Was Sie wissen müssen, bevor Sie auf VPN umschalten

14 Apr 2016

Im letzten Kapitel unseres Kurses „Einführung in VPN“ werde ich über das gewöhnliche technische Geplapper über VPN hinausgehen. Ich werde einige technische und rechtliche Themen besprechen, die direkt mit dem Gebrauch von VPN verbunden sind, und am Ende einige praktische Tipps geben.

vpn-part-3-featured

Technische Aspekte

Der aufmerksame Leser erinnert sich vielleicht noch daran, dass ich in den vorhergehenden Ausgaben unserer Serie ausgesprochen viel Wert auf die richtige Umsetzung, Einstellung und den Gebrauch verschiedener VPNs gelegt habe. Auch die verlässlichste Version des Protokolls ist wertlos, wenn Sie nicht richtig angewendet wird.

Alle VPN-Lösungen, die wir bisher besprochen haben, hatten etwas gemeinsam: sie verfügen über Open-Source-Implementierungen, die man leichter auf Schwachstellen überprüfen können sollte. Es gibt allerdings auch noch andere Probleme und Besonderheiten, abgesehen von denen, die im Code enthalten sind.

Das offensichtlichste Problem ist die zwischenzeitliche Trennung vom VPN, das folglich den Datenverkehr plötzlich auf ein öffentliches Netzwerk umleitet. Das kann zum Beispiel gut passieren, wenn ein Nutzer mit einem öffentlichen WLAN-Netzwerk oder anderen verfügbaren mobilen Netzwerk verbunden ist. Das Schlimmste ist, wenn der Nutzer darüber nicht informiert wird und die VPN-Verbindung nicht automatisch wiederhergestellt wird.

Bei Windows 7 und höher hat Microsoft ein neues Feature herausgebracht, die VPN-Verbindungswiederherstellung. Wenn Sie eine alternative Plattform verwenden, sollten Sie sich benutzerdefinierte Routingeinstellungen oder ein so genanntes Kill-Switch-Feature zunutze machen. Letzteres überwacht den Status der VPN-Verbindung. Geht sie verloren, blockiert es den Datenverkehr, alle laufenden Apps werden gestoppt und das System versucht, die VPN-Verbindung wiederherzustellen. Einige handelsübliche VPN-Clients bieten ähnliche Funktionen.

Die zweite VPN-Schwachstelle, die weit unauffälliger ist und seltener vorkommt, bezieht sich auf das IPv6-Protokoll. Obwohl IPv6 nur selten benutzt wird, ist dieses Protokoll auf allen Hauptbetriebssystemen standardmäßig aktiviert, während VPN hauptsächlich IPv4 nutzt.

Was diesbezüglich geschehen könnte, ist folgende Situation. Ein öffentliches Netzwerk unterstützt IPv6, der Kunde verbindet sich mit einer Ressource, die die gleiche Protokollversion nutzt und somit wird der Datenverkehr standardmäßig auf ein öffentliches IPv6 Netzwerk umgeleitet. Die einfachste Maßnahme wäre in diesem Fall, den IPv6-Support auf Systemebene komplett zu deaktivieren.

Natürlich können Sie Ihren gesamten Datenverkehr auf das VPN umleiten, aber dafür muss es seitens des Servers unterstützt werden und es müssen besondere Einstellungen seitens des Clients gegeben sein. 2015 durchgeführte Forschungen gaben VPN-Providern einen sanften Rippenstoß, der dazu führte, dass sie damit begonnen haben, nach passenden Lösungen für ihre Clients zu suchen.

Die Forschungsarbeit geht auch auf das dritte Thema ein: DNS-Schwachstellen. Wenn ein Nutzer sich mit VPN verbindet, sollten im besten Fall keine DNS-Anfragen das VPN-Netzwerk verlassen, sondern von den entsprechenden DNS-Servern bearbeitet werden. Ansonsten sollten bewährte Server wie Google Public DNS oder OpenDNS bei der Installation im Netzwerk konfiguriert werden. Alternativ kann man VPN gemeinsam mit Services wie DNSCrypt nutzen. Letzteres dient dazu, VPN-Anfragen/-Antworten zu verschlüsseln und deren Authentizität zu überprüfen, was auch in vielen anderen Fällen von Nutzen sein kann.

Im echten Leben werden diese Empfehlungen nur selten befolgt und die meisten Nutzer verwenden DNS-Server, die von öffentlichen Netzwerken zur Verfügung gestellt werden. Sicher, die Antwort dieser Server könnte fehlerhaft und auch verfälscht sein, was Kriminellen eine großartige Möglichkeit bietet, um Farming zu betreiben. Kollateralschaden von DNS-Schwachstellen ist die Beeinträchtigung des Datenschutzes: ein Außenstehender könnte an Adressen der DNS-Server und dadurch den ISP-Namen und die mehr oder weniger genauen Standort des Nutzers gelangen.

Windows-Nutzer befinden sich in einer noch schlimmeren Lage als man denken könnte. Während Windows 7 bei allen bekannten DNS-Servern einzeln anfragt und auf eine Antwort wartet, beschleunigt Windows 8/8.1 diesen Vorgang, indem es gleichzeitig Anfragen an alle bekannten DNS-Server über alle bekannten Verbindungen schickt. Wenn der bevorzugte Server nicht binnen einer Minute antwortet, wird die Antwort eines anderen Servers benutzt. Bei VPN könnte ein Netzwerk jedoch länger brauchen, um eine DNS-Antwort zurückzusenden. Die gute Nachricht hier ist, dass diese Einstellung manuell deaktiviert werden kann; die schlechte Nachricht hingegen ist, dass dies mühsame Veränderungen in der Systemregistrierung erfordert.

Bei Windows 10 sieht es noch schlimmer aus. Dieses Betriebssystem schickt ebenfalls überallhin DNS-Anfragen und verwendet dann die am schnellsten zurückkehrende Antwort. Hier gibt es leider keine guten Nachrichten: dieses ultimative Feature kann nicht auf Systemebene deaktiviert werden.

Auch in WebRTC gibt es eine ernstzunehmende Schwachstelle. Diese im Browser aktivierte Technologie war ursprünglich dazu entwickelt worden, eine direkte Verbindung zwischen zwei  Knoten darzustellen und wird hauptsächlich für Audio- und Videoanrufe genutzt. Es ist sehr wahrscheinlich, dass diese Schwachstelle zum Tragen kommt, denn WebRTC sendet Anfragen an alle verfügbaren Netzwerkverbindungen gleichzeitig und nutzt dann die, die am schnellsten antwortet.

Der gleiche Mangel an Kontrolle kann auch bei anderen Plug-ins, wie Java oder Adobe Flash, wenn nicht sogar in jeder Software, gefunden werden. Übrigens sind alle genannten Bereiche eine ernstzunehmende Gefahr für den eigenen Datenschutz, daher besprechen wir die verschiedenen Wege, die einen Nutzer im öffentlichen Netzwerk zu schützen.

Rechtliche Besonderheiten

Die erste und wichtigste Problematik mit VPN betrifft die unterschiedliche Gesetzgebung in verschiedenen Ländern: ein VPN-Client könnte in einem Land sein und ein VPN-Server könnte sich in einem anderen Land befinden, unabhängig davon, ob diese beiden Länder einander wohlgesonnen sind oder nicht. Alternativ könnte der Datenverkehr über ein Drittland geleitet werden, und auch wenn Sie keine Gesetze verletzen, könnten Ihre Daten beim Transit abgefangen und analysiert werden.

Allgemein ist es überraschend zu erfahren, dass sicherer Datenverkehr auch nach mehreren Jahren noch entschlüsselt werden kann. Allein die Tatsache, dass jemand VPN nutzt, könnte unnötige Aufmerksamkeit des Gesetzeshüters auf sich ziehen (was ist, wenn jemand etwas über dieses VPN versteckt?).

Es kann natürlich sein, dass es total ok ist, VPN zu nutzen, aber im Prinzip ist der Gebrauch solcher Technologie begrenzt (siehe Beispiele einer vorhergehenden Ausgabe oder jede verfügbare Information zu PRISM).

Alle rechtlichen Problematiken entstehen jedoch meist aus dem Gebrauch einer starken Verschlüsselung und nicht aus VPN selbst. Es ist offensichtlich, dass jedes Land die eigenen Informationen schützen und an Daten von Anderen gelangen möchte; das ist auch der Hauptgrund, warum die Verschlüsselung so stark reglementiert ist.

In Amerika, der IT Spitzenreiter unter anderen Ländern, ist die Situation sehr besonders. Neue Verschlüsselungsstandards müssen zuerst vom NIST (engl. The National Institute of Standards and Technology, Nationales Institut für Standards und Technologie) genehmigt werden. Diese Standards unterscheiden sich jedoch in ihrer Ausgeprägtheit: Verschlüsselung ist stabiler für den Binnenmarkt und abgeschwächt für Exportprodukte. Schwierig ist, dass Hard- und Softwareunternehmen, die Regierungsverträge abschließen möchten, sich an diese Vorschriften halten sollten.

Wir müssen Sie nicht daran erinnern, wo die beliebtesten Betriebssysteme und Verschlüsselungskomponenten, einschließlich VPN Module, hergestellt werden. Diese Problematik ist weitaus schlimmer als möglicherweise vorhandene Hintertüren. Es zeigt sich, dass Netzwerktechnologien, die zu Industriestandards werden sollten, bereits von Anfang an voller Schwachstellen sein könnten.

Hier ein Beweis dafür. 2013 wurde NIST vorgeworfen, der NSA erlaubt zu haben, eine verletzbare Version eines Pseudo-Zufallsnummerngenerators als Basis für den neuen Verschlüsselungsstandard nutzen zu dürfen. Theoretisch würde das die Entschlüsselung „geschützter“ Informationen erheblich erleichtern.

Einige Monate nach der Veröffentlichung des neuen Standards begannen die ersten Verdächtigungen. Der Regulierungsbehörde war vorgeworfen worden, absichtlich übertrieben formulierte Beschreibungen für veröffentlichte Standards und Empfehlungen auszugeben. Die Beschreibungsentwürfe waren so undurchsichtig, dass sogar Verschlüsselungsexperten den Haken nicht sofort erkennen konnten. Ich möchte an dieser Stelle unterstreichen, dass nicht nur die implizierte Widerstandsfähigkeit und Sicherheit eine Rolle spielen — die praktische Umsetzung ist ebenso wichtig.

Fazit

Um diesen Artikel zusammenzufassen, möchte ich auf einen nützlichen Link verweisen: es ist eine Tabelle, die beliebte VPN-Provider darstellt. Sie ist sehr einfach zu verstehen: Je mehr grüne Zellen eine Zeile hat, umso verlässlicher ist der entsprechende Provider. Wenn Sie darüber nachdenken, VPN zu nutzen, Ihnen aber das Lesen einer Reihe rechtlicher und technischer Aspekte zu aufwändig ist, dann liegen Sie mit dieser Tabelle richtig. Das Wichtigste bleibt jedoch, den Anweisungen des Providers sorgfältig zu folgen und ein einfaches Mantra nie zu vergessen:  Vorsicht ist die Mutter der Porzellankiste.