Distri-Award
– Jetzt zur Umfrage!

Suchen

Unternehmensnetzwerke schützen 10 Tipps für mehr VPN-Leistung und -Sicherheit

| Autor / Redakteur: Hardik Modi / Dipl.-Ing. (FH) Andreas Donner

Die Pandemie hat Anfang des Jahres Millionen von Mitarbeiter ins Homeoffice befördert. Viele der so ad hoc eingerichteten Remote-Arbeitsplätze werden aber auch über die Pandemie hinaus Bestand haben. Dies bedeutet eine drastisch wachsende Zahl von VPN-Zugängen ins Unternehmensnetzwerk. Eine immense Herausforderung für alle IT-Abteilungen.

Firmen zum Thema

Die massive Ausweitung von Homeoffice-Arbeitsplätzen hat zur Aufstockung von VPN-Verbindungen geführt – und damit die Gefahren für Unternehmen erhöht.
Die massive Ausweitung von Homeoffice-Arbeitsplätzen hat zur Aufstockung von VPN-Verbindungen geführt – und damit die Gefahren für Unternehmen erhöht.
(Bild: © Funtap - stock.adobe.com)

Innerhalb weniger Tage fand im Frühjahr 2020 ein gewaltiger Umbruch am Arbeitsplatz statt: Anstelle von persönlichen Besprechungen, Zugang zu lokalen Netzwerken und informellen Gesprächen in den Pausen verbringen viele Mitarbeiter ihre gesamte Arbeitszeit nun mit Videokonferenzen, nutzen WLAN-Netzwerke von zu Hause und versuchen mit Kollegen auf unterschiedliche Art und Weise in Kontakt zu bleiben, ohne sie persönlich zu sehen.

Da die vielen Mitarbeiter aktuell und vermutlich auch nach der Pandemie häufig und viel von außerhalb ihres Bürostandortes auf Unternehmensressourcen zugreifen, ist das Virtual Private Network (VPN) für die meisten Mitarbeiter eines Unternehmens zum zentralen Verbindungspunkt geworden. Diejenigen, die jedoch eine Übersicht über die Bedrohungslandschaft haben, sind über das damit gestiegene Angriffsrisiko für Unternehmen und die Verfügbarkeit ihrer Dienste besorgt.

Denn unabhängig von der Motivation wird sich ein Angreifer auf die Dienste konzentrieren, die zu einem bestimmten Zeitpunkt am wichtigsten für ein Unternehmen sind. Dabei ist zu erwarten, dass VPN-Konzentratoren, auf die Unternehmen aktuell (und in Zukunft) angewiesen sind, schnell an die Spitze dieser Dienste rücken.

Zwar kann ein einzelnes Unternehmen die Ursachen dieser Angriffe nicht allein bekämpfen, aber es kann sich auf Angriffe gegen seine Online-Dienste vorbereiten. Es gibt eine Reihe von Maßnahmen, die jedes Unternehmen ergreifen kann, um sich vor Cyberangriffen zu schützen:

  • Überdenken, was sich hinter dem VPN verbergen muss – Wenn möglich, sollten gut etablierte SaaS-basierte Dienste für Produktivitäts- und Kollaborationstools genutzt werden. Dies verstärkt die Unabhängigkeit vom VPN von Beginn an.
  • Festlegen von Richtlinien und akzeptabler Nutzung – Es sollte verhindert werden, dass Mitarbeiter auf ihren Firmengeräten Privates erledigen und das VPN durchqueren. Das ist entscheidend, um zusätzliche Kosten und Risiken zu vermeiden.
  • Durchführen von Tabletop-Übungen zum Verständnis der DDoS-Perspektive – Es ist unerlässlich, die Reaktion auf einen DDoS-Angriff gut im Griff zu haben und Best Practices mit dedizierter Ausrüstung und einem verwalteten Dienst zu befolgen, anstatt sich aufs Glück zu verlassen und einen Angriff erst dann zu bemerken, wenn dieser weit fortgeschritten ist.

Top 10 VPN-Leistungs- und Sicherheitstipps

Aufgrund des Arbeitens von zu Hause aus, gelten VPN-Gateways als wichtige Lebensader für Unternehmen, um für die Mitarbeiter den Zugriff auf relevante Geschäftsanwendungen zu ermöglichen. Doch heutzutage muss die Strategie zum Aufbau einer robusten VPN-Infrastruktur weit über das Hinzufügen von VPN-Kapazitäten und Internetverbindungsbandbreite hinausgehen, um Beeinträchtigungen der Leistung durch eine hohe Nachfrage zu mildern. Vielmehr müssen IT-Teams in der Lage sein, den Ressourcenverbrauch schnell zu analysieren, wesentliche Dienste zu priorisieren und Leistungsprobleme rasch zu erkennen und zu lösen.

1. Installation von Bandbreiten- und Durchsatzquoten

Die IT-Abteilung sollte Richtlinien für die Verwaltung des Fernzugriffs aufstellen, beginnend mit vernünftigen Quoten für die Bandbreite und den Durchsatz pro Sitzung. Terminierungskapazität, Bandbreite und Durchsatz sollten je nach Bedarf skalierbar sein.

2. Kommunikation und Durchsetzung von Richtlinien zur akzeptablen Nutzung

Viele Anwendungen zur Steigerung der Büroproduktivität benötigen keine VPNs. Anwendungen, wie Online-Spiele und Video-Streaming-Plattformen sind definitiv verboten. Split-Tunnel-VPNs, die den gesamten Internet-Verkehr über lokale Heimnetzwerke leiten, können wirksame Alternativen sein.

3. Verwendung von angepassten Zugangskontrollen

Die Implementierung der VPN-Konzentrator-spezifischen Zugriffskontrollen ist unerlässlich, da beispielsweise ein generischer SSL/TLS-basierter VPN-Konzentrator andere Netzwerkrichtlinien aufweist als ein IPSEC-basierter Fernzugriffs-VPN-Konzentrator.

4. Regionalisierte Fernzugriffs-Infrastruktur

Für Unternehmen mit geografisch verstreuten Mitarbeitern hilft eine regionalisierte Fernzugriffs-Netzwerkinfrastruktur dabei, die Belastung des Internet und Intranet zu verteilen und gleichzeitig eine erhöhte Widerstandsfähigkeit gegen Angriffe oder andere potenzielle Dienstunterbrechungen zu gewährleisten.

5. Analyse des Netzwerkverkehrs

Tools für die Netzwerksichtbarkeit, die innerhalb der öffentlich zugänglichen Netzwerkinfrastruktur implementiert werden, liefern sowohl ganzheitliche als auch granulare Daten, die den Teams helfen, Probleme genau zu diagnostizieren, die Bandbreite besser zuzuweisen und spezifische Dienste zur Linderung von Problemen aufzubauen.

6. Integrierter Schutz

Große Software-as-a-Service (SaaS)-Anbieter verfügen häufig bereits über DDoS-Schutz, um die Verfügbarkeit ihrer Dienste aufrechtzuerhalten. Daher bietet sich die kontinuierliche Nutzung SaaS-basierter Dienste für alltägliche Geschäftsanwendungen, Content Sharing, Zusammenarbeit und Kommunikation an.

7. Verwendung von Best Current Practices (BCPs)

Die Implementierung von BCPs für die Netzwerkinfrastruktur, Server und Dienste wie DNS ist der Schlüssel zur Erhöhung des Schutzes vor Angriffe. Dafür ist der Einsatz intelligenter Systeme zur DDoS-Abwehr notwendig, um alle öffentlich zugänglichen Server, Dienste, Anwendungen, Daten und Support-Infrastrukturen vor DDoS-Angriffen zu schützen.

8. Nutzung dedizierter Internet-Transitverbindungen für VPNs

Durch die Verwendung von Links, die nicht mit Komponenten wie DNS-Servern und öffentlich zugänglichen Websites verbunden sind, wird die Wahrscheinlichkeit verringert, dass DDoS-Angriffe die IT-Abteilung, die für die Fernsicherheit verantwortlich ist, daran hindert einzuschreiten.

9. Integration des Fernzugriffs

Fernzugriffs-Mechanismen sollten in die Authentifizierungs-, Autorisierungs- und Abrechnungssysteme der Organisation integriert sein und den Einsatz von Multi-Faktor-Authentifizierungstechnologien (MFA) für den Benutzerzugriff erfordern.

10. DNS-Benennung

Viele Angreifer machen ihre Hausaufgaben, bevor sie gezielte DDoS-Angriffe starten, also machen Sie ihnen mit der Verwendung der Zeichenfolge "vpn" in DNS-Ressourcendatensätzen für VPN-Konzentratoren die Arbeit nicht leichter. Entscheiden Sie sich stattdessen für eine DNS-Namenskonvention, die dem Betriebspersonal nützliche Informationen liefert und gleichzeitig die Angreifer über wichtige Funktionsbereiche im Dunkeln lässt.

Hardik Modi.
Hardik Modi.
(Bild: Netscout)

Über den Autor

Hardik Modi ist AVP Engineering, Threat and Mitigation Products bei Netscout.

(ID:46831957)