{"id":3963,"date":"2021-03-11T11:26:49","date_gmt":"2021-03-11T10:26:49","guid":{"rendered":"https:\/\/acopa.de\/de\/?p=3963"},"modified":"2021-04-23T16:42:12","modified_gmt":"2021-04-23T14:42:12","slug":"wire-guard-als-vpn-fuer-ihre-infrastruktur","status":"publish","type":"post","link":"https:\/\/acopa.de\/de\/2021\/wire-guard-als-vpn-fuer-ihre-infrastruktur\/","title":{"rendered":"WireGuard als VPN f\u00fcr Ihre Infrastruktur"},"content":{"rendered":"\n\n[et_pb_section fb_built=“1″ admin_label=“section“ _builder_version=“4.9.2″ min_height=“1692.2px“ custom_margin=“0px||0px||false|false“ custom_padding=“0px||0px||false|false“][et_pb_row admin_label=“row“ _builder_version=“4.9.2″ background_size=“initial“ background_position=“top_left“ background_repeat=“repeat“ min_height=“1599.2px“ custom_margin=“0px||0px||false|false“ custom_padding=“0px||0px||false|false“][et_pb_column type=“4_4″ _builder_version=“3.25″ custom_padding=“|||“ custom_padding__hover=“|||“][et_pb_text admin_label=“Text“ _builder_version=“4.9.2″ header_2_font=“|700|||||||“ header_2_font_size=“20px“ header_6_font=“Proxima Nova Regular|300|on||||||“ header_6_font_size=“12px“ background_size=“initial“ background_position=“top_left“ background_repeat=“repeat“ min_height=“766.2px“]

Autoren:<\/strong> Alexander Zierhut & Simon Lange von Zierhut IT<\/a><\/p>\n

Wof\u00fcr braucht man einen VPN im Firmennetzwerk<\/h2>\n

Es gibt viele Gr\u00fcnde daf\u00fcr, einen VPN im eigenen Firmennetzwerk einzusetzen. Heutzutage stehen vor allem Themen wie Intruder Detection und dessen Mitigation im Fokus, aber auch das Kleinhalten eines m\u00f6glichen Angriffsvektors. Sie nutzen in Ihrem Netzwerk sicherlich auch Dienste, wie beispielsweise Samba Shares, welches zwar die M\u00f6glichkeit bieten, verschl\u00fcsselt zu \u00fcbertragen, aber trotzdem eher ungern \u00f6ffentlich zug\u00e4nglich sein sollten. In diesem Artikel besprechen wir vor allem die OpenVPN Alternative WireGuard und dessen Vorteile.<\/p>\n

Was ist ein Angriffsvektor<\/h2>\n

In der Cybersicherheit ist ein Angriffsvektor eine Methode oder einen m\u00f6glichen Pfad, mit dem ein Hacker auf das Zielsystem zugreift oder in dieses eindringt. H\u00e4ufig spricht man in diesem Kontext davon, einen Angriffsvektor verkleinern zu wollen. Man akzeptiert also die Pr\u00e4misse, dass es nicht m\u00f6glich ist, fehlerfreie Software zu entwickeln und versucht stattdessen die m\u00f6gliche Menge an Fehlern zu verringern, indem z.B. weniger verschiedene Software verwendet wird und Prozesse vereinheitlicht werden. Immer wieder wird nach Hacks festgestellt, dass doch keine besonders guten und unbekannten Methoden verwendet werden mussten, sondern dass es dann doch an dem einen vergessenen Server lag, der nicht dokumentiert wurde. Eine typische Art also, den Angriffsvektor, eher aus Versehen, zu vergr\u00f6\u00dfern.<\/p>\n

Argumente von damals, die heute eher unwichtig sind<\/h2>\n

Firmeninterne Services w\u00e4ren fr\u00fcher teilweise, besonders wegen der immens hohen Kosten valider TLS\/SSL-Zertifikate, komplett unverschl\u00fcsselt verf\u00fcgbar gemacht worden. Ein Angreifer konnte so im selben Netzwerk alles ohne jeglichen Aufwand im Klartext mitlesen. Inzwischen gibt es entsprechende Zertifikate bei vielen Anbietern zu deutlich geringeren Preisen. Teilweise komplett kostenfrei. Fr\u00fcher wurde daher dann ein VPN vor allem als kosteng\u00fcnstige Alternative zu diesen TLS\/SSL-Zertifikaten verwendet.<\/p>\n

Warum man sich nicht nur auf einen VPN verlassen sollte<\/h2>\n

H\u00e4ufig wird ein VPN als Access Management genutzt. Das bedeutet also, dass die VPN Zugangsdaten nicht mehr als zus\u00e4tzliche Sicherheitsschicht verwendet werden, sondern teilweise als allgemeiner Firmenzugang missbraucht werden. Ein Anwendungsfall, f\u00fcr den ein VPN alleine, eher nicht geeignet und auch nicht gedacht ist.<\/p>\n

Vor allem, wenn man sich zu sehr auf einen VPN verl\u00e4sst, schafft man schnell einen \u201dSingle Point of Failure\u201d. Gemeint ist, dass es m\u00f6glich wird ein komplexes System \u00fcber einen einzigen Punkt anzugreifen und bei einem theoretisch erfolgreichem Angriff gro\u00dfen Schaden anrichten zu k\u00f6nnen. Auch ist es gar nicht un\u00fcblich, dass bei zu gro\u00dfen Vertrauen schon einfacher Leak der Zugangsdaten reicht, um ein ganzes Firmennetzwerk unsicher und damit unbrauchbar zu machen. Bei so einem Hack sind auch h\u00e4ufig aktuell verbundene Clients exposed, da der VPN auf einer bidirektionalen Verbindung basiert. Auf einmal sind Ihre Drucker \u00f6ffentlich.<\/p>\n

Was ist WireGuard<\/h2>\n

WireGuard ist eine sehr schlanke, schnelle und einfach zu konfigurierende VPN L\u00f6sung. Mit schmal ist hierbei gemeint, dass die Quelltextgrundlage im Vergleich zur \u00fcblichen Alternative OpenVPN oder IPSec winzig ist. In harten Zahlen ist das ein Unterschied von etwa viertausend Zeilen Code f\u00fcr WireGuard, zu mehreren hunderttausend bei OpenVPN.1<\/a><\/sup><\/p>\n

Generell ist es hierbei wichtig zu erw\u00e4hnen, dass es selten ein alleiniges Qualit\u00e4tsmerkmal ist, besonders viele oder wenige Zeilen Code zu nutzen. Der Grund warum wenige Zeilen als positiv im Bereich VPN- und IT Sicherheits- Software angesehen wird ist, dass die Chance auf einen sicherheitskritischen Bug drastisch reduziert wird. Zudem wird die zeitliche und finanzielle Last aufw\u00e4ndiger Sicherheits-Audits reduziert. Daher ist es generell ein sehr zukunftssichererer Ansatz, System- und Sicherheitskritische Software besonders klein zu halten.<\/p>\n

Ein weiterer Vorteil ist WireGuards hohe Geschwindigkeit. Nat\u00fcrlich h\u00e4ngen genaue Benchmarks zu der Performance auch von den verwendeten Algorithmen und Konfigurationen ab, allerdings l\u00e4sst sich verallgemeinern, dass selbst individuell angepasste OpenVPN Konfigurationen nur selten mit der Geschwindigkeit von WireGuard mithalten k\u00f6nnen.2<\/a><\/sup><\/p>\n

Seit M\u00e4rz 2020 ist WireGuard zudem offiziell im Linux Kernel gelandet und ist somit auf aktuellen Linux-Distributionen vorinstalliert. Viele weitere, wie Windows, macOS, iOS oder Android werden unterst\u00fctzt.<\/p>\n

Fazit zu WireGuard<\/h2>\n

Zusammenfassend gesagt, WireGuard hat VPN-Benutzern in vielen verschiedenen Anwendungsf\u00e4llen viel zu bieten. Wenn Sie \u00fcberlegt haben, WireGuard einzusetzen, probieren Sie es in einem kleineren Umfang z.B. einem Testprojekt aus. Es gilt auch zu pr\u00fcfen, wie gro\u00df Ihr m\u00f6glicher Angriffsvektor wirklich ist, um sich nicht ausschlie\u00dflich auf einen VPN zu verlassen. Evaluieren Sie hierzu die M\u00f6glichkeit der externen Audits.<\/p>\n

Weiterf\u00fchrende Literatur<\/h2>\n

Wir empfehlen au\u00dferdem das Whitepaper \u201cPost-quantum WireGuard<\/a>\u201d, in welchem Sie erfahren, wie WireGuard f\u00fcr das Post-Quantum Zeitalter vorbereitet wird und ist.<\/p>\n

Quellen<\/h2>\n
    \n
  1. WireGuard vs OpenVPN<\/a><\/li>\n
  2. Is Wireguard faster than OpenVPN? We tested 114 VPN servers.<\/a><\/li>\n<\/ol>\n

    <\/p>[\/et_pb_text][\/et_pb_column][\/et_pb_row][\/et_pb_section]\n\n","protected":false},"excerpt":{"rendered":"

    Es gibt viele Gr\u00fcnde daf\u00fcr, einen VPN im eigenen Firmennetzwerk einzusetzen. Heutzutage stehen vor allem Themen wie Intruder Detection und dessen Mitigation im Fokus, aber auch das Kleinhalten eines m\u00f6glichen Angriffsvektors. <\/p>\n","protected":false},"author":11,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_et_pb_use_builder":"on","_et_pb_old_content":"","_et_gb_content_width":"","footnotes":""},"categories":[19],"tags":[21],"class_list":["post-3963","post","type-post","status-publish","format-standard","hentry","category-whitepaper","tag-cybersecurity"],"_links":{"self":[{"href":"https:\/\/acopa.de\/de\/wp-json\/wp\/v2\/posts\/3963","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/acopa.de\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/acopa.de\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/acopa.de\/de\/wp-json\/wp\/v2\/users\/11"}],"replies":[{"embeddable":true,"href":"https:\/\/acopa.de\/de\/wp-json\/wp\/v2\/comments?post=3963"}],"version-history":[{"count":15,"href":"https:\/\/acopa.de\/de\/wp-json\/wp\/v2\/posts\/3963\/revisions"}],"predecessor-version":[{"id":4181,"href":"https:\/\/acopa.de\/de\/wp-json\/wp\/v2\/posts\/3963\/revisions\/4181"}],"wp:attachment":[{"href":"https:\/\/acopa.de\/de\/wp-json\/wp\/v2\/media?parent=3963"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/acopa.de\/de\/wp-json\/wp\/v2\/categories?post=3963"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/acopa.de\/de\/wp-json\/wp\/v2\/tags?post=3963"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}