[So sieht die copyright-freie KI-Version von Piggeldy & Frederick aus ...]
Ich hatte einen Traum:
Es begab sich zu einer Zeit, als es eine neue Next-Generation-Firewall - (NGFW) die Stufe vor den Next-Next-Generation Firewall - sein sollte.
Der Hersteller der Firewall, findet sich - kein Wunder - nicht unter den ersten 10 im weltweiten "Market Share". Aber der IT-Lieferando ist wahrscheinlich 42-Karat-Platin-Gold-Premium+ Partner dessen und da muß das Ding an den Kunden rangewanzt werden. Freilich hat die eigentliche IT kein Veto-Recht.
So kam es wie es kommen sollte, daß die glorreiche Idee geboren wurde, die VPN-User gegen das Microsoft Active Directory sich authentifizieren zu lassen. Benutzername und Kennwort sind scheinbar schon Zumutung genug - diese auch nochmal extra für die Einwahl - NO WAY. Viele tun sich schon schwer, sich den eigenen Login-Namen zu merken.
Da waren sie also: Der VPN-Client, die VPN-Konfiguration, AD-Username / password. Und auch nichts mehr. Die Konfiguration der VPN-Verbindung beinhaltete nur technische Parameter. Kein User-Zertifikat, nicht einmal ein Zertifikat für alle, kein shared-secred, nichts - nur Text. Daß man diesen fail-by-design-vpn durch einen gesonderten Benutzer / gesondertes Kennwort / sicheren 3. Faktor + User-Zertifikat einrichtet, kam man nicht. Easy business as usual, oder Hühnerknochenwurf.
In Zeiten in dem jeder 2. User bei jeder 3. phishing-mail seine Entra ID-Zugangsdaten (synchronisiert aus dem AD - ein anderes fail-Thema) egal wo eingibt, ist das sehr praktisch. So nehme man einfach diese abgegriffenen Daten in Echtzeit und wählt sich per echtzeit-proxy in das jeweilige Firmen-VPN ein - voilà. Und drinnen hat man dank den AD-Zugangsdaten dann i.d.R. freie Fahrt auf Dateifreigaben, CRM, ERP, CAD usw - ROFL.
ROFL:ROFL:ROFL:ROFL
_^___
L __/ [] \
LOL===__ \
L \________]
I I
--------/
(ROFLCOPTER)
Klassisches 2FA ist hier auch nicht wirklich ein Schutz, da die User auch diesen zweiten Faktor bei jeder 3. phishing-mail gleich mit eingeben. Selbst die Anforderung per Benachrichtigungen via push (phusing?) auf ein Smartphone, werden viele User einfach zustimmen bzw. Zahlen eingeben - wenn man dieses pushing nur oft genug wiederholt anfordert.
Bei einer sicheren VPN-Einwahl kann der Mensch selbst nur als 2. Faktor betrachtet werden. Es muß immer ein technisch sicherer echter "3. Faktor", wie z.B. ein sicheres individuelles User-Zertifikat, sicherer-Hardwaretoken, FIDO U2F, bestehen. Alles andere ist grob fahrlässiger Hühnerknochenwurf.
Siehe auch: