VPN ohne Grenzen: Per Tunnel durch die Firewall

Obwohl Hamachi, wie auch andere VPN-Lösungen, am Arbeitsplatz praktikable Dienste leisten kann, beispielsweise den Zugriff auf das Heimnetzwerk, birgt eine solche Lösung auch große Gefahren. Ein Mitarbeiter kann seinen PC damit leicht zum Hintereingang des Unternehmensnetzwerks machen. Das kann bewusst geschehen – oder auch unbewusst durch eingeschleuste Malware.

Problematisch dabei ist, dass eine solche Hintertür in der Regel vom Administrator nicht entdeckt wird, da sie über eine verschlüsselte UDP-Verbindung vom Internet-Router kommt, die auf den ersten Blick nicht weiter verdächtig scheint, weil sie vom Intranet zum Internet durch den Hamachi-Client aufgebaut wird.

Unter Windows eignet sich zum Beispiel der RAS-Dienst, der auch unter den Client-Versionen zur Einwahl genutzt werden kann. Eine beispielhafte Konfiguration für Vista, wie in Bild 8 gezeigt, erlaubt die Einwahl jedem Teilnehmer des Hamachi-VPNs.

Die übliche Erkennungsmethode, die die Unternehmensrechner darauf überprüft, ob TCP-Port 1723 aktiv ist, funktioniert nicht, wenn der betroffene Mitarbeiter-PC den RAS-Dienst nur an den virtuellen Hamachi-LAN-Adapter bindet, der keine Verbindung zum Unternehmensnetz hat.

Die Verwendung des RAS-Dienstes für eine Hintertür ist besonders einfach, da er Bestandteil von Windows ist. Denkbar sind allerdings auch andere Port-Forwarder oder NAT-Multiplexer, die einen Zugriff auf einzelne Server oder, wie im Falle von RAS, auf das ganze Unternehmens-LAN ermöglichen.

Von einem Windows-Rechner außerhalb des Unternehmens ist der Zugriff durch RAS-Einwahl nicht ganz einfach, da die Hamachi-Verbindung nach der Einwahl zunächst unterbrochen wird. Baut man jedoch die Routing-Tabelle komplett neu auf, wie in Bild 9 gezeigt, so besteht voller Zugriff auf das Unternahmens-LAN.

Ein solcher Angriff ähnelt einem mit einem SSH-Server, der unter der Kontrolle eines Angreifers außerhalb des Unternehmensnetzwerks steht. Er ist allerdings wesentlich gefährlicher, da Zugang zum gesamten Netzwerk erreicht werden kann.

Allerdings ist er auch leichter zu entdecken. Wird RAS als NAT-Lösung verwendet, so kann man in der Regel erkennen, dass der missbräuchlich genutzte Mitarbeiter-PC mehr als eine IP-Adresse vom DHCP-Server benötigt. Ist dies der Fall, so handelt es sich meist um ein Sicherheitsproblem. Eine Ausnahme liegt vor, wenn ein PC über mehrere Netzwerkkarten an das LAN angebunden ist, beispielsweise durch eine Kabelverbindung und einen WLAN-Adapter.

Verwendet der Angreifer eigene IP-Adressen, von denen er sich erhofft, dass sie aktuell nicht vom DHCP-Server vergeben sind, so kann man die Nutzung von Hamachi daran erkennen, dass IP-Pakete beim Verbindungsaufbau zu bibi.hamachi.cc geroutet werden. Derartige Firewallregeln findet man allerdings in Unternehmensnetzwerken selten.