Die Corona-Pandemie hat im Jahr 2020 Millionen Mitarbeitern ins Home-Office befördert. Es ist davon auszugehen, dass viele der eingerichteten Remote-Arbeitsplätze auch über die Pandemie hinaus Bestand haben werden. VPN-Gateways sind zu einer wichtigen Lebensader für Unternehmen geworden, um den Mitarbeitern den Zugriff auf relevante Geschäftsanwendungen zu ermöglichen. Dies bedeutet eine drastisch gestiegene Zahl von VPN-Zugängen in Unternehmensnetzwerke und eine immense Herausforderung für die Verfügbarkeit und Sicherheit der Systeme.
Das Virtual Private Network (VPN) ist für viele Mitarbeiter eines Unternehmens zum zentralen Verbindungspunkt geworden. Experten, die eine Übersicht über die Bedrohungslage haben, sind über das erhöhte Angriffsrisiko für Unternehmen und die Verfügbarkeit ihrer Dienste ernsthaft besorgt. Denn unabhängig von ihrer spezifischen Motivation werden sich Angreifer auf die Dienste konzentrieren, die für ein Unternehmen essenziell sind. Es ist zu erwarten, dass VPN-Konzentratoren, auf die Unternehmen angewiesen sind, schnell an die Spitze dieser Dienste rücken.
Wenngleich kein Unternehmen in der Lage ist, die Ursachen dieser Angriffe alleine zu bekämpfen, so kann es sich aber auf Angriffe gegen seine Online-Dienste vorbereiten. Es gibt eine Reihe von Maßnahmen, die jedes Unternehmen ergreifen kann, um sich vor Cyber-Attacken zu schützen:
Die Strategie zum Aufbau einer robusten VPN- Infrastruktur muss also weit über die Steuerung von VPN-Kapazität und Internet-Verbindungsbandbreite hinausgehen, um nachfragebedingte Leistungsbeeinträchtigungen abzumildern. IT-Teams müssen in der Lage sein, den Ressourcenverbrauch schnell zu analysieren, wesentliche Dienste zu priorisieren und Leistungsprobleme schnell zu erkennen und zu lösen.
1. Installation von Bandbreiten- und Durchsatzquoten
Definition von verbindlichen Richtlinien für die Verwaltung des Fernzugriffs, beginnend mit ausreichenden Quoten für die Bandbreite und den Durchsatz pro Sitzung. Terminierungskapazität, Bandbreite und Durchsatz sollten bedarfsgerecht skalierbar sein.
2. Kommunikation und Durchsetzung von Richtlinien zur akzeptablen Nutzung
Viele produktivitätssteigernde Anwendungen benötigen keine VPNs. Anwendungen, wie Online-Spiele oder Video-Streaming-Plattformen haben hier keinen Platz. Split-Tunnel-VPNs, die den gesamten Internet-Verkehr über lokale Heimnetzwerke leiten, sind wirksame Alternativen.
3. Verwendung von angepassten Zugangskontrollen
Implementierung der VPN-Konzentrator-spezifischen Zugriffskontrollen. Denn ein generischer SSL/TLS-basierter VPN-Konzentrator weist andere Netzwerkrichtlinien auf als ein IPSEC-basierter Fernzugriffs-VPN-Konzentrator.
4. Regionalisierte Fernzugriffs-Infrastruktur
Eine Regionalisierte Fernzugriffs-Netzwerkinfrastruktur unterstützt Unternehmen mit geografisch verstreuten Mitarbeitern dabei, die Auslastung von Internet und Intranet zu verteilen und gleichzeitig eine erhöhte Widerstandsfähigkeit gegen Dienstunterbrechungen oder potenzielle Angreifer zu gewährleisten.
5. Analyse des Netzwerkverkehrs
Innerhalb der öffentlich zugänglichen Netzwerkinfrastruktur implementierte Netzwerksichtbarkeits-Tools liefern sowohl ganzheitliche als auch granulare Daten, welche dabei helfen, Probleme genau zu diagnostizieren, die Bandbreite besser zuzuweisen und spezifische Dienste zur Problembehebung aufzubauen.
6. Integrierte Schutzmechanismen nutzen
Dienste etablierter SaaS-Anbieter verfügen im Regelfall über vorinstallierte, individuell skalierbare DDoS-Schutzmechanismen, um die Verfügbarkeit ihrer Dienste aufrechtzuerhalten. Es ist empfehlenswert, solche abgesicherten SaaS-basierten Dienste für gängige Geschäftsanwendungen, Content Sharing, Zusammenarbeit und Kommunikation kontinuierlich zu nutzen.
7. Verwendung von beispielhaften Vorgehensweisen
Die Implementierung von Best Current Practices (BCPs) für die Netzwerkinfrastruktur, Server und Dienste wie DNS erhöht das Schutzniveau vor Angriffen erheblich. Es ist ein umfassender Einsatz intelligenter Systeme notwendig, um alle öffentlich zugänglichen Server, Dienste, Anwendungen, Daten und Support-Infrastrukturen effektiv vor DDoS-Angriffen zu schützen.
8. Nutzung dedizierter Internet-Transitverbindungen für VPNs
Die Verwendung von Links, die nicht mit Komponenten wie DNS-Servern oder öffentlich zugänglichen Websites verbunden sind, verringert die Wahrscheinlichkeit, dass DDoS-Angriffe das IT-Team, daran hindert einzuschreiten.
9. Integration von Fernzugriffsmechanismen
Fernzugriffsmechanismen sollten grundsätzlich in die Authentifizierungs-, Autorisierungs- und Abrechnungssysteme der Organisation eingebunden sein und den Einsatz von Multi-Faktor-Authentifizierungstechnologien (MFA) für externe Benutzerzugriffe erfordern.
10. DNS-Benennung
Die Verwendung der Zeichenfolge „VPN“ in DNS-Ressourcendatensätzen für VPN-Konzentratoren sollte vermieden werden. Viele Angreifer spähen Server- und Netzwerkstrukturen aus, bevor sie gezielte DDoS-Angriffe starten. Zweckmäßiger sind DNS-Namenskonventionen, die den internen IT-Experten nützliche Informationen liefern und gleichzeitig externe Angreifer über wesentliche Funktionsbereiche im Dunkeln lassen.
26.04.2021