VPN – Arbeiten im Tunnel

Der Aufbau geschützter Netzverbindungen hat für viele Menschen an Bedeutung gewonnen. Grund dafür ist meist das Bedürfnis nach Sicherheit und Anonymität beim Übertragen von sensiblen Daten über das Internet.
Insbesondere die gravierenden Einschnitte durch die Corona-Situation haben dazu geführt, dass die Arbeit im “Homeoffice” in vielen Branchen zur Normalität wird. Dabei besteht fast immer der Bedarf, sicher auf Daten aus dem Firmen-Netzwerk zuzugreifen.

Unabhängig davon können auch die vielen Berichte von Abhörskandalen und Überwachung des Internets dazu führen, dass Du Dich als Privatmensch beim Surfen im Internet nicht mehr wirklich frei fühlst.

Abhilfe schafft ein Virtuelles Privates Netzwerk (VPN). Hierbei wird die Infrastruktur des öffentlichen Internets genutzt, um darin eine abgesicherte Verbindung aufzubauen, die bei korrekter Umsetzung als abhörsicher gilt. Dieses private Netzwerk wird häufig als VPN-Tunnel bezeichnet.

Zur Sache – wofür ein VPN gut ist

Ein klassischer Anwendungsfall ist die Arbeit eines Außendienstlers, der von unterwegs auf interne Daten seiner Firma zugreifen muss. In diesem Fall benötigt die Firma ein VPN-Gateway als Verbindungsstelle zu ihrem Netzwerk. Dort kann der Mitarbeiter sich mit einer VPN-Client-Software von seinem Endgerät anmelden. Danach läuft dessen gesamter Netzwerkverkehr über eine geschützte, üblicherweise verschlüsselte, Verbindung zum VPN-Server.

Auch Anfragen an externe Server im Internet werden nach Aufbau der Verbindung über den Firmen-Server gesendet. Das Endgerät des Mitarbeiters wird behandelt, als wenn es sich physikalisch im Firmen-Netz befinden würde.

Auf diese Weise können ganze Zweigstellen von Firmen miteinander verbunden werden. Dann melden sich allerdings üblicherweise nicht alle Clients einzeln bei der Hauptstelle an. Vielmehr wird die Verbindung über VPN-Server auf beiden Seiten verwirklicht. Dies kann eine separate Vernetzung in Form von Standleitungen ersetzen.

Natürlich möchten auch die meisten Privatanwender nicht, dass ihre über das Internet versandten Daten durch Unbekannte mitgelesen werden. Hierfür alleine wäre ein VPN nicht unbedingt nötig. Es gibt jedoch zwei Gründe, die eine private Nutzung sinnvoll erscheinen lassen:

Anonymität: Der Nutzer stellt mit seiner IP-Adresse nur eine Verbindung zum VPN-Server her. Alle weiteren Anfragen passieren mit der IP-Adresse des Servers, der wie eine Vermittlung fungiert. Hierdurch wird beispielsweise eine geografische Lokalisierung erschwert, denn die meisten VPN-Anbieter nutzen diverse Server mit Standorten in verschiedenen Ländern.

Sicherheit bei der Authentifizierung: Durch die Anmeldung beim VPN-Server ist gesichert, dass man beim korrekten Einwahlpunkt ins Internet landet. Dies macht Sinn, wenn Du unterwegs häufig öffentliche WLAN-Hotspots nutzen willst oder musst. Beim Aufbau der VPN-Verbindung werden verschlüsselte Zertifikate verwendet. Selbst wenn Du Dich versehentlich in ein nicht vertrauenswürdiges WLAN einbuchst, kann dessen Betreiber nicht ohne Weiteres einen Man-in-the-Middle-Angriff durchführen.

Leichtere Geschütze

Der Aufbau eines VPNs stellt eine komplexe Angelegenheit dar, wenngleich die Nutzung nicht kompliziert sein muss.
Wenn es einem Nutzer nur um Anonymität oder die Umgehung nationaler Filter geht, kann die Verwendung eines Proxy-Servers bereits ausreichend sein. Dieser stellt eine Teilfunktion des VPN bereit. Er fungiert als Stellvertreter, nimmt Anfragen von Clients an, leitet diese weiter und stellt im Anschluss die Antworten zu. Listen kostenloser Proxyserver gibt es bei zahlreichen Anbietern. Die IP-Adresse des Proxy-Servers kannst Du einfach in den entsprechenden Einstellungen Deines Betriebssystems eintragen. Nachteil ist meist, dass sich die Verbindung hierdurch verlangsamt.

Erfolgt der Verbindungsaufbau aus einem garantiert vertrauenswürdigen Netzwerk, bietet die Nutzung des Protokolls HTTPS einen guten Schutz der übertragenen Inhalte beim Surfen im Internet. Anonymität ist hierdurch aber nicht gewahrt. Die IP-Adressen der Absender und der Empfänger bleiben unverschlüsselt. Schließlich könnte die Anfrage sonst nicht geroutet werden. Zudem bist Du natürlich nicht anonym gegenüber dem aufgerufenen Server. Dieser kann Dich beispielsweise grob lokalisieren, was sich etwa an auf Deinen Standort zugeschnittener Werbung bemerkbar macht.

Mögliche Topologien von VPNs

Man unterscheidet grob in drei mögliche Anbindungsmöglichkeiten:

End-to-End: Hierbei werden zwei Rechner auf sicherere Weise miteinander verbunden. Es kann sich dabei auch um Server handeln. Dies ist etwa denkbar, wenn nur auf bestimmte Anwendungen eines Terminalservers zugegriffen werden müssen.

End-to-Side: Ein Endgerät wird über ein VPN-Gateway in das Netzwerk eingebunden. Die sichere Verbindung verschafft dem Endgerät einen Status, als sei es physikalisch innerhalb des Netzwerkes eingebunden.

Site-to-Side: Zwei physikalische Netzwerke, beispielsweise zwei räumlich getrennte Niederlassungen einer Firma, werden über je ein VPN-Gateway innerhalb des Netzwerks miteinander verbunden. Dadurch können wechselseitig Ressourcen beider Netzwerke genutzt werden, etwa Netzwerkspeicher.

Zudem gibt es zwei Varianten der Einbindung:

Closed Tunnel: Das Gerät wird komplett in das VPN eingebunden. Das hat zur Folge, dass die Geräte aus dem eigenen Netzwerk nicht mehr erreichbar sind. Wählt sich im Homeoffice etwa ein Mitarbeiter in das VPN seiner Firma ein, kann er nicht auf seinen NAS oder den eigenen Netzwerkdrucker zugreifen.

Split Tunnel: Der private Netzwerkverkehr bleibt weiter möglich. Also sind alle Geräte, die eine private IP-Adresse zugewiesen bekommen haben, weiterhin verfügbar.

Die Frage der Technik

Es gab und gibt eine Vielzahl an VPN-Technologien. Dies können Protokolle, Software und Komplettlösungen von Anbietern sein. Als Nutzer musst Du Dich darum im Detail nicht zwingend selber kümmern, zumindest sofern Du nicht Dein eigenes VPN betreiben möchtest. Dennoch kann es nicht schaden, sich ein wenig damit zu beschäftigen, was da eigentlich im Hintergrund abläuft, wenn sich die Client-Software mit dem VPN-Server verbindet.

Darum wollen wir ein paar mögliche Varianten aufzeigen:

IPSec/IKE: Das Internet Protocol (IP) wird bei diesem Verfahren um eine Sicherheitserweiterung ergänzt (Security). Diese wurde von der Normierungsstelle IETF entwickelt. Hierbei wird beispielsweise mittels einer Prüfsummenberechnung die Authentizität der Gegenstelle und die Unverfälschtheit des Nachrichteninhaltes sichergestellt. Zudem verfügt IPSec über einen eigenen Verschlüsselungsmechanismus der Inhalte. Die für die Kryptografie notwendigen Schlüssel können automatisch mittels des Internet-Key-Exchange-Protokolls (IKE) verwaltet werden.

Nachteil an IPSec ist, dass auch nur per IP-Protokoll versendete Inhalte umfasst werden. Die Technologie an sich gilt als etabliert und wird häufig in professionellen Umgebungen angewendet.

Wireguard: Der “Wächter” über das Netzwerkkabel ist ein noch recht junges Protokoll, das 2016 das erstmals veröffentlicht wurde. Dennoch hat es bereits den Sprung in den Linux-Kernel geschafft. Dies bedeutet, dass es unter dem im Server-Bereich verbreiteten Linux einfach einzurichten ist. Aber auch für Windows und MacOS gibt es entsprechende Anwendungen. Insbesondere zeichnet Wireguard sich durch seine Einfachheit in der Einrichtung und die Geschwindigkeit aus. Es müssen letztlich nur die gewünschten Gegenstellen, die sogenannten Peers, festgelegt und öffentliche Schlüssel hinterlegt werden.

OpenVPN: Ist ein freies Software-Gesamtpaket zur Verwirklichung eines VPN. Es basiert auf dem bekannten Verschlüsselungsprotokoll SSL/TLS. Dabei sind zumindest ein VPN-Server und ein oder mehrere VPN-Clients notwendig. Entsprechend kommen auch die von der HTTPS-Verschlüsselung bekannten x509-Zertifikate zum Einsatz. Hier erfolgt die Verschlüsselung Durch ein paar aus öffentlichem und privatem Schlüssel.

Großer Vorteil in diesem Zusammenhang ist, dass man die Schlüssel bei der Einrichtung “von Hand”, also etwa per USB-Stick übertragen kann, ohne sie über das Internet versenden zu müssen. Für die Umsetzung kann die gleichnamige Software des Entwicklers verwendet werden. Es gibt auch darauf basierende Programme, etwa Tunnelblick für den Mac.

SSL-VPN: Diese Variante gibt es in unterschiedlichen Ausführungen. In einer einfachen Form fungiert ein Webserver als VPN-Gateway. Der Verbindungsaufbau vom Client kann direkt über den Browser erfolgen. Dieser ist normalerweise für die Nutzung von Zertifikaten in Verbindung mit SSL/TLS ausgestattet, da dies Basis des HTTPS ist. Es ist aber auch möglich, sich auf diese Weise mittels eines Clients in ein VPN einzuwählen.

Zur Sache: Die konkrete Umsetzung

Wie Du das VPN in der Praxis am besten umsetzen kannst, hängt natürlich vom konkreten Anwendungszweck ab. Geht es Dir um Anonymität und sichere Webverbindungen unterwegs, kann ein kommerzieller Anbieter wie NordVPN, Cyberghost oder Avira die richtige Wahl sein.

Anders sieht es aus, wenn es Dir darum geht, Deinen Mitarbeitern oder auch Dir selbst die Möglichkeit zu verschaffen, von unterwegs auf das eigene Netzwerk zuzugreifen. In diesem Fall kann es eine Alternative sein, etwa über eine FritzBox oder einen Mini-Server wie den Raspberry PI, ein VPN-Gateway in Deinem Netz zu installieren.

Zunächst wäre die Frage, ob Du bereit bist, für ein VPN Geld auszugeben. Das Betreiben einer entsprechenden Infrastruktur verursacht nachvollziehbare Kosten. Daher sind freie Angebote immer mit etwas Vorsicht zu genießen und sollten genau geprüft werden. Schließlich lohnt sich der ganze Aufwand der Nutzung eines VPN nicht, wenn Du stattdessen von Deinem Anbieter ausgespäht wirst oder die Server in nicht vertrauenswürdigen Ländern stehen.

Etablierte kommerzielle Anbieter haben aber gelegentlich kostenfreie Einstiegsangebote mit beschränkter Laufzeit oder Datenlimit. Unter Umständen reicht dies schon für Deine Zwecke, etwa das Absichern einer gelegentlichen Nutzung öffentlicher HotSpots.

Einige bekannte Anbieter sind:

Surfshark: Die Firma mit Sitz auf den Niederlanden gibt es nun schon seit 2017. Surfshark gibt es für fast jedes Systeme – Linux, Mac, PC, Android, iPhone, Fire TV, Apple TV, Smart TV, Xbox, PlayStation und als Browsererweiterungen für Chrome und Firefox. Mit über 3200 Servern weltweit, erstklassigen Protokollen solche wie WireGuard®, OpenVPN und IKEv2, genauso wie unbegrenzte Anzahl an Geräten, können wir Surfshark als leistungsstarken und vertrauenswürdigen Anbieter empfehlen.

NordVPN: Obwohl der Name eventuell eine andere Vermutung hervorrufen könnte, ist die Firma tatsächlich in Panama (Mittelamerika), ansässig. Die Firma betreibt nach eigenen Angaben weltweit mehrere Tausend Server, hauptsächlich in Nord- und Südamerika, sowie in Europa, aber auch in Asien und Afrika. Das Einbinden von bis zu sechs Geräten kostet etwa sechs Euro im Monat. NordVPN stellte Clients für alle bekannten Desktop- und Smartphone-Betriebssysteme zur Verfügung. Zusätzlich gibt es Plugins für Firefox- und Chrome-Browser.

CyberGhost VPN: Die Firma hat ihren Sitz in Bukarest (Rumänien). CyberGhost nutzt über 6400 Server auf der ganzen Welt zur Anonymisierung. Bei einer Laufzeit von 18 Monaten verlangt das Unternehmen weniger als drei Euro pro Monat. Hierfür dürfen sieben Geräte eingebunden werden. Neben der Nutzung von Clients und Apps für alle gängigen Betriebssysteme, ist es auch möglich, CyberGhost nativ, etwa per Wireguard oder OpenVPN zu verwenden.

Windscribe: Der Anbieter stammt aus Kanada. Die Server der Firma stehen in 63 unterschiedlichen Ländern. Eine Besonderheit ist das Angebot für “Light”-Nutzer. Hiermit darfst Du dauerhaft ein monatliches Datenvolumen von 10 GB kostenlos nutzen. Das kann schon reichen, um unterwegs auf sichere Weise die Mails zu checken oder kurz was im Internet nachzusehen. Auch Windscribe bietet Client-Software und Browser-Plugins.

Hide.me: Der Firmensitz von Hide.me ist in Malaysia. Das Unternehmen verfügt über 1800 Server an 72 Standorten verschiedener Länder. Erwähnenswert ist auch bei diesem Anbieter ein kostenfreies Angebot mit einem Volumenlimit von 10 GB. Unbegrenztes Volumen wird für knapp 5 Euro angeboten, allerdings bei zweijähriger Mindestlaufzeit. Software für Computer und Mobilgeräte hat die Firma genauso im Angebot, wie Browser-Plugins für Firefox und Chrome.

Avira: Unter dem Namen Phantom hat auch die bekannte deutsche Sicherheitsfirma Avira ein VPN-Angebot. Die kann möglicherweise in puncto Vertrauen mit ihrem Firmenstandort in Deutschland ein paar Pluspunkte sammeln. Das kostenfreie Angebot beschränkt sich allerdings auf bescheidene 500 MB pro Monat. Unbegrenztes Datenvolumen bietet Avira für etwas mehr als vier Euro pro Monat. Für Anonymität sorgen immerhin 38 Server-Standorte weltweit. Software wird für Windows, MacOS, Android und iOS angeboten. Eine Unterstützung von Linux ist noch nicht geplant.

Um Dein eigenes Netzwerk per VPN-Verbindung von außen zu erreichen, genügt eine FritzBox. Diese bringt alle Voraussetzungen mit, um ein entsprechendes Gateway zu konfigurieren. Bemerkenswert ist, dass sie schon von Haus aus für verschiedene Szenarien geeignet ist:

Etwas komplizierter ist es schon, einen Raspberry PI als VPN-Gateway einzurichten. Hierzu kannst Du beispielsweise OpenVPN oder Wireguard nutzen, die beide zu den Standardpaketen gehören. Wenn Du Dir die Einrichtung ein wenig vereinfachen möchtest, kannst Du eine Lösung wie PiVPN verwenden. Für die Konfiguration finden sich gute Anleitungen im Netz.

Gute Gründe für etwas mehr Sicherheit und Anonymität

Die Technik zum Aufbau eines VPN ist ausgereift und erprobt. Im Firmenumfeld sollte die Anwendung “Pflicht” sein, sobald einem Mitarbeiter von außen Zugriff auf Kundendaten oder andere sensible Informationen gewährt wird.

Aber auch privat eignet sich ein VPN nicht nur für ausgewiesene Netzwerkspezialisten. Es gibt inzwischen eine derart große Vielzahl an maßgeschneiderten Lösungen für Privatanwender, dass auch dort für jeden etwas dabei sein dürfte.

Die Gefahr, Opfer eines absichtlichen oder zufälligen Sammelns oder gar Ausspähens von Daten durch Dritte zu werden, ist leider real. Daher hat der Wunsch nach Sicherheit und Anonymität sicher nichts damit zu tun, etwas verbergen zu wollen. Ein VPN allein ist natürlich kein Allheilmittel für ein sorgenfreies Leben im Internet, kann aber ein wichtiger Baustein sein.

Hinterlasse eine Anmerkung