Aktualisierungen gibt es im Changelog, als RSS-Feed
oder im [matrix] Raum #prhdb-changes:nitro.chat

Privacy-Handbuch

Virtual Private Networks (VPNs) wurden entwickelt, um vertrauenswürdige Endpunkte über unsichere Netzwerke zu verbinden. Ein VPN schützt gegen folgende Angriffe:

Sinnvolle Anwendungen für VPNs sind:

VPN Technologien

Die für ein VPN notwendige Software steht für unterschiedliche Standards als Open Source Software zur Verfügung: Daneben gibt es kommerzielle Anbieter für hochsichere, BSI-zertifizierte Lösungen. Beispiele dafür sind die Produktlinien genucrypt (von Genua.de) oder SINA (von Secunet.com), die aus Hardware plus Software Kombinationen bestehen und überwiegend in kritischen Infrastrukturen wie Energie- und Wasserversorgung sowie bei Behörden, Polizei und Militär eingesetzt werden. 

Stealth VPN Techniken

Stealth VPN Techniken sollen verhindern, dass ein Beobachter erkennt, dass man VPNs verwendet. Damit kann man beispw. die Firewalls einiger Diktaturen durchtunneln, die VPNs blockieren.

Advanced Firewalls mit DPI lassen sich nicht so einfach austricksen. Die staatliche iranische Firewall erkennt zum Beispiel die typischen TLS-Zertifikate von VPN Providern (und Tor Oinion Router) beim Handshake zum Aufbau eines TLS-verschlüsselten Tunnels und blockiert die Verbindung.

Einsatzempfehlungen für VPN Technologien

Ein paar kleine Gedanken zu Einsatzempfehlungen für die unterschiedlichen Technologien:

Sicherheitsempfehlunge von BSI und NSA für VPNs mit "military grade security"

Das BSI und die NSA geben in ihren Empfehlungen für VPNs mit hohen Sicherheitsanforderungen (für Regierungen, Militär u.ä.) einige allgemeine Hinweise, die man teilweise auch dann beachten und einfach umsetzen kann, wenn man keine extremen Sicherheitsanforderungen hat. 

Kurze Zusammenfassung der BSI und NSA Empfehlungen für sichere VPNs:

  1. Die Verwendung von irgendwelchen TLS Tunneln auf OSI Layer 4 für VPN Verbindungen sollte vermieden werden. Das kommt auch als nicht als Fallback in Frage (also kein OpenVPN). Die Verschlüsselung muss auf Layer 3 erfolgen, damit auch die TCP Header verschlüsselt sind.

  2. Für hohe Sicherheitsanforderungen wird IPsec/IKEv2 empfohlen mit aktuellen Ciphersuiten.

  3. IP-Adressen der Endpunkte sind fest zu konfigurieren und sollten nicht von der DNS Namensauflösung von DNS Servern abhängen, über die man keine Kontrolle hat.

  4. Die Authentifizierung von Nutzern sollte nicht mit Passwörtern erfolgen sondern mit Zertifikaten, die in einem externen Hardware Security Modul gespeichert sind (also z.B. Nitrokey HSM). Die PKI zur Verwaltung der Zertifikate für die Nutzer darf nicht ins Internet exponiert werden.

  5. Funktionen für die Remote Administration der VPN Server dürfen nur via VPN zugänglich sein und nicht in das Internet exponiert werden, egal welche Authentifizierung eingesetzt wird.

Wenn man konkrete Angeboten von VPN-Anbietern mit dieser Liste vergleicht, dann löst sich das PR-Geblubber von "military grade security" in der Regel ganz schnell in Luft auf.