Split Tunnel VPNs haben zwar gewisse Vorteile für die Unterstützung von Mitarbeitern, die sich von Zuhause aus mit einem Windows-Netzwerk verbinden müssen, aber sie bergen auch Risiken. Hier erfahren Sie, wie Sie Ihr Netzwerk am besten schützen können. [...]
Wahrscheinlich unterstützen viele von Ihnen mittlerweile Heimcomputer oder Firmenlaptops, die über ein virtuelles privates Netzwerk (VPN) mittels Remote Desktop miteinander verbunden sind. Microsoft hat dazu kürzlich eine Anleitung zur Verwendung einer Methode namens Split-Tunnel-VPN veröffentlicht und ist gerade dabei, das Office 365 Network Onboarding Tool zu testen, mit dem Sie Ihre Konnektivität und Einrichtung mit Office 365 überwachen können. Dabei geben Sie Ihren physischen Standort und dann den Namen Ihres Mieters an, um das Tool herunterzuladen. Um den erweiterten Test durchzuführen, müssen Sie außerdem .NET Core 3.1.3 installieren. Nach Abschluss des Tests wird ein Bericht über Ihre Verwendung von VPNs, Proxy oder anderen Verbindungen erstellt. Auch über die Verwendung von Split-Tunnel-VPNs wird Bericht erstattet.
Sicherheitsbedenken bei Split-Tunnel-VPN
Ich beobachte fast schon religiöse Differenzen über den Einsatz von Split-Tunnel-VPNs. Einige argumentieren, dass es die Möglichkeit bietet, den Netzwerkverkehr, der für die Wartung (Windows-Updates, Installation von Click to Run Office 365) verwendet wird, über die lokale Verbindung der Benutzer zu leiten, ohne ein größeres Risiko einzugehen. Andere sagen, dass Sie den Datenverkehr nicht überprüfen können, um die Sicherheit des Unternehmens zu gewährleisten, wenn Sie nicht sicherstellen können, dass der gesamte Datenverkehr über das Firmen-VPN läuft.
Die Sicherheitsbedenken hinsichtlich VPN hängen davon ab, wie Sie den Client oder die Workstation mit dem Netzwerk verbinden. Wenn Sie einen Remote-Client über ein virtuelles privates Netzwerk mit Ihrem Netzwerk verbinden und die Workstation des Benutzers nicht einschränken oder limitieren, kann ein infizierter Computer Risiken und Malware in Ihr Netzwerk einschleusen.
Sicherheitsrisiken von Split-Tunnel-VPN einschränken
Um dieses Risiko zu minimieren, evaluieren Sie zunächst die Optionen, die Ihre VPN-Software bietet. Einige VPN-Lösungen können eine Remote-Verbindung zu Ihrem Netzwerk herstellen: softwarebasierte VPNs, oft in Form der nativen Microsoft VPN-Software, die mit jeder Windows-Version geliefert wird, oder VPN-Lösungen innerhalb Ihrer Firewall-Hardware. Fragen Sie Ihren Firewall-Hersteller, welche Optionen Sie zur Überprüfung Ihres VPN-Verkehrs haben.
Andere argumentieren, dass Sie jedes Mal, wenn Sie eine beliebige Arbeitsstation mit Ihrem Unternehmensnetzwerk verbinden, sicherstellen müssen, dass der Computer auf ein bestimmtes Niveau gepatcht ist, über aktuelle Virenschutzprogramme und Konfigurationen verfügt und anderen Richtlinien für den ordnungsgemäßen Betrieb folgt, die Ihr Unternehmen vorschreibt.
Microsoft stellt Tools wie Network Access Protection für Windows 7-Plattformen zur Verfügung, mit denen Sie eine Richtlinie festlegen können, nach der Computer nur dann eine Verbindung zum Netzwerk herstellen können, wenn sie bestimmte Mindeststandards erfüllen. Sie können z. B. einen Network Policy Server (NPS) einrichten, um sicherzustellen, dass die Arbeitsstationen in Bezug auf Patches auf dem neuesten Stand sind, über eine bestimmte Antiviren-Version oder -Definitionen oder andere Sicherheitsrichtlinien verfügen, die Sie für angemessen halten.
Dann richten Sie den Network Access Protection (NAP) so ein, dass Arbeitsstationen nur dann eine Verbindung herstellen können, wenn sie diese Mindestanforderungen erfüllen. Für Windows 10 können Sie viele der NPS-Tools anstelle von NAP verwenden. Sie können auch Tools wie System Center Configuration Manager (SCCM) oder Intune für Windows 10 verwenden. Alternativ wenden Sie sich erneut an Ihren Firewall-Hersteller, um zu prüfen, welche Möglichkeiten seitens der IT-Abteilung zur Verfügung stehen, um den Zustand der Windows 10-Clients zu überprüfen, bevor diese in Ihr Netzwerk gelangen. Sie sollten sich auch PacketFence näher ansehen, eine Open-Source-Plattform zur Überprüfung des Zustandes von Client Computern, bevor diese sich mit Ihrem Netzwerk verbinden.
Für Firmen, die Intune verwenden, lassen sich Richtlinien für den bedingten Zugriff einsetzen, um festzustellen, ob Ihre Windows 10-Computer gesund genug sind, um eine Verbindung mit Ihrem Netzwerk herzustellen. Mit diesen Richtlinien für bedingten Zugriff und dem Konfigurationsmanager können Sie beispielsweise das System überprüfen lassen, ob auf dem Computer Folgendes aktiviert ist:
- BitLocker, um die Verschlüsselung aller auf dem Windows-Betriebssystemvolume gespeicherten Daten zu ermöglichen.
- Code Integrity, um die Integrität eines Treibers oder einer Systemdatei jedes Mal zu überprüfen, wenn sie in den Speicher geladen wird.
- Early-Launch-Antimalware (gilt nur für PCs), um Computer beim Start und vor der Initialisierung von Treibern von Drittanbietern zu schützen.
- Sicheres Booten, um sicherzustellen, dass ein PC nur mit Software bootet, die vom PC-Hersteller als vertrauenswürdig eingestuft wird.
Alternativ können interne Intrusion Detection System (IDS)- und Intrusion Prevention System (IPS)-Tools Ihren Datenverkehr inspizieren, überprüfen, was in Ihrem Netzwerk ein- und ausgeht, und den Zugriff von Workstations auf bestimmte Ressourcen beschränken. Sicherheitsmodule wie Carbon Black Endpoint Response, Wazuh, Ossec oder sogar Malwarebytes mit Suspicious Activity-Modulen können mit geteilten Tunnel-Setups arbeiten.
Wenn Sie Unternehmensressourcen an Standorten haben, an denen Sie von zu Hause aus arbeiten, lassen Sie auf den Remote-Rechnern Endpunkt-Agenten des Unternehmens installieren, damit Sie diese überwachen oder patchen können, unabhängig davon, ob sie das VPN aktiviert oder deaktiviert haben. Wenn Sie auf Mitarbeiter zurückgreifen müssen, die ihre Heimcomputer verwenden, sollten Sie einen Remote Desktop Session Host (RDSH)-Server einrichten und virtuelle Desktops anbieten, anstatt persönlichen Geräten die Verbindung mit Ihrem Netzwerk über VPN zu ermöglichen.
Sollten Sie sich über Split-Tunnel-VPNs Gedanken machen? Ja, aber Sie sollten ebenso über jede Ressource besorgt sein, die sich mit Ihrem Netzwerk verbindet. Stellen Sie sicher, dass Sie den Datenverkehr überprüfen und auf Bedrohungen reagieren können, die, auf welche Weise auch immer, in Ihr Netzwerk gelangen.
*Susan Bradley schreibt unter anderem für CSO.com.
Be the first to comment