VPN-Technik und Security-Herausforderungen - NCP ePaper powered by LANline

Kostenfrei oder kommerziell

VPN-Lösungen für unterschiedliche Szenarien

Bequem für Anwender und Administratoren: die zentral administrierbare VPN-Client-Suite von NCP.
geschrieben von Jürgen Hönig/pf, Marketingleiter bei NCP Engineering, www.ncp-e.com.

Durch die aktuelle Diskussion um Datenschutz und unerwünschte Mitleser interessieren sich auch solche Unternehmen und Selbstständige für Virtual Private Networks (VPNs), die das Thema bislang ignoriert haben. Neueinsteiger können aus einem breiten Angebot wählen, verlockend wirken oft die kostenfreien Angebote. Allerdings ist eine Gratislösung nicht für jedes Anwendungsszenario realisierbar oder empfehlenswert.

Sichere Kommunikation ist zurzeit ein Thema mit Breitenwirkung. Nach den beständigen Enthüllungen der letzten Monate weiß jeder, dass seine elektronische Kommunikation mitgelesen wird. Wer dies verhindern will, muss sich schützen. Beim Remote Access, einem besonders sensiblen Bereich, ist dafür in der Regel ein VPN zuständig. Entsprechende Lösungen gibt es mittlerweile in zahlreichen Ausführungen, sowohl kommerziell von zahlreichen unterschiedlichen Anbietern als auch in Form kostenloser oder quasikostenloser Lösungen und Dienste. Welche Wahl am besten passt, richtet sich nach den Sicherheitsanforderungen, dem Aufwand für Konfiguration, Verteilung und Management sowie nach dem verfügbaren Budget.
 
Gleiches Prinzip, viele Umsetzungen

Das grundlegende Prinzip ist bei VPNs identisch: Durch einen verschlüsselten Tunnel gelangen Datenpakete von A nach B. Allerdings verbirgt sich schon in dieser abstrakten Definition viel Spielraum. Punkt A ist meistens das eigene Endgerät, also PC, Tablet oder Smartphone. Ausgangspunkt kann aber auch das komplette lokale Netz sein, beispielsweise wenn ein Unternehmen einen zweiten Standort eröffnet und die beiden LANs sicher miteinander verbinden will.
Bei Punkt B existieren noch mehr Varianten. Im klassischen Remote Access eines Mitarbeiters, der von unterwegs auf Dienste und Daten in der Zentrale zurückgreifen will, ist dies ein VPN-Gateway im Unternehmen. Ein kleiner Betrieb mit ein paar Mitarbeitern, deren PCs geschützt miteinander kommunizieren sollen, nutzt als Punkt B hingegen nur den jeweils anderen PC, auf den zuzugreifen, beziehungsweise den Mitarbeiter, mit dem zu kommunizieren ist. Und ein mobiler Anwender, der von unterwegs aus über öffentliche Hotspots kommunizieren will, definiert als geschützten Bereich seine unmittelbare Umgebung – das WLAN und den Provider, über den er mit dem Internet verbunden ist.
Praktikable Lösungen, die alle klassischen Anwendungsfälle abdecken, existieren natürlich, erfordern aber auch ein entsprechendes Budget. So bieten kommerzielle VPN-Gateway-Lösungen wie beispielsweise die „Secure Enterprise Solution“ von NCP Engineering genügend Flexibilität, um diese Situationen technisch problemlos zu lösen: den klassischen „Road Warrior“ über einen IPSec-Client auf dem Endgerät, die LAN-LAN-Kopplung über je ein VPN-Gateway in den Netzen und den „Gelegenheitssurfer“ unterwegs über SSL (Secure Sockets Layer) oder ebenfalls mittels des IPSec-Clients.
Und manchmal haben Unternehmen tatsächlich keine andere Wahl, als eine kommerzielle Lösung in ihrem Netz zu installieren und selbst zu betreiben oder zumindest unter ihrer Aufsicht betreiben zu lassen. Nämlich dann, wenn die Informationen so wichtig und wertvoll sind, dass der Betrieb eines VPN-Gateways auf keinen Fall bei einem oder durch einen Dritten akzeptabel ist.
Wenn es allerdings nur darum geht, dass persönliche Informationen den deutschen Datenschutzbestimmungen entsprechend verarbeitet werden, finden sich zunehmend Alternativen. Auch bedingt durch Edward Snowdens Enthüllungen bieten immer mehr Provider VPN-Dienste hierzulande an und garantieren, dass sie ihre Rechenzentren ausschließlich in Deutschland betreiben und mit dem Internet verbinden. Dabei kommen oft kommerzielle VPN-Lösungen zum Einsatz, bei der die zentralen Komponenten mandantenfähig sind, also voneinander abgeschottete logische Bereiche bilden können. Die Mandantenfähigkeit muss sich über das VPN-Gateway hinaus auch auf das Management sowie Redundanzkomponenten erstrecken, damit der Service die üblicherweise geforderte Hochverfügbarkeit bereitstellen kann.
 
Beliebte Lösung: OpenVPN

In den letzten Jahren hat sich die Open-Source-VPN-Lösung OpenVPN so weit entwickelt, dass es mittlerweile eine ganze Reihe kommerzieller Lösungsanbieter gibt, die OpenVPN als gehosteten Dienst nutzen und für Kunden bereitstellen. Der OpenVPN-Server-Teil ist für viele Betriebssysteme – darunter Linux, Windows XP/Vista/7, Mac OS X und Solaris – verfügbar, darüber hinaus gibt es Varianten für die beliebten Router-Plattformen WRT-DD und Tomato. Clients umfassen inzwischen neben Windows und Linux auch Mac OS X und Android. Selbst für IOS, das lange Zeit nur mit OpenVPN zusammenarbeiten wollte, wenn das Endgerät einen Jailbreak über sich ergehen ließ, gibt es einen leicht installierbaren Client.
Als Basis nutzt OpenVPN eine verschlüsselte TLS-Verbindung (Transport Layer Security), die Algorithmen und Bibliotheken sind einem anderen Open-Source-Programm, OpenSSL, entliehen. Durch relativ einfache Installationsroutinen – zumindest bei den Versionen mit grafischen Schnittstellen – sind auch Administratoren mit geringer Sicherheitserfahrung in der Lage, das System aufzusetzen.
Für den Privatgebrauch oder in kleinen Unternehmen ist OpenVPN eine durchaus ernstzunehmende Alternative zu einem kommerziellen Produkt, wenn sich der Anwender Installation und Management zutraut. Doch dort liegt auch einer der größten Nachteile dieses Programms: Das Management ist nicht für den Einsatz in großen oder sehr großen Umgebungen gedacht. Rollout-Mechanismen für die Client-Komponente fehlen, Hochverfügbarkeit ist möglich aber komplex zu konfigurieren. Zudem existieren für OpenVPN keine Zertifizierungen wie FIPS (Federal Information Processing Standard), sodass der Nachweis der Compliance schwierig gerät, wenngleich es möglich ist, die Software gemäß „FIPS-140-2“-Vorgaben zu betreiben. Ein weiterer Nachteil ist die fehlende Kompatibilität mit IPSec-basierten VPN-Lösungen. Sollen im Unternehmen mehrere VPN-Gateways und Clients interagieren, bleibt OpenVPN ohne besondere Vorkehrungen außen vor.
Wem das Konzept von OpenVPN gefällt, findet in Softether aus Japan eine ähnliche wenn auch weniger weit verbreitete Lösung. Entwickelt von Daiyuu Nobori als Master-Arbeit an der Universität Tsukuba unterstützt diese Linux, Windows, Mac OS X und Windows RT. Android und IOS sind über die systemeigenen Clients nutzbar. Es gibt sogar Migrationshilfen für OpenVPN-Anwender. Da Softether L2TP (Layer 2 Tunneling Protocol) als Basisprotokoll nutzt, sollen sich bestehende IPSec-Clients verwenden lassen.
 
Einfacher Weg zur geschlossenen Computergruppe

Jenseits des Bereichs großer Komplettlösungen geht es oft darum, eine geringe Zahl von Computern geschützt miteinander zu verbinden. Auch wenn sich solche Szenarien mit kommerzieller Software oder OpenVPN umsetzen lassen, rechtfertigt der Einsatz nicht den Aufwand. Dort geht es nicht darum, Zertifikate zu generieren oder Router und Firewalls zu konfigurieren, die Anwender wollen lediglich einen sicheren Kanal zwischen ihren Endgeräten. Für diese Einsatzbereiche sind Angebote wie Logmein Hamachi oder Comodo Unite bestens geeignet. Sie etablieren ein VPN zwischen allen Computern mit dem installierten Client – meist nur Windows-PCs. Hamachi unterstützt darüber hinaus Linux sowie Mac OS X und die systeminternen VPN-Clients von Android und IOS. In der Grundversion sind die Programme kostenlos, können aber Funktionseinschränkungen haben. Hamachi beispielsweise läuft seit Kurzem in der kostenlosen Version nicht mehr als Dienst im Hintergrund.
Bei dieser Art von Lösung drängt sich allerdings unabhängig von den technischen Vor- und Nachteilen ein anderer Aspekt in den Vordergrund: Vertrauenswürdigkeit. Die VPN-Dienste gelten als Zero-Config-Software. Es gibt keine Router-Ports oder Firewall-Einstellungen zu beachten. Der Nutzer definiert seine Gruppe, legt ein Passwort fest, und jeder andere Hamachi-Client kann der Gruppe beitreten, wenn er das Passwort kennt. Damit dies funktioniert, betreibt der Anbieter des VPN-Dienstes einen Mediation-Server im Internet. Die Clients wiederum handeln Zugangsdaten und Berechtigungen mit dem Mediation-Server aus, der dadurch eine ganze Reihe an wichtigen Informationen über die Sessions protokollieren kann. Die Frage ist nun: Vertraut der Anwender dem Dienstbetreiber, dass seine Informationen den Datenschutzbestimmungen entsprechend behandelt werden? Logmein hat seine Zentrale wie viele andere Anbieter in Kalifornien, unterliegt damit also dem US-amerikanischen Recht.
Ein weiteres Sicherheitsproblem ist technischer Natur und lässt sich durch sorgfältige Konfiguration lösen. Alle Teilnehmer eines Tunnels haben den gleichen Zugriff auf die Rechner der Beteiligten wie in einem LAN, die NAT- und Firewall-Funktion vorgeschalteter Router ist überbrückt. Der Anwender muss also vorsichtig sein, wenn es Freigaben auf dem eigenen Computer gibt, die nicht für andere VPN-Teilnehmer sichtbar sein sollen. Alternativen zu Logmein Hamachi und Comodo Unite sind beispielsweise Teamviewer, Freelan und Tinc.
 
Vertrauen ist gut, aber manchmal verfehlt

Die Frage nach Vertrauen und Datenschutz ist in den letzten Monaten verstärkt aufgekommen – gerade bei Diensten, die im Internet kostenlose VPN-Services anbieten. Dabei handelt es sich meist nur um eine eingeschränkte Form des VPNs: Gesichert wird die Strecke vom Endgerät bis zum Server beim Provider, danach treten die Datenpakete unverschlüsselt in das Internet aus. So lassen sich beispielsweise Surf-Sessions in einem Café absichern, bei denen der Anwender den lokalen WLAN-Hotspot für den Internet-Zugang nutzt.
Spionage-Tools wie Firesheep oder Faceniff laufen damit ins Leere. Zusätzlich verschleiern solche Dienste die eigene IP-Adresse und sollen es schwerer machen, die Datenpakete nachzuverfolgen – „anonymes Surfen light“ sozusagen. Ein bekannter Vertreter dieser Gattung kostenloser VPN-Services ist beispielsweise Hotspotshield. Dieser Gratisdienst ist bei Nutzern sehr beliebt, wird aber durch nachdrückliche Werbung im Browser via Banner sowie die Zwangsumleitung der Startseite finanziert. Zudem sammelt das Unternehmen anonymisiert Nutzungsdaten, die es auch an Dritte weitergibt.
Auch dabei ist Vertrauen in den Anbieter der Schlüsselfaktor. Im Jahr 2011 lieferte beispielsweise der VPN-Betreiber Hidemyass den Strafverfolgungsbehörden die Logdaten über einen Nutzer aus, der auf diese Weise überführt wurde, am sogenannten Sony-Hack beteiligt gewesen zu sein. Dass der Betreiber die Daten herausgeben musste, ist unstrittig – es gab einen Gerichtsbeschluss. Allerdings hätten eigentlich gar keine Daten über die Sessions verfügbar sein dürfen. Aufgezeichnete und gespeicherte Session-Informationen machen VPN-Verbindungen weitgehend sinnlos.
 
Rezepte für ein Minimal-VPN

Reicht diese Form des VPNs für die eigenen Ansprüche prinzipiell aus, lässt sich der gleiche Effekt alternativ auch über einen selbst aufgesetzen VPN-Server in der Cloud erzielen. Die Leistung der preisgünstigsten virtuellen Maschinen bei Amazons EC2 oder Microsofts Azure reicht aus, um einen eigenen OpenVPN-Server zu betreiben. Die Verbindung stellt der passende Client auf dem Endgerät her, fortan surft der Anwender bis zum Austrittspunkt bei Amazon oder Microsoft verschlüsselt. Bringt der Nutzer diesen beiden Großkonzernen ebenfalls kein Vertrauen entgegen, kann der Minimal-VPN-Server auch im eigenen LAN stehen. Dann ist entweder ein Router mit eingebautem VPN-Gateway wie eine AVM Fritzbox sinnvoll oder ein kleiner Minicomputer mit Linux-Distribution, auf dem OpenVPN oder Softether läuft.
VPN-Lösungen sind heute in mehreren Spielarten verfügbar. Auch Open-Source-Software kann problemlos im gewerblichen Umfeld ihren Platz finden. Doch wenn es über die Basisfunktionen hinausgeht, zeigen die kommerziellen VPN-Pakete wie etwa NCPs Secure Enterprise Solution ihre Stärken: Auf einfaches Rollout der Clients, Hochverfügbarkeit, schnell verfügbaren Support und vor allem ein intuitives und leicht zu handhabendes Management des laufenden Systems können gewerbliche Anwender ab einer gewissen Unternehmensgröße auf keinen Fall verzichten. Es stimmt: Nicht jeder benötigt absolute Highend-Sicherheit, aber viele brauchen mehr Schutz, als ihnen Basislösungen bieten können.