Bereits im Frühjahr 2024 kam von Fortinet eine überraschende Ankündigung: Das weit verbreitete und aufgrund seiner einfachen Nutzung und hohen Kompatibilität sehr beliebte SSL-VPN Protokoll würde auf kleinen Modellen, sowie in Firmware 7.6 und höher komplett entfallen.
Grund für die Entscheidung, die von Sicherheitsexperten durchaus begrüßt wird, ist in den immer wieder auftretenden Sicherheitslücken in den unterliegenden Bibliotheken zu finden. Betroffen ist davon nicht nur Fortinet, auch andere namhafte Hersteller wie Sophos, Cisco, Juniper und andere leiden unter Fehlern in den komplexen Routinen. Im einfachsten Fall führen die Lücken zu Abbrüchen der Verbindung, im schlimmsten Fall kann das ganze VPN-Gateway betroffen sein, bis hin zu Privilegien-Eskalation oder Umgehen der Authentifikation.
Nach einer Reihe kritischer Lücken in 2022 und 2023 hat Fortinet deswegen die Reißleine gezogen. Unterstützt wurde die Entscheidung von der Tatsache, dass dringende Updates nur im Rahmen von kompletten Firmware-Updates möglich sind und viele Anwender diese nicht oder nur verzögert umsetzen – auch weil dies mit einem Wartungsfenster für den Neustart verbunden ist.
Die Änderung wirkt sich abhängig von den eingesetzten Modellen unterschiedlich (schnell) aus: Für die kleineren Modellreihen, die mit wenig Speicher ausgestattet sind (2GB) wird SSLVPN und Web-VPN komplett entfernt. Für größere Modelle hat Fortinet eine Übergangslösung geschaffen, die das Protokoll noch etwas länger verfügbar hält: Durch Container-/Virtualisierungstechnik innerhalb der Firewall wird das VPN „gekapselt“, um so zum einen eine Rechte-Eskalation zu verhindern, zum anderen kann damit dynamisch ein Update von betroffenen Systembibliotheken automatisiert erfolgen, auch ohne dass der Anwender aktiv werden muss. Dennoch sind auch bei den größeren Modellen die Tage des SSL-VPN-Protokolls gezählt.
Ersatz durch Änderung beim IPSEC
Beliebt war – und ist – das SSL-VPN nicht zuletzt deswegen, weil das ansonsten stark verbreitete IPSEC VPN vielfach bei öffentlichen Netzen, aber auch zum Beispiel in Hotels, oft gesperrt wird. Oft wird nur TCP-Traffic zugelassen, wie er beispielsweise für Webseiten- oder Mail-Abruf genutzt wird. IPSEC nutzt dagegen UDP- und ESP innerhalb von IP. Normalerweise. Weil auch Fortinet sich der Problematik bewusst ist, wurde in aktuellen FortiOS Firmware Versionen die Option zur Verfügung gestellt, den IPSEC-Traffic über TCP zu transportieren; mit proprietärer Version, als auch nach dem RFC 8229 Standard. Nutzt man dann dazu den HTTPS-Port 443, wird man in aller Regel auch aus restriktiven, sonst für IPSEC gesperrten Netzen eine gesicherte Verbindung aufbauen können. Voraussetzung dafür ist weiterhin, dass man die neuste Version des FortiClient einsetzt, der das IPSEC-over-TCP unterstützt.
Natürlich sind auch die Funktionen für Zwei-Faktor-Absicherung, oder zertifikatsbasierte Authentifizierung bei IPSEC möglich, so dass der Wechsel letztendlich für den Kunden auf jeden Fall von Vorteil ist.
Parallele Konfiguration für schrittweise Migration
Bei neuen Installationen empfiehlt es sich natürlich, direkt IPSEC-basierte Remote-Access VPNs zu konfigurieren. Für Bestandssysteme kann die Konfiguration parallel vorgenommen werden, um eine schrittweise Umstellung vornehmen zu können. So kann der Rollout des gegebenenfalls notwendigen Client-Updates sowie der zugehörigen neuen Konfigurationen vorgenommen werden, und zu einem späteren Zeitpunkt – spätestens mit Entfallen der Funktionalität bei einem Firewall-Update – die SSLVPN-Funktionalität deaktiviert werden.
Bei aktuellen Systemen mit Versionen 7.2 und 7.4 ist das SSLVPN noch verfügbar. Aktuell sind dabei auch keine Fehler oder Lücken bekannt, so dass zu diesem Zeitpunkt kein unmittelbarer Handlungsbedarf besteht. Da für die Umstellung mindestens die Anpassung aller VPN-Konfigurationen notwendig, bietet es sich an, im Fall von anstehenden Arbeiten die Anpassung mit vorzunehmen.
Gerne unterstützen wir Sie bei der Planung und Umsetzung, oder auch bei Fragen zum Einsatz der IPSEC VPN-Einwahl.
Sie haben noch Fragen? Wir haben die Antworten
So erreichen Sie uns auch gerne direkt:
Noch Fragen zu den Themen Network oder VoIP?
NT/DSL
Schnelles DSL für Ihr Unternehmen
NT/Voice
Maßgeschneiderte Telefonie-Lösungen
NT/
CONNECT
Die Lösung für alle Anforderungen
TK-Anlage/
Asterisk
Moderne Telefonie auf Open-Source-Basis
