Virtual Private Networks. Theoretische Grundlagen und Erstellung eines VPN-Servers

Technische Rahmenbedingungen, Sicherheit und Umsetzung in der Praxis


Hausarbeit, 2020

66 Seiten, Note: 2,0


Leseprobe

Inhaltsverzeichnis

ANMERKUNG

INHALTSVERZEICHNIS

ABBILDUNGSVERZEICHNIS

EINLEITUNG

1 VIRTUAL PRIVATE NETWORKS
1.1 ALLGEMEINE BELEUCHTUNG
1.2 TECHNISCHE FUNKTIONSWEISE
1.3 EINSATZMÖGLICHKEITEN UND VERSCHIEDENE VARIANTEN
1.3.1 Verschiedene Varianten
1.3.2 Einsatzmöglichkeiten

2 SICHERHEIT
2.1 SICHERHEITSEINSTUFUNG
2.2 DATEN-LEAKS
2.2.1 Entschlüsselung
2.2.2 Fehlgeleitete Verbindung
2.3 SONSTIGE GEFAHREN UND EINSCHRÄNKUNGEN

3 NACHWEISMÖGLICHKEITEN

4 ANONYMITÄT

5 ERSTELLUNG EINES VPN-SERVERS
5.1 GEPLANTE HERANGEHENSWEISE
5.2 ERSTELLUNG DES NETZWERKS AUF DEM RASPBERRY PI
5.3 VERBINDUNGSAUFBAU ÜBER DAS SYNOLOGY-VPN
5.4 NETZWERKTEST UND NACHWEIS

6 SCHLUSSWORT

QUELLENVERZEICHNIS

INTERNETQUELLEN

LITERATURQUELLEN

ABBILDUNGSQUELLEN

ANHANG I: ABBILDUNGEN

ANHANG II: NETZWERK-LOGS

Anmerkung zu den Quellenangaben:

Da die vorliegende Studienarbeit im Zeitraum der sog. Corona-Krise verfasst wurde, in welcher die umliegenden Bibliotheken zeitweise geschlossen waren, konnte die Literaturrecherche überwiegend nur auf Internetquellen, einzelne Printmedien oder solche Literatur, welche online erwerbbar war, gestützt wer-den.

Anmerkung zum Abgabeverzeichnis:

Zum Zeitpunkt der Abgabe wurden alle in der vorliegenden Arbeit erstellten VPN-Verbindungen zum Netzwerkschutz bei Veröffentlichung wieder deaktiviert oder über gesonderte DynDNS-Dienste geleitet. Im Abgabeverzeichnis sind die Konfigurationsdateien und Netzwerk-Logs beigefügt.

Abbildungsverzeichnis

Abb. 1 - schematische Darstellung eines privaten VPN-Aufbaus

Abb. 2 - IPSec Verbindungsaufbau Main-Mode

Abb. 3 - Oberfläche des Raspbian OS auf dem Raspberry Pi 4B

Abb. 4 - Raspberry Pi Software Configuration Tool

Abb. 5 - SSH aktiviert

Abb. 6 - PuTTY zur Kommunikation per SSH einrichten

Abb. 7 - Erfolgreicher Login auf dem Pi über PuTTY

Abb. 8 - Eintragung der statischen Adresse des Raspberry Pi

Abb. 9 - Installationskommando von PiVPN

Abb. 10 - Installation PiVPN

Abb. 11 - Info statische IP

Abb. 12 - Auswahl Schnittstelle

Abb. 13 - statische IP-Adresse Auswahl

Abb. 14 - Auswahl WireGuard oder OpenVPN

Abb. 15 - RSA Verschlüsselungsgrad

Abb. 16 - Port der VPN-Verbindung

Abb. 17 - DNS-Dienst

Abb. 18 - statische oder dynamische IP

Abb. 19 - freier DynDNS-Dienst

Abb. 20 - dynamische IP über DynDNS Einrichtung

Abb. 21 - Hinweis Updates

Abb. 22 - Updates aktivieren

Abb. 23 - abschließende Installation

Abb. 24 - Installation abgeschlossen

Abb. 25 -Portfreigabe im Router

Abb. 26 - Client anlegen mit Zertifikat

Abb. 27 - Client erstellt

Abb. 28 - Einrichtung FTP zu Raspberry Pi

Abb. 29 - Client-Datei und Zertifikat von Pi kopiert

Abb. 30 - Client-Datei einbinden

Abb. 31 - Passwort eingeben

Abb. 32 - eingebundenes Profil

Abb. 33 - verbundenes Profil

Abb. 34 - Verbunden über Mobilfunk ohne VPN

Abb. 35 - verbunden über Mobilfunk mit VPN

Abb. 36 - Verbindung über Mobilgerät auf Netzwerk

Abb. 37 - Heimnetzwerk mit Synology NAS als VPN-Server für Tests

Abb. 38 - Paketinstallation VPN-Server

Abb. 39 - Einrichtung VPN-Server auf 192.168.0.222

Abb. 40 - Open-VPN Konfiguration und Port

Abb. 41 - Portweiterleitung Port 1194 aktiviert auf Synology

Abb. 42 - Konfigurationsdatei exportieren

Abb. 43 - heruntergeladene Konfigurationsdatei

Abb. 44 - Readme

Abb. 45 - neuer DynDNS-Dienst

Abb. 46 - OpenVPN-Profil

Abb. 47 - Open-VPN-Profil mit DynDNS Eintrag

Abb. 48 - Verbindungsaufbau

Abb. 49 - Erfolgreicher Verbindungsaufbau

Abb. 50 - Verbindungstest zu Router 192.168.0.1

Abb. 51 - Testdurchlauf 1 Verbindungsaufbau

Abb. 52 - Verbindungsaufbau VPN und Ping auf Netzwerk-PC

Abb. 53 - Wireshark-Logs der Pings auf dem Netzwerk-PC

Abb. 54 - Ping und Tracert über Synology

Einleitung

Das Jahr 2020 hatte im Prinzip gerade erst begonnen, als die sog. Corona- Krise die deutsche Bevölkerung in vollem Maße traf. Anfangs waren nur in um­liegenden Ländern oder Kontinenten Auswirkungen feststellbar, doch innerhalb weniger Wochen brach auch hier eine Infektionswelle aus. Das Resultat hiervon war unter Anderem die Schließung von Kindergärten und Schulen, Kontaktsper­ren oder auch die vollständige Isolation einzelner Haushalte oder gar ganzer Regionen. Die Einschränkungen für den Großteil der Bevölkerung waren enorm, ein normales Leben wie zuvor war teilweise nicht mehr möglich. Durch die Schließung ganzer Betriebe oder Unternehmen konnten eine große Anzahl von Menschen ihrer täglichen Arbeit nicht mehr nachgehen und auch berufstä­tige Eltern, die wegen der Schulschließungen zuhause bei ihren Kindern blei­ben mussten, wurden vor nie bekannte Herausforderungen gestellt.

Ein Instrument, das in diesen Zeiten immer mehr an Popularität und Bedarf ge­wann, war Home-Office oder Telearbeit. Dadurch konnten Unternehmen ihren Betrieb weiter aufrechterhalten, ohne ihre Mitarbeiter durch Kontakt im Büro einer erhöhten Infektionsgefahr auszusetzen - zumal der Zuspruch zu Online­Bestellungen, sei es bei Warenhäusern oder Restaurants, auch immer mehr anstieg. Der Kreativität waren dabei kaum Grenzen gesetzt, sei dies bei Home Office in Form von Erhalt der Arbeit per Post und Mail oder auch bei der Ein­richtung von Fernzugriffen und Cloudlösungen auf das Firmennetzwerk. Eine bedeutende Rolle spielten hier auch die sog. VPN(-Netzwerke), kurz für V irtual P rivate N etwork. Solche Netzwerke waren Teilen der Bevölkerung zwar zumindest in Grundzügen bekannt, jedoch fanden sie bisher vorwiegend An­wendung im informationstechnischen Bereich und wurden weniger für die Arbeit von zuhause aus eingesetzt.

Im Rahmen der vorliegenden Arbeit soll das Themenfeld VPN detaillierter und aus unterschiedlichen Perspektiven beleuchtet werden. So soll im theoretischen Teil neben technischen Grundlagen und verschiedenen Varianten solcher Netzwerke auch auf deren Sicherheit und Nachweismöglichkeiten eingegangen werden. Bevor die Ausarbeitung mit einem Schlusswort endet, wird im prakti­schen Teil ein VPN-Server erstellt, mit dem sich ein Client-PC verbindet, wodurch in der Folge der entsprechende Netzwerkverkehr nachgewiesen und analysiert werden soll.

1 Virtual Private Networks

1.1 Allgemeine Beleuchtung

VPN steht, wie bereits in der Einleitung genannt, für Virtual Private Network, zu Deutsch virtuelles privates Netzwerk. Der Begriff Netzwerk ist in der Gesell­schaft weit verbreitet, da der Großteil der deutschen Haushalte heutzutage ein eigenes Netzwerk besitzt. Dies kann aus verschiedensten Varianten bestehen, die sich an den Bedürfnissen des jeweiligen Nutzers orientieren. „Im Grunde genommen ist ein Netzwerk eine Verbindung mehrerer Geräte. Diese Geräte können beispielsweise Standrechner sein, aber auch Laptops, Smartphones, Tablets oder sogar Spielekonsolen. Die Verbindung bzw. Vernetzung gesche­hen in den meisten Fällen durch eine gemeinsame Verbindung zu einem Rou­ter. Über den Router sind die Geräte aber nicht nur untereinander verbunden, sondern in den meisten Fällen auch mit dem Internet“1. Dieser Aufbau dürfte die am weitesten verbreitete Variante eines Netzwerkes sein und in dieser Form in den allermeisten Haushalten zu finden sein: Eine Familie besitzt einen Rou­ter, welcher über den Internet-Service-Provider (ISP) mit dem Internet verbun­den ist. Dieser Router organisiert das Netzwerk der Familie, in welches ver­schiedenste Geräte der einzelnen Personen eingebunden sind, beispielsweise die Mobiltelefone der Kinder, der gemeinsame Smart-TV im Wohnzimmer oder der Arbeitslaptop der Eltern. Der Router hat hierbei nicht nur die Aufgabe, die einzelnen Komponenten nach außen mit dem Internet zu verbinden, sondern dient auch dazu, deren Kommunikation innerhalb des Netzwerks zu gewährleis­ten. Dadurch können sich die Geräte im Netzwerk jedoch auch gegenseitig fin­den und in Kontakt treten, etwa ein im Netz befindlicher Drucker mit dem be­schriebenen Arbeitslaptop. Dieser stark vereinfachte Aufbau eines kleinen Heimnetzwerks lässt sich selbstverständlich auch auf größere Netzwerke wie Firmennetzwerke, übertragen.

Ein solches Netzwerk, das verschiedene Komponenten verbindet, wird in dem Wortzusammenschluss VPN, genauer mit den Adjektiven virtuell und privat, konkretisiert. Unter privat versteht man im Allgemeinen etwas Persönliches o­der auf eine einzelne Person Bezogenes (hier: Abschottung eines Netzes ge­gen andere); virtuell beschreibt etwas nicht tatsächlich physisch Greifbares, sondern digital generiertes (hier: physikalische Netzwerkstruktur nicht reell und exklusiv, sondern mit vielen unterschiedlichen Verbindungen genutzt).

Zur weiteren Begriffsannäherung möchte ich das VPN von anderen Netzwerk­varianten abgrenzen. Das Gegenstück zu einem virtuellen privaten Netzwerk wäre im Prinzip ein echtes privates Netzwerk, also eines, das bei der zuvor be­schriebenen Familie oder auch bei einem Unternehmen in diesem verwendet wird. Die Datenleitungen sind ausschließlich für die Nutzung des Eigentümers (bzw. Mieters einer Datenleitung) vorgesehen und können auch nur durch direk­ten Anschluss daran verwendet werden.

Öffentliche Netzwerke werden hingegen betrieben, um die Benutzung durch jedermann zu ermöglichen. Dies geschieht entweder aus wirtschaftlichen Zwe­cken kostenlos, wie beispielsweise bei einem freien Internetzugang an einem öffentlichen Platz oder in einem Café, oder durch gewinnorientierte Dienstleis­tungsunternehmen gegen eine Verbindungspauschale, wie beim öffentlichen Telefonnetz für Telefonie oder vorrangig mobile Daten.

„Ein VPN versucht private und öffentliche Netzwerke zu kombinieren, indem das öffentliche Netzwerk als Trägernetzwerk für die private Kommunikation ge­nutzt wird“2. Ein privates Netzwerk, egal in welchem Aufbau, wird dadurch über das öffentliche Netz bzw. das Internet zugänglich und erreichbar gemacht, ohne direkt und physisch an das Zielnetz angeschlossen zu sein. Dadurch ist es bei­spielsweise möglich, von einer Geschäftsreise auf die Daten des Unternehmens oder auf den Massenspeicher, der in das eigene Heimnetzwerk eingebunden ist, zuzugreifen, um so seine eigene und private Cloud zu realisieren. Diese Technik bietet in der heutigen und mobilen Welt eine Vielzahl von Möglichkeiten und soll nachfolgend genauer betrachtet werden.

1.2 Technische Funktionsweise

Der Grundbaustein für ein virtuelles privates Netzwerk ist zunächst einmal eine Art eines privaten Netzwerkes. Dieses kann in beliebiger Form aufgebaut sein, sollte jedoch, sofern ein Zugriff von außen gewünscht ist, mit dem Internet ver­bunden sein. Um dieses internetfähige Netzwerk wird dann mittels eines VPN- Servers das eigentliche VPN gebildet, was anhand der nachfolgenden Grafik verdeutlicht werden soll.

Die Teilnehmer im rechten oberen Bildteil bilden das grundlegende Heim­netzwerk. Dieses besteht hier aus einem Laptop, der an den Router ange­schlossen ist. Der Router wiederum ist an das Internet angeschlossen und ver­fügt über eine öffentliche IP-Adresse, über die er hierüber erreichbar ist. Inner­halb des Netzes läuft die Adressierung mittels IPv4-Adresse des privaten Be­reichs (beispielsweise 192.168.0.2 für den Laptop und 192.168.0.1 für den Rou­ter) und außerhalb über öffentliche IPv4- oder IPv6-Adressen (z.B. 91.89.216.4). Soll nun das Heimnetzwerk von außen erreichbar sein, also bei­spielsweise der Laptop (192.168.0.2) über ein öffentliches Netz angesteuert werden können, wird ein sog. VPN-Server benötigt (siehe Bild). Dieser kann auf verschiedenste Arten konfiguriert sein und beispielsweise auf virtuellen Maschi­nen, externen Geräten wie einem Raspberry Pi oder einem Webserver bzw. auch auf einem eigenständigen Rechner oder sogar über den Router selbst betrieben werden. Wichtig ist lediglich, dass das Gerät, welches den VPN- Dienst betreibt, in einem Netzwerk eingebunden ist, dort eine interne IP-Adresse besitzt (beispielsweise 192.168.0.3) und eine Verbindung zum In­ternet hat bzw. über eine öffentliche Adresse erreichbar ist. Ist dieser VPN- Server richtig konfiguriert, muss im Router anschließend noch der Zugriff von außen gewährleistet werden, indem einzelne Ports für den Zugriff von außen geöffnet werden. Ohne diese Öffnung würde ein Zugriff über das Internet von Seiten des Routers geblockt werden und keine Signale an den VPN-Server wei­terleiten.

Sofern nun abschließend alle Voraussetzungen vorliegen und korrekt eingerich­tet sind, ist der VPN-Server von außen erreichbar. Hierfür kann er im Bildbei­spiel über das öffentliche Netz (WAN = Wide Area Network)3, hier das Mobil­funknetz, erreicht werden. Dazu muss auf dem verwendeten Client-Gerät die gewünschte Verbindung zum VPN-Server konfiguriert werden, wodurch dieses anschließend über das Internet zuerst Kontakt mit dem Router aufnimmt, der eine öffentliche IP-Adresse besitzt (bspw. 91.89.216.4). Dieses Signal des Cli­ents wird intern vom Router an den VPN-Server weitergeleitet (192.168.0.1 192.168.0.3) und in diesem verarbeitet. Die künftige Kommuni­ kation läuft dann über einen sog. VPN-Tunnel, den der VPN-Server mit dem eingewählten Client aufbaut. In diesem Tunnel ist sämtliche Kommunikation verschlüsselt und kann von außen inhaltlich nicht genau eingesehen werden. Dennoch kann so eine Verbindung von außen in das Heimnetzwerk aufgebaut werden. Das im Bild dargestellte Mobiltelefon kann somit über die IP-Adresse 192.168.0.2 beispielsweise eine Anfrage an den Laptop des Netzwerks senden. Hierzu wird die Anfrage über den aufgebauten VPN-Tunnel an den VPN-Server geleitet, welcher diese mittels der internen IP-Adressen weiterleitet und auch wieder Antworten nach außen entgegennimmt.

Dies ist lediglich ein schematisch dargestelltes Beispiel, dessen konkreter Auf­bau je nach den eigenen Bedürfnissen gestaltet werden kann. In vielen Fällen sind hier auch noch Firewalls vorgeschaltet, um den Zugriff und die Kommuni­kation von außen zu sichern oder beispielsweise in Firmennetzwerken eigene interne Abläufe und Vorgaben zu implementieren. Der grundlegende Aufbau funktioniert jedoch über den gerade beschriebenen Aufbau mittels eines VPN- Servers und eines Netzwerks, welches von außen erreichbar ist. Dadurch erge­ben sich eine Vielzahl von Einsatzmöglichkeiten und Verwendungszwecken, die nun erörtert werden sollen.

1.3 Einsatzmöglichkeiten und verschiedene Varianten

1.3.1 Verschiedene Varianten

Es gibt nicht nur diverse Varianten virtueller privater Netzwerke, sondern auch eine Vielfalt von Einsatzmöglichkeiten und Ziele, die auf unterschiedlichen Techniken und Protokollen aufbauen. Im Folgenden soll eine Auswahl gängiger Varianten dargestellt und anhand des technischen Aufbaus bzw. der hierbei stattfindenden Kommunikation beleuchtet werden.

PPTP VPN:

Das PPTP VPN ist das „Urgestein“ unter den hier aufgeführten Varianten und ist seit über 20 Jahren in verschiedenen Betriebssystemen integriert bzw. an­wendbar. PPTP steht dabei für Punkt-zu-Punkt-Tunnel-Protokoll und beschreibt die Art oder den Aufbau der Verbindung. Hierbei wird ein Tunnel zwischen zwei Punkten erstellt, durch den die Daten untereinander ausgetauscht werden. Der Nutzer meldet sich dabei auf dem VPN-Server mittels Zugangsdaten an und kann anschließend auf das gesamte Netzwerk zugreifen, was diese Variante ideal für die private und geschäftliche Verwendung macht. Der große Nachteil dieser Tunnelvariante ist jedoch die fehlende bzw. nicht ausreichende Ver­schlüsselung, welche für viele Anwender ja gerade der (Haupt-)Grund für die Verwendung eines VPN ist. Diese Variante des VPN sollte daher nicht zur Übermittlung sensibler Daten verwendet werden.4

Site-to-Site VPN:

Beim Site-to-Site VPN (sinngemäß Standort-zu-Standort) oder auch Router-zu-Router VPN werden zwei verschiedene Router oder Netzwerke mit­einander verbunden. Ein häufiges Einsatzgebiet sind hier beispielsweise meh­rere Firmennetzwerke an unterschiedlichen Unternehmensstandorten, um ver­schiedene Niederlassungen eines Unternehmens mit der Hauptgeschäftsstelle zu verbinden und so gemeinsame Daten zu nutzen.

Dies ist als Intranet-basierte Variante, wie im zuvor beschriebenen Beispiel, sowie auch als Extranet-basierte Variante, welche zwei Netze verschiedener Unternehmen verbindet, möglich. „Einfach ausgedrückt erstellt ein Site-to-Site VPN eine virtuelle Brücke, die Netzwerke an verschiedenen Standorten vereint, um sie mit dem Internet zu verbinden, wobei es auch eine sichere und private Kommunikation zwischen diesen Netzwerken gewährleistet“5. Die Verschlüsse­lung des Netzwerkverkehrs erfolgt in diesen Varianten durch einen hardware­oder softwarebasierten Router an den beiden Enden der verschiedenen Netz­werke.6

L2TP VPN:

Diese VPN-Variante steht für Layer-zu-Tunnel-Protokoll und weißt Ähnlichkei­ten zu dem bereits beschriebenen PPTP VPN auf. So wird eine Verbindung zwischen zwei Verbindungspunkten gebildet, welche jedoch durch ein geson­dertes VPN-Protokoll (z.B. IPSec) separat verschlüsselt wird. Hierzu greift das L2TP auf ein anderes Sicherheitsprotokoll zurück, was die ansonsten fehlende Verschlüsselung herbeiführt. Dadurch sind auch Sicherheitsaspekte wie Daten­integrität und Vertraulichkeit gesichert.7

IPSec:

IPSec steht für Internetz Protocol Security und ist eine Erweiterung bzw. Samm­lung von Erweiterungen für das gängige Internet Protocol (IP), welche für mehr Sicherheit bei der Übertragung zwischen IP-Netzwerken sorgen soll. Das IPSec unterscheidet in zwei verschiedene Modi, den Transportmodus und den Tun­nelmodus. Bei ersterem wird ein zusätzlicher IPSec-Header verwendet, um die Daten in Punkt-zu-Punkt-Verbindung zu verschlüsseln. Beim Tunnel-Modus werden zwei bestehende Netzwerke über einen sicheren Tunnel zwischen Rou­tern oder Gateways verbunden und auch auf einer Teilstrecke verschlüsselt.8

SSL und TSL VPN:

SSL (Secure Socket Layer) und TSL (Transport Socket Layer) sind Verbin­dungsprotokolle und können für den Aufbau einer VPN-Verbindung verwendet werden. Anders als bei IPSec VPN ist bei der SSL- und TSL-Variante keine zusätzlich Software oder Installation nötig. So wird über ein SSL-VPN nur der Remote-Zugriff auf beispielsweise Webanwendungen oder Client/Server- Anwendungen hergestellt, was bei verschiedenen Online-Shops oder Websei­ten zum Einsatz kommt und häufig an der bereits im Browser integrierten HTTPS-Verbindung erkennbar ist. Zwei Varianten des SSL VPN sind das SSL Portal VPN und das SSL Tunnel VPN. Der Portal-Dienst bietet Verbindung zu einer einzelnen Webseite (über den Webbrowser auf das SSL-VPN-Gateway), der Tunnel auf mehrere Netzwerk-Dienste, wie beispielsweise die zusätzliche Integration von Flash-Anwendungen, Java oder Plugins.9

OpenVPN:

Bei OpenVPN handelt es sich um eine frei verfügbare Software der Firma GNU GPL, welche auf unterschiedlichen Plattformen den einfachen Aufbau zwischen einzelnen Clients oder ganzen Netzwerken realisieren soll. Die Soft­ware kann auf Rechnern verschiedener Betriebssysteme, Servern oder per Mo­bilgeräten installiert werden, überträgt Datenströme per TCP oder UDP und verschlüsselt den Datenverkehr mit der Bibliothek OpenSSL. Eine Verbindung wird mittels Zertifikate und Zugangsdaten eingerichtet und kann ebenfalls über DynDNS-Dienste betrieben werden, worauf im praktischen Teil genauer einge­gangen wird. Durch die Unterstützung verschiedenster Plattformen und einer hohen Stabilität lassen sich äußerst große VPNs über eine einfache Konfigura­tion einrichten.10

Neben den beschriebenen Varianten gibt es noch einige Weitere, wie bei­spielsweise MPLS VPN oder Hybrid VPN, auf welche jedoch nicht genauer ein­gegangen wird. Die gängigsten Varianten sind mit der gerade geführten Aufzäh­lung und Erläuterung genannt.

1.3.2 Einsatzmöglichkeiten

Zu Beginn der vorliegenden Arbeit wurde bereits auf einzelne Einsatzmöglich­keiten und Verwendungszwecke von virtuellen privaten Netzwerken eingegan­gen. Weitere denkbare Varianten sollen nun nachfolgend dargestellt werden:

Hier sei zuerst einmal zwischen zwei möglichen VPN-Anbindungen zu unter­scheiden: Einerseits kann sich ein Client, wie eingangs erwähnt, mit einem be­stehenden Netzwerk, welches ihm bereits bekannt ist und/oder von welchem Daten bezogen werden, verbinden, weshalb wir dies als ein netzwerkorientiertes VPN bezeichnen. Andererseits kann sich ein Client aber auch mit einem VPN verbinden, dessen genauen Ursprung er nicht exakt kennt, aber über eine Art Vermittler Zugang zu dem Netzwerk erhält, weshalb wir die­se Variante ein verbindungsorientiertes VPN nennen.

Bei einem netzwerkorientierten VPN ist das Netzwerk das gewünschte Ziel, auf das Zugriff erlangt werden soll, um dort beispielsweise Daten abzurufen, Ver­bindungen aufzubauen oder Geräte darin zu nutzen. Beim verbindungsorientier­ten VPN geht es dem Client nur um die Verbindung als solche, egal welche ge­nauen Geräte oder Daten in dem eigentlichen Netzwerk eingebunden sind. Dies ist bei den gängigen VPN-Anbietern wie CyberGhost VPN, Nord-VPN oder ExpressVPN der Fall, um nur einige von vielen zu nennen. Ein Client erhält, meist gegen eine Bezahlung, einen Zugang zu dem Netzwerk und führt die künftige Kommunikation über dieses aus.

Internetsperren umgehen:

Im Internet kommt es häufig vor, dass einzelne Inhalte durch Geoblocking- Sperren geschützt sind, also dass Nutzer, die sich in einer bestimmten Region aufhalten, nicht auf bestimmte Seiten zugreifen können. So ist beispielsweise bei einzelnen Videos auf Videoplattformen feststellbar, dass Nutzer aus Deutschland Inhalte aus Amerika aus lizenzrechtlichen Gründen nicht abrufen dürfen. In einigen Ländern sind jedoch auch große Internetdienste wie Face­book oder Twitter nicht zugänglich bzw. gänzlich gesperrt. In der Türkei ist beispielsweise Twitter nicht abrufbar und auch Russland hat in der Vergangen­heit immer wieder einzelne soziale Netzwerke im Vorfeld wichtiger politischer Entscheidungen gesperrt. Möchte ein Nutzer aus einem solchen Land nun den­noch auf die entsprechenden Seiten zugreifen, kann er sich über ein VPN ein­wählen, das die IP-Adresse eines anderen Landes besitzt. Dadurch erhält der Nutzer „nach außen“ diese fremde IP-Adresse und verwendet die eigene nur für die Verbindung zu dem Netzwerk. Da es hierbei lediglich um die Verbindung über ein anderes Netzwerk geht, kommt folglich meist das verbindungsorientier­te VPN zum Einsatz.

Privates Surfen:

Sicher und privat zu surfen dürfte vermutlich der bekannteste Einsatzzweck von VPNs, meist verbindungsorientierten VPNs, sein. Ohne die Verwendung eines solchen wird beim Surfen im Internet die eigene IP-Adresse an die aufgerufe­nen Webseiten übermittelt, wodurch auch der Internetanbieter Kenntnis über die aufgerufenen Seiten, hat. Dadurch können nicht nur einzelne Nutzerdaten erhoben und persönlich zugeschnittene Werbung erstellt, sondern aber auch ganze Nutzungsprofile jeder der jeweiligen Personen und deren Interessen er­stellt werden. Immer mehr Nutzer möchten dies jedoch umgehen und durch Verschlüsselung oder die Verwendung einer anderen IP-Adressen so anonym wie möglich im Internet bleiben - sei dies aus Gründen des Datenschutzes oder um bei gewissen Aktivitäten nicht rückverfolgbar zu sein.

Auch dies sind wieder nur einige, ausgewählte Einsatzmöglichkeiten. Auf weite­re soll an dieser Stelle nicht eingegangen werden, jedoch dürften der Phantasie kaum Grenzen gesetzt sein, wenn es darum geht? wie VPNs noch verwendet werden können.

Sicherheit

Nachdem insbesondere das sichere und private Surfen als eine Einsatzmög­lichkeit von virtuellen privaten Netzwerken festgestellt wurde, soll im Nachfol­genden die Sicherheit der Verbindung je nach Verbindungstyp eingestuft und die möglichen oder bereits existenten Gefahren aufgezeigt werden.

2.1 Sicherheitseinstufung

Die Sicherheit eines Virtual Private Networks hängt von verschiedenen Fakto­ren ab. Hier ist zunächst die Sicherheit des Client-Rechners zu nennen, welcher sich mit einem VPN verbinden möchte. Dabei können sich Schwachstellen er­geben, die einen möglichen Zugriff von außen ermöglichen. Im Rahmen einer VPN-Verbindung sind die transportierten Informationen im Zeitraum des Trans­portes je nach Art der Verwendung durch verschiedene Protokolle abgesichert. Beim Server, aber auch beim Client liegen diese Informationen vor oder nach der Verschlüsselung im Klartext vor und können dort auch gelesen werden. Dies kann dadurch geschehen, dass ein Client eventuell bereits durch einen Virus oder einen sonstigen Schädling befallen ist, der Datenstrukturen abgreift und nach außen führt oder mitprotokolliert. Dadurch können die auf dem Client letztendlich unverschlüsselten Daten nach Erhalt über das VPN eingesehen werden, wodurch eine Sicherheitslücke entsteht.

Der nächste Faktor ist der VPN-Server als solcher. Durch den Umstand, dass dieser über das Internet erreichbar ist und auch einzelne Ports freigeschaltet werden, ergibt sich ein Angriffsziel von außen. Hier kann versucht werden, die Daten vor einer Verschlüsselung abzugreifen bzw. zu manipulieren oder den eigentlichen Dienst zu stören und die Erreichbarkeit hierdurch zu beeinträchti­gen, was unter Umständen einen erheblichen Schaden verursachen kann.

Abschließend ist das Virtual Private Network und dessen Verbindung mit den darin implementierten Verbindungsprotokollen als solche zu nennen. Diese wurden unter 1.3.1 bereits aufgeführt, sollen nun jedoch aus dem Gesichts­punkt der Sicherheit tiefergehend betrachtet werden.

Der wesentliche Punkt einer Verbindung über ein VPN, wenn diese auf ihre Si­cherheit untersucht werden soll, ist der Grad der Verschlüsselung. Verschiede­ne Protokolle, die bei VPN zum Einsatz kommen, gelten nach aktuellem Stand der Technik als sicher, andere hingegen sind seit einigen Jahre „geknackt“ oder gar komplett unsicher.

Bei dem eingangs erwähnten PPT-Protokoll handelt es sich um einen der ge­knackten Fälle, da es im Jahr 2012 erfolgreich entschlüsselt werden konnte, obwohl es auch bis dato bereits als nicht sonderlich sicher galt. „Das eingesetz­te Authentifizierungsverfahren MSCHAPv2 setzt auf das angestaubte DES und lässt sich demnach mit Spezial-Hardware einfach knacken. Konkret kann an­geblich CloudCracker aus aufgezeichneten Netzwerk-Paketen den NT-Hash ermitteln, der die Basis für Authentifizierung und Verschlüsselung von PPTP und übrigens auch von WLANs mit WPA2 und EAP/MS-CHAPv2 bildet“11. Die DES-Verschlüsselung baut dabei auf einen DES-Schlüssel mit 256 Möglichkei­ten, welche automatisiert durchprobiert werden können. Hiermit ist es möglich, die verwendete Verschlüsselung zu entschlüsseln und den kompletten Anmel­devorgang zu lesen, wie im Jahr 2012 auch durch Heise.de getestet.12

Lediglich die Ergänzung von PPP-Traffic durch SSTP (Secure Socket Tunneling Protocol) bietet mehr Sicherheit, da dieser hierbei um die Verschlüsselung von SSL/TSL erweitert wird. Seit Windows Vista ist SSTP auch in dem Windows­Betriebssystemen integriert und bietet so standardmäßig über Port 443 und TCP eine sichere Kommunikation, welche ohne weitere Software auskommt.

Die restlichen VPN-Protokolle sind aufgrund ihrer für den Transport verwende­ten Verschlüsselung weitestgehend sicher. Bei OpenVPN beispielsweise kann der Grad der Verschlüsselung sogar genauer spezifiziert werden. Des Weiteren ist eine Auswahl aus verschiedenen AES-Verschlüsselungen möglich. Die Ent­schlüsselung dieser würde beim Abfangen des Netzwerkverkehrs Jahrzehnte benötigen.13

Diese Verschlüsselung ist bereits bei dem Verbindungsaufbau erkennbar, da die normalerweise verwendeten TLS/SSL-Handshakes durch die Generierung von Verschlüsselungsschlüsseln und das Vereinbaren eines VPN-Protokolls ersetzt werden. Hierauf wird später genauer eingegangen.

2.2 Daten-Leaks

Trotz des Umstandes, dass der Netzwerkverkehr in einer aufgebauten VPN- Verbindung verschlüsselt wird, kann es Konstellationen geben, in denen dieser entweder entschlüsselt werden kann oder der Datenverkehr nicht über die VPN- Verbindung geleitet wird.

2.2.1 Entschlüsselung

Bei Verschlüsselung ist grundlegend zwischen symmetrischer und asymmetri­scher Verschlüsselung zu unterscheiden, wobei die Verschlüsselung bei letzte­rer mit privaten und öffentlichen Schlüsseln statttindet. Dies bietet aus krypto­graphischen Aspekten mehr Sicherheit für den verschlüsselten Text als die symmetrische Verschlüsselung, bei der nur ein einzelner Schlüssel verwendet wird.

Ein solches asymmetrisches Verschlüsselungsverfahren ist die sog. Diffie- Hellman-Verschlüsselungsvereinbarung, welche bei dem OpenVPN-Protokoll und mehreren anderen verwendet wird. Des Weiteren werden die übermittelten Daten mittels eines Hashabgleichs auf deren Vollständigkeit geprüft. Jedes Pro­tokoll unterscheidet sich dabei teilweise anhand der verwendeten Methode, die grundlegende Herangehensweise ist jedoch immer gleich.

„VPNs bleiben die effizienteste Methode, um seine Online-Privatsphäre zu schützen. Allerdings ist es auch so, dass sich so ziemlich alles hacken lässt. Das gilt vor allen Dingen dann, wenn es sich um ein lohnendes Ziel handelt und der Angreifer genug Zeit, Geld und Ressourcen hat. Die gute Nachricht ist, dass die meisten Anwender nicht in die Kategorie Ziel mit hohem Wert fallen“14. Bei einer Verschlüsselung nach neustem Stand der Technik, wie sie bei den gängigen VPN-Protokollen verwendet wird, dürfte es auch mit äußerst hoher Rechenleistung Jahre dauern, diese zu entschlüsseln. Der gängigere Weg ist es eher, den Schlüssel der Kommunikationsparteien zu stehlen und so die aus­getauschten Inhalte zu entschlüsseln. Dafür werden gängige Varianten wie Phishing-Mails oder Backdoors verwendet, um an relevante Daten zu gelangen.

Dennoch soll es, den Enthüllungen des Whistleblowers Edward Snowden zufol­ge, einem amerikanischen Geheimdienst gelungen sein, auch diese Diffie- Hellman-Verschlüsselung mit einer Länge von 1024-Bit innerhalb eines Jahres und mittels eines einige Hundert Millionen US-Dollar teuren Rechners zu ent­schlüsseln. Daher sollten beim Austausch sensibler Daten komplexere Ver­schlüsselungen von mindestens 2048-Bit verwendet und VPNs, die auf Hashing-Algorithmen MD5 und SHA1 basieren, vermieden werden (z.B. die Protokolle PPTP und L2TO/IPSec).15

2.2.2 Fehlgeleitete Verbindung

Eine weitere größere Gefahr entsteht durch fehlgeleitete Verbindungen. Durch diese können bestimmte Daten unverschlüsselt oder nur wenig verschlüsselt transportiert werden, wodurch sie einfacher zugänglich sind. Häufig sind falsche Einstellungen bei softwarebasierten VPN die Ursache solcher Fehlleitungen.

IPv6-Leak:16

Der neue IP-Standard IPv6 birgt Potential und großen Nutzen für die Technolo­gie bzw. Internetnutzung. Dennoch können sich dadurch auch Gefahren bei falscher Verwendung ergeben. Viele Computer und auch Webseiten sind mitt­lerweile auch schon in der Lage, IPv6-Adressen zu verwenden oder sind nur noch über solche erreichbar. Ist ein VPN jedoch so konfiguriert, dass es nur IPv4-Adressen unterstützt, wird der Datenverkehr, der an eine ausschließlich IPv6-fähige Webseite übermittelt wird, auf dem ursprünglichen Transportweg und damit teilweise unverschlüsselt übergeben, zumindest die eigene und reale IP-Adresse. Diese Einstellung lässt sich mit diversen Online-Tools testen, was vor der eigentlichen Verwendung eines VPN getan werden sollte.

DNS-Leak:17 18

Das Domain Name System (DNS) ist für die Zuordnung von Internet-URLS und IP-Adressen der dazugehörigen Webseite verantwortlich. Gibt ein Nutzer die gewünschte Zieladresse, z.B. www.hs-albsig.de, in den Browser ein, ermittelt der Rechner über verschiedene Anfragen zuerst die IP-Adresse des Servers der Hochschule Albstadt-Sigmaringen und sendet daraufhin die eigentlich ge­wünschte Anfrage an diese. Hier sind sowohl sog. DNS-Server aber auch der ISP involviert, um ein schnelles Ergebnis zu liefern. Anhand der DNS-Requests können jedoch auch Rückschlüsse über das eigene Surfverhalten samt kom­pletter Links, beispielsweise eines Facebook-Profil nachverfolgt werden, Umlei­tungen zu betrügerischen Webseiten erstellt oder Inhalt trotz einer VPN- Verbindung über ein anderes Land anhand der DNS-Anfragen blockiert werden. Daher empfiehlt es sich, einen VPN-Dienst zu verwenden, dessen DNS­Abfragen nicht über die gängigen DNS-Dienste oder den ISP laufen, sondern über den Tunnel selbst und von dem VPN-Server als solcher eine DNS-Anfrage durchgeführt wird.

WebRTC-Leak:

WebRTC ist ein Dienst, der zur Echtzeitkommunikation im Browser entwickelt und auch für Video-Chats verwendet wurde. Bei dieser Kommunikation werden Daten, darunter die reale IP-Adresse des Nutzers, durch einzelne Browser an verschiedene Dienste, beispielsweise soziale Medien, weitergeleitet. Dies ge­schieht teilweise auch bei der Verwendung eines VPN. Dieser Gefahr sollte man sich bei der Einrichtung eines VPN bewusst sein und entsprechende Ge­genmaßnahmen, wie ein VPN mit WebRTC-Block oder eine entsprechende Browsererweiterung, implementieren. Hierdurch bleiben sensible Daten, zum Beispiel über die eigene Identität, innerhalb des Kommunikationskanals und werden nicht weiter nach außen an andere Dienste geleitet.

Man-In-The-Middle-Attack:19

Man-In-The-Middle-Attacks, kurz MITMA beschreibt einen Angriff auf die Kom­munikation zwischen zwei Punkten. Diese tauschen Nachrichten oder Informa­tionen aus, bekommen jedoch nicht mit, dass in der Mitte dieses Austausches noch eine dritte Person, der sog. „Mann in der Mitte“, sitzt, welcher die Unter­haltung mitverfolgen kann. Dies funktioniert, indem Schlüssel und Zertifikate gestohlen bzw. entsprechend verändert werden oder der weniger abgesicherte Teil einer Verbindung ausgelesen wird. Kann ein Angreifer die Kommunikation so verändern, dass Nachrichten mit seinem eigenen Schlüssel verschlüsselt werden, er diese dann erhält und erst nach dem Lesen der Nachricht weiter­schickt, ist die Kommunikation über ein VPN umgeleitet und nicht mehr sicher. Bei einer VPN-Verbindung ist der sog. Tunnel zwischen Client und VPN-Server verschlüsselt, eventuell aber nicht der Weg zwischen dem VPN-Server und der Zieladresse. Auch hier können Angriffe auch Nachrichteninhalte stattfinden. Eine Art MITM-Attacke wurden im Jahr 2011 beispielsweise in Indonesien von der dortigen Regierung eingesetzt, um in Zeiten zahlreicher Proteste die Zu­gangsdaten sozialer Netzwerke abzufangen, dort ausgetauschte Nachrichten zu lesen oder gar ganze Konten zu löschen20.

Somit bestehen einzelne Schwachstellen, die zu ungewollter Datenübermittlung oder Fehlleitung von VPNs führen können, wobei die obige Aufzählung selbst­verständlich nicht abschließend ist. Immer wieder tauchen neue Wege auf oder sind gar bereits existent, jedoch noch nicht bekannt. Es gibt beinahe keine ab­solute Sicherheit, jedoch ist die Verwendung eines VPN bereits ein Schritt in Richtung einer größeren Sicherheit.

2.3 Sonstige Gefahren und Einschränkungen

Die Verwendung eines VPN birgt, wie gerade angedeutet, noch weitere Gefah­ren aber auch einfache Einschränkungen. Eine solche ist die auf der Hand lie­gende Geschwindigkeitseinschränkung. Wird der Netzwerkverkehr noch zusätz­lich über einen gesonderten Server geleitet, statt direkt zum gewünschten Ziel, verlängert sich die benötigte Zeit zur abschließenden Übermittlung oder zum Verbindungsaufbau. Dies wird weiter noch von dem verwendeten Protokoll des Servers beeinflusst. Hier sind, wie bei vielen anderen Servern oder Routern, die Protokolle TCP und UDP gängig. TCP setzt dabei auch Datensicherheit und prüft jedes Paket das versendet wird auf Vollständigkeit. Fehlen Pakete, können diese erneut angefordert oder versendet werden. Dieser Mechanismus fehlt bei der Verwendung von UDP. Hier werden die Pakete versendet, ohne dass deren weiterer Weg verfolgt wird. Kommt ein Paket nicht vollständig an, wird der Da­tenstrom dennoch weitergeführt. Die kompletten Daten müssen eventuell erneut angefordert werden, sofern die abschließenden Informationen nicht vollständig sind. Diese weitere Überprüfung bei TCP benötigt jedoch zusätzliche Zeit, wes­halb in vielen Fällen bei VPN-Servern das UDP-Protokoll verwendet wird. Hin­zukommt das VPN-Protokoll, welches auch Auswirkungen auf die Netzge­schwindigkeit hat.

„Eine grundlegende Rolle der Netzwerksicherheit kommt der Authentizi­tät des Benutzers zu. Authentifizierung beschreibt die eindeutige Identi­fizierung einer Person und muss grundsätzlich von der Autorisierung unterschieden werden, die lediglich Berechtigungen feststellt, nicht aber die Person selbst. Gerade in VPNs gilt die Authentifizierung als ein sehr wichtiger Bestandteil, da hierdurch die Kommunikation zwischen den auch tatsächlich gewünschten Parteien sichergestellt wird. In den meis­ten Fällen geschieht die Anmeldung an einem System mit Benutzerna­me und Passwort. Da mit Hilfe von VPNs auf Firmennetze mit sensiblen und vertraulichen Daten zugegriffen werden kann, sind jedoch [teilwei­se] entsprechend strengere Methoden zur Identifizierung notwendig“21.

An dieser Stelle wird nicht auf die diversen komplexen Authentifizierungs­methoden in Firmennetzwerken eingegangen, die von biometrischen Merkmalen über Chip-/Magnetkarten, Zwei-Faktor-Authentifizierung oder einfache Passwörter reichen können. Eher soll hier auf die Wichtigkeit der Authentizität hingewiesen werden. Eine umfangreiche Verschlüsselung eines Tunnels ist nicht sonderlich nützlich, wenn die Zugangsdaten be­kannt sind und nicht gesichert ist, wer mit wem kommuniziert. Sowohl für privat genutzte, als auch für käuflich erhältliche VPNs werden in den meis­ten Fällen tatsächlich lediglich Benutzername, Passwort und ein Zertifikat verwendet, da hier meist keine derart hochsensiblen Daten übermittelt werden, wie in Firmennetzwerken. Sollte dem Nutzer diese Sicherheit je nach Einsatzzweck jedoch nicht ausreichen, müssten weitere Sicher­heitsmechanismen eingebunden werden.

3 Nachweismöglichkeiten

In den vorherigen Kapiteln wurde ausführlich über die technischen Rahmenbe­dingungen von virtuellen privaten Netzwerken gesprochen, auf deren Sicherheit und Risiken eingegangen sowie verschiedenste Protokolle angesprochen. Wie anonym ein Nutzer dabei tatsächlich ist und ob es eine tatsächlich nahezu un­sichtbare Verbindung über VPN gibt wird im folgenden Kapitel erörtert. Nun soll jedoch zunächst auf die Nachweismöglichkeiten solcher Verbindungen einge­gangen werden, sowohl im Netzwerkverkehr als solchem, aber auch bei von außen betrachteten Verbindungen.

Wirft man einen Blick auf den allgemeinen Netzwerkverkehr, wie er in unzählig großen Mengen täglich vollzogen wird, ist schnell feststellbar, dass dieser häu­fig mit sog. Handshakes beginnt. Dies ist eine Form des Verbindungsaufbaus, bei dem sich die Partner des Informationsaustausches gegenseitig zu erkennen geben und Daten zu Erreichbarkeit und der „eigenen Person/Geräts“ übermit­teln. Nach diesem sog. Handshake, welcher meist per TLS oder SSL durchge­führt wird, ist die Verbindung aufgebaut und zur Übermittlung bereit. Je nach Protokoll findet über den vereinbarten Weg dann auch eine Verschlüsselung mit ausgetauschten Parametern statt.

Bei einer VPN-Verbindung wird bereits dieser Handshake meist in einem ande­ren Protokoll durchgeführt, woran sich der Aufbau einer VPN-Verbindung auch erkennen lässt. Welches Handshake- oder Schlüsselaustausch-Protokoll hier verwendet wird, variiert je nach verwendetem Anbieter und VPN-Protokoll. Bei IPSec wird für den Schlüsselaustausch beim Verbindungsaufbau beispielsweise ein gesondertes Protokoll namens IKE (Internet Key Exchange) verwendet, dass über die Diffie-Hellman- und AES-Verschlüsselung einen Key-Exchange durchführt. Der Verbindungsaufbau bei IPSec lässt sich in mehrere Phasen un­terteilen, nach deren Abschluss in den sog. Tunnel-Modus umgeschaltet und dort die weitere verschlüsselte Kommunikation durchgeführt wird.

In den vorherigen Phasen des Verbindungsaufbaus lassen sich bereits Spuren des Schlüsselaustausches im Netzwerkverkehr auffinden, wie in Abb. 222 ersichtlich wird. Bei IPSec sind die Phasen aufgeteilt in:

- Internet Key Exchange (IKE)
- IKE Phase 1
- Main Mode /Aggressive Mode
- IKE Phase 2
- IPSec Protocol
- Transport Mode / Tunnel Mode

In diesen Phasen oder Protokollen werden zuerst Schlüssel ausgetauscht, ehe die Kommunikation dann über Tunnel fortgesetzt wird. Bereits beim ersten Ver­bindungsaufbau wird ein Tunnel eingerichtet, der in der weiteren IKE Phase 2 mit einem zusätzlichen Tunnel darunter versehen wird. Nach der ersten Nach­richt, welche in Abb. 223 zu sehen ist, wird auch das dort leere Feld Responder SPI mit einer Partner-ID befüllt, durch welche die Zuordnung stattfindet. Auf die weiteren Phasen und deren Protokolle wird hier nicht weiter eingegangen, da dies den Rahmen der vorliegenden Arbeit sprengen würde.24

Bei dem VPN-Protokoll OpenVPN hingegen sind weitaus weniger Informationen aus dem Datenstrom auslesbar. Genauer wird dies im praktischen Teil betrach­tet, da hier ein VPN auf OpenVPN-Basis eingerichtet und untersucht werden soll. Der Verbindungsaufbau ist hier auch im Rahmen eines Handshakes er­kennbar, der auf dem OpenVPN-Protokoll basiert.

Abgesehen von der Untersuchung des Netzwerkverkehrs lässt sich die Ver­wendung eines VPN von außen anhand der verwendeten IP-Adresse und der sonstigen Informationen nachweisen. Verwendet ein Nutzer, bei dem Informati­onen dafür vorliegen, dass er beispielsweise aus Deutschland kommt, eine IP­Adresse einer ausländischen Kennung spricht dies auch für die Verwendung eines VPNs.

4 Anonymität

Das Themenfeld Anonymität wurde in den vorherigen Abschnitten bereits mehr­fach angeschnitten und Virtual Private Networks als eine gute Wahl zum ano­nymen Surfen im Internet dargestellt. Doch ist der „klassische“ VPN-Nutzer tat­sächlich anonym und gibt es überhaupt eine komplett anonyme Konfiguration, die keine Rückschlüsse auf die eigene Person zulässt?

Vorweggenommen: Absolute Anonymität und Sicherheit im Internet gibt es bei­nahe nicht. Es können Methoden und Wegen herangezogen werden, die die Identifizierung der eigenen Person oder Verschlüsselung der eigenen Daten erschweren. Dennoch preisen zahlreiche VPN-Anbieter ihre Produkte mit „ab­solute Privatsphäre“ oder „100% anonym“ an.

Einige Datenleaks oder falsche Einstellungen, durch die die unbemerkte Über­mittlung der tatsächlichen IP-Adresse stattfindet, werden an dieser Stelle aus­geblendet und es wird davon ausgegangen, dass hier alles richtig und korrekt konfiguriert wurde. Des Weiteren wird auch ein VPN-Anbieter verwendet, der einen eigenen DNS-Dienst nutzt und so die DNS-Anfragen nicht offen für den ISP ersichtlich sind. Anonym wäre der VPN-Nutzer dann, wenn keinerlei Rück­schlüsse über seinen Standort, seine Person und seine tatsächlich ihm zuord­enbare Internetnutzung gezogen werden könnten.

Im Folgenden wird zunächst der Standardfall auf Anonymität untersucht - ein Nutzer sucht sich einen VPN-Anbieter im Internet heraus und richtet sich diesen als Verbindungsmethode ein, sodass jeglicher Netzverkehr über diesen VPN- Tunnel geleitet wird: Wie bereits festgestellt, ist bei entsprechend komplexer Verschlüsselung, der Datenverkehr im Tunnel relativ sicher. Dennoch verwen­det dieser Nutzer in den meisten Fällen immer denselben Browser und meldet sich hier bei verschiedenen Seiten auch mit seinen reellen Namen an. Mittels Cookies und Browserdaten kann so mit Leichtigkeit ein Profil über eine Person erstellt und diese anhand der restlichen Daten eindeutig mittels Verknüpfung identifiziert werden, egal welche IP-Adresse sie dabei verwendet. Nicht ohne Grund können Unternehmen wie Google nur anhand des Tippverhaltens eine Person mit äußerst großer Sicherheit identifizieren. Die IP-Adresse spielt dabei mittlerweile fast keine Rolle mehr. Des Weiteren verbindet sich der Nutzer zwar mit einem VPN-Dienst, über dessen IP-Adresse die weitere Internetnutzung durchgeführt wird, im Falle einer schweren Straftat ist es Ermittlungsbehörden jedoch auch möglich, über diesen VPN-Betreiber Daten über tatsächliche Nut­zer zu erlangen. Betrachtet man die Datenschutzbestimmungen und allgemei­nen Geschäftsbestimmungen von VPN-Anbietern, so stellt man fest, dass auch dort teilweise Daten wie Verbindungszeiten und IP-Adressen gespeichert wer­den. Der Großteil der Unternehmen wie NordVPN, CyberGhost oder Express- VPN, um nur einzelne ausgewählte zu nennen, schreibt in den Datenschutz­richtlinien mittlerweile, dass keine Daten gespeichert werden25. Dennoch weiß der Nutzer nicht, ob dennoch Daten gespeichert werden und welche Rück­schlüsse auf die Person im Fall einer behördlichen Anfrage bei einer entspre­chenden Straftat herausgegeben werden. Der Nutzer kann also lediglich auf die Aussage der Anbieter vertrauen.26

Doch gibt es nun eine Möglichkeit, die Anonymität des Nutzers im Internet noch weiter zu steigern als nur mittels der Verwendung eines VPN und somit keine Rückschlüsse auf die Person zuzulassen? Diese Frage ist mittlerweile zu einem regelrechten Sport herangewachsen. So sind im Internet zahlreiche Checklisten zu finden, wie man seine Anonymität steigern kann. Einer der dort am häufigs­ten genannten Punkten ist die Verwendung des TOR-Browser und eines VPN- Netzwerkes. Auf die Funktionalität des TOR-Netzwerkes und TOR-Browser soll hier nicht weiter eingegangen werden, grundlegend führt dieser die Netzwerk­kommunikation aber über verschiedene Knotenpunkte, bei denen jeder Knoten nur seinen Vorgänger und Nachfolger kennt. Die eigene IP-Adresse ist folglich also nur bei Eintrittsknoten bekannt. Dadurch ist die Anonymität im Internet schon weitestgehend gewährleistet, wenn weitere Punkte beachtet werden. Durch die zusätzliche Verwendung eines VPN weiß der ISP zwar nicht mehr, dass das TOR-Netzwerk verwendet wird und man erscheint nur mit der IP des VPN-Anbieters am Eintrittsknoten, jedoch bestehen die gleichen Gefahren bei VPN-Anbietern wie gerade genannt und die Anonymität baut auf das Vertrauen zu dem jeweiligen Anbieter. Die Sicherheit und Anonymität verdoppelt sich bei der doppelten Verwendung also nicht, die Rückverfolgung wird jedoch ein klei­nes Stück erschwert.

Beachtet man zusätzlich noch andere Punkte kommt man sicherlich schon ein sehr gutes Stück in Richtung einer anonymen Internetnutzung, jedoch nie zu einer kompletten Anonymität. Zusätzlich zur Verwendung des TOR-Netzwerkes in Verbindung mit einem VPN-Anbieter, dem man vertraut und dessen Daten­schutzbestimmungen keine Hinweise auf Protokollierung der Nutzerdaten (+ eigener DNS-Dienst + Firmensitz außerhalb EU&USA) geben, sollte das ei­gene Nutzungsverhalten stark verändert werden. Als Beispiele sind hierbei die Verwendung einer virtuellen Maschine für die Nutzung, Erstellung einer siche­ren E-Mail-Adresse, bei der keine persönliche Daten verwendet werden oder temporäre Mail-Adressen, Bezahlung nur mittels Kryptowährungen, zuverlässi­ge Suchmaschinen nutzen, kein Aufruf von sozialen Netzwerken, die Klarna­men enthalten, Kommunikation nur über verschlüsselte Messanger wie TorChat, Dateiaustausch über gesicherte Uploadplattformen ohne Registrie­rung, sichere Routereinstellung und Blockierung sonstiger Programme die auf das Internet zugreifen und viele weitere Punkte anzuführen. Die Liste ließe sich noch beliebig fortführen. Durch umfassende Vorsicht und gute technische Vo­raussetzungen ist es demnach grundsätzlich möglich, sich sehr anonym im In­ternet zu bewegen. Hierfür entsteht jedoch zum einen ein äußerst großer Auf­wand bei der Beachtung der Regeln und zum anderen auch ein hoher Ge­schwindigkeitsverlust bei der Verwendung von TOR + VPN.27

Ob und inwieweit jeder Nutzer im Internet anonym bleiben will und welche Ein­schränkungen dafür in Kauf genommen werden, hängt von den persönlichen Bedürfnissen und selbstverständlich auch von den Informationen ab, die der jeweilige Nutzer zu sichern hat. Vollständige Anonymität ist nahezu unmöglich, hierfür dürfte beispielsweise auch kein Smartphone verwendet oder keine Inter­netbestellungen getätigt werden. Wie weit man die Einschränkungen hierfür in Kauf nimmt ist jedem selbst überlassen. Dennoch möchte ist an dieser Stelle erneut anzuführen, dass es eine komplette Anonymität nicht gibt, auch nicht durch unzählige Handlungsanweisungen und Vorkehrungen.

5 Erstellung eines VPN-Servers

5.1 Geplante Herangehensweise

Im praktischen Teil der vorliegenden Arbeit sollte laut Aufgabenstellung auf ei­ner virtuellen Maschine ein VPN-Server eingerichtet werden, mit dem sich ein Client verbindet. Der dabei entstandene Verbindungsaufbau sollte im Netzwerk nachgewiesen und interpretiert sowie die Netzwerkverkehrsdaten ausgewertet werden.

Wie in dem oben aufgeführten theoretischen Teil ergeben sich durch VPNs zahlreiche Möglichkeiten und Mehrwerte, wodurch ich es als praktisch ansah, mir im Rahmen dieser Arbeit ein solches auch für die weitere Nutzung einzu­richten. Eine virtuelle Maschine, die dauerhaft auf einem Host-System betrieben wird, erschien mir hierfür als nicht sonderlich praktikabel. In meinem bestehen­den Netzwerk ist ein Synology NAS-Speicher für die komfortable Speicherung von Daten bereits implementiert und sollte längerfristig für dieses Projekt ver­wendet werden. Da sich die Einrichtung des VPN-Servers auf dem Synology- NAS jedoch äußerst simpel gestaltet und nicht dem technischen Rahmen des praktischen Teils dieser Arbeit entspricht, sollte nach Absprache mit den be­treuenden Dozenten ein Raspberry Pi 4B ebenfalls als VPN-Server eingerichtet werden. Die Einrichtung wird daher für den Raspberry Pi bis zum lauffähigen Zustand durchgeführt, die Netzwerksverkehrsdaten und der Verbindungsaufbau dann jedoch über die eingerichtete Synology-VPN untersucht.

Ausgangspunkt für den praktischen Teil ist ein Heimnetzwerk mit verschiedens­ten darin eingebundenen Geräten, wie Mobiltelefone, Laptop oder Tablet. Als Router fungiert eine Unitymedia Connect Box unter der internen IP-Adresse 192.168.0.1. Hierauf wurde für diese Arbeit beim Internet-Service-Provider eine öffentliche IPv4-Adresse beantragt und die Port-Weiterleitung aktiviert, welche für den VPN-Server dringend erforderlich ist. Die beiden VPN-Server sollen aufgrund der vielseitigen Verfügbarkeit mittels OpenVPN und eines DynDNS­Dienstes realisiert werden, worauf bei der Einrichtung genauer eingegangen wird.

5.2 Erstellung des Netzwerks auf dem Raspberry Pi

Der Raspberry Pi 4B ist ein Einplatinencomputer der Raspberry Pi Foundation und besitzt in der hier vorliegenden Ausführung neben einem Quad-Core- Cortex auch 4GB Arbeitsspeicher und diverse Verbindungsmöglichkeiten wie USB 2.0 und 3.0 sowie W-LAN und Gigabit-Ethernet. Damit und aufgrund sei­nes niedrigen Stromverbrauches durch die kleine Größe ist der Raspberry Pi optimal für eine dauerhafte Verwendung als VPN-Server oder sonstiges Netz­werkgerät geeignet. Über eine Micro-SD ist hier das Betriebssystem Raspbian oder auch Raspberry Pi OS genannt, installiert und über eine grafische Benut­zeroberfläche aufrufbar. Dieses ist in Abbildung 228 erkennbar und basiert auf einer Linux-Distribution. Um nicht dauerhaft die grafische Benutzeroberfläche verwenden zu müssen und dadurch mehrere Bildschirme zu belegen, sollte die weitere Kommunikation und Einrichtung konsolenbasiert und über einen anderen Rechner durchgeführt werden. Auf dem Raspberry Pi wurde über das Kommando sudo raspi-config das Raspberry Pi Software Configuration Tool aufgerufen und dort der SSH-Zugriff aktiviert, wie in Abb. 3 und 4 ersicht­lich29. Dadurch ist über die IP-Adresse oder den Hostname des Raspberry Pi (siehe Raspberry-Pi Konfiguration) eine konsolenbasierte Kommunikation mög­lich. Eines der hierfür möglichen Programme heißt PuTTY und wurde nachfol­gend auf einem Laptop mit Windows 10 eingerichtet. Über die Eingabe des Hostnames, des Ports 22 und Benutzername + Passwort konnte eine Verbin­dung aufgebaut werden, wie in Abb. 5 und 6 ersichtlich30.

Der Raspberry Pi ist damit zur Entgegennahme von Kommandos verfügbar und kann gesteuert werden. Zuerst ist es wichtig, diesem eine im Heimnetzwerk gleichbleibende IP-Adresse zuzuordnen. Dies wird in den meisten Fällen durch das sog. NAT geregelt, es ist jedoch nicht schädlich, eine statische Adresse zuzuordnen, um späteren Komplikationen durch Adressänderung vorzubeugen. Dies kann auf dem Raspberry Pi mit dem Kommando sudo nano /etc/dhcp.conf erfolgen, welche die entsprechende Datei aufruft. In dieser können dann die jeweiligen Adressen für den WLAN- und den Ethernet-Anschluss eingetragen (siehe Abb. 831 ) und die Datei daraufhin ge­speichert werden.

Nachdem nun alle Vorkehrungen getroffen wurden, kann mit der eigentlichen Installation des VPN-Servers begonnen werden. Das Programm PiVPN, wel­ches hier verwendet werden soll und das OpenVPN-Protokoll zur Auswahl stellt32, kann über das Kommando curl -L https://install.pivpn. io | bash direkt übers Netz installiert werden. Für andere Geräte als den Raspberry Pi sind die Installations- und Bezugswege auf der Homepage von OpenVPN ersichtlich. Ebenso funktioniert auf dem Pi auch das Kommando sudo apt-get install openvpn (nur OpenVPN). Nach Eingabe des Kommandos werden die erforderlichen Datenpakete heruntergeladen und die Installation begonnen, wie in Abb. 933 ersichtlich. Es empfiehlt sich, zuvor den Raspberry Pi und alle anderen Programme auf den neusten Stand zu bringen (sudo apt-get update). Die Installation ist größtenteils selbsterklärend, auf einzelne Punkte wird hier dennoch eingegangen.

Wie in den Abbildungen 1 1 - 1334 ersichtlich, muss zuerst die zuvor eingestellte statische IP-Adresse bestätigt und der Netzwerkadapter zwischen WLAN und Ethernet ausgewählt werden. Anschließend kann zwischen dem Protokoll OpenVPN und WireGuard sowie dem Grad der Verschlüsselung (siehe Punkt 2 - Sicherheit) ausgewählt werden, wie in den Abb. 14 und 15 erkennbar35. Auf­grund der bisherigen Thematisierung von OpenVPN und der längeren Existenz dessen wurde hier auch OpenVPN gewählt. WireGuard bietet ebenso ein gro­ßes Potential, steckt jedoch erst in den Kinderschuhen und muss sich noch etablieren. Anschließend gilt es, einen Port einzustellen, auf dem die VPN- Verbindung im Router aufgebaut werden soll. Dieser liegt standardgemäß bei Port 1194, kann jedoch beliebig geändert werden. Des Weiteren muss man sich für einen der vorgegebenen DNS-Dienste entscheiden oder verwendet einen eigenen über Custom36. Der nächste Einstellungspunkt ist äußerst wichtig und hat ebenfalls mit dynamischen und statischen IP-Adressen zutun. In dem Netzwerk ist es praktisch, dass der Raspberry Pi eine statische IP­Adresse hat. Nach außen hin besitzt ein Netz aber meistens eine dynamische Adresse, die sich täglich ändern kann, je nach ISP. Aus diesem Grund lässt sich, wie in Abb. 1837 erkennbar, ein sog. DynDNS-Dienst einrichten, der mit dem Router in Kontakt bleibt und immer die aktuelle dynamische IP-Adresse des Routers weiß. Hierüber kann der Raspberry Pi immer erreicht werden, egal wie sich die öffentliche IP-Adresse ändert. Solche Dienste lassen sich über ver­schiedenste Seiten einrichten und mit dem Router verknüpfen. Im Beispiel wur­de freedns.org verwendet und bei der Konfiguration eingetragen38. Die Abbil­dungen 21 - 2439 zeigen die letzten Schritte der Installation, bei denen es um künftige Updates des Servers geht. Da dieser öffentlich am Internet hängt, sollten solche regelmäßig durchgeführt werden. Damit ist die Installation des VPN-Servers abgeschlossen. Im Router wurde danach für den eingestellten Port eine Portweiterleitung auf die interne IP-Adresse des Pi angelegt. Mit dem Befehl pivpn add kann anschließend ein neuer VPN-Client angelegt und ein entsprechendes Zertifikat erstellt werden40, welches per FTP-Verbindung zum Raspberry Pi auf den Laptop übertragen wurde41. Nach Einbindung des ange­legten Benutzerprofils in die auf dem Laptop installierte Software von Open­VPN, konnte die Verbindung gestartet und eine Verbindung mit dem Netzwerk hergestellt werden, siehe Abbildungen 30 - 3342. Mittels Verbindung über Mobil­funk (Smartphone Hotspot XPhone) war feststellbar, dass ohne Verwendung des VPN keine Verbindung zum Router des Netzes aufgebaut werden konnte, mit aktiviertem VPN war die Login-Seite des Routers dann jedoch aufrufbar43. Als weiterer Test der erfolgreichen Konfiguration wurde für das Mobiltelefon ein neues Profil angelegt, welches über die OpenVPN App auch erfolgreich einge­bunden werden konnte, siehe Abbildung 3644. Um zu gewährleisten, dass der komplette Netzwerkverkehr auch über das VPN geleitet werden kann, müssen die entsprechenden Ports der Internetnutzung für den Raspberry Pi auch zur Verfügung stehen und freigeschaltet sein.

[...]


1 Möhring (2019), ohne Seitenangabe (künftig o.S.) (Onlinequelle)

2 Lipp (2001), Seite 18.

3 Traub (2002), Seiten 10.

4 Frenkel (2020), Punkt 1 (Onlinequelle).

5 Frenkel (2020), Punkt 2 (Onlinequelle).

6 Frenkel (2020), Punkt 2 (Onlinequelle).

7 Frenkel (2020), Punkt 3 (Onlinequelle).

8 Luber / Schmitz (12/2018), o.S. (Onlinequelle).

9 Rouse (2009), o.S. (Onlinequelle).

10 Luber / Schmitz (02/2018), o.S. (Onlinequelle). Wie bereits dargestellt werden VPNs für Unternehmen in verschiedenster Form immer interessanter - sei dies um mehrere Standorte oder Filialen miteinander zu verbinden, von unterwegs auf Unternehmensdaten zugreifen zu können oder auch um Mitarbeitern die Möglichkeit des Home-Office zu ermöglichen, welche dabei jedoch vollumfänglich arbeiten können sollen. Unternehmen arbeiten da­bei mit verschiedensten Strukturen und investieren zum Teil enorme Geldbeträ­ge in IT-Unternehmen, um solche VPN-Zugriffe zuverlässig und sicher zu ge­stalten. Hier kommt meist das oben beschriebene netzwerkorientierte VPN zum Einsatz, da es eben gerade um diesen Zugriff geht.

11 Schmidt (2012), o.S. (Onlinequelle).

12 Schmidt (2012), o.S. (Onlinequelle).

13 Donauer (2018), o.S. (Onlinequelle).

14 Fawkes (2020), o.S. (Onlinequelle).

15 Fawkes (2020), o.S. (Onlinequelle).

16 Griffith (2018), o.S. (Onlinequelle).

17 Griffith (2018), o.S. (Onlinequelle).

18 Storm (2015), o.S. (Onlinequelle).

19 Burkitt (1999), o.S. (Onlinequelle).

20 Kühl (2011), o.S. (Onlinequelle).

21 Umlauf (2004), Seite 22 + 23.

22 Anhang I - Abb. 2 - IPSec Verbindungsaufbau Main-Mode.

23 Anhang I - Abb. 2 - IPSec Verbindungsaufbau Main-Mode.

24 Molenaar (o.D.), o.S. (Internetquelle).

25 Vergleiche Datenschutzrichtlinien verschiedener Unternehmen [Stand 01.07.2020].

26 Kuketz (2015), o.S. (Onlinequelle).

27 Kuketz (2015), o.S. (Onlinequelle).

28 Anhang I - Abb. 3 - Oberfläche des Raspbian OS auf dem Raspberry Pi 4B.

29 Anhang I - Abb. 4 und 5.

30 Anhang I - Abb. 6 und 7.

31 Anhang I - Abb. 8 - Eintragung der statischen Adresse des Raspberry Pi.

32 Anhang I - Auswahl von OpenVPN oder WireGuard möglich.

33 Anhang I - Abb. 9 - Installationskommando von PiVPN.

34 Anhang I - Abb. 11 - 13.

35 Anhang I - Abb. 14 + 15.

36 Anhang I - Abb. 16 + 17.

37 Anhang I - Abb. 18 - statische oder dynamische IP.

38 Anhang I - Abb. 19 + 20.

39 Anhang I - Abb. 21 - 24.

40 Anhang I - Abb. 26 + 27.

41 Anhang I - Abb. 28 + 29.

42 Anhang I - Abb. 30 - 33.

43 Anhang I - Abb. 34 + 35.

44 Anhang I - Abb. 36 - Verbindung über Mobilgerät auf Netzwerk.

Ende der Leseprobe aus 66 Seiten

Details

Titel
Virtual Private Networks. Theoretische Grundlagen und Erstellung eines VPN-Servers
Untertitel
Technische Rahmenbedingungen, Sicherheit und Umsetzung in der Praxis
Hochschule
Hochschule Albstadt-Sigmaringen; Albstadt
Note
2,0
Autor
Jahr
2020
Seiten
66
Katalognummer
V915967
ISBN (eBook)
9783346234162
Sprache
Deutsch
Schlagworte
VPN, virtual private network, virtuell, privat, netzwerk, virtuelles privates netzwerk, Internet, WLAN, virtual, private, network, LAN, anonym, Sicherheit, Web, darknet, Anonymität
Arbeit zitieren
Janik Rebell (Autor), 2020, Virtual Private Networks. Theoretische Grundlagen und Erstellung eines VPN-Servers, München, GRIN Verlag, https://www.grin.com/document/915967

Kommentare

  • Noch keine Kommentare.
Im eBook lesen
Titel: Virtual Private Networks. Theoretische Grundlagen und Erstellung eines VPN-Servers



Ihre Arbeit hochladen

Ihre Hausarbeit / Abschlussarbeit:

- Publikation als eBook und Buch
- Hohes Honorar auf die Verkäufe
- Für Sie komplett kostenlos – mit ISBN
- Es dauert nur 5 Minuten
- Jede Arbeit findet Leser

Kostenlos Autor werden