Privacy Handbuch

Virtual Private Networks (VPNs) wurden entwickelt, um vertrauenswürdige Endpunkte über unsichere Netzwerke zu verbinden. Ein VPN schützt gegen folgende Angriffe:

Sinnvolle Anwendungen für VPNs sind:

VPN Technologien

Die für ein VPN notwendige Software steht für unterschiedliche Standards als Open Source Software zur Verfügung: Daneben gibt es kommerzielle Anbieter für hochsichere, BSI-zertifizierte Lösungen. Beispiele dafür sind die Produktlinien genucrypt (von Genua.de) oder SINA (von Secunet.com), die aus Hardware plus Software Kombinationen bestehen und überwiegend in kritischen Infrastrukturen wie Energie- und Wasserversorgung sowie bei Behörden, Polizei und Militär eingesetzt werden.

Stealth VPN Techniken

Stealth VPN Techniken sollen verhindern, dass ein Beobachter erkennt, dass man VPNs verwendet. Damit kann man beispw. die Firewalls einiger Diktaturen durchtunneln, die VPNs blockieren.

Advanced Firewalls mit DPI lassen sich nicht so einfach austricksen. Die staatliche iranische Firewall erkennt zum Beispiel die typischen TLS-Zertifikate von VPN Providern (und Tor Oinion Router) beim Handshake zum Aufbau eines TLS-verschlüsselten Tunnels und blockiert die Verbindung.

Einsatzempfehlungen für VPN Technologien

Ein paar kleine Gedanken zu Einsatzempfehlungen für die unterschiedlichen Technologien:

Sicherheitsempfehlunge von BSI und NSA für VPNs mit "military grade security"

"Military grade security" ist ein Buzzword in der Werbung bei vielen VPN-Providern, weil sie starke AES256 Cipher für die Verschlüsselung des Datenstromes verwenden.

Es ist aber bei dieser Nutzung von VPN Technologien völlig egal, wie stark die Verschlüsselung der Daten ist, weil ein potenter Angreifer den Eingangs- und Ausgangsdatenstrom der VPN-Server beobachten kann und durch einfache Traffic Korrelation die Daten entschlüsselt. Hermann/Wendolsky/Federrath haben das bereits 2009 demonstiert und die Firma Team Cymru setzt es in der Praxis ein, um Bad Actors im Internet zu identifizieren, die sich hinter VPN Servern verstecken wollen.

"Military grade security" gibt es also nur bei der Verbindung von vertrauenswürdigen Endpunkten (also beispw. bei der Verbindung von zwei oder mehr Firmenstandorten oder bei der Einbindung von Road Warriors in das Firmen- oder Heimnetz aber nicht bei VPN-Providern).

Das BSI und die NSA geben in ihren Empfehlungen für VPNs mit hohen Sicherheitsanforderungen (für Regierungen, Militär u.ä.) einige allgemeine Hinweise, die man teilweise auch dann beachten und einfach umsetzen kann, wenn man keine extremen Sicherheitsanforderungen hat.

Kurze Zusammenfassung der BSI und NSA Empfehlungen für sichere VPNs:

  1. Die Verwendung von irgendwelchen TLS Tunneln auf OSI Layer 4 für VPN Verbindungen sollte vermieden werden. Das kommt auch als nicht als Fallback in Frage (also kein OpenVPN). Die Verschlüsselung muss auf Layer 3 erfolgen, damit auch die TCP Header verschlüsselt sind.

    Hinweis: bei der Verwendung von VPN-Providern gilt die gegenteilige Empfehlung. In diesem Fall sollten TLS Tunnel auf Layer 4 bevorzugt verwenden, weil Webdienste hinter dem VPN-Server bei Layer 3 VPNs anhand der reduzierten MTU erkennen können, dass man ein VPN verwendet. Einige Webseiten verwenden diese Information, um den Zugang zu blockieren. Außerdem erschwert man dem Internet Zugangsprovider die Erkennung der VPN Nutzung, wenn man einen TLS Tunnel zu Port 443 (TCP) beim VPN-Server verwendet (siehe oben: Stealth VPN).

  2. Für hohe Sicherheitsanforderungen wird IPsec/IKEv2 empfohlen mit aktuellen Ciphersuiten.

  3. IP-Adressen der Endpunkte sind fest zu konfigurieren und sollten nicht von der DNS Namensauflösung von DNS Servern abhängen, über die man keine Kontrolle hat.

  4. Die Authentifizierung von Nutzern sollte nicht mit Passwörtern erfolgen sondern mit Zertifikaten, die in einem externen Hardware Security Modul gespeichert sind (z.B. Nitrokey HSM). Die PKI zur Verwaltung der Zertifikate für die Nutzer darf nicht ins Internet exponiert werden.

  5. Funktionen für die Remote Administration der VPN Server dürfen nur via VPN zugänglich sein und nicht in das Internet exponiert werden, egal welche Authentifizierung eingesetzt wird.