News

IT Sicherheit: Was hat es mit VPN auf sich?

Die Abkürzung VPN steht für "Virtual Private Network" zu Deutsch also "virtuelles, privates Netzwerk". Damit wäre alles erklärt oder?

Wenn es doch nur so einfach wäre! Aber fürchten muss man sich vor dem Thema auch nicht. Eine "Kaffeebegleitung" beim Lesen kann aber sicher nicht schaden...

VPN wird dann genutzt, wenn man sich nicht innerhalb des Unternehmens, und damit nicht in dessen Netzwerk befindet, um eine verschlüsselte Übermittlung von Daten zu ermöglichen. Sind Sie also an der TU Wien und schließen Sie Ihr Gerät an das Netzwerk an, befinden Sie sich im Netzwerk der TU Wien. Dem TUnet (https://www.it.tuwien.ac.at/services/netzwerkinfrastruktur-und-serverdienste/tunet).

Laut Ondrej Hosek (einem top Spezialisten in Sachen Netzwerk und zu unser aller Glück Mitarbeiter der TU.it) unterscheidet man bei VPN Remote Access VPN und Site-to-Site VPN (nicht Thema dieses Beitrages). Remote Access VPN wird wiederum unterteilt in

  1. Client-Based VPN und
  2. Clientless VPN.

Client-Based VPN: Für diese Variante benötigt man entweder das Betriebssystem oder ein entsprechendes Programm (an der TU Wien zum Beispiel Cisco AnyConnect1), das dazu angewiesen wird, einen Tunnel mit dem VPN-Server aufzubauen. Dadurch geht die gesamte Netzwerkkommunikation oder zumindest ein gewisser Teil davon durch einen gesicherten Tunnel. Im Regelfall startet man den VPNclient manuell und authentifizerit sich mit Username und Passwort. Am Client - also am PC den Sie zum Verbindungsaufbau nutzen - wird nun ein verschlüsselter Tunnel zum Ziel-Netzwerk (zum Beispiel das Netzwerk der TU Wien) hergestellt.

Clientless VPN: Dabei wird nur eine bestimmte Anwendung über den Tunnel geführt oder eine Webbrowser-ähnliche Oberfläche (quasi ein Browser im Browser) zur Verfügung gestellt (dieses Service wird von TU.it, öffnet eine externe URL in einem neuen Fenster nicht (mehr) angeboten, da es leider für Spamversand missbraucht wurde).

Eine VPN-Verbindung sorgt dafür, dass

  1. die übertragenen Daten nicht mehr von Dritten mitgelesen werden können, speziell in Fällen, wenn ein Übertragungsprotokoll keine Verschlüsselung verwendet.
  2. die Privatspähre (mehr oder weniger) gewahrt wird, indem die Auflösung von Internetnamen (DNS-Auflösung) durch den Tunnel geführt und nicht mitverfolgt werden kann, welche Web-Sites oder Dienste aufgerufen werden.
  3. durch ein Firmen-VPN Zugriff auf Laufwerke und sonstige Zugänge und Ressourcen im Firmennetzwerk möglich wird, da Zugriffe mit einer IP-Adresse des VPN-Anbieters passieren.

Generell ist es so, dass ein Firmen-VPN dazu gedacht ist, die Sicherheit des Unternehmens zu gewährleisten, indem man über einen kontrollierten Zugang ins Firmennetz gelangt. Ihre Privatsphäre schützen Sie damit nicht unbedingt.

Nutzen Sie etwa das VPN der TU Wien, um eine bestimmte Webseite im Internet aufzurufen, kann Ihre IP-Adresse für die Webseite verborgen sein. Der Besuch dieser Webseite wird der TU Wien gegenüber aber nicht verborgen bleiben, da der Verkehr über den DNS-Server der TU Wien geht.

Was die TU Wien sonst noch mitlesen oder mitverfolgen kann, hängt davon ab was über den Tunnel geführt wird. Ist ein VPN-Tunnel aufgebaut und ruft man im Browser beispielsweise sein Gmail-Konto auf, kann die TU Wien nichts mitlesen, da die Verbindung zwsichen dem PC und Gmail bereits über HTTPS geführt wird und damit verschlüselt ist. Vereinzelt gibt es noch Anwendungen, die ihre Daten nicht verschlüsselt übertragen. Diese könnte man theoretisch irgendwo zwischen dem TU-VPN-Server und dem Zielserver mitschneiden. Die Anzahl dieser Anwendungen wird aber immer geringer und sie werden fast nie zur Übertragung schützenswerter Daten verwendet. Eine erwähnenswerte Ausnahme stellt leider E-Mail dar. Die meisten Server nehmen ein Angebot, eine verschlüsselte Verbindung aufzubauen, gerne an, setzen sie aber nicht voraus, wodurch es sein kann, dass der Inhalt von Mailnachrichten unverschlüsselt übertragen wird, wenn er nicht schon "von sich aus" mit S/MIME oder PGP (hier finden Sie die entsprechenden Services der TU.it, öffnet eine externe URL in einem neuen Fenster: https://www.it.tuwien.ac.at/services/zutritt-login-und-identity/identity) oder einer ähnlichen Technologie verschlüsselt ist.

Wenn ich mich an einem öffentlichen WLAN-Hotspot einlogge und dann das TU-VPN aktiviere, ist es eine Frage des gewählten VPN-Profils, was alles über den Tunnel geführt wird. Wir haben einerseits "1_TU_getunnelt" (wo nur Verbindungen mit IP-Adressen, die innerhalb des TUnet liegen, über den Tunnel geführt werden) und andererseits "2_Alles_getunnelt" (wo alle Verbindungen über den Tunnel geführt werden). Damit der VPN-Server nicht überlastet wird, bietet sich grundsätzlich folgender Leitfaden an:

  1. Möchte man auf Artikel usw. der akademischen Copyrightverlage (Elsevier, Springer usw.) zugreifen, ist für die Dauer des Zugriffs "2_Alles_getunnelt" zu wählen.
  2. Befindet man sich in einem eher weniger vertrauenswürdigen Netzwerk (man ist z.B. mit einem öffentlichen WLAN-Hotspot verbunden), ist "2_Alles_getunnelt" zu wählen.
  3. Befindet man sich in einem eher vertrauenswürdigen Netzwerk (z.B. dem eigenen Heimnetzwerk), ist "1_TU_getunnelt" zu wählen.
  4. Im Zweifelsfall ist "2_Alles_getunnelt" zu wählen.

Fragen und Anregungen zum Thema können Sie gerne im TU Wien coLab in den Kommentaren hinterlassen. Ich werde gerne darauf eingehen.

[1] Wobei es an der TU Wien auch Alternativen zu Cisco gibt. Siehe dazu: https://www.it.tuwien.ac.at/services/netzwerkinfrastruktur-und-serverdienste/tunet/vpn-virtual-private-network/vpn-client-software.