Es gibt viele Gründe, in einem Firmennetzwerk einen VPN einzusetzen. Heute stehen vor allem Themen wie Intrusion Detection, deren Mitigation und das Verkleinern möglicher Angriffsvektoren im Fokus. In Ihrem Netzwerk nutzen Sie vermutlich ebenfalls Dienste wie Samba Shares, die zwar verschlüsselte Übertragung ermöglichen, aber dennoch ungern öffentlich zugänglich sein sollten. In diesem Artikel betrachten wir die OpenVPN Alternative WireGuard und ihre Vorteile.
Einordnung zum Thema (Audio 🎧)
Was ist ein Angriffsvektor
In der Cybersicherheit beschreibt ein Angriffsvektor eine Methode oder einen möglichen Pfad, über den ein Hacker auf ein Zielsystem zugreifen oder in dieses eindringen kann. Häufig spricht man davon, einen Angriffsvektor verkleinern zu wollen. Die Grundannahme lautet, dass es unmöglich ist, komplett fehlerfreie Software zu entwickeln. Daher versucht man, die Zahl möglicher Fehlerquellen zu reduzieren, etwa indem weniger unterschiedliche Software verwendet oder Prozesse vereinheitlicht werden.
Immer wieder zeigt sich in der Praxis, dass Angreifer keine besonders komplexen Methoden benötigen. Oft liegt der Grund für einen erfolgreichen Angriff in einem vergessenen, nicht dokumentierten Server. Dadurch wird der Angriffsvektor ungewollt vergrößert.
Argumente von früher, die heute kaum noch relevant sind
Früher wurden interne Services teilweise unverschlüsselt betrieben, vor allem wegen der damals hohen Kosten für gültige TLS oder SSL Zertifikate. Ein Angreifer konnte innerhalb desselben Netzwerks problemlos sämtlichen Datenverkehr im Klartext mitlesen.
Heute sind Zertifikate bei vielen Anbietern erheblich günstiger oder sogar kostenlos verfügbar. Früher war ein VPN also oft eine kostengünstige Alternative zu Zertifikaten, doch dieses Argument ist längst nicht mehr zeitgemäß.
Warum man sich nicht allein auf einen VPN verlassen sollte
Oft wird ein VPN als zentrales Access Management eingesetzt. Das bedeutet, dass die VPN Zugangsdaten nicht als zusätzliche Sicherheitsschicht dienen, sondern teilweise als genereller Zugang zum Firmennetzwerk genutzt werden. Das ist weder sinnvoll noch vorgesehen.
Verlässt man sich zu sehr auf einen VPN, entsteht schnell ein Single Point of Failure. Gemeint ist, dass ein komplexes System durch einen einzigen Angriffspunkt kompromittiert werden kann. Bei einem erfolgreichen Angriff kann enormer Schaden entstehen.
Zudem reicht manchmal bereits ein einfacher Leak der Zugangsdaten aus, um ein gesamtes Firmennetzwerk unsicher zu machen. Da ein VPN auf einer bidirektionalen Verbindung basiert, können bei einem Angriff sogar aktuell verbundene Clients betroffen sein. Plötzlich sind etwa Drucker öffentlich erreichbar.
Was ist WireGuard
WireGuard ist eine sehr schlanke, schnelle und einfach zu konfigurierende VPN Lösung. Schlank bedeutet hier, dass der Quelltext im Vergleich zu Alternativen wie OpenVPN oder IPsec extrem klein ist. Konkret umfasst WireGuard nur etwa viertausend Zeilen Code, während OpenVPN.1mehrere hunderttausend Zeilen besitzt.
Es ist jedoch wichtig zu betonen, dass Codeumfang allein kein Qualitätsmerkmal ist. Der geringe Umfang wird im Bereich sicherheitskritischer Software als Vorteil angesehen, da die Wahrscheinlichkeit für sicherheitsrelevante Fehler sinkt. Gleichzeitig werden zeitliche und finanzielle Aufwände für Sicherheits Audits reduziert. Der Ansatz, sicherheitskritische Software möglichst kompakt zu halten, gilt daher als zukunftssicher.
Ein weiterer Vorteil von WireGuard ist die hohe Geschwindigkeit. Obwohl die genaue Performance von den verwendeten Algorithmen und der Konfiguration abhängt, lässt sich allgemein festhalten, dass selbst optimierte OpenVPN Konfigurationen selten mit der Geschwindigkeit von WireGuard mithalten können.2
Seit März 2020 ist WireGuard offiziell im Linux Kernel integriert und somit in aktuellen Linux Distributionen enthalten. Darüber hinaus werden Windows, macOS, iOS und Android unterstützt.
Fazit zu WireGuard
WireGuard bietet VPN Nutzern in vielen Anwendungsfällen überzeugende Vorteile. Wenn Sie in Erwägung ziehen, WireGuard in Ihrer Infrastruktur einzusetzen, testen Sie es zunächst in einem kleineren Rahmen wie einem Pilotprojekt. Prüfen Sie außerdem, wie groß Ihr tatsächlicher Angriffsvektor ist, damit Sie sich nicht ausschließlich auf einen VPN verlassen. Ziehen Sie hierzu externe Audits in Betracht.
Weiterführende Literatur
Wir empfehlen außerdem das Whitepaper “Post-quantum WireGuard”, in welchem Sie erfahren, wie WireGuard für das Post-Quantum Zeitalter vorbereitet wird und ist.