ComputerClub 2
Sitemap Kontakt
  Wolfgang Back & Wolfgang Rudolph
Suche:   Wolfgang Back & Wolfgang Rudolph
  Aktuelle Sendung
  Sendungsarchiv


TV-SENDUNGEN

21.08.2008
Folge 22

Hamachi, Teamviewer & Co

Sichere Verbindung über das Internet
Der Tunnel durchs Netz

hiz – Das Internet ist bekannt dafür, dass es sich nicht zur Übermittlung vertraulicher Daten eignet. Der Einsatz so genannter VPNs (Virtual Private Networks) erlaubt jedoch auch das unsichere Word Wide Web für hoch sensible Firmendaten nutzen.

Die zunehmende Verbreitung schneller DSL Anschlüsse hat in vielen IT-Abteilungen Überlegungen ausgelöst, diese kostengünstigen Verbindungen in den eigenen Workflow zu integrieren. Dadurch können in vielen Fällen die hohen Kosten, die sonst für Standleitungen oder Wählverbindungen anfallen, gesenkt werden. Da die Architektur des Internet bekanntermaßen nicht für sicheren Datentransfer konzipiert ist, greifen die Ingenieure zu technischen Tricks, um die öffentlichen Leitungen trotzdem für sensible Daten nutzen zu können.

Die Anforderungen an solche virtuellen privaten Netze sind hoch. Zum einen müssen die Daten, durch den Einsatz von Verschlüsselung, geschützt werden. Zum anderen sollte die Verbindung für den Anwender transparent sein. „Bei einer Standleitung gibt es einen Vertragspartner und damit eine gewisse Sicherheit, dass die Daten entsprechend vertraulich behandelt werden“, erklärt John von Simson Chef der Sicherheitsberatung BDG GmbH aus Köln, “im Internet allerdings habe ich keinen Einfluss darauf, über welche Netze und Knoten die Daten laufen.“  Basis für die Sicherheit von VPN Verbindungen ist die Verschlüsselung der Datenpakete, in der Netzkommunikation IP-Pakete genannt. Mit wechselnden Schlüsseln kodiert werden diese wiederum in IP-Datenpakete verpackt und über das Internet verschickt. Selbst wenn einige diese Pakete abgefangen werden, Repräsentieren sie immer nur ein Teil der des eigentlichen Datenstroms und die Zeit für die Entschlüsselung würde die Lebensdauer eines Schlüssels überschreiten. So unterstreicht denn auch Sicherheitsexperte Simson: „Ich gehe davon aus, dass man den Transfer anzapfen könnte, es aber nicht lesen kann.“

Für VPN Verbindungen werden üblicherweise bei jedem Teilnehmer Geräte installiert, die auf der einen Seite, zum Beispiel über DSL, mit dem Internet verbunden werden. Auf der anderen Seite wir der Rechner oder ein lokales Netzwerk angeschlossen. Solche Endgeräte werden von Netscreen, Checkpoint, Cybergard und anderen angeboten. Damit auch Systeme unterschiedlicher Hersteller miteinander kommunizieren können, wird die Art der Verschlüsselung für die jeweilige Verbindung über den IPSEC (Internet Protocol Security) Standard ausgetauscht, ohne dass der Anwender eingreifen muss, für ihn ist die Verbindung transparent.

In den VPN-Endgeräten sind zusätzlich Firewalls integriert, die Angriffe von Hackern sollen, denn neben der eigentlichen VPN-Verbindung, kann über den gleichen Anschluss im Internet gesurft werden. Da im Krieg Hacker gegen Sicherheitsexperten auf beiden Seiten immer weiter aufgerüstet wird, empfehlen die Spezialisten, das VPN-Geräte regelmäßig administriert werden und in das Sicherheitskonzept des Unternehmens eingebunden werden. „Alles fängt mit einer Security Policy an, die viele Unternehmen leider nicht haben“ beklagt Simson den Leichtsinn vieler Unternehmen.

VPN ist keine universelle Wunderwaffe für den Datentransfer. Sicherheitsmanager Thorsten Otten beschreibt den sinnvollen Einsatz: „VPN lohnt sich vor allem dann, wenn eine Firmenstruktur verteilt über mehrere Standorte, die womöglich noch weit verteilt liegen.“ Darunter fallen nach Ansicht der Spezialisten Außenstellen mit kleineren Datenvolumina aber auch Heimarbeitsplätze, die so die Vorteile des schnellen Datentransfers via DSL zu günstigen Kosten mit der Sicherheit des VPN kombinieren. Bei Standorten, bei denen hohen Datenmengen anfallen und bei denen es auf hohe Ausfallsicherheit der Leitungen ankommt, ist nach wie vor eine Standleitung vorteilhafter, weil hier schon in der Planung entsprechende Ausfallsicherheits- und Backup-Szenarien geplant werden können.

Virtual Private Network
(aus Wikipedia, der freien Enzyklopädie)

Virtual Private Network (dt. virtuelles privates Netz; kurz VPN) ist ein Softwareprodukt und dient der Einbindung von Geräten eines benachbarten Netzes an das eigene Netz, ohne dass die Netzwerke zueinander kompatibel sein müssen.

Das Netz, in das diese Geräte eingebunden werden, wird im Folgenden zugeordnetes Netz genannt. Das kann ein physisches Netz sein, an das sich dafür berechtigte externe Geräte (VPN-Partner) über ein spezielles Gateway (VPN-Einwahlknoten) binden können (Site-to-End-VPN). Die VPN-Partner werden dadurch zum Bestandteil des zugeordneten Netzes und sind nun von dort aus direkt adressierbar – praktisch so, als befänden sie sich mittendrin (dank dieser Illusion spricht man bezüglich der VPN-Partner von einem virtuellen Netz). Der Einwahlknoten kann auch auf ein rein virtuelles Netz zeigen, welches lediglich aus weiteren VPN-Partnern besteht (End-to-End-VPN). Daneben besteht die Möglichkeit, zwei zueinander kompatible Netzwerke, die an dem benachbarten Netz angrenzen, miteinander zu verbinden (Site-to-Site-VPN), wobei auch hier das dazwischen liegende benachbarte Netz von einer vollkommen anderen Art sein kann.

VPN bildet dabei ein logisches Teilnetz, welches über das benachbarte Netz gelegt wird und die dort üblichen Adressierungsmechanismen nutzt, datentechnisch aber eigene Netzwerkpakete transportiert und so vom Rest dieses Netzes abgekapselt arbeitet. Es ermöglicht die Kommunikation der darin befindlichen VPN-Partner mit dem zugeordneten Netz, basiert auf einer Tunneltechnik, ist individuell konfigurierbar, kundenspezifisch und in sich geschlossen (daher „privat“).

Eine Schnittstelle vorausgesetzt, die eine Kommunikation der VPN-Partner mit dem jeweils angrenzenden Netz bis hin zum VPN-Einwahlknoten erlaubt, funktioniert VPN auch über mehr als zwei Netzwerke hinweg.

Ursprung
Ihrem Ursprung nach bilden VPNs innerhalb eines öffentlichen Wählnetzes virtuelle Teilnetze, wie Netze der Sprachkommunikation, X.25, Frame Relay oder ISDN. Heute wird VPN alltagssprachlich gebraucht, um ein (meist verschlüsseltes) virtuelles Netz zu bezeichnen, welches über ein TCP/IP-Netz gelegt wird, oft mit Bezug auf das öffentliche Internet als benachbartes Netz. Im Folgenden wird von diesem sprachgebräuchlichen (IP-)VPN ausgegangen.


Funktionsweise
Für die Kommunikation des zugeordneten Netzes mit einem seiner VPN-Partner werden am VPN-Gateway die ursprünglichen Netzwerkpakete in ein VPN-Protokoll gepackt. Daher spricht man bei VPN vom Tunnel.

Dann gilt es, die verfügbaren Wege des benachbarten Netzes, in dem sich der VPN-Partner befindet, zu nutzen, um die Pakete zum Kommunikationspartner zu übertragen. Der Trick besteht darin, dass sich die VPN-Pakete unabhängig von ihrem Inhalt separat adressieren lassen. Dank dieser sekundären Adressierung lässt sich das Paket in einer zum Fremdnetz kompatiblen Form auf den Weg bringen.

Auf dem VPN-Partner läuft eine VPN-Client-Software, die dort die Beschaffenheit des zugeordneten Netzes virtuell nachbildet (siehe VPN-Adapter). Sie nimmt die Pakete in Empfang und packt sie aus. Dadurch kommen wieder die ursprünglichen Pakete aus dem zugeordneten Netz samt primärer Adressierung zum Vorschein und können entsprechend behandelt werden.

Die Kommunikation des VPN-Partners mit dem zugeordneten Netz funktioniert genau anders herum: Die VPN-Client-Software packt die Pakete in ein VPN-Protokoll und schickt diese zum VPN-Gateway, welches die Pakete auspackt und in das zugeordnete Netz zum tatsächlichen Kommunikationspartner leitet.

VPN funktioniert deshalb weitgehend unabhängig von der physikalischen Topologie und den verwendeten Netzwerkprotokollen auch zwischen zwei vollkommen unterschiedlichen Netzwerken. Denn das benachbarte Netz dient lediglich als Transportmittel bei der Kommunikation mit den eingebundenen Geräten. Da die tatsächlichen Netzwerkpakete in dem VPN-Protokoll verpackt sind, müssen sie nur von den VPN-Partnern, nicht aber von den Netzwerkkomponenten des benachbarten Netzes verstanden werden.

Gegenüber anderen Tunnelarten eines TCP/IP-Netzes zeichnet sich der VPN-Tunnel dadurch aus, dass er unabhängig von höheren Protokollen (http, ftp, etc.) sämtliche Netzwerkpakete weiterleitet. Auf diese Weise ist es möglich, den Datenverkehr zweier Netzkomponenten praktisch uneingeschränkt durch ein anderes Netz zu transportieren, weshalb sogar komplette Netzwerke über VPN miteinander verbunden werden können.

Abhängig vom verwendeten VPN-Protokoll lassen sich die Netzwerkpakete zudem verschlüsseln. Da die Verbindung dadurch abhör- und manipulationssicher wird, kann eine Verbindung zum VPN-Partner durch ein unsicheres Netz hindurch aufgebaut werden, ohne dabei ein erhöhtes Sicherheitsrisiko einzugehen. Alternativ dazu lassen sich über VPN auch ungesicherte Klartextverbindungen aufbauen.


Anwendungsmöglichkeiten
Über VPN können lokale Netze mehrerer Geschäftsstellen über das Internet auf eine sichere Art miteinander verbunden werden (eine so genannte Site-to-Site-Verbindung).
Der Computer eines Mitarbeiters kann über VPN von zuhause aus einen gesicherten Zugriff auf das Firmennetz erlangen. Dazu baut er eine Verbindung zum Internet auf, indem er sich bei einem beliebigen Internetprovider einwählt. Dann startet er eine VPN-Software (den VPN-Client, der die Beschaffenheit des Firmennetzes auf dem lokalen Computer virtuell nachbildet). Diese baut über das Internet eine Verbindung zum VPN-Einwahlknoten der Firma auf. Nach der Authentifizierung hat der Mitarbeiter Zugriff auf das Firmennetz - gerade so, als säße er mittendrin. Diese Verbindungsart wird Site-to-End genannt. Das Verfahren wird auch verwendet, um WLAN und andere Funkstrecken zu sichern.
Es ist auch möglich, dass sich der Computer des Mitarbeiters per VPN nicht in ein entferntes physikalisches Firmennetz hängt, sondern direkt an einen Server bindet. VPN dient hier dem gesicherten Zugriff auf den Server. Diese Verbindungsart wird End-to-End genannt. Auf diese Weise ist es auch möglich, ein virtuelles (logisch - jedoch nicht physisch - abgekapseltes) Netz aufzubauen, welches lediglich aus weiteren VPN-Partnern besteht, die sich ebenfalls mit dem Server verbunden haben. Wobei die VPN-Partner nun gesichert miteinander kommunizieren können.
FreeS/WAN, sowie dessen Nachfolger Openswan und strongSwan, bietet noch die Möglichkeit der so genannten „opportunistic encryption“: Es wird zu jedem Computer, mit dem der eigene Computer Daten austauscht, ein Tunnel aufgebaut, wenn dieser einen Schlüssel per DNS bereitstellt.
Es besteht auch die Möglichkeit, dass sich zwei Server über VPN miteinander unterhalten können, ohne dass die Kommunikation durch dritte eingesehen werden kann (das entspricht einer End-to-End-Verbindung, welche für einen solchen Fall mitunter auch Host-to-Host genannt wird).
Ähnlich wie bei der Einwahl eines Home-PCs in ein Firmennetz, können sich auch beliebige Clients aus dem Firmennetz in ein separates, speziell gesichertes Netz innerhalb der Firma per VPN einwählen. Ein privates (datentechnisch abgekapseltes) Netz innerhalb des Firmennetzes also, bei dem die Clients bis zum VPN-Einwahlknoten dieselbe physikalische Leitung verwenden, wie alle anderen Clients des Netzes auch. Mit dem Unterschied, dass sämtliche VPN-Netzpakete bis zum Einwahlknoten verschlüsselt übertragen werden können.

Sicherheit
Durch die Verwendung von Passwörtern, öffentlichen Schlüsseln oder durch ein digitales Zertifikat kann die Authentifizierung der VPN-Endpunkte gewährleistet werden.


Implementierungen
VPNs setzen auf folgenden zugrunde liegenden Protokollen auf:

IPsec eignet sich sowohl für Site-to-Site-VPNs als auch für End-to-Site-VPNs.
TLS/SSL werden hauptsächlich für End-to-Site-VPNs eingesetzt.
ViPNet eignet sich besonders für End-to-End VPNs, erlaubt aber auch End-to-Site- und Site-to-Site-VPNs.
PPTP und L2TP (Layer 2 VPN Protokolle)
PPPD (PPP-Dämon) und SSH in Kombination kann den gesamten IP-Verkehr durch einen Tunnel leiten. Die Lösung ist ähnlich dem PPTP ohne dessen Sicherheitsprobleme.
Viele moderne Betriebssysteme enthalten Komponenten, mit deren Hilfe ein VPN aufgebaut werden kann. Linux enthält seit Kernel 2.6 eine IPSec-Implementierung, ältere Kernel benötigen das KLIPS-IPSec-Kernelmodul, das von Openswan und strongSwan zur Verfügung gestellt wird. Auch BSD, Cisco IOS, Mac OS X und Windows sind IPSec-fähig.

Die virtuelle Netzwerkkarte einer VPN-Sitzung
Die Tunnelsoftware des Clients sorgt in der Regel dafür, dass der Client nur noch die Kommunikationspartner des VPN-Netzes, nicht aber die übrigen Computer seines ursprünglichen Netzes erreicht. In diesem Modus können die Computer aus dem ursprünglichen Netz des Clients auch keine Verbindung mehr zu einem seiner (möglichen) Netzwerkdienste aufbauen. Das wird mithilfe einer systeminternen virtuellen Netzwerkkarte erreicht. Sie wird von der VPN-Client-Software bei der Erstellung einer Sitzung angelegt und im Folgenden VPN-Adapter genannt.

Der VPN-Adapter ist lokal adressierbar, kann aber nicht vom Netz aus angesprochen werden. In dem beschriebenen Modus können sämtliche Programme dieses Computers per Systemroute ihre Netzwerkpakete nur noch an den VPN-Adapter schicken. Alle dort eingehenden Pakete werden nun automatisch von der Tunnelsoftware in Empfang genommen.

Der VPN-Adapter erhält dieselbe IP-Adresse, welche der Sitzung auf dem VPN-Gateway zugewiesen wurde. Zum einen wird dadurch dem Client die Möglichkeit gegeben, über Standardmethoden die gerade aktuelle eigene IP-Adresse innerhalb des VPN-Netzes zu erfragen. Zum anderen erhalten auch alle darüber verschickten Netzwerkpakete bereits hier eine für das VPN-Netz gültige Absenderadresse.

Die an den VPN-Adapter eingehenden Pakete werden von der Tunnelsoftware nun ggf. verschlüsselt und in das separat adressierbare VPN-Protokoll verpackt (genau genommen ist es das IP-Protokoll, welches dem VPN-Protokoll als Transportmittel dient und die Adressierung realisiert). Der Original-Header wird in der Regel durch einen „Encryption Protocol Header“ ersetzt, wodurch man selbst aus dem Header nun keinerlei Informationen der Originalpakete mehr erhält.

Die Pakete werden nun über den physikalischen Adapter des Clients zum Tunnelpartner ins Netz geschickt. Auf diese Weise erhalten sie die reale Absenderadresse der Netzwerkkarte des Clients und nicht die des VPN-Adapters. Nur so können die Antwortpakete adressierungstechnisch auch wieder zum Client gelangen.

Erst wenn das VPN-Gateway auf der Gegenseite die ursprünglichen Pakete aus dem VPN-Protokoll extrahiert hat, kommen auch wieder ihre ursprünglichen (VPN-) Adressen zum Vorschein (Zielsystem=Computer aus dem Netz hinter dem VPN-Gateway und Absender=Adresse des VPN-Adapters). Es liegt nun an dem VPN-Gateway die an den VPN-Adapter adressierten Antwortpakete des Zielsystems abzufangen, in das VPN-Protokoll zu packen und die VPN-Pakete wieder an die physikalisch vorhandene Netzwerkadresse (auf dem Port der Tunnelsoftware) zurückzuschicken, damit sie den Client erreichen können.

Stellt der Client einen Netzwerkdienst innerhalb des VPNs bereit, so muss sich der Dienst an den virtuellen VPN-Adapter binden.


SSL VPN
(aus Wikipedia, der freien Enzyklopädie)

Als SSL VPN bezeichnet man Systeme, die den Transport privater Daten über öffentliche Netzwerke ermöglichen (siehe Virtual Private Network) und als Verschlüsselungsprotokoll TLS/SSL verwenden.

Anwendungen
Prinzipiell ist SSL als Verschlüsselungsprotokoll für VPN sowohl für Site-to-Site- als auch End-to-Site-VPNs geeignet. In den 1990er-Jahren gab es Systeme, die SSL als Sicherungsschicht für Site-to-Site-VPNs einsetzten. Mit der Entwicklung von IPsec und der zunehmenden Vernetzung über Organisationsgrenzen hinaus hat das standardisierte, interoperable IPsec aber Lösungen auf Basis von SSL für diesen Zweck nahezu vollständig verdrängt. Für die Vernetzung mehrerer Standorte untereinander hat SSL VPN keine praktische Bedeutung mehr.

Der Schwerpunkt liegt heute auf der Bereitstellung des Netzwerk- und Applikationszugriffs für mobile Anwender.


Typen
Alle heute üblichen SSL-VPN-Systeme verwenden den TCP-Port 443 (HTTPS) für die Datenübertragung. Dies hat gegenüber IPSec und anderen VPN-Technologien den Vorteil, mit Network Address Translation ohne weiteres kompatibel zu sein und oft auch durch Proxies und Firewalls von Unternehmen hindurch den Zugriff zu ermöglichen. Neben der daraus folgenden Benutzbarkeit auch in fremden Organisationen (bei IPsec-VPN aufgrund der üblichen Firewallkonfigurationen in der Regel ausgeschlossen) ist bei einer Reihe von SSL VPNs die Benutzung vieler Funktionen auch ohne vorangehende Installation einer Client-Software möglich.

Im wesentlichen gibt es heute drei unterschiedliche Typen von SSL VPNs:

SSL-VPN-Systeme, die nur den Zugriff auf Webanwendungen mit einem Webbrowser ermöglichen, aber keine Anwendungen bereitstellen können, die die Übertragung von Netzwerkprotokollen erfordern. Diese SSL VPNs erfordern keine Client-Installation. Der Namensbestandteil „VPN“ für diese Systeme ist umstritten, aber im Markt üblich.

SSL-VPN-Systeme, die ähnlich wie andere VPN-Technologien (IPsec, L2TP, PPTP) arbeiten, aber SSL zur Datenübertragung bieten. Bei dieser Variante (Beispiele: "Network Connect" von Juniper Networks, WebVPN von Cisco, "Network Connector" in Microsoft IAG 2007, "Vigor-Router" von DrayTek) werden komplette IP-Pakete eingekapselt, wodurch sich die Verbindung mit dem SSL-VPN-Client aus Benutzersicht genauso verhält, wie dies bei einem IPsec-Tunnel der Fall wäre. Der Benutzer kann also lokale Anwendungen auf seinem PC verwenden, und durch den SSL-Tunnel auf Firmen-Server zugreifen (z.B. zur Software-Verteilung, DFS).

SSL-VPN-Systeme, die sowohl den Zugriff auf Webanwendungen als auch einen Netzwerkzugriff auf das private Netzwerk ermöglichen. Bei diesen Systemen sind oft Komponenten vorhanden, die das Tunneln einzelner Kommunikationsbeziehungen ermöglichen (z.B. Outlook-Zugriff auf Exchange-Server), ohne dabei einen IP-Tunnel herstellen zu müssen (Beispiel: "Socket Forwarder" in Microsoft IAG 2007).
Mischformen sind üblich. Eine einheitliche Nomenklatur für die Trennung der unterschiedlichen Typen hat sich im Markt bisher nicht durchgesetzt. Üblich ist die Bezeichnung allerdings für alle VPN-Systeme, die SSL/TLS als Verschlüsselungsprotokoll einsetzen und TCP-Port 443 (HTTPS) zur Datenübertragung verwenden.

Für die meisten SSL VPNs gilt, dass eine Sitzung über eine Anmeldung auf eine Webseite gestartet wird. Auch das Starten von Nicht-Web-Applikationen geschieht in der Regel über diese Webseite (Portal). Dies gilt jedoch nicht für SSL VPNs, die sich von klassischen VPNs nur durch das Übertragungsprotokoll unterscheiden; diese verwenden in der Regel einen Client, der installiert werden muss und über dessen Aufruf auch die Anmeldung am VPN erfolgt.


Technik
Zur Bereitstellung von Web-Applikationen in solchen SSL-VPN-Systemen, die einen clientlosen Zugriff ermöglichen, wird eine Übersetzung der URL-Namensräume der bereitgestellten Applikationen und Server in einen einzigen URL-Namensraum durchgeführt, so dass der Zugriff auf diese Web-Applikationen über einen einzigen Hostnamen erfolgt. Insbesondere kann auf diese Weise eine zentrale Authentisierung, Autorisierung und Content Inspection für den Zugriff realisiert werden.

Für die Bereitstellung von netzwerkbasierten Client-Server-Systemen verwenden SSL VPNs unterschiedliche Techniken:

die Bereitstellung der Anwendung unter ihrer tatsächlichen Netzwerkadresse (wie IPSec), zum Beispiel durch einen virtuellen Netzwerkadapter oder Layered Service Provider (Windows)

die Bereitstellung der Anwendung unter einer Loopback-Netzwerkadresse des Clients. Häufig wird zur Umlenkung von Client-Applikationen der DNS-Name durch eine temporäre Anpassung der Hosts-Tabelle des Client-Systems auf diese Adresse umgelenkt oder ein Name Service Provider (Windows) registriert.

die Bereitstellung eines lokalen SOCKS-Servers (auf einer Loopback-Netzwerkadresse) und Übertragung der Netzwerkinformationen innerhalb des SSL-Tunnels

Die client-seitigen Komponenten sind in der Regel als ActiveX- oder Java-Komponenten ausgeführt.

Sicherheit
Wie für andere VPN-Technologien existieren auch bei SSL VPNs typische Sicherheitsrisiken. Der Hauptvorteil von SSL VPN gegenüber anderen VPN-Lösungen ist bei vielen Systemen die Möglichkeit, einen beliebigen Webbrowser in einem beliebigen Netzwerk als Client einzusetzen.


Authentifizierung  [Bearbeiten]Zur Authentifizierung werden bei SSL VPNs in der Regel bestehende Benutzerverzeichnisse verwendet. Typische von SSL VPNs unterstützte Authentisierungsdienste sind LDAP-Verzeichnisdienste, RADIUS, TACACS+, Zwei-Faktor-Authentisierungssysteme wie SecurID sowie die Verwendung von Zertifikaten. Einzelne SSL-VPN-Lösungen sind in der Lage, während der Anmeldung mehrere Authentisierungsdienste gleichzeitig zu nutzen. Dies kann insbesondere im Zusammenhang mit Single Sign On für die bereitgestellten Applikationen von Interesse oder für Zwei-Faktor-Authentifizierung (2FA), wenn ein Faktor das Netzwerkkennwort des Anwenders und der zweite Faktor ein Tokencode ist. Nicht alle SSL-VPN-Lösungen verfügen über eine eigene Benutzerverwaltung.


Autorisierung
Zur Autorisierung ist bei SSL VPNs die Nutzung von Gruppenzuordnungen des Benutzers in einem LDAP-Verzeichnisdienst, einem 2FA-Dienst oder RADIUS üblich. Nicht alle SSL-VPN-Lösungen verfügen über eine eigene Gruppenverwaltung.


Client-Sicherheit
Die Nutzung eines beliebigen Webbrowsers (und damit eines beliebigen, insbesondere nicht unternehmenseigenen Computers) als Client begründet jedoch auch besondere Sicherheitsrisiken, etwa
das Hinterlassen von vertraulichen Informationen im Cache des Webbrowsers (Zugangsdaten, Dokumente, ...)

das Heraufladen von Malware in bereitgestellte Webapplikationen (z. B. Webmail)

das Ausspähen von Zugangsdaten (z. B. Passworte)

die unberechtigte Nutzung nicht geschlossener Sitzungen (etwa über den „Zurück“-Button des Browsers)

die Übertragung von Angriffen auf die bereitgestellten Applikationen (etwa bei Zugriff von einem wurm-infizierten PC)

die Ausführung von XSS-Angriffen (siehe Beitrag von Michael Zalewski auf Full-Disclosure) gegen bereitgestellte Webapplikationen auf dem Client unter der Voraussetzung, dass es dem Angreifer gelingt, speziell präparierte Inhalte in einer bereitgestellten Webapplikation zu veröffentlichen (z. B. durch den Versand und das Öffnen einer entsprechenden E-Mail-Nachricht über Webmail) durch die Verwässerung des DNS-Namen-basierten Scripting-Sicherheitsmodells in Browsern (bei SSL VPNs, die eine Übersetzung der URL-Namensräume der Anwendungsserver in einen einzigen externen Hostnamen vornehmen)

Manche SSL-VPN-Systeme adressieren diese Probleme durch

clientseitige Komponenten, die etwa das Vorhandensein eines Virenscanners oder einer Personal Firewall überprüfen.

clientseitige Komponenten, die eine virtualisierte, eingeschränkte und vertrauenswürdige Desktopumgebung zur Arbeit mit dem per SSL VPN verbundenen Netzwerk bereitstellen sollen


die Integration eines Intrusion Prevention Systems

Vorkehrungen, um XSS-Angriffe zu erschweren, etwa in Form einer eigenen Content Inspection-Engine, einer Verschlüsselung der URL-Übersetzung, Pfadbeschränkungen bei übersetzten Cookies, oder der Auswertung des Referrer-Headers.

Server-Sicherheit
Neben den clientseitigen Sicherheitsrisiken können innerhalb des VPNs auch Angriffe, etwa durch Malware übertragen werden. Einige SSL-VPN-Systeme integrieren auf dem SSL-VPN-Gateway Content-Inspection-Fähigkeiten zur Untersuchung der übertragenen Anfragen und Inhalte.

In SSL-VPN-Systemen, die auch den Zugriff auf netzwerkbasierte (Nicht-Web-) Anwendungen bereitstellen, ist außerdem die Integration von Paketfiltern innerhalb des VPNs üblich. In der Regel wird im Gegensatz zu typischen anderen VPN-Implementationen aber das Paketfilter-Regelwerk auch auf dem Client durchgesetzt.
OpenVPN
(aus Wikipedia, der freien Enzyklopädie)


OpenVPN (http://www.openvpn.net/) ist freie Software unter der GNU GPL und unterstützt die Betriebssysteme Linux, Solaris, OpenBSD, FreeBSD, NetBSD, Mac OS X und Windows 2000/XP/Vista.

Hintergrund
Oftmals besteht der Bedarf, eine sichere, von Dritten nicht lesbare Kommunikation über ein unsicheres Netzwerk durchzuführen. Ein solches unsicheres Netz ist etwa das Internet oder auch ein lokales nicht verschlüsseltes Wireless LAN. Dabei geht es um zwei Aspekte: eine hinreichende Verschlüsselung der Kommunikationsinhalte und eine Authentifizierung der beteiligten Kommunikationspartner.

Diese Sicherheitseigenschaften können durch geeignete Protokolle (z. B. SSH, HTTPS, SFTP) von jeder Anwendung selber bereitgestellt werden. Alternativ kann diese Sicherheit auch von einer zentralen Stelle aus wünschenswert sein, also unabhängig von den einzelnen Anwendungen. Die Vorteile dieses zentralen Ansatzes liegen in der nur einmaligen Implementierung der Sicherheitsfunktionen, dem geringeren Wartungsaufwand und der Möglichkeit, Datenkommunikation von Dritthersteller-Software einzubinden, auf deren Sicherheitsfunktionen man häufig keinen Einfluss hat.

Eine solche, zentral bereitgestellte Sicherung der Datenkommunikation ist ein Virtual Private Network (VPN); OpenVPN ist eine von vielen Implementierungen eines VPNs.


Funktionsweise
Kommunikationspartner können einzelne Computer sein oder ein Netzwerk von Computern. Typische Anwendungsfälle sind die Verbindung einzelner Außendienstmitarbeiter in das Netzwerk ihrer Firma, die Verbindung einer Filiale mit dem Rechenzentrum oder die Verbindung örtlich verteilter Server oder Rechenzentren untereinander. In jedem Fall baut einer der beiden Kommunikationsteilnehmer die Verbindung auf (Client) und der andere wartet auf eingehende Verbindungen (Server). Dazu muss der Server unter einer festen IP-Adresse oder unter einem festen Hostnamen erreichbar sein. Dies kann für Computer, die aufgrund von Einwählverbindungen mit ständig wechselnden IP-Adressen konfrontiert sind, auch mit Hilfe eines dynamischen DNS-Dienstes erfolgen.

Befindet sich vor dem VPN-Gateway ein Paketfilter oder Proxy, oder wird NAT durchgeführt, so müssen diese Dienste so konfiguriert werden, dass ein in der Konfiguration von OpenVPN zu vergebender UDP- oder TCP-Port (zumeist ab 5000 aufwärts, Standard in OpenVPN 2.0 ist 1194/UDP) durchgelassen wird (Input, Forward und Output).

OpenVPN kennt zwei Betriebsmodi: Routing und Bridging.


Routing
Der Routing-Modus ist die einfachste Form der sicheren Kommunikation und stellt einen verschlüsselten Tunnel zwischen zwei Gegenstellen her, über den ausschließlich IP-Pakete geleitet werden (Layer 3). Dazu wird jeder Gegenstelle eine virtuelle IP-Adresse eines fiktiven Subnetz zugewiesen (z. B. 10.8.0.1 und 10.8.0.2).

Der Zugriff auf das dahinter liegende Netzwerk ist grundsätzlich nicht direkt möglich (Point-to-Point Verbindung). Um die dortigen Adressen zu erreichen, muss die Gegenstelle die Datenpakete mittels IP-Forwarding und Einträgen in der Routingtabelle weitervermitteln.


Bridging
Im Gegensatz zum Routing ist im Bridging-Modus ein vollständiges Tunneln von Ethernet-Frames (Layer 2) möglich. Es erlaubt somit beispielsweise auch den Einsatz von alternativen Protokollen wie IPX und das Senden von Wake On LAN-Paketen.

Ein Client integriert sich völlig transparent in das Einwahlnetz und erhält eine IP-Adresse des dortigen Subnetzes zugewiesen, so dass auch Broadcasts weitergeleitet werden. Letzteres ist insbesondere für die automatische Windows-Namensauflösung des SMB-Protokolls nötig.

Um sich in das vorhandene Subnetz einklinken zu können, muss die von OpenVPN verwendete virtuelle Netzwerkkarte ("tap-Device") über eine Netzwerkbrücke mit dem tatsächlichen Netzwerk verbunden werden.

Bridging ist etwas ineffizienter als Routing (schlechter skalierbar) und ist anfällig für IP-Adresskonflikte. Außerdem ist eine Beschränkung des Clientzugriffs schwieriger zu bewerkstelligen als beim Routing.


Authentifikation
Zur Authentifikation stellt OpenVPN mehrere Methoden zur Verfügung:


Pre-shared Key
Bei Austausch eines „pre-shared key“ (ein statischer Schlüssel/Passwort) werden die Daten mit diesem ver- und entschlüsselt. Das Verfahren ist einfach anzuwenden. Es besteht jedoch der Nachteil, dass der Schlüssel nicht abhanden kommen bzw. kompromittiert werden darf. In diesem Fall muss ein neuer Schlüssel an alle Kommunikationspartner verteilt werden. Daher sollte man einen „vertrauenswürdigen“ Installationsort (z. B. PGP-Disk Container) wählen, damit der Schutz der Schlüssel garantiert ist. Der Schlüssel kann über ein automatisiertes Verfahren durch eine laufende Verbindung hindurch ausgetauscht werden.


Username/Password  [Bearbeiten]Über einen individuellen Benutzernamen und ein Passwort wird der Zugang zu dem Netz beschränkt. Dies ist allerdings anfälliger für Man-in-the-middle-Angriffe.


Zertifikatsbasiert
Bei der Anwendung einer zertifikatbasierten Authentifizierung über das TLS-Protokoll werden private/öffentliche Schlüsselpaare beziehungsweise X.509 Zertifikate verwendet.

Der Server und die jeweiligen Nutzer besitzen je ein eigenes Zertifikat (öffentlich/privat). Der OpenVPN-Server lässt nur Verbindungen zu, die von einer ihm bekannten Zertifizierungsstelle signiert wurden. OpenVPN enthält Skripte, die die einfache Zertifikatserstellung ohne weitere Vorkenntnisse ermöglichen (easy-rsa).

Um eine Verbindung aufzubauen, schickt der Client Daten an den Server (SSL-Version und zufällige Daten). Der Server schickt die gleichen Daten und sein Zertifikat zurück. Der Client autorisiert das Zertifikat. Bei beidseitiger Authentifizierung schickt der Client auch sein Zertifikat an den Server. Hat die Überprüfung geklappt, erstellt der Client das „pre-master secret“ und verschlüsselt dies mit dem öffentlichen Schlüssel des Servers. Der Server entschlüsselt die Daten mit seinem privaten Schlüssel und erstellt das „master-secret“. Mit diesem werden Session-Keys erstellt. Das sind einmalige Schlüssel, mit denen die Daten ver- und entschlüsselt werden. Der Client teilt dem Server mit, dass ab nun alle Daten mit dem Session-Key verschlüsselt werden. Der Server bestätigt dies, der Tunnel ist aufgebaut. Nach einer gewissen Zeitspanne ersetzt OpenVPN den Session-Key automatisch.

Die zertifikatbasierte Authentifizierung gilt als die sicherste Form der Anmeldung. Um die Sicherheit zu erhöhen, empfiehlt es sich, die Zertifikate auf einer Smartcard auszulagern. OpenVPN unterstützt alle Karten, auf die mittels Windows Crypto-API oder PKCS #11 zugriffen werden kann.


zurück zum Archiv
Ansehen:

MP4 H.264 Codec (~200 MB)
AVI Xvid Codec (~200 MB)
RSS Feed (Video-Podcast, letzte 5 Sendungen)
RSS Feed (Video-Podcast, alle Sendungen)

CCZwei auf YouTube

YouTube-Kanal (Hauptadresse)
YouTube Filetstücke Archiv 1 (4:3)
YouTube Filetstücke Archiv 2 (16:9)
YouTube Filetstücke Archiv 3 (16:9)

Druckversion Impressum Haftungsausschluss