Sicherheitslücke in StrongSwan VPN

Die kostenlose, IpSec-(Internet Protocol Security) basierte StrongSwan VPN (Virtual Private Network) Lösung weist in den Versionen 4.3.5 bis einschliesslich 5.0.3. eine Lücke auf, die es Angreifern ermöglicht, unberechtigten Zugriff zum VPN Dienst zu erlangen. Die Sicherheitslücke betrifft nur Versionen, die Gebrauch des OpenSSL-Plugin machen. Kommt es zur ECDSA (Elliptic Curve Digital Signature Algorithm , eineDigital Signature AlgorithmUnterart) Signaturprüfung, kann sich ein Angreifer trotz ungültiger Signatur erfolgreich authentifizieren. Die Standardinstallation sei laut Herstellerangaben hiervon nicht betroffen.

Wir empfehlen die zeitnahe Einspielung der aktuellen Programmversion 5.0.4 oder des Patches.

Was ist ein VPN?
Ein VPN Zugang dient in erster Linie dazu, Rechner und Anwendungen über längere Distanzen und Router hinweg  sicher und verschlüsselt nutzen zu können. Vereinfacht ausgedrückt, schliessen sich mehrere Rechner in einem verschlüsselten Netzwerk zusammen und erlauben den Mitgliedern komfortableren Direktzugriff auf Dateien und angebotene Dienste innerhalb des VPNs. Mittlerweile bieten auch Heimanwendergeräte, wie die Fritzbox einen solchen VPN Zugang, um beispielsweise auf den Dateiserver der Fritzbox, im heimischen Netzwerk verschlüsselt  zuzugreifen. Ein sehr leicht zu konfigurierendes VPN lässt sich mit Hamachi einrichten, da dies lediglich die Installation des Programmes auf den jeweiligen Rechner abverlangt -ein Server, über den der Datenverkehr läuft, wird hier von einer Fremdfirma gestellt, so dass an den Routereinstellungen nichts zu verändern ist.

Was ist IpSec?
IpSec ist eine Sammlung von Protokollen, die die Verbindungssicherheit zwischen den Kommunikationspartnern sicherstellt.
Es garantiert:

  • Vertraulichkeit, da nur authentifizierten Nutzern und Geräten Zugriff auf Netzwerke und Dienste erlaubt werden.
  • Integrität der Daten und somit, dass das Paket während der Übertragung nicht verändert wurde.
  •  Die Authentifizierung stellt sicher, dass der Kommunikationspartner oder zum mindest der entsprechende Rechner der ist, für den er sich ausgibt.

Fazit:
StrongSwan, welches unter den gängigen, unixnahen Betriebssystemen per Standardsoftwareverzeichnis verfügbar ist, ist in der Standardinstallation sicher, konkreter Handlungsbedarf ergibt sich für Nutzer der OpenSSL-Bibliothek. Wir empfehlen die Einspielung der aktuellen Programmversion per Paketmanager auch wenn das Konfigurationsparameter “–enable-openssl” nicht mit übergeben wurde.

User von unixnahen Betriebssystemen, wie Mac OS, BSD oder Linux nutzen im einfachsten Falle den Befehl “ssh myuser@myremoteserver -D 2233”, um einen Remotetunnel aufzubauen, was oft auch als “The Poor Mans VPN” bezeichnet wird. Hierbei lassen sich lokale Anwendungen des Rechners über den Remoteserver leiten.