Im Rahmen dieser Arbeit soll das Themenfeld VPN - kurz für Virtual Private Network - detaillierter und aus unterschiedlichen Perspektiven beleuchtet werden. So soll im theoretischen Teil neben technischen Grundlagen und verschiedenen Varianten solcher Netzwerke auch auf deren Sicherheit und Nachweismöglichkeiten eingegangen werden. Bevor die Ausarbeitung mit einem Schlusswort endet, wird im praktischen Teil ein VPN-Server erstellt, mit dem sich ein Client-PC verbindet, wodurch in der Folge der entsprechende Netzwerkverkehr nachgewiesen und analysiert werden soll.
Ein Instrument, das während der Corona-Krise zu Beginn des Jahres 2020 immer mehr an Popularität und Bedarf gewann, war Home-Office oder Telearbeit. Dadurch konnten Unternehmen ihren Betrieb weiter aufrechterhalten, ohne ihre Mitarbeiter durch Kontakt im Büro einer erhöhten Infektionsgefahr auszusetzen - zumal der Zuspruch zu Online-Bestellungen, sei es bei Warenhäusern oder Restaurants, auch immer mehr anstieg.
Der Kreativität waren dabei kaum Grenzen gesetzt, sei dies bei Home-Office in Form von Erhalt der Arbeit per Post und Mail oder auch bei der Einrichtung von Fernzugriffen und Cloudlösungen auf das Firmennetzwerk. Eine bedeutende Rolle spielten hier auch die VPN(-Netzwerke). Solche Netzwerke waren Teilen der Bevölkerung zwar zumindest in Grundzügen bekannt, jedoch fanden sie bisher vorwiegend Anwendung im informationstechnischen Bereich und wurden weniger für die Arbeit von zuhause aus eingesetzt.
Inhaltsverzeichnis
ANMERKUNG
INHALTSVERZEICHNIS
ABBILDUNGSVERZEICHNIS
EINLEITUNG
1 VIRTUAL PRIVATE NETWORKS
1.1 ALLGEMEINE BELEUCHTUNG
1.2 TECHNISCHE FUNKTIONSWEISE
1.3 EINSATZMÖGLICHKEITEN UND VERSCHIEDENE VARIANTEN
1.3.1 Verschiedene Varianten
1.3.2 Einsatzmöglichkeiten
2 SICHERHEIT
2.1 SICHERHEITSEINSTUFUNG
2.2 DATEN-LEAKS
2.2.1 Entschlüsselung
2.2.2 Fehlgeleitete Verbindung
2.3 SONSTIGE GEFAHREN UND EINSCHRÄNKUNGEN
3 NACHWEISMÖGLICHKEITEN
4 ANONYMITÄT
5 ERSTELLUNG EINES VPN-SERVERS
5.1 GEPLANTE HERANGEHENSWEISE
5.2 ERSTELLUNG DES NETZWERKS AUF DEM RASPBERRY PI
5.3 VERBINDUNGSAUFBAU ÜBER DAS SYNOLOGY-VPN
5.4 NETZWERKTEST UND NACHWEIS
6 SCHLUSSWORT
QUELLENVERZEICHNIS
INTERNETQUELLEN
LITERATURQUELLEN
ABBILDUNGSQUELLEN
ANHANG I: ABBILDUNGEN
ANHANG II: NETZWERK-LOGS
Anmerkung zu den Quellenangaben:
Da die vorliegende Studienarbeit im Zeitraum der sog. Corona-Krise verfasst wurde, in welcher die umliegenden Bibliotheken zeitweise geschlossen waren, konnte die Literaturrecherche überwiegend nur auf Internetquellen, einzelne Printmedien oder solche Literatur, welche online erwerbbar war, gestützt wer-den.
Anmerkung zum Abgabeverzeichnis:
Zum Zeitpunkt der Abgabe wurden alle in der vorliegenden Arbeit erstellten VPN-Verbindungen zum Netzwerkschutz bei Veröffentlichung wieder deaktiviert oder über gesonderte DynDNS-Dienste geleitet. Im Abgabeverzeichnis sind die Konfigurationsdateien und Netzwerk-Logs beigefügt.
Abbildungsverzeichnis
Abb. 1 - schematische Darstellung eines privaten VPN-Aufbaus
Abb. 2 - IPSec Verbindungsaufbau Main-Mode
Abb. 3 - Oberfläche des Raspbian OS auf dem Raspberry Pi 4B
Abb. 4 - Raspberry Pi Software Configuration Tool
Abb. 5 - SSH aktiviert
Abb. 6 - PuTTY zur Kommunikation per SSH einrichten
Abb. 7 - Erfolgreicher Login auf dem Pi über PuTTY
Abb. 8 - Eintragung der statischen Adresse des Raspberry Pi
Abb. 9 - Installationskommando von PiVPN
Abb. 10 - Installation PiVPN
Abb. 11 - Info statische IP
Abb. 12 - Auswahl Schnittstelle
Abb. 13 - statische IP-Adresse Auswahl
Abb. 14 - Auswahl WireGuard oder OpenVPN
Abb. 15 - RSA Verschlüsselungsgrad
Abb. 16 - Port der VPN-Verbindung
Abb. 17 - DNS-Dienst
Abb. 18 - statische oder dynamische IP
Abb. 19 - freier DynDNS-Dienst
Abb. 20 - dynamische IP über DynDNS Einrichtung
Abb. 21 - Hinweis Updates
Abb. 22 - Updates aktivieren
Abb. 23 - abschließende Installation
Abb. 24 - Installation abgeschlossen
Abb. 25 -Portfreigabe im Router
Abb. 26 - Client anlegen mit Zertifikat
Abb. 27 - Client erstellt
Abb. 28 - Einrichtung FTP zu Raspberry Pi
Abb. 29 - Client-Datei und Zertifikat von Pi kopiert
Abb. 30 - Client-Datei einbinden
Abb. 31 - Passwort eingeben
Abb. 32 - eingebundenes Profil
Abb. 33 - verbundenes Profil
Abb. 34 - Verbunden über Mobilfunk ohne VPN
Abb. 35 - verbunden über Mobilfunk mit VPN
Abb. 36 - Verbindung über Mobilgerät auf Netzwerk
Abb. 37 - Heimnetzwerk mit Synology NAS als VPN-Server für Tests
Abb. 38 - Paketinstallation VPN-Server
Abb. 39 - Einrichtung VPN-Server auf 192.168.0.222
Abb. 40 - Open-VPN Konfiguration und Port
Abb. 41 - Portweiterleitung Port 1194 aktiviert auf Synology
Abb. 42 - Konfigurationsdatei exportieren
Abb. 43 - heruntergeladene Konfigurationsdatei
Abb. 44 - Readme
Abb. 45 - neuer DynDNS-Dienst
Abb. 46 - OpenVPN-Profil
Abb. 47 - Open-VPN-Profil mit DynDNS Eintrag
Abb. 48 - Verbindungsaufbau
Abb. 49 - Erfolgreicher Verbindungsaufbau
Abb. 50 - Verbindungstest zu Router 192.168.0.1
Abb. 51 - Testdurchlauf 1 Verbindungsaufbau
Abb. 52 - Verbindungsaufbau VPN und Ping auf Netzwerk-PC
Abb. 53 - Wireshark-Logs der Pings auf dem Netzwerk-PC
Abb. 54 - Ping und Tracert über Synology
Einleitung
Das Jahr 2020 hatte im Prinzip gerade erst begonnen, als die sog. Corona- Krise die deutsche Bevölkerung in vollem Maße traf. Anfangs waren nur in umliegenden Ländern oder Kontinenten Auswirkungen feststellbar, doch innerhalb weniger Wochen brach auch hier eine Infektionswelle aus. Das Resultat hiervon war unter Anderem die Schließung von Kindergärten und Schulen, Kontaktsperren oder auch die vollständige Isolation einzelner Haushalte oder gar ganzer Regionen. Die Einschränkungen für den Großteil der Bevölkerung waren enorm, ein normales Leben wie zuvor war teilweise nicht mehr möglich. Durch die Schließung ganzer Betriebe oder Unternehmen konnten eine große Anzahl von Menschen ihrer täglichen Arbeit nicht mehr nachgehen und auch berufstätige Eltern, die wegen der Schulschließungen zuhause bei ihren Kindern bleiben mussten, wurden vor nie bekannte Herausforderungen gestellt.
Ein Instrument, das in diesen Zeiten immer mehr an Popularität und Bedarf gewann, war Home-Office oder Telearbeit. Dadurch konnten Unternehmen ihren Betrieb weiter aufrechterhalten, ohne ihre Mitarbeiter durch Kontakt im Büro einer erhöhten Infektionsgefahr auszusetzen - zumal der Zuspruch zu OnlineBestellungen, sei es bei Warenhäusern oder Restaurants, auch immer mehr anstieg. Der Kreativität waren dabei kaum Grenzen gesetzt, sei dies bei Home Office in Form von Erhalt der Arbeit per Post und Mail oder auch bei der Einrichtung von Fernzugriffen und Cloudlösungen auf das Firmennetzwerk. Eine bedeutende Rolle spielten hier auch die sog. VPN(-Netzwerke), kurz für V irtual P rivate N etwork. Solche Netzwerke waren Teilen der Bevölkerung zwar zumindest in Grundzügen bekannt, jedoch fanden sie bisher vorwiegend Anwendung im informationstechnischen Bereich und wurden weniger für die Arbeit von zuhause aus eingesetzt.
Im Rahmen der vorliegenden Arbeit soll das Themenfeld VPN detaillierter und aus unterschiedlichen Perspektiven beleuchtet werden. So soll im theoretischen Teil neben technischen Grundlagen und verschiedenen Varianten solcher Netzwerke auch auf deren Sicherheit und Nachweismöglichkeiten eingegangen werden. Bevor die Ausarbeitung mit einem Schlusswort endet, wird im praktischen Teil ein VPN-Server erstellt, mit dem sich ein Client-PC verbindet, wodurch in der Folge der entsprechende Netzwerkverkehr nachgewiesen und analysiert werden soll.
1 Virtual Private Networks
1.1 Allgemeine Beleuchtung
VPN steht, wie bereits in der Einleitung genannt, für Virtual Private Network, zu Deutsch virtuelles privates Netzwerk. Der Begriff Netzwerk ist in der Gesellschaft weit verbreitet, da der Großteil der deutschen Haushalte heutzutage ein eigenes Netzwerk besitzt. Dies kann aus verschiedensten Varianten bestehen, die sich an den Bedürfnissen des jeweiligen Nutzers orientieren. „Im Grunde genommen ist ein Netzwerk eine Verbindung mehrerer Geräte. Diese Geräte können beispielsweise Standrechner sein, aber auch Laptops, Smartphones, Tablets oder sogar Spielekonsolen. Die Verbindung bzw. Vernetzung geschehen in den meisten Fällen durch eine gemeinsame Verbindung zu einem Router. Über den Router sind die Geräte aber nicht nur untereinander verbunden, sondern in den meisten Fällen auch mit dem Internet“1. Dieser Aufbau dürfte die am weitesten verbreitete Variante eines Netzwerkes sein und in dieser Form in den allermeisten Haushalten zu finden sein: Eine Familie besitzt einen Router, welcher über den Internet-Service-Provider (ISP) mit dem Internet verbunden ist. Dieser Router organisiert das Netzwerk der Familie, in welches verschiedenste Geräte der einzelnen Personen eingebunden sind, beispielsweise die Mobiltelefone der Kinder, der gemeinsame Smart-TV im Wohnzimmer oder der Arbeitslaptop der Eltern. Der Router hat hierbei nicht nur die Aufgabe, die einzelnen Komponenten nach außen mit dem Internet zu verbinden, sondern dient auch dazu, deren Kommunikation innerhalb des Netzwerks zu gewährleisten. Dadurch können sich die Geräte im Netzwerk jedoch auch gegenseitig finden und in Kontakt treten, etwa ein im Netz befindlicher Drucker mit dem beschriebenen Arbeitslaptop. Dieser stark vereinfachte Aufbau eines kleinen Heimnetzwerks lässt sich selbstverständlich auch auf größere Netzwerke wie Firmennetzwerke, übertragen.
Ein solches Netzwerk, das verschiedene Komponenten verbindet, wird in dem Wortzusammenschluss VPN, genauer mit den Adjektiven virtuell und privat, konkretisiert. Unter privat versteht man im Allgemeinen etwas Persönliches oder auf eine einzelne Person Bezogenes (hier: Abschottung eines Netzes gegen andere); virtuell beschreibt etwas nicht tatsächlich physisch Greifbares, sondern digital generiertes (hier: physikalische Netzwerkstruktur nicht reell und exklusiv, sondern mit vielen unterschiedlichen Verbindungen genutzt).
Zur weiteren Begriffsannäherung möchte ich das VPN von anderen Netzwerkvarianten abgrenzen. Das Gegenstück zu einem virtuellen privaten Netzwerk wäre im Prinzip ein echtes privates Netzwerk, also eines, das bei der zuvor beschriebenen Familie oder auch bei einem Unternehmen in diesem verwendet wird. Die Datenleitungen sind ausschließlich für die Nutzung des Eigentümers (bzw. Mieters einer Datenleitung) vorgesehen und können auch nur durch direkten Anschluss daran verwendet werden.
Öffentliche Netzwerke werden hingegen betrieben, um die Benutzung durch jedermann zu ermöglichen. Dies geschieht entweder aus wirtschaftlichen Zwecken kostenlos, wie beispielsweise bei einem freien Internetzugang an einem öffentlichen Platz oder in einem Café, oder durch gewinnorientierte Dienstleistungsunternehmen gegen eine Verbindungspauschale, wie beim öffentlichen Telefonnetz für Telefonie oder vorrangig mobile Daten.
„Ein VPN versucht private und öffentliche Netzwerke zu kombinieren, indem das öffentliche Netzwerk als Trägernetzwerk für die private Kommunikation genutzt wird“2. Ein privates Netzwerk, egal in welchem Aufbau, wird dadurch über das öffentliche Netz bzw. das Internet zugänglich und erreichbar gemacht, ohne direkt und physisch an das Zielnetz angeschlossen zu sein. Dadurch ist es beispielsweise möglich, von einer Geschäftsreise auf die Daten des Unternehmens oder auf den Massenspeicher, der in das eigene Heimnetzwerk eingebunden ist, zuzugreifen, um so seine eigene und private Cloud zu realisieren. Diese Technik bietet in der heutigen und mobilen Welt eine Vielzahl von Möglichkeiten und soll nachfolgend genauer betrachtet werden.
1.2 Technische Funktionsweise
Der Grundbaustein für ein virtuelles privates Netzwerk ist zunächst einmal eine Art eines privaten Netzwerkes. Dieses kann in beliebiger Form aufgebaut sein, sollte jedoch, sofern ein Zugriff von außen gewünscht ist, mit dem Internet verbunden sein. Um dieses internetfähige Netzwerk wird dann mittels eines VPN- Servers das eigentliche VPN gebildet, was anhand der nachfolgenden Grafik verdeutlicht werden soll.
Die Teilnehmer im rechten oberen Bildteil bilden das grundlegende Heimnetzwerk. Dieses besteht hier aus einem Laptop, der an den Router angeschlossen ist. Der Router wiederum ist an das Internet angeschlossen und verfügt über eine öffentliche IP-Adresse, über die er hierüber erreichbar ist. Innerhalb des Netzes läuft die Adressierung mittels IPv4-Adresse des privaten Bereichs (beispielsweise 192.168.0.2 für den Laptop und 192.168.0.1 für den Router) und außerhalb über öffentliche IPv4- oder IPv6-Adressen (z.B. 91.89.216.4). Soll nun das Heimnetzwerk von außen erreichbar sein, also beispielsweise der Laptop (192.168.0.2) über ein öffentliches Netz angesteuert werden können, wird ein sog. VPN-Server benötigt (siehe Bild). Dieser kann auf verschiedenste Arten konfiguriert sein und beispielsweise auf virtuellen Maschinen, externen Geräten wie einem Raspberry Pi oder einem Webserver bzw. auch auf einem eigenständigen Rechner oder sogar über den Router selbst betrieben werden. Wichtig ist lediglich, dass das Gerät, welches den VPN- Dienst betreibt, in einem Netzwerk eingebunden ist, dort eine interne IP-Adresse besitzt (beispielsweise 192.168.0.3) und eine Verbindung zum Internet hat bzw. über eine öffentliche Adresse erreichbar ist. Ist dieser VPN- Server richtig konfiguriert, muss im Router anschließend noch der Zugriff von außen gewährleistet werden, indem einzelne Ports für den Zugriff von außen geöffnet werden. Ohne diese Öffnung würde ein Zugriff über das Internet von Seiten des Routers geblockt werden und keine Signale an den VPN-Server weiterleiten.
Sofern nun abschließend alle Voraussetzungen vorliegen und korrekt eingerichtet sind, ist der VPN-Server von außen erreichbar. Hierfür kann er im Bildbeispiel über das öffentliche Netz (WAN = Wide Area Network)3, hier das Mobilfunknetz, erreicht werden. Dazu muss auf dem verwendeten Client-Gerät die gewünschte Verbindung zum VPN-Server konfiguriert werden, wodurch dieses anschließend über das Internet zuerst Kontakt mit dem Router aufnimmt, der eine öffentliche IP-Adresse besitzt (bspw. 91.89.216.4). Dieses Signal des Clients wird intern vom Router an den VPN-Server weitergeleitet (192.168.0.1 192.168.0.3) und in diesem verarbeitet. Die künftige Kommuni kation läuft dann über einen sog. VPN-Tunnel, den der VPN-Server mit dem eingewählten Client aufbaut. In diesem Tunnel ist sämtliche Kommunikation verschlüsselt und kann von außen inhaltlich nicht genau eingesehen werden. Dennoch kann so eine Verbindung von außen in das Heimnetzwerk aufgebaut werden. Das im Bild dargestellte Mobiltelefon kann somit über die IP-Adresse 192.168.0.2 beispielsweise eine Anfrage an den Laptop des Netzwerks senden. Hierzu wird die Anfrage über den aufgebauten VPN-Tunnel an den VPN-Server geleitet, welcher diese mittels der internen IP-Adressen weiterleitet und auch wieder Antworten nach außen entgegennimmt.
Dies ist lediglich ein schematisch dargestelltes Beispiel, dessen konkreter Aufbau je nach den eigenen Bedürfnissen gestaltet werden kann. In vielen Fällen sind hier auch noch Firewalls vorgeschaltet, um den Zugriff und die Kommunikation von außen zu sichern oder beispielsweise in Firmennetzwerken eigene interne Abläufe und Vorgaben zu implementieren. Der grundlegende Aufbau funktioniert jedoch über den gerade beschriebenen Aufbau mittels eines VPN- Servers und eines Netzwerks, welches von außen erreichbar ist. Dadurch ergeben sich eine Vielzahl von Einsatzmöglichkeiten und Verwendungszwecken, die nun erörtert werden sollen.
1.3 Einsatzmöglichkeiten und verschiedene Varianten
1.3.1 Verschiedene Varianten
Es gibt nicht nur diverse Varianten virtueller privater Netzwerke, sondern auch eine Vielfalt von Einsatzmöglichkeiten und Ziele, die auf unterschiedlichen Techniken und Protokollen aufbauen. Im Folgenden soll eine Auswahl gängiger Varianten dargestellt und anhand des technischen Aufbaus bzw. der hierbei stattfindenden Kommunikation beleuchtet werden.
PPTP VPN:
Das PPTP VPN ist das „Urgestein“ unter den hier aufgeführten Varianten und ist seit über 20 Jahren in verschiedenen Betriebssystemen integriert bzw. anwendbar. PPTP steht dabei für Punkt-zu-Punkt-Tunnel-Protokoll und beschreibt die Art oder den Aufbau der Verbindung. Hierbei wird ein Tunnel zwischen zwei Punkten erstellt, durch den die Daten untereinander ausgetauscht werden. Der Nutzer meldet sich dabei auf dem VPN-Server mittels Zugangsdaten an und kann anschließend auf das gesamte Netzwerk zugreifen, was diese Variante ideal für die private und geschäftliche Verwendung macht. Der große Nachteil dieser Tunnelvariante ist jedoch die fehlende bzw. nicht ausreichende Verschlüsselung, welche für viele Anwender ja gerade der (Haupt-)Grund für die Verwendung eines VPN ist. Diese Variante des VPN sollte daher nicht zur Übermittlung sensibler Daten verwendet werden.4
Site-to-Site VPN:
Beim Site-to-Site VPN (sinngemäß Standort-zu-Standort) oder auch Router-zu-Router VPN werden zwei verschiedene Router oder Netzwerke miteinander verbunden. Ein häufiges Einsatzgebiet sind hier beispielsweise mehrere Firmennetzwerke an unterschiedlichen Unternehmensstandorten, um verschiedene Niederlassungen eines Unternehmens mit der Hauptgeschäftsstelle zu verbinden und so gemeinsame Daten zu nutzen.
Dies ist als Intranet-basierte Variante, wie im zuvor beschriebenen Beispiel, sowie auch als Extranet-basierte Variante, welche zwei Netze verschiedener Unternehmen verbindet, möglich. „Einfach ausgedrückt erstellt ein Site-to-Site VPN eine virtuelle Brücke, die Netzwerke an verschiedenen Standorten vereint, um sie mit dem Internet zu verbinden, wobei es auch eine sichere und private Kommunikation zwischen diesen Netzwerken gewährleistet“5. Die Verschlüsselung des Netzwerkverkehrs erfolgt in diesen Varianten durch einen hardwareoder softwarebasierten Router an den beiden Enden der verschiedenen Netzwerke.6
L2TP VPN:
Diese VPN-Variante steht für Layer-zu-Tunnel-Protokoll und weißt Ähnlichkeiten zu dem bereits beschriebenen PPTP VPN auf. So wird eine Verbindung zwischen zwei Verbindungspunkten gebildet, welche jedoch durch ein gesondertes VPN-Protokoll (z.B. IPSec) separat verschlüsselt wird. Hierzu greift das L2TP auf ein anderes Sicherheitsprotokoll zurück, was die ansonsten fehlende Verschlüsselung herbeiführt. Dadurch sind auch Sicherheitsaspekte wie Datenintegrität und Vertraulichkeit gesichert.7
IPSec:
IPSec steht für Internetz Protocol Security und ist eine Erweiterung bzw. Sammlung von Erweiterungen für das gängige Internet Protocol (IP), welche für mehr Sicherheit bei der Übertragung zwischen IP-Netzwerken sorgen soll. Das IPSec unterscheidet in zwei verschiedene Modi, den Transportmodus und den Tunnelmodus. Bei ersterem wird ein zusätzlicher IPSec-Header verwendet, um die Daten in Punkt-zu-Punkt-Verbindung zu verschlüsseln. Beim Tunnel-Modus werden zwei bestehende Netzwerke über einen sicheren Tunnel zwischen Routern oder Gateways verbunden und auch auf einer Teilstrecke verschlüsselt.8
SSL und TSL VPN:
SSL (Secure Socket Layer) und TSL (Transport Socket Layer) sind Verbindungsprotokolle und können für den Aufbau einer VPN-Verbindung verwendet werden. Anders als bei IPSec VPN ist bei der SSL- und TSL-Variante keine zusätzlich Software oder Installation nötig. So wird über ein SSL-VPN nur der Remote-Zugriff auf beispielsweise Webanwendungen oder Client/Server- Anwendungen hergestellt, was bei verschiedenen Online-Shops oder Webseiten zum Einsatz kommt und häufig an der bereits im Browser integrierten HTTPS-Verbindung erkennbar ist. Zwei Varianten des SSL VPN sind das SSL Portal VPN und das SSL Tunnel VPN. Der Portal-Dienst bietet Verbindung zu einer einzelnen Webseite (über den Webbrowser auf das SSL-VPN-Gateway), der Tunnel auf mehrere Netzwerk-Dienste, wie beispielsweise die zusätzliche Integration von Flash-Anwendungen, Java oder Plugins.9
OpenVPN:
Bei OpenVPN handelt es sich um eine frei verfügbare Software der Firma GNU GPL, welche auf unterschiedlichen Plattformen den einfachen Aufbau zwischen einzelnen Clients oder ganzen Netzwerken realisieren soll. Die Software kann auf Rechnern verschiedener Betriebssysteme, Servern oder per Mobilgeräten installiert werden, überträgt Datenströme per TCP oder UDP und verschlüsselt den Datenverkehr mit der Bibliothek OpenSSL. Eine Verbindung wird mittels Zertifikate und Zugangsdaten eingerichtet und kann ebenfalls über DynDNS-Dienste betrieben werden, worauf im praktischen Teil genauer eingegangen wird. Durch die Unterstützung verschiedenster Plattformen und einer hohen Stabilität lassen sich äußerst große VPNs über eine einfache Konfiguration einrichten.10
Neben den beschriebenen Varianten gibt es noch einige Weitere, wie beispielsweise MPLS VPN oder Hybrid VPN, auf welche jedoch nicht genauer eingegangen wird. Die gängigsten Varianten sind mit der gerade geführten Aufzählung und Erläuterung genannt.
1.3.2 Einsatzmöglichkeiten
Zu Beginn der vorliegenden Arbeit wurde bereits auf einzelne Einsatzmöglichkeiten und Verwendungszwecke von virtuellen privaten Netzwerken eingegangen. Weitere denkbare Varianten sollen nun nachfolgend dargestellt werden:
Hier sei zuerst einmal zwischen zwei möglichen VPN-Anbindungen zu unterscheiden: Einerseits kann sich ein Client, wie eingangs erwähnt, mit einem bestehenden Netzwerk, welches ihm bereits bekannt ist und/oder von welchem Daten bezogen werden, verbinden, weshalb wir dies als ein netzwerkorientiertes VPN bezeichnen. Andererseits kann sich ein Client aber auch mit einem VPN verbinden, dessen genauen Ursprung er nicht exakt kennt, aber über eine Art Vermittler Zugang zu dem Netzwerk erhält, weshalb wir diese Variante ein verbindungsorientiertes VPN nennen.
Bei einem netzwerkorientierten VPN ist das Netzwerk das gewünschte Ziel, auf das Zugriff erlangt werden soll, um dort beispielsweise Daten abzurufen, Verbindungen aufzubauen oder Geräte darin zu nutzen. Beim verbindungsorientierten VPN geht es dem Client nur um die Verbindung als solche, egal welche genauen Geräte oder Daten in dem eigentlichen Netzwerk eingebunden sind. Dies ist bei den gängigen VPN-Anbietern wie CyberGhost VPN, Nord-VPN oder ExpressVPN der Fall, um nur einige von vielen zu nennen. Ein Client erhält, meist gegen eine Bezahlung, einen Zugang zu dem Netzwerk und führt die künftige Kommunikation über dieses aus.
Internetsperren umgehen:
Im Internet kommt es häufig vor, dass einzelne Inhalte durch Geoblocking- Sperren geschützt sind, also dass Nutzer, die sich in einer bestimmten Region aufhalten, nicht auf bestimmte Seiten zugreifen können. So ist beispielsweise bei einzelnen Videos auf Videoplattformen feststellbar, dass Nutzer aus Deutschland Inhalte aus Amerika aus lizenzrechtlichen Gründen nicht abrufen dürfen. In einigen Ländern sind jedoch auch große Internetdienste wie Facebook oder Twitter nicht zugänglich bzw. gänzlich gesperrt. In der Türkei ist beispielsweise Twitter nicht abrufbar und auch Russland hat in der Vergangenheit immer wieder einzelne soziale Netzwerke im Vorfeld wichtiger politischer Entscheidungen gesperrt. Möchte ein Nutzer aus einem solchen Land nun dennoch auf die entsprechenden Seiten zugreifen, kann er sich über ein VPN einwählen, das die IP-Adresse eines anderen Landes besitzt. Dadurch erhält der Nutzer „nach außen“ diese fremde IP-Adresse und verwendet die eigene nur für die Verbindung zu dem Netzwerk. Da es hierbei lediglich um die Verbindung über ein anderes Netzwerk geht, kommt folglich meist das verbindungsorientierte VPN zum Einsatz.
Privates Surfen:
Sicher und privat zu surfen dürfte vermutlich der bekannteste Einsatzzweck von VPNs, meist verbindungsorientierten VPNs, sein. Ohne die Verwendung eines solchen wird beim Surfen im Internet die eigene IP-Adresse an die aufgerufenen Webseiten übermittelt, wodurch auch der Internetanbieter Kenntnis über die aufgerufenen Seiten, hat. Dadurch können nicht nur einzelne Nutzerdaten erhoben und persönlich zugeschnittene Werbung erstellt, sondern aber auch ganze Nutzungsprofile jeder der jeweiligen Personen und deren Interessen erstellt werden. Immer mehr Nutzer möchten dies jedoch umgehen und durch Verschlüsselung oder die Verwendung einer anderen IP-Adressen so anonym wie möglich im Internet bleiben - sei dies aus Gründen des Datenschutzes oder um bei gewissen Aktivitäten nicht rückverfolgbar zu sein.
Auch dies sind wieder nur einige, ausgewählte Einsatzmöglichkeiten. Auf weitere soll an dieser Stelle nicht eingegangen werden, jedoch dürften der Phantasie kaum Grenzen gesetzt sein, wenn es darum geht? wie VPNs noch verwendet werden können.
Sicherheit
Nachdem insbesondere das sichere und private Surfen als eine Einsatzmöglichkeit von virtuellen privaten Netzwerken festgestellt wurde, soll im Nachfolgenden die Sicherheit der Verbindung je nach Verbindungstyp eingestuft und die möglichen oder bereits existenten Gefahren aufgezeigt werden.
2.1 Sicherheitseinstufung
Die Sicherheit eines Virtual Private Networks hängt von verschiedenen Faktoren ab. Hier ist zunächst die Sicherheit des Client-Rechners zu nennen, welcher sich mit einem VPN verbinden möchte. Dabei können sich Schwachstellen ergeben, die einen möglichen Zugriff von außen ermöglichen. Im Rahmen einer VPN-Verbindung sind die transportierten Informationen im Zeitraum des Transportes je nach Art der Verwendung durch verschiedene Protokolle abgesichert. Beim Server, aber auch beim Client liegen diese Informationen vor oder nach der Verschlüsselung im Klartext vor und können dort auch gelesen werden. Dies kann dadurch geschehen, dass ein Client eventuell bereits durch einen Virus oder einen sonstigen Schädling befallen ist, der Datenstrukturen abgreift und nach außen führt oder mitprotokolliert. Dadurch können die auf dem Client letztendlich unverschlüsselten Daten nach Erhalt über das VPN eingesehen werden, wodurch eine Sicherheitslücke entsteht.
Der nächste Faktor ist der VPN-Server als solcher. Durch den Umstand, dass dieser über das Internet erreichbar ist und auch einzelne Ports freigeschaltet werden, ergibt sich ein Angriffsziel von außen. Hier kann versucht werden, die Daten vor einer Verschlüsselung abzugreifen bzw. zu manipulieren oder den eigentlichen Dienst zu stören und die Erreichbarkeit hierdurch zu beeinträchtigen, was unter Umständen einen erheblichen Schaden verursachen kann.
Abschließend ist das Virtual Private Network und dessen Verbindung mit den darin implementierten Verbindungsprotokollen als solche zu nennen. Diese wurden unter 1.3.1 bereits aufgeführt, sollen nun jedoch aus dem Gesichtspunkt der Sicherheit tiefergehend betrachtet werden.
Der wesentliche Punkt einer Verbindung über ein VPN, wenn diese auf ihre Sicherheit untersucht werden soll, ist der Grad der Verschlüsselung. Verschiedene Protokolle, die bei VPN zum Einsatz kommen, gelten nach aktuellem Stand der Technik als sicher, andere hingegen sind seit einigen Jahre „geknackt“ oder gar komplett unsicher.
Bei dem eingangs erwähnten PPT-Protokoll handelt es sich um einen der geknackten Fälle, da es im Jahr 2012 erfolgreich entschlüsselt werden konnte, obwohl es auch bis dato bereits als nicht sonderlich sicher galt. „Das eingesetzte Authentifizierungsverfahren MSCHAPv2 setzt auf das angestaubte DES und lässt sich demnach mit Spezial-Hardware einfach knacken. Konkret kann angeblich CloudCracker aus aufgezeichneten Netzwerk-Paketen den NT-Hash ermitteln, der die Basis für Authentifizierung und Verschlüsselung von PPTP und übrigens auch von WLANs mit WPA2 und EAP/MS-CHAPv2 bildet“11. Die DES-Verschlüsselung baut dabei auf einen DES-Schlüssel mit 256 Möglichkeiten, welche automatisiert durchprobiert werden können. Hiermit ist es möglich, die verwendete Verschlüsselung zu entschlüsseln und den kompletten Anmeldevorgang zu lesen, wie im Jahr 2012 auch durch Heise.de getestet.12
Lediglich die Ergänzung von PPP-Traffic durch SSTP (Secure Socket Tunneling Protocol) bietet mehr Sicherheit, da dieser hierbei um die Verschlüsselung von SSL/TSL erweitert wird. Seit Windows Vista ist SSTP auch in dem WindowsBetriebssystemen integriert und bietet so standardmäßig über Port 443 und TCP eine sichere Kommunikation, welche ohne weitere Software auskommt.
Die restlichen VPN-Protokolle sind aufgrund ihrer für den Transport verwendeten Verschlüsselung weitestgehend sicher. Bei OpenVPN beispielsweise kann der Grad der Verschlüsselung sogar genauer spezifiziert werden. Des Weiteren ist eine Auswahl aus verschiedenen AES-Verschlüsselungen möglich. Die Entschlüsselung dieser würde beim Abfangen des Netzwerkverkehrs Jahrzehnte benötigen.13
Diese Verschlüsselung ist bereits bei dem Verbindungsaufbau erkennbar, da die normalerweise verwendeten TLS/SSL-Handshakes durch die Generierung von Verschlüsselungsschlüsseln und das Vereinbaren eines VPN-Protokolls ersetzt werden. Hierauf wird später genauer eingegangen.
2.2 Daten-Leaks
Trotz des Umstandes, dass der Netzwerkverkehr in einer aufgebauten VPN- Verbindung verschlüsselt wird, kann es Konstellationen geben, in denen dieser entweder entschlüsselt werden kann oder der Datenverkehr nicht über die VPN- Verbindung geleitet wird.
2.2.1 Entschlüsselung
Bei Verschlüsselung ist grundlegend zwischen symmetrischer und asymmetrischer Verschlüsselung zu unterscheiden, wobei die Verschlüsselung bei letzterer mit privaten und öffentlichen Schlüsseln statttindet. Dies bietet aus kryptographischen Aspekten mehr Sicherheit für den verschlüsselten Text als die symmetrische Verschlüsselung, bei der nur ein einzelner Schlüssel verwendet wird.
Ein solches asymmetrisches Verschlüsselungsverfahren ist die sog. Diffie- Hellman-Verschlüsselungsvereinbarung, welche bei dem OpenVPN-Protokoll und mehreren anderen verwendet wird. Des Weiteren werden die übermittelten Daten mittels eines Hashabgleichs auf deren Vollständigkeit geprüft. Jedes Protokoll unterscheidet sich dabei teilweise anhand der verwendeten Methode, die grundlegende Herangehensweise ist jedoch immer gleich.
„VPNs bleiben die effizienteste Methode, um seine Online-Privatsphäre zu schützen. Allerdings ist es auch so, dass sich so ziemlich alles hacken lässt. Das gilt vor allen Dingen dann, wenn es sich um ein lohnendes Ziel handelt und der Angreifer genug Zeit, Geld und Ressourcen hat. Die gute Nachricht ist, dass die meisten Anwender nicht in die Kategorie Ziel mit hohem Wert fallen“14. Bei einer Verschlüsselung nach neustem Stand der Technik, wie sie bei den gängigen VPN-Protokollen verwendet wird, dürfte es auch mit äußerst hoher Rechenleistung Jahre dauern, diese zu entschlüsseln. Der gängigere Weg ist es eher, den Schlüssel der Kommunikationsparteien zu stehlen und so die ausgetauschten Inhalte zu entschlüsseln. Dafür werden gängige Varianten wie Phishing-Mails oder Backdoors verwendet, um an relevante Daten zu gelangen.
Dennoch soll es, den Enthüllungen des Whistleblowers Edward Snowden zufolge, einem amerikanischen Geheimdienst gelungen sein, auch diese Diffie- Hellman-Verschlüsselung mit einer Länge von 1024-Bit innerhalb eines Jahres und mittels eines einige Hundert Millionen US-Dollar teuren Rechners zu entschlüsseln. Daher sollten beim Austausch sensibler Daten komplexere Verschlüsselungen von mindestens 2048-Bit verwendet und VPNs, die auf Hashing-Algorithmen MD5 und SHA1 basieren, vermieden werden (z.B. die Protokolle PPTP und L2TO/IPSec).15
2.2.2 Fehlgeleitete Verbindung
Eine weitere größere Gefahr entsteht durch fehlgeleitete Verbindungen. Durch diese können bestimmte Daten unverschlüsselt oder nur wenig verschlüsselt transportiert werden, wodurch sie einfacher zugänglich sind. Häufig sind falsche Einstellungen bei softwarebasierten VPN die Ursache solcher Fehlleitungen.
IPv6-Leak:16
Der neue IP-Standard IPv6 birgt Potential und großen Nutzen für die Technologie bzw. Internetnutzung. Dennoch können sich dadurch auch Gefahren bei falscher Verwendung ergeben. Viele Computer und auch Webseiten sind mittlerweile auch schon in der Lage, IPv6-Adressen zu verwenden oder sind nur noch über solche erreichbar. Ist ein VPN jedoch so konfiguriert, dass es nur IPv4-Adressen unterstützt, wird der Datenverkehr, der an eine ausschließlich IPv6-fähige Webseite übermittelt wird, auf dem ursprünglichen Transportweg und damit teilweise unverschlüsselt übergeben, zumindest die eigene und reale IP-Adresse. Diese Einstellung lässt sich mit diversen Online-Tools testen, was vor der eigentlichen Verwendung eines VPN getan werden sollte.
DNS-Leak:17 18
Das Domain Name System (DNS) ist für die Zuordnung von Internet-URLS und IP-Adressen der dazugehörigen Webseite verantwortlich. Gibt ein Nutzer die gewünschte Zieladresse, z.B. www.hs-albsig.de, in den Browser ein, ermittelt der Rechner über verschiedene Anfragen zuerst die IP-Adresse des Servers der Hochschule Albstadt-Sigmaringen und sendet daraufhin die eigentlich gewünschte Anfrage an diese. Hier sind sowohl sog. DNS-Server aber auch der ISP involviert, um ein schnelles Ergebnis zu liefern. Anhand der DNS-Requests können jedoch auch Rückschlüsse über das eigene Surfverhalten samt kompletter Links, beispielsweise eines Facebook-Profil nachverfolgt werden, Umleitungen zu betrügerischen Webseiten erstellt oder Inhalt trotz einer VPN- Verbindung über ein anderes Land anhand der DNS-Anfragen blockiert werden. Daher empfiehlt es sich, einen VPN-Dienst zu verwenden, dessen DNSAbfragen nicht über die gängigen DNS-Dienste oder den ISP laufen, sondern über den Tunnel selbst und von dem VPN-Server als solcher eine DNS-Anfrage durchgeführt wird.
WebRTC-Leak:
WebRTC ist ein Dienst, der zur Echtzeitkommunikation im Browser entwickelt und auch für Video-Chats verwendet wurde. Bei dieser Kommunikation werden Daten, darunter die reale IP-Adresse des Nutzers, durch einzelne Browser an verschiedene Dienste, beispielsweise soziale Medien, weitergeleitet. Dies geschieht teilweise auch bei der Verwendung eines VPN. Dieser Gefahr sollte man sich bei der Einrichtung eines VPN bewusst sein und entsprechende Gegenmaßnahmen, wie ein VPN mit WebRTC-Block oder eine entsprechende Browsererweiterung, implementieren. Hierdurch bleiben sensible Daten, zum Beispiel über die eigene Identität, innerhalb des Kommunikationskanals und werden nicht weiter nach außen an andere Dienste geleitet.
Man-In-The-Middle-Attack:19
Man-In-The-Middle-Attacks, kurz MITMA beschreibt einen Angriff auf die Kommunikation zwischen zwei Punkten. Diese tauschen Nachrichten oder Informationen aus, bekommen jedoch nicht mit, dass in der Mitte dieses Austausches noch eine dritte Person, der sog. „Mann in der Mitte“, sitzt, welcher die Unterhaltung mitverfolgen kann. Dies funktioniert, indem Schlüssel und Zertifikate gestohlen bzw. entsprechend verändert werden oder der weniger abgesicherte Teil einer Verbindung ausgelesen wird. Kann ein Angreifer die Kommunikation so verändern, dass Nachrichten mit seinem eigenen Schlüssel verschlüsselt werden, er diese dann erhält und erst nach dem Lesen der Nachricht weiterschickt, ist die Kommunikation über ein VPN umgeleitet und nicht mehr sicher. Bei einer VPN-Verbindung ist der sog. Tunnel zwischen Client und VPN-Server verschlüsselt, eventuell aber nicht der Weg zwischen dem VPN-Server und der Zieladresse. Auch hier können Angriffe auch Nachrichteninhalte stattfinden. Eine Art MITM-Attacke wurden im Jahr 2011 beispielsweise in Indonesien von der dortigen Regierung eingesetzt, um in Zeiten zahlreicher Proteste die Zugangsdaten sozialer Netzwerke abzufangen, dort ausgetauschte Nachrichten zu lesen oder gar ganze Konten zu löschen20.
Somit bestehen einzelne Schwachstellen, die zu ungewollter Datenübermittlung oder Fehlleitung von VPNs führen können, wobei die obige Aufzählung selbstverständlich nicht abschließend ist. Immer wieder tauchen neue Wege auf oder sind gar bereits existent, jedoch noch nicht bekannt. Es gibt beinahe keine absolute Sicherheit, jedoch ist die Verwendung eines VPN bereits ein Schritt in Richtung einer größeren Sicherheit.
2.3 Sonstige Gefahren und Einschränkungen
Die Verwendung eines VPN birgt, wie gerade angedeutet, noch weitere Gefahren aber auch einfache Einschränkungen. Eine solche ist die auf der Hand liegende Geschwindigkeitseinschränkung. Wird der Netzwerkverkehr noch zusätzlich über einen gesonderten Server geleitet, statt direkt zum gewünschten Ziel, verlängert sich die benötigte Zeit zur abschließenden Übermittlung oder zum Verbindungsaufbau. Dies wird weiter noch von dem verwendeten Protokoll des Servers beeinflusst. Hier sind, wie bei vielen anderen Servern oder Routern, die Protokolle TCP und UDP gängig. TCP setzt dabei auch Datensicherheit und prüft jedes Paket das versendet wird auf Vollständigkeit. Fehlen Pakete, können diese erneut angefordert oder versendet werden. Dieser Mechanismus fehlt bei der Verwendung von UDP. Hier werden die Pakete versendet, ohne dass deren weiterer Weg verfolgt wird. Kommt ein Paket nicht vollständig an, wird der Datenstrom dennoch weitergeführt. Die kompletten Daten müssen eventuell erneut angefordert werden, sofern die abschließenden Informationen nicht vollständig sind. Diese weitere Überprüfung bei TCP benötigt jedoch zusätzliche Zeit, weshalb in vielen Fällen bei VPN-Servern das UDP-Protokoll verwendet wird. Hinzukommt das VPN-Protokoll, welches auch Auswirkungen auf die Netzgeschwindigkeit hat.
„Eine grundlegende Rolle der Netzwerksicherheit kommt der Authentizität des Benutzers zu. Authentifizierung beschreibt die eindeutige Identifizierung einer Person und muss grundsätzlich von der Autorisierung unterschieden werden, die lediglich Berechtigungen feststellt, nicht aber die Person selbst. Gerade in VPNs gilt die Authentifizierung als ein sehr wichtiger Bestandteil, da hierdurch die Kommunikation zwischen den auch tatsächlich gewünschten Parteien sichergestellt wird. In den meisten Fällen geschieht die Anmeldung an einem System mit Benutzername und Passwort. Da mit Hilfe von VPNs auf Firmennetze mit sensiblen und vertraulichen Daten zugegriffen werden kann, sind jedoch [teilweise] entsprechend strengere Methoden zur Identifizierung notwendig“21.
An dieser Stelle wird nicht auf die diversen komplexen Authentifizierungsmethoden in Firmennetzwerken eingegangen, die von biometrischen Merkmalen über Chip-/Magnetkarten, Zwei-Faktor-Authentifizierung oder einfache Passwörter reichen können. Eher soll hier auf die Wichtigkeit der Authentizität hingewiesen werden. Eine umfangreiche Verschlüsselung eines Tunnels ist nicht sonderlich nützlich, wenn die Zugangsdaten bekannt sind und nicht gesichert ist, wer mit wem kommuniziert. Sowohl für privat genutzte, als auch für käuflich erhältliche VPNs werden in den meisten Fällen tatsächlich lediglich Benutzername, Passwort und ein Zertifikat verwendet, da hier meist keine derart hochsensiblen Daten übermittelt werden, wie in Firmennetzwerken. Sollte dem Nutzer diese Sicherheit je nach Einsatzzweck jedoch nicht ausreichen, müssten weitere Sicherheitsmechanismen eingebunden werden.
3 Nachweismöglichkeiten
In den vorherigen Kapiteln wurde ausführlich über die technischen Rahmenbedingungen von virtuellen privaten Netzwerken gesprochen, auf deren Sicherheit und Risiken eingegangen sowie verschiedenste Protokolle angesprochen. Wie anonym ein Nutzer dabei tatsächlich ist und ob es eine tatsächlich nahezu unsichtbare Verbindung über VPN gibt wird im folgenden Kapitel erörtert. Nun soll jedoch zunächst auf die Nachweismöglichkeiten solcher Verbindungen eingegangen werden, sowohl im Netzwerkverkehr als solchem, aber auch bei von außen betrachteten Verbindungen.
Wirft man einen Blick auf den allgemeinen Netzwerkverkehr, wie er in unzählig großen Mengen täglich vollzogen wird, ist schnell feststellbar, dass dieser häufig mit sog. Handshakes beginnt. Dies ist eine Form des Verbindungsaufbaus, bei dem sich die Partner des Informationsaustausches gegenseitig zu erkennen geben und Daten zu Erreichbarkeit und der „eigenen Person/Geräts“ übermitteln. Nach diesem sog. Handshake, welcher meist per TLS oder SSL durchgeführt wird, ist die Verbindung aufgebaut und zur Übermittlung bereit. Je nach Protokoll findet über den vereinbarten Weg dann auch eine Verschlüsselung mit ausgetauschten Parametern statt.
Bei einer VPN-Verbindung wird bereits dieser Handshake meist in einem anderen Protokoll durchgeführt, woran sich der Aufbau einer VPN-Verbindung auch erkennen lässt. Welches Handshake- oder Schlüsselaustausch-Protokoll hier verwendet wird, variiert je nach verwendetem Anbieter und VPN-Protokoll. Bei IPSec wird für den Schlüsselaustausch beim Verbindungsaufbau beispielsweise ein gesondertes Protokoll namens IKE (Internet Key Exchange) verwendet, dass über die Diffie-Hellman- und AES-Verschlüsselung einen Key-Exchange durchführt. Der Verbindungsaufbau bei IPSec lässt sich in mehrere Phasen unterteilen, nach deren Abschluss in den sog. Tunnel-Modus umgeschaltet und dort die weitere verschlüsselte Kommunikation durchgeführt wird.
In den vorherigen Phasen des Verbindungsaufbaus lassen sich bereits Spuren des Schlüsselaustausches im Netzwerkverkehr auffinden, wie in Abb. 222 ersichtlich wird. Bei IPSec sind die Phasen aufgeteilt in:
- Internet Key Exchange (IKE)
- IKE Phase 1
- Main Mode /Aggressive Mode
- IKE Phase 2
- IPSec Protocol
- Transport Mode / Tunnel Mode
In diesen Phasen oder Protokollen werden zuerst Schlüssel ausgetauscht, ehe die Kommunikation dann über Tunnel fortgesetzt wird. Bereits beim ersten Verbindungsaufbau wird ein Tunnel eingerichtet, der in der weiteren IKE Phase 2 mit einem zusätzlichen Tunnel darunter versehen wird. Nach der ersten Nachricht, welche in Abb. 223 zu sehen ist, wird auch das dort leere Feld Responder SPI mit einer Partner-ID befüllt, durch welche die Zuordnung stattfindet. Auf die weiteren Phasen und deren Protokolle wird hier nicht weiter eingegangen, da dies den Rahmen der vorliegenden Arbeit sprengen würde.24
Bei dem VPN-Protokoll OpenVPN hingegen sind weitaus weniger Informationen aus dem Datenstrom auslesbar. Genauer wird dies im praktischen Teil betrachtet, da hier ein VPN auf OpenVPN-Basis eingerichtet und untersucht werden soll. Der Verbindungsaufbau ist hier auch im Rahmen eines Handshakes erkennbar, der auf dem OpenVPN-Protokoll basiert.
Abgesehen von der Untersuchung des Netzwerkverkehrs lässt sich die Verwendung eines VPN von außen anhand der verwendeten IP-Adresse und der sonstigen Informationen nachweisen. Verwendet ein Nutzer, bei dem Informationen dafür vorliegen, dass er beispielsweise aus Deutschland kommt, eine IPAdresse einer ausländischen Kennung spricht dies auch für die Verwendung eines VPNs.
4 Anonymität
Das Themenfeld Anonymität wurde in den vorherigen Abschnitten bereits mehrfach angeschnitten und Virtual Private Networks als eine gute Wahl zum anonymen Surfen im Internet dargestellt. Doch ist der „klassische“ VPN-Nutzer tatsächlich anonym und gibt es überhaupt eine komplett anonyme Konfiguration, die keine Rückschlüsse auf die eigene Person zulässt?
Vorweggenommen: Absolute Anonymität und Sicherheit im Internet gibt es beinahe nicht. Es können Methoden und Wegen herangezogen werden, die die Identifizierung der eigenen Person oder Verschlüsselung der eigenen Daten erschweren. Dennoch preisen zahlreiche VPN-Anbieter ihre Produkte mit „absolute Privatsphäre“ oder „100% anonym“ an.
Einige Datenleaks oder falsche Einstellungen, durch die die unbemerkte Übermittlung der tatsächlichen IP-Adresse stattfindet, werden an dieser Stelle ausgeblendet und es wird davon ausgegangen, dass hier alles richtig und korrekt konfiguriert wurde. Des Weiteren wird auch ein VPN-Anbieter verwendet, der einen eigenen DNS-Dienst nutzt und so die DNS-Anfragen nicht offen für den ISP ersichtlich sind. Anonym wäre der VPN-Nutzer dann, wenn keinerlei Rückschlüsse über seinen Standort, seine Person und seine tatsächlich ihm zuordenbare Internetnutzung gezogen werden könnten.
Im Folgenden wird zunächst der Standardfall auf Anonymität untersucht - ein Nutzer sucht sich einen VPN-Anbieter im Internet heraus und richtet sich diesen als Verbindungsmethode ein, sodass jeglicher Netzverkehr über diesen VPN- Tunnel geleitet wird: Wie bereits festgestellt, ist bei entsprechend komplexer Verschlüsselung, der Datenverkehr im Tunnel relativ sicher. Dennoch verwendet dieser Nutzer in den meisten Fällen immer denselben Browser und meldet sich hier bei verschiedenen Seiten auch mit seinen reellen Namen an. Mittels Cookies und Browserdaten kann so mit Leichtigkeit ein Profil über eine Person erstellt und diese anhand der restlichen Daten eindeutig mittels Verknüpfung identifiziert werden, egal welche IP-Adresse sie dabei verwendet. Nicht ohne Grund können Unternehmen wie Google nur anhand des Tippverhaltens eine Person mit äußerst großer Sicherheit identifizieren. Die IP-Adresse spielt dabei mittlerweile fast keine Rolle mehr. Des Weiteren verbindet sich der Nutzer zwar mit einem VPN-Dienst, über dessen IP-Adresse die weitere Internetnutzung durchgeführt wird, im Falle einer schweren Straftat ist es Ermittlungsbehörden jedoch auch möglich, über diesen VPN-Betreiber Daten über tatsächliche Nutzer zu erlangen. Betrachtet man die Datenschutzbestimmungen und allgemeinen Geschäftsbestimmungen von VPN-Anbietern, so stellt man fest, dass auch dort teilweise Daten wie Verbindungszeiten und IP-Adressen gespeichert werden. Der Großteil der Unternehmen wie NordVPN, CyberGhost oder Express- VPN, um nur einzelne ausgewählte zu nennen, schreibt in den Datenschutzrichtlinien mittlerweile, dass keine Daten gespeichert werden25. Dennoch weiß der Nutzer nicht, ob dennoch Daten gespeichert werden und welche Rückschlüsse auf die Person im Fall einer behördlichen Anfrage bei einer entsprechenden Straftat herausgegeben werden. Der Nutzer kann also lediglich auf die Aussage der Anbieter vertrauen.26
Doch gibt es nun eine Möglichkeit, die Anonymität des Nutzers im Internet noch weiter zu steigern als nur mittels der Verwendung eines VPN und somit keine Rückschlüsse auf die Person zuzulassen? Diese Frage ist mittlerweile zu einem regelrechten Sport herangewachsen. So sind im Internet zahlreiche Checklisten zu finden, wie man seine Anonymität steigern kann. Einer der dort am häufigsten genannten Punkten ist die Verwendung des TOR-Browser und eines VPN- Netzwerkes. Auf die Funktionalität des TOR-Netzwerkes und TOR-Browser soll hier nicht weiter eingegangen werden, grundlegend führt dieser die Netzwerkkommunikation aber über verschiedene Knotenpunkte, bei denen jeder Knoten nur seinen Vorgänger und Nachfolger kennt. Die eigene IP-Adresse ist folglich also nur bei Eintrittsknoten bekannt. Dadurch ist die Anonymität im Internet schon weitestgehend gewährleistet, wenn weitere Punkte beachtet werden. Durch die zusätzliche Verwendung eines VPN weiß der ISP zwar nicht mehr, dass das TOR-Netzwerk verwendet wird und man erscheint nur mit der IP des VPN-Anbieters am Eintrittsknoten, jedoch bestehen die gleichen Gefahren bei VPN-Anbietern wie gerade genannt und die Anonymität baut auf das Vertrauen zu dem jeweiligen Anbieter. Die Sicherheit und Anonymität verdoppelt sich bei der doppelten Verwendung also nicht, die Rückverfolgung wird jedoch ein kleines Stück erschwert.
Beachtet man zusätzlich noch andere Punkte kommt man sicherlich schon ein sehr gutes Stück in Richtung einer anonymen Internetnutzung, jedoch nie zu einer kompletten Anonymität. Zusätzlich zur Verwendung des TOR-Netzwerkes in Verbindung mit einem VPN-Anbieter, dem man vertraut und dessen Datenschutzbestimmungen keine Hinweise auf Protokollierung der Nutzerdaten (+ eigener DNS-Dienst + Firmensitz außerhalb EU&USA) geben, sollte das eigene Nutzungsverhalten stark verändert werden. Als Beispiele sind hierbei die Verwendung einer virtuellen Maschine für die Nutzung, Erstellung einer sicheren E-Mail-Adresse, bei der keine persönliche Daten verwendet werden oder temporäre Mail-Adressen, Bezahlung nur mittels Kryptowährungen, zuverlässige Suchmaschinen nutzen, kein Aufruf von sozialen Netzwerken, die Klarnamen enthalten, Kommunikation nur über verschlüsselte Messanger wie TorChat, Dateiaustausch über gesicherte Uploadplattformen ohne Registrierung, sichere Routereinstellung und Blockierung sonstiger Programme die auf das Internet zugreifen und viele weitere Punkte anzuführen. Die Liste ließe sich noch beliebig fortführen. Durch umfassende Vorsicht und gute technische Voraussetzungen ist es demnach grundsätzlich möglich, sich sehr anonym im Internet zu bewegen. Hierfür entsteht jedoch zum einen ein äußerst großer Aufwand bei der Beachtung der Regeln und zum anderen auch ein hoher Geschwindigkeitsverlust bei der Verwendung von TOR + VPN.27
Ob und inwieweit jeder Nutzer im Internet anonym bleiben will und welche Einschränkungen dafür in Kauf genommen werden, hängt von den persönlichen Bedürfnissen und selbstverständlich auch von den Informationen ab, die der jeweilige Nutzer zu sichern hat. Vollständige Anonymität ist nahezu unmöglich, hierfür dürfte beispielsweise auch kein Smartphone verwendet oder keine Internetbestellungen getätigt werden. Wie weit man die Einschränkungen hierfür in Kauf nimmt ist jedem selbst überlassen. Dennoch möchte ist an dieser Stelle erneut anzuführen, dass es eine komplette Anonymität nicht gibt, auch nicht durch unzählige Handlungsanweisungen und Vorkehrungen.
5 Erstellung eines VPN-Servers
5.1 Geplante Herangehensweise
Im praktischen Teil der vorliegenden Arbeit sollte laut Aufgabenstellung auf einer virtuellen Maschine ein VPN-Server eingerichtet werden, mit dem sich ein Client verbindet. Der dabei entstandene Verbindungsaufbau sollte im Netzwerk nachgewiesen und interpretiert sowie die Netzwerkverkehrsdaten ausgewertet werden.
Wie in dem oben aufgeführten theoretischen Teil ergeben sich durch VPNs zahlreiche Möglichkeiten und Mehrwerte, wodurch ich es als praktisch ansah, mir im Rahmen dieser Arbeit ein solches auch für die weitere Nutzung einzurichten. Eine virtuelle Maschine, die dauerhaft auf einem Host-System betrieben wird, erschien mir hierfür als nicht sonderlich praktikabel. In meinem bestehenden Netzwerk ist ein Synology NAS-Speicher für die komfortable Speicherung von Daten bereits implementiert und sollte längerfristig für dieses Projekt verwendet werden. Da sich die Einrichtung des VPN-Servers auf dem Synology- NAS jedoch äußerst simpel gestaltet und nicht dem technischen Rahmen des praktischen Teils dieser Arbeit entspricht, sollte nach Absprache mit den betreuenden Dozenten ein Raspberry Pi 4B ebenfalls als VPN-Server eingerichtet werden. Die Einrichtung wird daher für den Raspberry Pi bis zum lauffähigen Zustand durchgeführt, die Netzwerksverkehrsdaten und der Verbindungsaufbau dann jedoch über die eingerichtete Synology-VPN untersucht.
Ausgangspunkt für den praktischen Teil ist ein Heimnetzwerk mit verschiedensten darin eingebundenen Geräten, wie Mobiltelefone, Laptop oder Tablet. Als Router fungiert eine Unitymedia Connect Box unter der internen IP-Adresse 192.168.0.1. Hierauf wurde für diese Arbeit beim Internet-Service-Provider eine öffentliche IPv4-Adresse beantragt und die Port-Weiterleitung aktiviert, welche für den VPN-Server dringend erforderlich ist. Die beiden VPN-Server sollen aufgrund der vielseitigen Verfügbarkeit mittels OpenVPN und eines DynDNSDienstes realisiert werden, worauf bei der Einrichtung genauer eingegangen wird.
5.2 Erstellung des Netzwerks auf dem Raspberry Pi
Der Raspberry Pi 4B ist ein Einplatinencomputer der Raspberry Pi Foundation und besitzt in der hier vorliegenden Ausführung neben einem Quad-Core- Cortex auch 4GB Arbeitsspeicher und diverse Verbindungsmöglichkeiten wie USB 2.0 und 3.0 sowie W-LAN und Gigabit-Ethernet. Damit und aufgrund seines niedrigen Stromverbrauches durch die kleine Größe ist der Raspberry Pi optimal für eine dauerhafte Verwendung als VPN-Server oder sonstiges Netzwerkgerät geeignet. Über eine Micro-SD ist hier das Betriebssystem Raspbian oder auch Raspberry Pi OS genannt, installiert und über eine grafische Benutzeroberfläche aufrufbar. Dieses ist in Abbildung 228 erkennbar und basiert auf einer Linux-Distribution. Um nicht dauerhaft die grafische Benutzeroberfläche verwenden zu müssen und dadurch mehrere Bildschirme zu belegen, sollte die weitere Kommunikation und Einrichtung konsolenbasiert und über einen anderen Rechner durchgeführt werden. Auf dem Raspberry Pi wurde über das Kommando sudo raspi-config das Raspberry Pi Software Configuration Tool aufgerufen und dort der SSH-Zugriff aktiviert, wie in Abb. 3 und 4 ersichtlich29. Dadurch ist über die IP-Adresse oder den Hostname des Raspberry Pi (siehe Raspberry-Pi Konfiguration) eine konsolenbasierte Kommunikation möglich. Eines der hierfür möglichen Programme heißt PuTTY und wurde nachfolgend auf einem Laptop mit Windows 10 eingerichtet. Über die Eingabe des Hostnames, des Ports 22 und Benutzername + Passwort konnte eine Verbindung aufgebaut werden, wie in Abb. 5 und 6 ersichtlich30.
Der Raspberry Pi ist damit zur Entgegennahme von Kommandos verfügbar und kann gesteuert werden. Zuerst ist es wichtig, diesem eine im Heimnetzwerk gleichbleibende IP-Adresse zuzuordnen. Dies wird in den meisten Fällen durch das sog. NAT geregelt, es ist jedoch nicht schädlich, eine statische Adresse zuzuordnen, um späteren Komplikationen durch Adressänderung vorzubeugen. Dies kann auf dem Raspberry Pi mit dem Kommando sudo nano /etc/dhcp.conf erfolgen, welche die entsprechende Datei aufruft. In dieser können dann die jeweiligen Adressen für den WLAN- und den Ethernet-Anschluss eingetragen (siehe Abb. 831 ) und die Datei daraufhin gespeichert werden.
Nachdem nun alle Vorkehrungen getroffen wurden, kann mit der eigentlichen Installation des VPN-Servers begonnen werden. Das Programm PiVPN, welches hier verwendet werden soll und das OpenVPN-Protokoll zur Auswahl stellt32, kann über das Kommando curl -L https://install.pivpn. io | bash direkt übers Netz installiert werden. Für andere Geräte als den Raspberry Pi sind die Installations- und Bezugswege auf der Homepage von OpenVPN ersichtlich. Ebenso funktioniert auf dem Pi auch das Kommando sudo apt-get install openvpn (nur OpenVPN). Nach Eingabe des Kommandos werden die erforderlichen Datenpakete heruntergeladen und die Installation begonnen, wie in Abb. 933 ersichtlich. Es empfiehlt sich, zuvor den Raspberry Pi und alle anderen Programme auf den neusten Stand zu bringen (sudo apt-get update). Die Installation ist größtenteils selbsterklärend, auf einzelne Punkte wird hier dennoch eingegangen.
Wie in den Abbildungen 1 1 - 1334 ersichtlich, muss zuerst die zuvor eingestellte statische IP-Adresse bestätigt und der Netzwerkadapter zwischen WLAN und Ethernet ausgewählt werden. Anschließend kann zwischen dem Protokoll OpenVPN und WireGuard sowie dem Grad der Verschlüsselung (siehe Punkt 2 - Sicherheit) ausgewählt werden, wie in den Abb. 14 und 15 erkennbar35. Aufgrund der bisherigen Thematisierung von OpenVPN und der längeren Existenz dessen wurde hier auch OpenVPN gewählt. WireGuard bietet ebenso ein großes Potential, steckt jedoch erst in den Kinderschuhen und muss sich noch etablieren. Anschließend gilt es, einen Port einzustellen, auf dem die VPN- Verbindung im Router aufgebaut werden soll. Dieser liegt standardgemäß bei Port 1194, kann jedoch beliebig geändert werden. Des Weiteren muss man sich für einen der vorgegebenen DNS-Dienste entscheiden oder verwendet einen eigenen über Custom36. Der nächste Einstellungspunkt ist äußerst wichtig und hat ebenfalls mit dynamischen und statischen IP-Adressen zutun. In dem Netzwerk ist es praktisch, dass der Raspberry Pi eine statische IPAdresse hat. Nach außen hin besitzt ein Netz aber meistens eine dynamische Adresse, die sich täglich ändern kann, je nach ISP. Aus diesem Grund lässt sich, wie in Abb. 1837 erkennbar, ein sog. DynDNS-Dienst einrichten, der mit dem Router in Kontakt bleibt und immer die aktuelle dynamische IP-Adresse des Routers weiß. Hierüber kann der Raspberry Pi immer erreicht werden, egal wie sich die öffentliche IP-Adresse ändert. Solche Dienste lassen sich über verschiedenste Seiten einrichten und mit dem Router verknüpfen. Im Beispiel wurde freedns.org verwendet und bei der Konfiguration eingetragen38. Die Abbildungen 21 - 2439 zeigen die letzten Schritte der Installation, bei denen es um künftige Updates des Servers geht. Da dieser öffentlich am Internet hängt, sollten solche regelmäßig durchgeführt werden. Damit ist die Installation des VPN-Servers abgeschlossen. Im Router wurde danach für den eingestellten Port eine Portweiterleitung auf die interne IP-Adresse des Pi angelegt. Mit dem Befehl pivpn add kann anschließend ein neuer VPN-Client angelegt und ein entsprechendes Zertifikat erstellt werden40, welches per FTP-Verbindung zum Raspberry Pi auf den Laptop übertragen wurde41. Nach Einbindung des angelegten Benutzerprofils in die auf dem Laptop installierte Software von OpenVPN, konnte die Verbindung gestartet und eine Verbindung mit dem Netzwerk hergestellt werden, siehe Abbildungen 30 - 3342. Mittels Verbindung über Mobilfunk (Smartphone Hotspot XPhone) war feststellbar, dass ohne Verwendung des VPN keine Verbindung zum Router des Netzes aufgebaut werden konnte, mit aktiviertem VPN war die Login-Seite des Routers dann jedoch aufrufbar43. Als weiterer Test der erfolgreichen Konfiguration wurde für das Mobiltelefon ein neues Profil angelegt, welches über die OpenVPN App auch erfolgreich eingebunden werden konnte, siehe Abbildung 3644. Um zu gewährleisten, dass der komplette Netzwerkverkehr auch über das VPN geleitet werden kann, müssen die entsprechenden Ports der Internetnutzung für den Raspberry Pi auch zur Verfügung stehen und freigeschaltet sein.
[...]
1 Möhring (2019), ohne Seitenangabe (künftig o.S.) (Onlinequelle)
2 Lipp (2001), Seite 18.
3 Traub (2002), Seiten 10.
4 Frenkel (2020), Punkt 1 (Onlinequelle).
5 Frenkel (2020), Punkt 2 (Onlinequelle).
6 Frenkel (2020), Punkt 2 (Onlinequelle).
7 Frenkel (2020), Punkt 3 (Onlinequelle).
8 Luber / Schmitz (12/2018), o.S. (Onlinequelle).
9 Rouse (2009), o.S. (Onlinequelle).
10 Luber / Schmitz (02/2018), o.S. (Onlinequelle). Wie bereits dargestellt werden VPNs für Unternehmen in verschiedenster Form immer interessanter - sei dies um mehrere Standorte oder Filialen miteinander zu verbinden, von unterwegs auf Unternehmensdaten zugreifen zu können oder auch um Mitarbeitern die Möglichkeit des Home-Office zu ermöglichen, welche dabei jedoch vollumfänglich arbeiten können sollen. Unternehmen arbeiten dabei mit verschiedensten Strukturen und investieren zum Teil enorme Geldbeträge in IT-Unternehmen, um solche VPN-Zugriffe zuverlässig und sicher zu gestalten. Hier kommt meist das oben beschriebene netzwerkorientierte VPN zum Einsatz, da es eben gerade um diesen Zugriff geht.
11 Schmidt (2012), o.S. (Onlinequelle).
12 Schmidt (2012), o.S. (Onlinequelle).
13 Donauer (2018), o.S. (Onlinequelle).
14 Fawkes (2020), o.S. (Onlinequelle).
15 Fawkes (2020), o.S. (Onlinequelle).
16 Griffith (2018), o.S. (Onlinequelle).
17 Griffith (2018), o.S. (Onlinequelle).
18 Storm (2015), o.S. (Onlinequelle).
19 Burkitt (1999), o.S. (Onlinequelle).
20 Kühl (2011), o.S. (Onlinequelle).
21 Umlauf (2004), Seite 22 + 23.
22 Anhang I - Abb. 2 - IPSec Verbindungsaufbau Main-Mode.
23 Anhang I - Abb. 2 - IPSec Verbindungsaufbau Main-Mode.
24 Molenaar (o.D.), o.S. (Internetquelle).
25 Vergleiche Datenschutzrichtlinien verschiedener Unternehmen [Stand 01.07.2020].
26 Kuketz (2015), o.S. (Onlinequelle).
27 Kuketz (2015), o.S. (Onlinequelle).
28 Anhang I - Abb. 3 - Oberfläche des Raspbian OS auf dem Raspberry Pi 4B.
29 Anhang I - Abb. 4 und 5.
30 Anhang I - Abb. 6 und 7.
31 Anhang I - Abb. 8 - Eintragung der statischen Adresse des Raspberry Pi.
32 Anhang I - Auswahl von OpenVPN oder WireGuard möglich.
33 Anhang I - Abb. 9 - Installationskommando von PiVPN.
34 Anhang I - Abb. 11 - 13.
35 Anhang I - Abb. 14 + 15.
36 Anhang I - Abb. 16 + 17.
37 Anhang I - Abb. 18 - statische oder dynamische IP.
38 Anhang I - Abb. 19 + 20.
39 Anhang I - Abb. 21 - 24.
40 Anhang I - Abb. 26 + 27.
41 Anhang I - Abb. 28 + 29.
42 Anhang I - Abb. 30 - 33.
43 Anhang I - Abb. 34 + 35.
44 Anhang I - Abb. 36 - Verbindung über Mobilgerät auf Netzwerk.
-
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X.