it-themen:grundlagen:netzwerkdienste:vpn_sicherheit
Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
| Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende Überarbeitung | ||
| it-themen:grundlagen:netzwerkdienste:vpn_sicherheit [04.12.2025 14:47] – [Split-Tunnel: AN] lars | it-themen:grundlagen:netzwerkdienste:vpn_sicherheit [04.12.2025 14:49] (aktuell) – [Zusammenfassung] lars | ||
|---|---|---|---|
| Zeile 165: | Zeile 165: | ||
| Vorteile: | Vorteile: | ||
| - | * höchste Sicherheit | + | * höchste Sicherheit |
| - | * volle Kontrolle über DNS/ | + | * volle Kontrolle über DNS/ |
| - | * perfekt für Zero Trust | + | * perfekt für Zero Trust |
| Nachteile: | Nachteile: | ||
| - | * mehr Last auf VPN-Gateway | + | * mehr Last auf VPN-Gateway |
| Empfehlung: | Empfehlung: | ||
| - | → privat egal, | + | → privat egal, |
| → beruflich (Unternehmen) **kein Split-Tunnel**. | → beruflich (Unternehmen) **kein Split-Tunnel**. | ||
| + | |||
| --- | --- | ||
| Zeile 195: | Zeile 196: | ||
| Überwachen: | Überwachen: | ||
| - | * Verbindungsversuche | + | * Verbindungsversuche |
| - | * fehlgeschlagene Logins | + | * fehlgeschlagene Logins |
| - | * ungewöhnliche Geo-IP | + | * ungewöhnliche Geo-IP |
| - | * Geräte mit altem Client | + | * Geräte mit altem Client |
| - | * hohe Datenübertragung (Data Exfiltration) | + | * hohe Datenübertragung (Data Exfiltration) |
| Tools: | Tools: | ||
| - | * Grafana → VPN-Statistiken | + | * Grafana → VPN-Statistiken |
| - | * Suricata → VPN-Traffic analysieren | + | * Suricata → VPN-Traffic analysieren |
| - | * CrowdSec → Angreifer blocken | + | * CrowdSec → Angreifer blocken |
| --- | --- | ||
| Zeile 210: | Zeile 212: | ||
| ====== 8. Best Practices für sicheres VPN ====== | ====== 8. Best Practices für sicheres VPN ====== | ||
| - | * WireGuard bevorzugen | + | * WireGuard bevorzugen |
| - | * kein PPTP | + | * kein PPTP |
| - | * starke Schlüssel, keine schwachen Ciphers | + | * starke Schlüssel, keine schwachen Ciphers |
| - | * Full-Tunnel für Firmen | + | * Full-Tunnel für Firmen |
| - | * kein Client-to-Client Verkehr | + | * kein Client-to-Client Verkehr |
| - | * Logging aktiv | + | * Logging aktiv |
| - | * MFA für Benutzer | + | * MFA für Benutzer |
| - | * kurze Zertifikatsgültigkeit | + | * kurze Zertifikatsgültigkeit |
| - | * IPv6 im VPN richtig filtern | + | * IPv6 im VPN richtig filtern |
| - | * DNS im Tunnel erzwingen (kein Leaking) | + | * DNS im Tunnel erzwingen (kein Leaking) |
| - | * Updates für Server & Client | + | * Updates für Server & Client |
| --- | --- | ||
| Zeile 226: | Zeile 229: | ||
| ====== Zusammenfassung ====== | ====== Zusammenfassung ====== | ||
| - | * WireGuard = modern & sicher | + | * WireGuard = modern & sicher |
| - | * OpenVPN = flexibel & bewährt | + | * OpenVPN = flexibel & bewährt |
| - | * IPSec = ideal für Standortvernetzung | + | * IPSec = ideal für Standortvernetzung |
| - | * Split-Tunneling kann extrem gefährlich sein | + | * Split-Tunneling kann extrem gefährlich sein |
| - | * Firewalls müssen restriktiv sein | + | * Firewalls müssen restriktiv sein |
| - | * MFA & starke Schlüssel sind Pflicht | + | * MFA & starke Schlüssel sind Pflicht |
| - | * Logging & Monitoring unverzichtbar | + | * Logging & Monitoring unverzichtbar |
| - | * VPNs schützen nur, wenn Endgeräte sauber sind | + | * VPNs schützen nur, wenn Endgeräte sauber sind |
it-themen/grundlagen/netzwerkdienste/vpn_sicherheit.1764856046.txt.gz · Zuletzt geändert: von lars