txt.gz · Zuletzt geändert: von lars