Wichtiger Sicherheitshinweis zu Cisco VPN-Zugang / Important security note regarding Cisco VPN access

[TUM-IT-Newsletter]

Liebe Kolleginnen und Kollegen,

 

wie hier (https://doku.lrz.de/display/PUBLIC/VPN-Technik) dokumentiert ist,
werden beim Cisco VPN per default weltweit geroutete IP-Adressen zugewiesen.
Das bedeutet, dass jeder Rechner, der einen VPN-Tunnel mit Cisco AnyConnect
aufbaut, direkt aus dem weltweiten Internet erreichbar und somit angreifbar
ist. Lediglich die z.B. in Windows integrierte Firewall schützt noch den
lokalen PC. Gibt man bei den Zugangsdaten jedoch ein #-Zeichen vor dem
eigenen Benutzernamen ein (also z.B. #ab12cde at mytum.de), erhält man eine
lokalen MWN-Adresse und ist über das weltweite Internet nicht mehr
angreifbar. Wir empfehlen dringend, diese #-Option einzusetzen. 

 

Diese sicherlich überdenkenswerte Adressvergabe hat historische Gründe. Da
sich viele Systeme jedoch auf diese Konvention verlassen, ist eine pauschale
Änderung auf die Schnelle nicht umsetzbar.

 

Weitere aktuelle Entwicklungen finden Sie im IT-News-Blog
https://wiki.tum.de/display/ITNews .

 

 

Dear Colleagues,

 

As documented here (https://doku.lrz.de/display/PUBLIC/VPN-Technik), the
Cisco VPN assignes worldwide routed IP addresses by default. This means that
every computer that establishes a VPN tunnel with Cisco AnyConnect can be
reached directly from the worldwide Internet and is therefore vulnerable to
attack. Only the local firewall, for example integrated in Windows, still
protects the local PC. However, if you enter a # character in front of your
user name (e.g. #ab12cde at mytum.de), you get a local MWN address and are no
longer vulnerable over the worldwide Internet. We strongly recommend to use
this # option. 

 

This is certainly worth considering and has historical reasons. However,
since many systems rely on this convention, it is not possible to implement
a general change in a hurry.

 

Current developments can be found in the IT-News-Blog
https://wiki.tum.de/display/ITNews .

 

 

PS: Diese Info wurde an die Abonnenten des IT-Newsletters und die
AD-Teiladministratoren der TUM verschickt / This info was sent to the
subscribers of the IT-Newsletter and the AD administrators of TUM

 

Viele Grüße und alles Gute! / Many greetings and all the best!

 

Albert Lauchner

 

--

Dipl. Phys. Albert Lauchner 

Leiter IT-Management Technische Universität München 

IT-Servicezentrum Karlstr. 45, 80333 München

Tel: +49 89 289 22256, Mobil: +49 162 2957204,  <http://www.it.tum.de/>
www.it.tum.de

 

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://lists.lrz.de/pipermail/tum-it-newsletter/attachments/20200408/6e649a43/attachment.html>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 6391 bytes
Beschreibung: nicht verfügbar
URL         : <http://lists.lrz.de/pipermail/tum-it-newsletter/attachments/20200408/6e649a43/attachment.bin>