Deaktivieren unsicherer Protokolle: PPTP/L2TP-Altlasten sauber ablösen

Wer heute PPTP/L2TP deaktivieren und Altlasten sauber ablösen möchte, braucht mehr als einen „Port zu“-Change. Unsichere VPN-Protokolle sind selten ein isoliertes Technikproblem, sondern Ausdruck historischer Kompromisse: alte Clients, Partnerzugänge, Embedded-Geräte, „funktioniert seit Jahren“-Konfigurationen, fehlende Inventarisierung und ein Betrieb, der auf Minimierung von Änderungen optimiert wurde. Genau diese Kombination macht PPTP und viele L2TP/L2TP-over-IPsec-Deployments so gefährlich:…

Tunnel-Exposure minimieren: Ports, Services und Attack Surface reduzieren

Wer Tunnel-Exposure minimieren will, muss VPN- und Remote-Access-Infrastrukturen wie internetexponierte Produktionssysteme behandeln – nicht wie „nur ein Gateway“. Denn jeder öffentlich erreichbare Dienst ist ein potenzieller Angriffspunkt: automatisierte Scans, Credential Stuffing, Probing auf bekannte Schwachstellen, Missbrauch von Legacy-Protokollen, DDoS und gezielte Exploit-Ketten gehören heute zum Normalzustand. In der Praxis entsteht die größte Angriffsfläche nicht durch…

DDoS-Schutz für VPN Gateways: Rate Limits, Front Doors und Scrubbing

DDoS-Schutz für VPN Gateways ist heute ein Pflichtbestandteil jeder professionellen Remote-Access- und Site-to-Site-Architektur. VPN-Gateways sind nicht nur „ein Dienst unter vielen“, sondern ein kritischer Einstiegspunkt: Wenn das Gateway nicht erreichbar ist, stehen Remote Work, Incident Response, Betrieb und häufig auch Partnerzugänge still. Gleichzeitig sind VPN-Endpunkte naturgemäß internetexponiert und damit leicht auffindbar und angreifbar. Hinzu kommt…

Brute-Force Mitigation: Lockouts, Rate Limits und Geo-Blocking sinnvoll

Brute-Force Mitigation ist eine der wichtigsten Schutzmaßnahmen für öffentlich erreichbare IT-Dienste wie VPN-Portale, SSO-Loginseiten, RADIUS-basierte Zugänge und administrative Web-UIs. Angriffe sind dabei längst nicht mehr „ein Scriptkiddie probiert Passwörter aus“, sondern hochautomatisierte Kampagnen mit Credential Stuffing (geleakte Zugangsdaten), Passwort-Spraying (wenige Passwörter über viele Konten), MFA-Fatigue (Push-Spam) und gezielten Versuchen, Lockout-Mechanismen auszunutzen. Der Spagat ist anspruchsvoll:…

Credential Stuffing verhindern: MFA, Passwordless und Telemetrie

Credential Stuffing verhindern ist eine der wichtigsten Disziplinen im modernen Identity- und Remote-Access-Schutz. Anders als klassisches „Brute Force“ basiert Credential Stuffing nicht auf geratenen Passwörtern, sondern auf realen, bereits kompromittierten Login-Daten aus Datenlecks: Angreifer testen automatisiert bekannte E-Mail/Passwort-Kombinationen gegen VPN-Portale, SSO-Logins, Webanwendungen oder RADIUS-Backends. Die Erfolgsquote entsteht weniger durch schwache Passwörter als durch Passwort-Wiederverwendung, unzureichende…

VPN Logging & Privacy: DSGVO-konforme Protokollierung und Retention

VPN Logging & Privacy ist ein Spannungsfeld, das in vielen Unternehmen entweder zu technisch (viel Logging, wenig Datenschutz) oder zu defensiv (wenig Logging, wenig Incident-Fähigkeit) gelöst wird. Dabei lässt sich beides vereinbaren: Eine DSGVO-konforme Protokollierung ist möglich, wenn Zweck, Umfang, Zugriff und Retention (Aufbewahrung und Löschung) sauber definiert und technisch durchgesetzt werden. VPN-Logs enthalten in…

RADIUS/TACACS+ Integration: AAA Patterns für VPN-Gateways

RADIUS/TACACS+ Integration ist in Enterprise-Umgebungen ein zentraler Baustein, um VPN-Gateways sauber in ein AAA-Modell (Authentication, Authorization, Accounting) einzubetten. Ohne konsistente AAA-Architektur wird Remote Access schnell unübersichtlich: lokale Benutzer auf Gateways, inkonsistente Gruppen, unterschiedliche Policies je Standort, fehlende Audit-Trails und ein hoher operativer Aufwand bei Offboarding oder Rollenwechseln. RADIUS ist dabei der klassische Standard für Netzwerkzugang…

SIEM Integration: VPN Events korrelieren und priorisieren

SIEM Integration ist der entscheidende Schritt, um VPN-Events nicht nur zu sammeln, sondern sie in verwertbare Security-Signale zu verwandeln. In vielen Unternehmen existieren zwar VPN-Logs, AAA-Logs und IdP-Events, doch ohne saubere Normalisierung, Korrelation und Priorisierung entsteht entweder „Alert-Fatigue“ (zu viele Alarme) oder Blindflug (zu wenige, dafür zu späte Erkenntnisse). VPN ist dabei ein besonders sensibler…

Conditional Access: Zugriff nach Gerät, Standort, Risiko steuern

Conditional Access ist das zentrale Steuerinstrument moderner Identitäts- und Zugriffsarchitekturen: Statt „ein Login ist ein Login“ entscheidet Conditional Access dynamisch, ob ein Zugriff erlaubt, eingeschränkt, mit zusätzlicher Verifikation abgesichert oder vollständig blockiert wird – basierend auf Gerät, Standort, Risiko und weiteren Kontextsignalen. In Zeiten von Remote Work, BYOD, Cloud-SaaS und hybriden Infrastrukturen ist das entscheidend:…

Anomalie-Erkennung: Impossible Travel, ungewöhnliche Sessions und Datenabfluss

Anomalie-Erkennung ist im Kontext von VPN, SSO und Remote Access eine der wenigen Maßnahmen, die auch dann noch wirkt, wenn klassische Kontrollen bereits umgangen wurden. Denn moderne Angriffe scheitern selten an fehlender Kryptografie, sondern an menschlichen und operativen Realitäten: Passwort-Wiederverwendung, Phishing, Token-Diebstahl, kompromittierte Endgeräte oder fehlerhafte Policies. Wenn ein Angreifer einmal eine gültige Identität oder…