Es gibt viele Gründe dafür, einen VPN im eigenen Firmennetzwerk einzusetzen. Heutzutage stehen vor allem Themen wie Intruder Detection und dessen Mitigation im Fokus, aber auch das Kleinhalten eines möglichen Angriffsvektors. Sie nutzen in Ihrem Netzwerk sicherlich auch Dienste, wie beispielsweise Samba Shares, welches zwar die Möglichkeit bieten, verschlüsselt zu übertragen, aber trotzdem eher ungern öffentlich zugänglich sein sollten. In diesem Artikel besprechen wir vor allem die OpenVPN Alternative WireGuard und dessen Vorteile.
Einordnung zum Thema (Audio 🎧)
Was ist ein Angriffsvektor
In der Cybersicherheit ist ein Angriffsvektor eine Methode oder einen möglichen Pfad, mit dem ein Hacker auf das Zielsystem zugreift oder in dieses eindringt. Häufig spricht man in diesem Kontext davon, einen Angriffsvektor verkleinern zu wollen. Man akzeptiert also die Prämisse, dass es nicht möglich ist, fehlerfreie Software zu entwickeln und versucht stattdessen die mögliche Menge an Fehlern zu verringern, indem z.B. weniger verschiedene Software verwendet wird und Prozesse vereinheitlicht werden. Immer wieder wird nach Hacks festgestellt, dass doch keine besonders guten und unbekannten Methoden verwendet werden mussten, sondern dass es dann doch an dem einen vergessenen Server lag, der nicht dokumentiert wurde. Eine typische Art also, den Angriffsvektor, eher aus Versehen, zu vergrößern.
Argumente von damals, die heute eher unwichtig sind
Firmeninterne Services wären früher teilweise, besonders wegen der immens hohen Kosten valider TLS/SSL-Zertifikate, komplett unverschlüsselt verfügbar gemacht worden. Ein Angreifer konnte so im selben Netzwerk alles ohne jeglichen Aufwand im Klartext mitlesen. Inzwischen gibt es entsprechende Zertifikate bei vielen Anbietern zu deutlich geringeren Preisen. Teilweise komplett kostenfrei. Früher wurde daher dann ein VPN vor allem als kostengünstige Alternative zu diesen TLS/SSL-Zertifikaten verwendet.
Warum man sich nicht nur auf einen VPN verlassen sollte
Häufig wird ein VPN als Access Management genutzt. Das bedeutet also, dass die VPN Zugangsdaten nicht mehr als zusätzliche Sicherheitsschicht verwendet werden, sondern teilweise als allgemeiner Firmenzugang missbraucht werden. Ein Anwendungsfall, für den ein VPN alleine, eher nicht geeignet und auch nicht gedacht ist.
Vor allem, wenn man sich zu sehr auf einen VPN verlässt, schafft man schnell einen ”Single Point of Failure”. Gemeint ist, dass es möglich wird ein komplexes System über einen einzigen Punkt anzugreifen und bei einem theoretisch erfolgreichem Angriff großen Schaden anrichten zu können. Auch ist es gar nicht unüblich, dass bei zu großen Vertrauen schon einfacher Leak der Zugangsdaten reicht, um ein ganzes Firmennetzwerk unsicher und damit unbrauchbar zu machen. Bei so einem Hack sind auch häufig aktuell verbundene Clients exposed, da der VPN auf einer bidirektionalen Verbindung basiert. Auf einmal sind Ihre Drucker öffentlich.
Was ist WireGuard
WireGuard ist eine sehr schlanke, schnelle und einfach zu konfigurierende VPN Lösung. Mit schmal ist hierbei gemeint, dass die Quelltextgrundlage im Vergleich zur üblichen Alternative OpenVPN oder IPSec winzig ist. In harten Zahlen ist das ein Unterschied von etwa viertausend Zeilen Code für WireGuard, zu mehreren hunderttausend bei OpenVPN.1
Generell ist es hierbei wichtig zu erwähnen, dass es selten ein alleiniges Qualitätsmerkmal ist, besonders viele oder wenige Zeilen Code zu nutzen. Der Grund warum wenige Zeilen als positiv im Bereich VPN- und IT Sicherheits- Software angesehen wird ist, dass die Chance auf einen sicherheitskritischen Bug drastisch reduziert wird. Zudem wird die zeitliche und finanzielle Last aufwändiger Sicherheits-Audits reduziert. Daher ist es generell ein sehr zukunftssichererer Ansatz, System- und Sicherheitskritische Software besonders klein zu halten.
Ein weiterer Vorteil ist WireGuards hohe Geschwindigkeit. Natürlich hängen genaue Benchmarks zu der Performance auch von den verwendeten Algorithmen und Konfigurationen ab, allerdings lässt sich verallgemeinern, dass selbst individuell angepasste OpenVPN Konfigurationen nur selten mit der Geschwindigkeit von WireGuard mithalten können.2
Seit März 2020 ist WireGuard zudem offiziell im Linux Kernel gelandet und ist somit auf aktuellen Linux-Distributionen vorinstalliert. Viele weitere, wie Windows, macOS, iOS oder Android werden unterstützt.
Fazit zu WireGuard
Zusammenfassend gesagt, WireGuard hat VPN-Benutzern in vielen verschiedenen Anwendungsfällen viel zu bieten. Wenn Sie überlegt haben, WireGuard einzusetzen, probieren Sie es in einem kleineren Umfang z.B. einem Testprojekt aus. Es gilt auch zu prüfen, wie groß Ihr möglicher Angriffsvektor wirklich ist, um sich nicht ausschließlich auf einen VPN zu verlassen. Evaluieren Sie hierzu die Möglichkeit der externen Audits.
Weiterführende Literatur
Wir empfehlen außerdem das Whitepaper “Post-quantum WireGuard”, in welchem Sie erfahren, wie WireGuard für das Post-Quantum Zeitalter vorbereitet wird und ist.