SSL-VPNs untergraben Sicherheitsmodell der Browser
Durch ihre Funktion als Reverse-Proxy setzen SSL-VPNs unter Umständen die Sperre von Cross-Domain-Zugriffen außer Kraft.
Michal Zalewski warnt, dass SSL-VPNs ein grundsätzliches Sicherheitskonzept der Web-Browser – das Verbot von Cross-Domain-Zugriffen – quasi außer Kraft setzen und damit unter Umständen alle Systeme gefährden, die über ein solches "Web-VPN" erreichbar sind.
Diese Browser-basierten SSL-VPNs sind nicht zu verwechseln mit echten VPN-Lösungen wie OpenVPN, das ebenfalls SSL/TLS zur Authentifizierung und Verschlüsselung einsetzt, aber auf Netzwerkebene arbeitet. Die Grundfunktion eines SSL-VPN-Gateways kann man sich als einfachen HTTP(S)-Reverse-Proxy vorstellen: Der Anwender gibt eine Adresse wie https://vpn.foo.de ein und meldet sich dort mit Username und Passwort an. Daraufhin vermittelt das SSL-Gateway den Zugang zu diversen Ressourcen im Firmennetz, die es auf URLs wie https://vpn.foo.de/http/0/owa/exchange/ju/inbox und https://vpn.foo.de/http/0/files/ju abbildet. Der Outlook-Web-Access-Dienst und der File-Server laufen dabei auf verschiedenen Rechnern im Intranet.
Um unerlaubte Manipulationen und Datendiebstahl zu verhindern, sperren Browser Script-Zugriffe über Domaingrenzen hinweg. So darf ein Script einer Web-Seite von heise.de zwar andere Heise-Seiten auslesen und sogar umschreiben, nicht aber auf die Ressourcen einer gleichzeitig angezeigten Seite von apple.de zugreifen. Diese Domaingrenzen verwischt ein SSL-VPN, wenn es mehrere Domains in ein VPN integriert. Der Browser sieht bei
https://vpn.foo.de/http/0/foo.de/mail
und
https://vpn.foo.de/http/0/bar.de/wmtipp
nur die Domain foo.de. So könnte ein Angreifer unter Umständen über einen Cross-Site-Scripting-Fehler in der wmtipp-Applikation nicht nur die Tipps des Kollegen sondern auch dessen gesamte E-Mail auslesen.
Derartige Probleme treten in dieser Form nur dann auf, wenn ein SSL-VPN Zugriff auf Systeme aus verschiedenen Domains gestattet. Sie ließen sich zwar durch spezielle Gegenmaßnahmen und sorgfältiges Design entschärfen. Die Tatsache, dass die Hersteller von SSL-VPNs sie jedoch bislang nicht einmal diskutiert haben, weckt bei Zalewski starke Zweifel, ob dies wirklich geschehen ist.
Siehe dazu auch: (ju)
- SSL VPNs and security, Sicherheitsnotiz von Michal Zalewski
- Cross-Site-Scripting: Datenklau über Bande, Artikel auf heise Security
