Zunehmende Bespitzelung am Arbeitsplatz bis hin zu privaten Kontodaten führt zu dem Wunsch, sich der Überwachung zu entziehen. ZDNet zeigt, wie man VPN-Angebote nutzt, um sich einen abhörsicheren Internet-Zugang zu verschaffen.
Die Firma Inter.net Germany[1] bietet ein interessantes Produkt an: Einen Internetzugang für Rechner, die bereits im Internet sind. Auf den ersten Blick scheint es keinen Bedarf für ein solches Produkt zu geben. Dennoch verlangt das Unternehmen dafür von Privatkunden unter der Marke snafu[2] 7,50 Euro pro Monat.
Hinter CryptoConnect[3] versteckt sich ein VPN-Zugang mittels PPTP-Protokoll. Anders als die meisten VPNs verbindet CryptoConnect den Nutzer nicht in ein Firmennetzwerk, sondern ins Internet, also dahin, wo er sich vermeintlich schon befindet.
Die Nachfrage nach solchen Internetzugängen ist groß. Dafür gibt es vor allem zwei Gründe: Zum einen bieten immer mehr ISP keine echten Internetzugänge mehr an, sondern nur noch NAT-Zugänge mit privater IP-Adresse, zum anderen nutzen immer mehr Arbeitnehmer solche Zugänge, um der Überwachung durch den Arbeitnehmer zu entgehen. Gleiches gilt, wenn der Arbeitgeber den Internetzugang stark einschränkt.
Von einem echten Internetzugang eines Rechners kann man streng genommen nur dann reden, wenn der PC oder ein anderes Gerät eine öffentliche IP-Adresse besitzt. Mit einem üblichen Heim-Breitbandanschluss über DSL oder Fernsehkabel lässt sich das normalerweise maximal für einen Rechner erreichen.
Es gibt jedoch Ausnahmen: M-Net duldet[4] beispielsweise stillschweigend eine PPP-Einwahl von mehr als einem Rechner. Kabel Deutschland teilt bis zu zwei Rechnern eine öffentliche IP-Adresse per DHCP zu. Die meisten anderen Anbieter sind jedoch strenger und erlauben keine zweite öffentliche IP-Adresse.
Abhilfe schafft normalerweise ein NAT-Router. Der NAT-Router bekommt vom Provider die öffentliche IP-Adresse und teilt den Rechnern im Heimnetzwerk private IP-Adressen meist aus dem Bereich 192.168.0.0/16 oder 10.0.0.0/8 zu. Das schränkt den Internetzugang einerseits stark ein, andererseits ergibt sich daraus automatisch eine Firewallfunktionalität. Aus dem Internet kann keine Verbindung zu einem Rechner ins Heimnetzwerk aufgebaut werden.
Oft ist jedoch ein Zugriff auf heimische Rechner und Geräte, etwa VoIP-Telefone oder digitale Videorekorder, explizit gewünscht. Mit einem NAT-Router lässt sich dieser Zugriff mittels Portforwarding meist problemlos einrichten. Recht einfach funktioniert das bei TCP, da TCP-Verbindungen einen definierten Auf- und Abbau besitzen. Schwierigkeiten gibt es häufig bei UDP. Der NAT-Router muss selbst entscheiden, ob die Verbindung noch aktiv ist. Das geschieht über einen Time-out, der bei den meisten NAT-Routern fest voreingestellt ist und nicht verändert werden kann.
Wenn man nur eine private IP-Adresse bekommt, gibt es keine Möglichkeit, den NAT-Router zu konfigurieren. Das ist typischerweise in öffentlichen WLANs der Fall. Man bekommt eine private IP-Adresse, kann aber keine Ports auf den eigenen Rechner oder das eigene Smartphone weiterleiten. Die meisten UMTS-Provider geben heutzutage in günstigen Tarifen keine öffentliche IP-Adresse mehr an ihre Kunden.
Bei Vodafone und T-Mobile lässt sich durch Auswahl des APN[5] festlegen, ob man eine öffentliche oder private IP-Adresse haben möchte. T-Mobile vergibt mit dem APN internet.t-mobile eine private und mit dem APN internet.t-d1.de eine öffentliche IP-Adresse.
Auch Vodafone lässt seinen Kunden die Wahl: Wer günstige Tages- oder Stundentarife nutzen möchte, muss den APN event.vodafone.de benutzen und bekommt eine private IP-Adresse. Nur Laufzeitkunden können den APN web.vodafone.de nutzten, der öffentliche IP-Adressen vergibt.
O2 lässt überhaupt keine öffentlichen IP-Adressen zu. Das heißt, O2 bietet keinen echten Internetzugang an. Sowohl auf den APN internet als auch auf dem APN surfo2 muss sich der Kunde mit einer privaten IP-Adresse zufriedengeben.
Wesentlich schwerwiegender als die Zuteilung einer privaten IP-Adresse ist die systematisch praktizierte Fälschung von Webseiten[6] seitens der UMTS-Provider. Da die Mobilfunkanbieter so weit gehen, dass sie eigenen Javascript-Code in fremde Seiten einschmuggeln, laufen viele moderne Webseiten mit AJAX nicht mehr. Betroffen davon sind unter anderem auch Websites, die mit Content-Management-Systemen wie Joomla[7], Typo3[8] oder Drupal[9] erstellt wurden, da diese Systeme implizit AJAX nutzen.
Die Provider bieten zwar an, die Fälschungen, die sie mit Begriffen wie Speedmanager umschreiben, abzuschalten. ZDNet konnte jedoch nachweisen, dass sie trotzdem den Verkehr auf TCP-Port 80 abfangen und gefälschte Bild-URLs einschmuggeln.
Sowohl das Problem mit der privaten IP-Adresse als auch das Problem mit den Fälschungen durch die UMTS-Provider lässt sich mit einer VPN-Verbindung ins Internet lösen. Nachteilig sind dabei natürlich der Protokolloverhead und der Umweg über einen zweiten Provider. Der Geschwindigkeitsverlust hält sich jedoch in Grenzen und fällt bei heutigen Geschwindigkeiten kaum ins Gewicht.
Ein weiterer Grund für den Einsatz eines VPNs ins Internet ist häufig der Arbeitgeber. Viele Mitarbeiter haben einen sehr beschränkten Zugang ins Internet oder fürchten Schnüffeleien durch den Arbeitgeber. Namhafte Unternehmen wie die Deutsche Telekom und die Deutsche Bahn sind dabei ertappt worden, wie sie Mitarbeiter, Betriebsräte und Aufsichtsräte systematisch ausspioniert haben.
In mittelständischen Unternehmen werden meist sogenannte Security-Appliances eingesetzt. Sie besitzen in der Regel DPI-Technologie[10], die den Webtraffic auf Layer-7-Ebene überwacht und einschränken kann. In vielen Unternehmen wird genau protokolliert, welche Nutzer welche Webseiten aufrufen.
Zudem schränken viele Unternehmen den Zugang zum Internet ein. Typischerweise werden dabei Seiten wie bild.de oder playboy.com mit der Begründung gesperrt, dass es keine berufliche Veranlassung gibt, diese Websites zu besuchen. Oft werden die aufgerufenen Webseiten nach bestimmten Stichwörten wie Sex durchsucht. Wer auf einer Seite landet, die Werbung mit einem der gesperrten Begriffe beinhaltet, kann diese Seite nicht aufrufen oder bekommt unbemerkt einen Eintrag in eine "schwarze Liste".
Besonders aufpassen müssen Arbeitnehmer in Firmen, die auch den HTTPS-Verkehr untersuchen. Ohne DPI-Technologie ist es nicht möglich, den Verkehr zwischen einem Arbeitsplatzrechner und einem HTTPS-Server zu überwachen, da HTTPS eine End-to-End-Verschlüsselung[11] zwischen Browser und Webserver implementiert.
Eine DPI-Applikation muss einen Man-in-the-Middle-Angriff[12] gegen den Browser starten, um in den HTTPS-Verkehr eingreifen zu können. Dabei gibt die Security-Lösung vor, der Webserver zu sein, den der Benutzer aufgerufen hat, indem sie die IP-Adresse des Servers spooft[13].
Das führt dazu, dass der gesamte HTTPS-Verkehr auf dem Gateway in der Firma entschlüsselt wird. Ein Administrator kann auf diese Weise Einsicht in den gesamten HTTPS-Traffic nehmen. So kann er beispielsweise PINs und TANs beim Banking abfangen sowie Kontostände und Umsätze ansehen.
Schutz vor solchen Umtrieben bieten Zertifikate. Jeder Nutzer, der sich in einem fremden Netz befindet, das er nicht kontrollieren kann, sollte beim Aufruf von Websites mit vertraulichem Inhalt immer das Zertifikat im Browser anschauen. Handelt es sich dabei um ein Intranetzertifikat der Firma, wird der Traffic per Man-in-the-Middle-Attacke abgehört.
Mit der Überprüfung des Zertifikats kann man das Abhören zunächst einmal nur zur Kenntnis nehmen. Abhilfe gegen Abhörmaßnahmen und eingeschränkten Internetzugang kann auch in diesem Fall eine verschlüsselte VPN-Verbindung ins Internet schaffen.
Voraussetzung für die Nutzung eines VPNs-Zugangs ins Internet am Arbeitsplatz ist, dass der VPN-Zugang nicht durch den Administrator geblockt wird und dass man auf seinem Arbeitsplatzrechner die nötigen Rechte besitzt, eigene VPN-Verbindungen aufzubauen. Das kann beispielsweise durch die Group-Policy in Windows verhindert werden.
Wenn die Group-Policy das Anlegen virtueller IP-Interfaces verbietet, hilft auch keine Third-Party-Software. Das ist aber nur in den wenigsten Firmennetzen der Fall, da für Notebookbenutzer in diesem Fall keine VPN-Verbindung ins eigene Intranet mehr möglich wäre.
Bei snafu kostet ein solcher VPN-Zugang ins Internet 7,50 Euro pro Monat, sofern man dort keine anderen Produkte abonniert hat. Das ist relativ viel Geld, um sich vor den Schnüffeleien in der eigenen Firma zu schützen.
Dennoch gibt es Firmen, die ein solches VPN sogar bezahlen. Das machen vor allem Unternehmen, deren Mitarbeiter häufig bei anderen Firmen vor Ort sitzen, beispielsweise Consulting- und Beratungsunternehmen. Da diese Unternehmen ihren Kunden nicht trauen, investieren sie in Sicherheitstechnologie, um ihre Mitarbeiter vor Fremdfirmen zu schützen.
Inter.net und snafu verwenden ein PPTP-VPN[14], um einen vollwertigen Zugang ins Internet zu schaffen. PPTP hat den Ruf, unsicher zu sein, da Bruce Schneier[15] 1998 ernsthafte Schwachstellen entdeckt hat. Diese sind jedoch seit vielen Jahren behoben.
Allerdings bleibt der Kritikpunkt, dass die Verschlüsselungsstärke von der Länge des Passworts abhängt. Wer ein kurzes Passwort verwendet, muss damit rechnen, dass seine Verschlüsselung mittels Brute-Force[16] gebrochen werden kann. Bei PPTP sollte man ein sicheres Passwort mit mindestens 12 Zeichen einsetzen.
PPTP bietet vor allem die Vorteile, dass es auf jedem Betriebssystem verfügbar ist und einen einfachen TCP-Tunnel verwendet, der in den meisten NAT-Umgebungen problemlos eingesetzt werden kann. Außerdem sind die verfügbaren Implementierungen der verschiedenen Hersteller miteinander kompatibel.
Grundsätzlich kann jede Site-to-End-VPN-Technologie eingesetzt werden, mit der man sich normalerweise in ein Firmennetz verbindet. Der einzige Unterschied ist, dass der VPN-Router ins Internet statt ins Intranet verbindet.
Wer einen gehosteten Server in einem Rechenzentrum oder einen Breitbandanschluss mit mehreren öffentlichen IP-Adressen besitzt, kann eine solche Lösung auch selbst implementieren. Das hat sogar den Vorteil, dass man das VPN auf spezielle Gegebenheiten anpassen kann. Wenn ein Firmenadministrator etwa alle TCP-Ports außer 80 und 443 sperrt, lässt sich der eigene VPN-Server notfalls auf Port 80 betreiben.
Die Nutzung dieser VPN-Zugänge kann eine Reihe von Gründen haben. Dazu gehört die Unsitte vieler Provider, Internetzugänge nur noch mit einer privaten IP-Adresse bereitzustellen. Das wird vor allem von den Mobilfunkprovidern so praktiziert. Von einem echten Internetzugang kann man dabei nicht mehr sprechen.
Auch die Fälschung von Webseiten[6] mittels DPI-Technologie ist ein Problem. Das geht so weit, dass sie eigenen Javascript-Code in die Webseiten einschleusen, durch den der Javascript-Code auf der Webseite unbrauchbar wird. Viele AJAX-Anwendungen, darunter auch Websites von Content-Management-Systemen wie Joomla[7], Typo3[8] oder Drupal[9] laufen nicht mehr, wenn sie per UMTS abgerufen werden.
Ein weiteres Einsatzgebiet ist das systematische Ausspionieren von Mitarbeitern durch den Arbeitgeber. Viele Arbeitnehmer werden mit DPI-Technologie systematisch überwacht. Nicht selten werden alle aufgerufenen URLs gespeichert und im Zweifelsfall auch benutzt.
In einigen Fällen gehen Unternehmen so weit, den HTTPS-Verkehr ihrer Mitarbeiter durch eine Man-in-the-Middle-Attacke zu belauschen. Die dazu notwendige Technologie beherrscht heute jede Security-Appliance.
In der Zukunft kann es interessant werden, sich einen VPN-Zugang ins Internet bei einem ausländischen Anbieter zu verschaffen, um einen sicheren und unzensierten Zugang ins Internet zu erhalten. Das Internetzensurgesetz[17] ist soeben vom Bundespräsidenten unterschrieben[18] worden. Darüber hinaus versuchen die Ministerpräsidenten der Länder weitergehende Beschränkungen inklusive Sperren von Webseiten über den sogenannten Jugendmedienschutz-Staatsvertrag[19] zu implementieren.
URLs in diesem Artikel:[1] = http:/
[2] = http:/
[3] = http:/
[4] = http:/
[5] = http:/
[6] = http:/
[7] = http:/
[8] = http:/
[9] = http:/
[10] = http:/
[11] = http:/
[12] = http:/
[13] = http:/
[14] = http:/
[15] = http:/
[16] = http:/
[17] = http:/
[18] = http:/
[19] = http:/