Virtual Private Networks (VPNs)

Virtual Private Networks (VPNs) wurden entwickelt, um vertrauenswürdige Endpunkte über unsichere Netzwerke zu verbinden. Sinnvolle Anwendungen für VPNs sind:

Verbindung von zwei oder mehreren Firmenstandorten über das Internet.
Einbindung von Außendienstlern (Road Warrior) oder Mitarbeiter im Homeoffice ins Firmennetz.
Einbindung externer, industrieller Anlagen an zentrale Leitsysteme (z. B. Windkrafträder im Energiebereich oder dezentrale Pumpwerke in der Wasser/Abwasser Versorgung).
Im privaten Bereich kann mit VPN Technologien verwenden, um Geo-IP Sperren zu umgehen (z. B. auf Mallorca in der ZDF Mediathek stöbern), um die Verfolgung der Reisetätigkeit durch Geo-Lokalisierung der IP-Adresse zu verhindern und in nicht vertrauenswürdigen Wi-Fi Netzwerken (Hotel, Flughafen, U-Bahn o.ä.) die Verbindung zu einem vertrauenswürdigen Zugangsprovider herzustellen, um Firesheep-ähnliche Angriffe durch möglicherweise bösartige Nutzer des Wi-Fi Hotspots zu verhindern.

VPN Technologien

Die für ein VPN notwendige Software steht für unterschiedliche Standards als Open Source Software zur Verfügung:

OpenVPN: ist ein Klassiker. Die Software arbeitet auf TCP-Ebene (OSI Layer 4) und nutzt SSL/TLS, um den Datenverkehr zwischen zwei Endpunkten zu verschlüsseln. Es werden Client-2-Server und Server-2-Server Verbindungen unterstützt.
OpenConnect: wurde ursprünglich von Cisco entwickelt. Es arbeitet mit UDP (OSI Layer 4) und nutzt DTLS, um den Datenverkehr zwischen einem Client und einem Server zu verschlüsseln. Es ist nicht für Server-2-Server Verbindungen geeignet sondern nur für Client-2-Server.
IPsec: arbeitet einen Level tiefer auf IP-Ebene (OSI Layer 3) und bietet daher eine höhere Robustheit gegen Lauscher, da auch die TCP-Header verschlüsselt werden.
Der IPsec Standard besteht aus mehreren, eigenständigen Teilen:
- Internet Key Exchange (IKE v1/v2) für Schlüsseltausch und -verwaltung
- Authenticated Header (AH) für die Authentifizierung von Geräten und Nutzern
- Encapsulating Security Payload (ESP) für die Verschlüsselung der Daten
IPsec ist ein komplexes Protokoll und bietet viele Möglichkeiten. Diese Komplexität ist einer der Hauptkritikpunkte von N. Ferguson and B. Schneier in ihrer Evaluierung von IPsec (PDF):
In our opinion, IPsec is too complex to be secure. The design obviously tries to support many differnt situations with different options.
IPsec kann nicht nur Punkt-zu-Punkt Verbindungen absichern sondern auch komplexe Multi-Side Topologien realisieren. Es wird von Regierungen und NATO bis VS-GEHEIM verwendet.
WireGuard: ist ein junges junges Projekt, das wie IPsec auf OSI Layer 3 arbeitet. Ziel von WireGuard ist eine VPN Lösung mit geringer Komplexität in der Protokoll Spezifikation und Implementierung sowie einer einfachen Anwendung. Der Quellcode umfasst derzeit nur 4.000 Zeilen Code (OpenVPN+OpenSSL: 292.000 Zeilen).

Wireguard ist ein Peer-2-Peer VPN. Jeder Peer stellt einen IP-Adressbereich zur Verfügung, der transparent mit den Netzen der anderen Peers über eine unsichere Internetverbindung gekoppelt wird. Authentifizierung von Nutzern wie bei OpenVPN und IPsec gibt es nicht.

Einige VPN-Provider vergewaltigen das Konzept und bauen damit individuelle Client-Server ähnliche Infrastrukturen, indem die Client Peers nur eine eigene IP-Adresse für das VPN bereitstellen und auf der Seite des Server Peers das gesamte Internet bereitgestellt wird.
Iodine: versteckt den VPN Traffic im DNS Datenverkehr, um VPN-Sperren zu umgehen. Der Datendurchsatz ist wesentlich kleiner, als bei anderen VPNs.
PPTP: Microsofts Point-to-Point-Tunneling-Protocol (PPTP) ist konzeptuell kaputt und sollte nicht mehr verwendet werden.

Daneben gibt es kommerzielle Anbieter für hochsichere, BSI-zertifizierte Lösungen. Beispiele dafür sind die Produktlinien genucrypt (von Genua.de) oder SINA (von Secunet.com), die aus Hardware + Software Kombinationen bestehen und überwiegend in kritischen Infrastrukturen wie Energie- und Wasserversorgung sowie bei Behörden, Polizei und Militär eingesetzt werden.