VPN (Virtual Private Network).

Ein VPN baut zwischen zwei Endpunkten einen kryptografisch geschützten Tunnel auf, sodass Verkehr, der unsichere Netze durchquert, vertraulich, integritätsgeschützt und authentifiziert bleibt. Die Umsetzungen unterscheiden sich: IPsec (RFC 4301) arbeitet auf Schicht 3 mit IKEv2-Schlüsselaustausch; SSL/TLS-VPNs tunneln über HTTPS für clientlosen Browserzugriff; OpenVPN verwendet ein eigenes TLS-basiertes Protokoll; und WireGuard, seit 5.6 im Mainline-Linux-Kernel, nutzt feste moderne Primitive – Curve25519, ChaCha20-Poly1305, BLAKE2s – für eine kleine, schnelle Codebasis.

VPN-Konzentratoren sind hochwertige Ziele, weil sie am Perimeter sitzen und den Zugang zum internen Netzwerk vermitteln. CVE-2019-11510, ein Pre-Auth-Lesezugriff auf beliebige Dateien in Pulse Connect Secure (CVSS 10.0), erlaubte Angreifern das Auslesen von Klartext-Anmeldedaten und wurde genutzt, um REvil/Sodinokibi-Ransomware gegen Krankenhäuser und Behörden auszubringen. CVE-2018-13379, ein Path Traversal in Fortinet FortiOS SSL-VPN, gab Session-Dateien mit Klartext-Anmeldedaten preis; rund 50.000 Geräte-Anmeldedaten wurden im November 2020 öffentlich veröffentlicht. Beide wurden noch lange nach der Auslieferung von Patches ausgenutzt.

Schutzmaßnahmen: Konzentratoren zeitnah patchen, phishing-resistente MFA am Tunnel erzwingen, Split-Tunnel dort einschränken, wo die Richtlinie eine vollständige Inspektion verlangt, und Session-Logs auf Impossible Travel und Wiederverwendung von Anmeldedaten überwachen. Zunehmend ersetzen Organisationen breiten VPN-Zugriff auf Netzwerkebene durch Zero-Trust-Application-Gateways, die Zugriff je Anwendung statt je Netz gewähren.

flowchart LR
  C[Client / Endpunkt] -->|1. Authentifizieren + IKE/TLS-Schlüsselaustausch| G[VPN-Gateway]
  C -->|2. Verschlüsselter ESP/TLS-Tunnel über das Internet| G
  G -->|3. Entschlüsseln und weiterleiten| R[Interne Ressourcen]
  A[Lauscher] -. sieht nur Chiffretext .-> C