staging.inyokaproject.org

VPN

VPN steht als Abkürzung für Virtuelles Privates Netzwerk, und ist ein Sammelbegriff für die verschlüsselte Verbindung zweier oder mehrerer Rechner oder Netzwerke. Konkret werden damit in der Praxis folgende Anwendungsfälle umgesetzt:

Da alle Netzwerkverbindungen über eine verschlüsselte und somit geschützte VPN-Verbindung laufen können, spricht man auch gerne von einem VPN-Tunnel. Welche Technologie für eine VPN-Verbindung eingesetzt werden darf, ist dabei nicht festgelegt. Für VPN-Protokolle sind der Kreativität daher kaum technische Grenzen gesetzt: Die Datenübertragung kann auf den unterschiedlichsten Netzwerkebenen aufbauen und andere bereits existierende Protokolle nutzen, wie z.B. TLS, HTTPS, DNS, etc. Einzig das Ziel ist entscheidend, nämlich beliebige Netzwerkdaten möglichst effizient und sicher zwischen den VPN-Endpunkten hin und zurück zu übertragen.

Einsatzgebiete

⚓︎

Site-to-Site

./vpn-s2s.png

Bei einer Site-to-Site-Verbindung werden zwei Netzwerke über einen VPN-Tunnel verbunden (z.B. eine Zweigniederlassung in Frankfurt mit dem Hauptfirmensitz in Berlin).

⚓︎

End-to-Site

./vpn-e2s.png

Bei einer End-to-Site-Verbindung werden Endbenutzer über einen VPN-Tunnel an ein Netzwerk angebunden (z.B. Außendienstmitarbeiter an ein Firmennetzwerk).

⚓︎

Anbindung ans Internet

./vpn-e2i.png Ein VPN-Tunnel kann auch für eine TLS-verschlüsselte Verbindung zu einem öffentlichen VPN-Anbieter genutzt werden, über die der gesamte Internet-Verkehr gelenkt wird. Obwohl man dafür einen bereits funktionierenden Internet-Zugang benötigt, können damit z.B. Sicherheitsmängel im WLAN-Netzwerk umgangen werden. Sobald ein gesicherter VPN-Tunnel aufgebaut ist, laufen alle Netzwerkverbindungen nur noch innerhalb des durch TLS-Verschlüsselung geschützten Tunnels. Am anderen Tunnel-Ende leitet der VPN-Anbieter den Netzwerkverkehr dann ins Internet weiter.

Da man zudem auch noch mit der IP-Adresse des VPN-Anbieters surft, werden diese VPNs auch gerne dazu benutzt um Internet-Dienste verwenden zu können, die für das eigene Land gesperrt sind (Geoblocking). Aus diesem Grund sind in den letzten Jahren sehr viele kommerzielle VPN-Anbieter entstanden, die ihre Server in unzähligen Ländern zur Verfügung stellen. Für bereits wenige Euro pro Monat erhält man frei wählbaren Zugang zu einem beliebigen Server, mit einer Volumenbegrenzung, die meist derer gängiger Mobilfunkverträge entspricht.

Bei der Nutzung von öffentlichen VPN-Anbietern ist allerdings Folgendes zu beachten:

  • Der VPN-Server muss über ein CA-Zertifikat identifiziert werden. Nur so kann sichergestellt werden, dass sich kein Angreifer als vermeintlicher VPN-Anbieter ausgibt. Das Zertifikat erhält man zusammen mit der VPN-Konfiguration vom VPN-Anbieter.

  • Der VPN-Anbieter sollte vertrauenswürdig sein (s. viele VPN-Dienste sind unsicher 🇩🇪).

  • Da VPN-Dienste häufig für das netzwerkbelastende Streaming von Medien verwendet werden, drosseln einige VPN-Anbieter diese Art des Netzwerkverkehrs. Außerdem ist wegen der zusätzlichen Verschlüsselungsschicht generell mit geringfügigen Performanceeinbußen zu rechnen.

  • Einige Anbieter von Internet-Diensten blockieren bekannte IP-Adressen von VPN-Anbietern, eben weil mit der Nutzung von VPN-Tunneln Geoblocking umgangen bzw. die eigene private IP-Adresse verborgen wird.

  • Will man neben dem Surfen im Internet auch gleichzeitig auf Dienste im lokalen Netz zugreifen, hat man das Problem den Netzwerkverkehr entsprechend zu routen: Der Internet-Verkehr muss über den VPN-Tunnel laufen, alles andere geht direkt in das lokale Netz. Insbesondere für DNS ist diese Aufteilung meist schwierig zu realisieren.

  • Eine VPN-Verbindung funktioniert generell in beide Richtungen: Auch der VPN-Anbieter hat somit die Möglichkeit eine Netzwerkverbindung zum eigenen PC / Laptop / Handy etc. aufzubauen. Sicherheitshalber sollte man daher mit einer lokalen Firewall alle über den VPN-Tunnel eingehenden Netzwerkverbindungen blockieren.

  • Einige Programme / Dienste cachen netzwerkrelevante Informationen und verwenden diese weiter, auch nachdem ein VPN-Tunnel gestartet wurde. Diese Programme / Dienste sollten nach dem Aufbau eines VPN-Tunnels ebenfalls neu gestartet weren (z.B. dirmngr von GnuPG, s. Problembehebung im Artikel "Web of Trust").

  • VPN-Client-Software bietet einen zusätzlichen Angriffsvektor (s. Sicherheitslücken: Angreifer könnten OpenVPN crashen 🇩🇪).

⚓︎

Protokolle

Gängige VPN-Protokolle
Protokoll Symmetrischer Verschlüsselungsalgorithmus Einsatzgebiet Beschreibung
PPTP MS-CHAP v2 - Gilt als unsicher 🇩🇪 und sollte nicht mehr verwendet werden
L2TP/IPSec abhängig von IPsec Wenig verbreitet wegen Gerüchte um mögliche Schwachstellen Keine bekannten Sicherheitslücken, obwohl es Gerüchte um mögliche Schwachstellen gibt
SSTP AES256 und andere End-To-Site im Windows-Umfeld Keine bekannten Sicherheitslücken
IPsec/IKEv2 AES256 und andere Hauptsächlich im Unternehmensumfeld IKE in Version 1 (Protokoll zum Schlüsselaustausch) gilt als überholt; Gerüchte über mögliche Schwachstellen im Schlüsselaustauch (IKE und ISAKMP); ansonsten keine konkreten bekannten Sicherheitslücken
OpenVPN
SSL-VPN
AES256 und andere Große Verbreitung im privaten und Unternehmensumfeld Gilt als stabil und sicher

Weitere Informationen zu symmetrischen Verschlüsselungsalgorithmen gibt es im Wiki-Artikel GnuPG/Symmetrische Verschlüsselung.

⚓︎

Programme

VPN-Programme können je nach unterstütztem Protokoll unterteilt werden:

Auswahl an gängigen Programmen und deren unterstützte VPN-Protokolle
Programm VPN-Protokoll Einsatzgebiet Beschreibung
OpenVPN OpenVPN / SSL End-To-Site
Site-To-Site
Internetanbindung
Client und Server im privaten und geschäftlichen Bereich; in mehreren Untersuchungen in 2017 wurden Schwachstellen gefunden und beseitigt
StrongSwan 🇬🇧
LibreSwan 🇬🇧
IPsec Site-To-Site Server im geschäftlichen Bereich
SoftEther 🇬🇧 OpenVPN, IPsec, SSTP, Ethernet over HTTPS, VPN over ICMP, VPN over DNS, EtherIP End-To-Site
Site-To-Site
Client und Server in gemischten Umgebungen (Windows) und Netze mit sehr eingeschränktem Zugriff
vpnc IPsec End-To-Site Client im geschäftlichen Bereich

Intern

Extern

Diese Revision wurde am 26. August 2018 00:20 von rolands11 erstellt.
Die folgenden Schlagworte wurden dem Artikel zugewiesen: Übersicht, Sicherheit, Netzwerk, Server, Kommunikation, Internet